"SU to root command" 성공 메시지에 대한 경고 규칙입니다.
시스템 로그 파일에서 성공적인 'su' 명령이 감지되었습니다.
사용자가 권한 있는 계정에 대한 액세스 권한을 부여 받았을 수 있습니다. 이 모니터를 통해 시스템 관리자는 'su' 사용을 추적할 수 있습니다.
경고에 대한 설명 및/또는 출력 데이터 항목에 발생한 이벤트에 대한 정보가 포함되어 있습니다. 'su' 사용이 의심스러운 경우 관련 이벤트 정보 및 이 이벤트 시간에 발생한 다른 이벤트를 확인하십시오.
| Target | Microsoft.Linux.RHEL.5.Computer | ||
| Category | EventCollection | ||
| Enabled | True | ||
| Alert Generate | True | ||
| Alert Severity | Information | ||
| Alert Priority | Normal | ||
| Remotable | True | ||
| Alert Message |
|
| ID | Module Type | TypeId | RunAs |
|---|---|---|---|
| EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
| GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
Home
KOR <Rule ID="Microsoft.Linux.RHEL.5.LogFile.Syslog.SU.Command.Alert" Target="Microsoft.Linux.RHEL.5.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/secure</LogFile>
<RegExpFilter>.*su:.*session.*opened.*for.*user.*root</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.RHEL.5.LogFile.Syslog.SU.Command.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>