Regola di avviso per i messaggi del comando "SU to root" riuscito.
Nei file log di sistema è stato rilevato un comando "su" eseguito correttamente.
Agli utenti potrebbe essere stato concesso l'accesso ad account privilegiati con elevazione "su". Questa regola di avviso consente agli amministratori di sistema di tenere traccia dell'utilizzo di "su".
La descrizione dell'avviso e/o l'elemento dati di output contiene informazioni sull'evento rilevato. Se l'utilizzo di "su" appare sospetto, controllare i dettagli sull'evento associato e altri eventi verificatisi alla stessa ora di questo errore.
Target | Microsoft.Linux.RHEL.7.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.RHEL.7.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Microsoft.Linux.RHEL.7.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] Redhat7 SU True -->
<!-- [INPUT] Dec 6 01:24:06 scxcrd64-rhel7-01 su: pam_unix(su-l:session): session opened for user root by zoyang(uid=504) -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/secure</LogFile>
<RegExpFilter>\s+su: \S+\(\S+\): session opened for user root by \S+\(uid=[[:digit:]]+\)</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.RHEL.7.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>