Home
  •  

Regra de Alerta de Falha do Comando SU

Microsoft.AIX.5.3.LogFile.Syslog.SU.Command.Root.Failure.Alert (Rule)

Regra de alerta para as mensagens "SU para o comando raiz" que falharam.

Knowledge Base article:

Resumo

Foi detectado um comando 'su' com falha nos arquivos de log do sistema.

Configuração

Essa regra está desabilitada por padrão. Para habilitar esta regra para monitoração, use substituições para configurar o caminho do arquivo de log e habilitar a regra. O caminho do arquivo de log é definido com a propriedade substituível denominada LogFile, e o valor deve ser definido como o caminho completo do arquivo de log que receberá esses eventos, conforme definido na configuração syslog. As substituições podem ser usadas para alterar os valores de parâmetros para todas as instâncias ou para instâncias ou grupos específicos.

Causas

Houve uma tentativa malsucedida de elevar privilégios com 'su'. Isso pode ter sido causado por uma senha digitada incorretamente ou uma tentativa de usar um nome de usuário inválido. No entanto, uma falha persistente pode ser uma indicação de atividade suspeita.

Resoluções

A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se o uso de 'su' parecer suspeito, verifique os detalhes do evento relacionado e todos os outros eventos que ocorreram por volta do horário desse evento.

Element properties:

TargetMicrosoft.AIX.5.3.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
SU com falha para raiz detectado
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.AIX.5.3.LogFile.Syslog.SU.Command.Root.Failure.Alert" Target="Microsoft.AIX.5.3.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] AIX SU False -->

    <!-- [INPUT] Oct 30 14:54:46 scxaix3-1 auth|security:crit su: BAD SU from scxuser to root at /dev/pts/1 -->

    <!-- [INPUT-MISS] Oct 30 19:03:24 scxaix3-1 auth|security:notice su: from ccrammo to root at /dev/pts/1 -->

    <!-- [INPUT-MISS] Nov 12 14:28:51 scxaix3-1 auth|security:crit su: BAD SU from scxuser to ccrammo at vty1 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/syslog.log</LogFile>

      <RegExpFilter>[[:space:]]su: BAD SU from [^[:space:]]+ to root at</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.AIX.5.3.LogFile.Syslog.SU.Command.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>