Varningsregel för lyckade meddelanden av typen "SU till rotkommando".
Ett lyckat su-kommando har upptäckts i systemloggfilerna.
Som standard är den här regeln inaktiverad. Om du vill använda den här regeln för övervakning ska du använda åsidosättningar för att konfigurera sökvägen till loggfilen och aktivera regeln. Sökvägen till loggfilen anges med åsidosättningsegenskapen LogFile och värdet måste bestå av den fullständiga sökvägen till loggfilen som ska ta emot de händelser som definierats i systemloggkonfigurationen. Du kan använda åsidosättningar för att ändra parametervärden för alla instanser eller för specifika instanser eller grupper.
Användare kan ha beviljats åtkomst till behöriga konton med "su"-upphöjning. Den här aviseringsregeln gör det möjligt för systemadministratörer att spåra användningen av "su".
Information om den påträffade händelsen finns i varningsbeskrivningen och/eller utdataposten. Om användningen av "su" verkar misstänkt ska du kontrollera den associerade händelseinformationen och andra eventuella händelser som skedde vid ungefär samma tidpunkt som den här händelsen.
Target | Microsoft.AIX.7.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.AIX.7.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Microsoft.AIX.7.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] AIX7 SU True -->
<!-- [INPUT] Jun 2 14:21:20 scxomd-aix7-01 auth|security:notice su: from jeffcof to root at /dev/pts/0 -->
<!-- [INPUT-MISS] Jun 2 14:21:24 scxomd-aix7-01 auth|security:notice su: from root to jeffcof at /dev/pts/0 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/adm/ras/syslog.caa</LogFile>
<RegExpFilter>[[:space:]]su: from [^[:space:]]+ to root at</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.AIX.7.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>