Regra do alerta para mensagens "Comando SU para raiz" com falha.
Foi detetado um comando 'su' falhado nos ficheiros de registo do sistema.
Foi efetuada uma tentativa sem êxito para elevar privilégios com 'su.' Isto pode ter sido causado por uma palavra-passe escrita incorretamente ou uma tentativa de utilizar um nome de utilizador inválido. No entanto, uma falha persistente pode ser uma indicação de atividade suspeita.
A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se a utilização de 'su' parece suspeita, verifique os detalhes do evento associado e quaisquer outros eventos que tenham acontecido perto da hora deste evento.
Target | Microsoft.Linux.RHEL.5.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.RHEL.5.LogFile.Syslog.SU.Command.Root.Failure.Alert" Target="Microsoft.Linux.RHEL.5.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] Redhat5 SU False -->
<!-- [INPUT] Oct 6 00:48:56 scxom64-rhel52-03 su: pam_unix(su-l:auth): authentication failure; logname=a-mitmor uid=514 euid=0 tty=pts/1 ruser=a-mitmor rhost= user=root -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/secure</LogFile>
<RegExpFilter>su: \S+\(\S+\): authentication failure; logname=\S+ .* user=root</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.RHEL.5.LogFile.Syslog.SU.Command.Root.Failure.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>