Regla de alerta para mensajes "comando de SU a raíz" correctos.
Se ha detectado un comando "su" correcto en los archivos de registro del sistema.
Esta regla está deshabilitada de forma predeterminada. Para habilitar esta regla de supervisión, use invalidaciones para configurar la ruta de acceso al archivo de registro y habilitar la regla. La ruta de acceso al archivo de registro se establece con una propiedad reemplazable denominada LogFile, cuyo valor se debe establecer en la ruta de acceso completa al archivo de registro que recibirá estos eventos, definido en la configuración de syslog. Se pueden usar invalidaciones para cambiar los valores de parámetros para todas las instancias o para instancias o grupos específicos.
Es posible que se haya concedido a usuarios el acceso a cuentas con privilegios de "su" elevado. Esta regla de alerta permite a los administradores del sistema realizar un seguimiento del uso de "su".
La descripción de la alerta y/o el elemento de datos de salida contiene información sobre el evento detectado. Si el uso de "su" parece sospechoso, compruebe los detalles de los eventos asociados, así como cualquier otro evento ocurrido aproximadamente a la hora de este evento.
Target | Microsoft.AIX.7.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.AIX.7.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Microsoft.AIX.7.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] AIX7 SU True -->
<!-- [INPUT] Jun 2 14:21:20 scxomd-aix7-01 auth|security:notice su: from jeffcof to root at /dev/pts/0 -->
<!-- [INPUT-MISS] Jun 2 14:21:24 scxomd-aix7-01 auth|security:notice su: from root to jeffcof at /dev/pts/0 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/adm/ras/syslog.caa</LogFile>
<RegExpFilter>[[:space:]]su: from [^[:space:]]+ to root at</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.AIX.7.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>