Home
  •  

Règle d'alerte de réussite de la commande SU

Microsoft.AIX.6.1.LogFile.Syslog.SU.Command.Root.Success.Alert (Rule)

Règle d'alerte pour messages de réussite « SU to root command ».

Knowledge Base article:

Résumé

L'exécution d'une commande 'su' a été détectée dans les fichiers journaux système.

Configuration

Cette règle est désactivée par défaut. Pour activer cette règle à des fins d'analyse, utilisez des remplacements pour configurer le chemin d'accès au fichier journal et activer la règle. Le chemin d'accès au fichier journal est défini avec la propriété substituable nommée LogFile, et la valeur doit être définie sur le chemin d'accès complet au fichier journal qui recevra ces événements, tel que défini dans la configuration syslog. Les remplacements permettent de modifier les valeurs de paramètres pour toutes les instances, ou pour des instances ou groupes spécifiques.

Causes

Des utilisateurs peuvent avoir reçu le droit d'accès à des comptes privilégiés avec l'élévation 'su'. Cette règle d'alerte permet aux administrateurs système de suivre l'utilisation de la commande 'su'.

Résolutions

La description de l'alerte et/ou de l'élément de données de sortie contient des informations sur l'événement survenu. Si l'utilisation de la commande 'su' paraît suspecte, consultez les détails des événements connexes ou de tout autre événement survenu à peu près au même moment.

Element properties:

TargetMicrosoft.AIX.6.1.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Réussite de la commande SU to Root détectée
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.AIX.6.1.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Microsoft.AIX.6.1.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] AIX SU True -->

    <!-- [INPUT] Oct 30 19:03:24 scxaix1 auth|security:notice su: from ccrammo to root at /dev/pts/1 -->

    <!-- [INPUT-MISS] Oct 30 19:04:55 scxaix1 auth|security:notice su: from root to ccrammo at /dev/pts/1 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/syslog.log</LogFile>

      <RegExpFilter>[[:space:]]su: from [^[:space:]]+ to root at</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.AIX.6.1.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>