Regra de alerta para as mensagens "SU para o comando raiz" bem-sucedidas.
Foi detectado um comando 'su' bem-sucedido nos arquivos de log do sistema.
Essa regra está desabilitada por padrão. Para habilitar esta regra para monitoração, use substituições para configurar o caminho do arquivo de log e habilitar a regra. O caminho do arquivo de log é definido com a propriedade substituível denominada LogFile, e o valor deve ser definido como o caminho completo do arquivo de log que receberá esses eventos, conforme definido na configuração syslog. As substituições podem ser usadas para alterar os valores de parâmetros para todas as instâncias ou para instâncias ou grupos específicos.
O acesso dos usuários a contas com privilégios pode ter sido concedido com a elevação 'su'. Esta regra de alerta permite que os administradores de sistemas controlem o uso de 'su'.
A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se o uso de 'su' parecer suspeito, verifique os detalhes do evento relacionado e todos os outros eventos que ocorreram por volta do horário desse evento.
Target | Microsoft.AIX.6.1.Computer | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.AIX.6.1.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Microsoft.AIX.6.1.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] AIX SU True -->
<!-- [INPUT] Oct 30 19:03:24 scxaix1 auth|security:notice su: from ccrammo to root at /dev/pts/1 -->
<!-- [INPUT-MISS] Oct 30 19:04:55 scxaix1 auth|security:notice su: from root to ccrammo at /dev/pts/1 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/syslog.log</LogFile>
<RegExpFilter>[[:space:]]su: from [^[:space:]]+ to root at</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.AIX.6.1.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>