Regla de alerta para mensajes "comando de SU a raíz" incorrectos.
Se ha detectado un comando "su" incorrecto en los archivos de registro del sistema.
Es posible que se haya concedido a usuarios el acceso a cuentas con privilegios. Este monitor permite a los administradores del sistema realizar un seguimiento del uso de "su".
La descripción de la alerta y/o el elemento de datos de salida contiene información sobre el evento detectado. Si el uso de "su" parece sospechoso, compruebe los detalles de los eventos asociados, así como cualquier otro evento ocurrido aproximadamente a la hora de este evento.
| Target | Microsoft.AIX.6.1.Computer | ||
| Category | EventCollection | ||
| Enabled | False | ||
| Alert Generate | True | ||
| Alert Severity | Warning | ||
| Alert Priority | Normal | ||
| Remotable | True | ||
| Alert Message |
|
| ID | Module Type | TypeId | RunAs |
|---|---|---|---|
| EventDS | DataSource | Microsoft.Unix.SCXLog.Datasource | Default |
| GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
Home
ESN <Rule ID="Microsoft.AIX.6.1.LogFile.Syslog.SU.Command.Root.Failure.Alert" Target="Microsoft.AIX.6.1.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/auth.log</LogFile>
<RegExpFilter>.*su:.*BAD.*SU.*from.*to.*root.*</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.AIX.6.1.LogFile.Syslog.SU.Command.Root.Failure.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>