Home
  •  

SU 명령 실패 경고 규칙

Microsoft.Linux.RHEL.6.LogFile.Syslog.SU.Command.Root.Failure.Alert (Rule)

"SU to root command" 실패 메시지에 대한 경고 규칙입니다.

Knowledge Base article:

요약

시스템 로그 파일에서 실패한 'su' 명령이 검색되었습니다.

원인

'su'로 권한을 상승하려는 시도가 실패했습니다. 잘못 입력된 암호나 잘못된 사용자 이름을 사용하려는 시도 때문일 수 있습니다. 그러나 지속적인 오류는 의심스러운 작업을 나타내는 것일 수 있습니다.

해결 방법

경고에 대한 설명 및/또는 출력 데이터 항목에 발생한 이벤트에 대한 정보가 포함되어 있습니다. 'su' 사용이 의심스러워 보이면 관련된 이벤트 세부 정보와 이 오류와 비슷한 시기에 발생한 다른 이벤트를 확인하십시오.

Element properties:

TargetMicrosoft.Linux.RHEL.6.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
실패한 SU to Root 감지
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.RHEL.6.LogFile.Syslog.SU.Command.Root.Failure.Alert" Target="Microsoft.Linux.RHEL.6.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Redhat6 SU False -->

    <!-- [INPUT] Dec  6 01:30:47 scxcrd64-rhel6-01 su: pam_unix(su-l:auth): authentication failure; logname=zoyang uid=504 euid=0 tty=pts/0 ruser=zoyang rhost=  user=root -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <RegExpFilter>su: \S+\(\S+\): authentication failure; logname=\S+ .* user=root</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.RHEL.6.LogFile.Syslog.SU.Command.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>