Regla de alerta para mensajes "comando de SU a raíz" correctos.
Se ha detectado un comando "su" correcto en los archivos de registro del sistema.
Es posible que se haya concedido a usuarios el acceso a cuentas con privilegios de "su" elevado. Esta regla de alerta permite a los administradores del sistema realizar un seguimiento del uso de "su".
La descripción de la alerta y/o el elemento de datos de salida contiene información sobre el evento detectado. Si el uso de "su" parece sospechoso, compruebe los detalles de los eventos asociados, así como cualquier otro evento ocurrido aproximadamente a la hora de este evento.
Target | Microsoft.Linux.RHEL.5.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.RHEL.5.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Microsoft.Linux.RHEL.5.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] Redhat5 SU True -->
<!-- [INPUT] Oct 6 00:49:05 scxom64-rhel52-03 su: pam_unix(su-l:session): session opened for user root by a-mitmor(uid=514) -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/secure</LogFile>
<RegExpFilter>\s+su: \S+\(\S+\): session opened for user root by \S+\(uid=[[:digit:]]+\)</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.RHEL.5.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>