Home
  •  

Varningsregel för lyckat SU-kommando

Microsoft.AIX.7.LogFile.Syslog.SU.Command.Root.Success.Alert (Rule)

Varningsregel för lyckade meddelanden av typen "SU till rotkommando".

Knowledge Base article:

Sammanfattning

Ett lyckat su-kommando har upptäckts i systemloggfilerna.

Konfiguration

Som standard är den här regeln inaktiverad. Om du vill använda den här regeln för övervakning ska du använda åsidosättningar för att konfigurera sökvägen till loggfilen och aktivera regeln. Sökvägen till loggfilen anges med åsidosättningsegenskapen LogFile och värdet måste bestå av den fullständiga sökvägen till loggfilen som ska ta emot de händelser som definierats i systemloggkonfigurationen. Du kan använda åsidosättningar för att ändra parametervärden för alla instanser eller för specifika instanser eller grupper.

Orsaker

Användare kan ha beviljats åtkomst till behöriga konton med "su"-upphöjning. Den här aviseringsregeln gör det möjligt för systemadministratörer att spåra användningen av "su".

Lösningar

Information om den påträffade händelsen finns i varningsbeskrivningen och/eller utdataposten. Om användningen av "su" verkar misstänkt ska du kontrollera den associerade händelseinformationen och andra eventuella händelser som skedde vid ungefär samma tidpunkt som den här händelsen.

Element properties:

TargetMicrosoft.AIX.7.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Lyckad SU till rot identifierade
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.AIX.7.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Microsoft.AIX.7.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] AIX7 SU True -->

    <!-- [INPUT] Jun  2 14:21:20 scxomd-aix7-01 auth|security:notice su: from jeffcof to root at /dev/pts/0 -->

    <!-- [INPUT-MISS] Jun  2 14:21:24 scxomd-aix7-01 auth|security:notice su: from root to jeffcof at /dev/pts/0 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/adm/ras/syslog.caa</LogFile>

      <RegExpFilter>[[:space:]]su: from [^[:space:]]+ to root at</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.AIX.7.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>