Home
  •  

SU parancs sikertelen végrehajtásának riasztási szabálya

Microsoft.AIX.7.LogFile.Syslog.SU.Command.Root.Failure.Alert (Rule)

Riasztási szabály az „SU gyökérszintű parancs” sikertelen végrehajtásának üzeneteihez.

Knowledge Base article:

Összefoglalás

Sikertelen 'su' parancs észlelhető a rendszernapló fájljaiban.

Konfiguráció

Ez a szabály alapértelmezés szerint le van tiltva. A szabály bekapcsolható a figyeléshez, ha felülírással konfigurálja a naplófájl elérési útját, és engedélyezi a szabályt. A naplófájl elérési útja a felülírható, LogFile nevű tulajdonsággal van beállítva, az értékét annak a naplófájlnak a teljes elérési útjára kell beállítani, amelyik ezeket az eseményeket fogadni fogja, ahogyan az a rendszernaplózás konfigurálásánál meg lett adva. A felülírás használható minden példány, illetve a megadott példányok vagy csoportok paraméterértékének megváltoztatásához.

Okok

Sikertelen jogosultságszerzési próbálkozás volt a 'su' használatával. Az oka lehetett helytelenül beírt jelszó vagy érvénytelen felhasználónév használata. Az ismétlődő sikertelen próbálkozások gyanús tevékenységre utalnak.

Megoldások

A riasztás és/vagy a kimeneti adatelem információt tartalmaz az előforduló eseményről. Ha a 'su' használata gyanúsnak tűnik, ellenőrizni kell a kapcsolódó esemény részleteit és más olyan eseményeket, amelyek ezen esemény környékén történtek.

Element properties:

TargetMicrosoft.AIX.7.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
SH gyökérszintű sikertelen végrehajtása észlelhető
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.AIX.7.LogFile.Syslog.SU.Command.Root.Failure.Alert" Target="Microsoft.AIX.7.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] AIX7 SU False -->

    <!-- [INPUT] Jun  2 14:21:14 scxomd-aix7-01 auth|security:crit su: BAD SU from jeffcof to root at /dev/pts/0 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/adm/ras/syslog.caa</LogFile>

      <RegExpFilter>[[:space:]]su: BAD SU from [^[:space:]]+ to root at</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.AIX.7.LogFile.Syslog.SU.Command.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>