SU to root コマンド メッセージの成功のアラート ルール
成功した su コマンドがシステム ログ ファイルで検出されました。
ユーザーが、su 昇格によって特権アカウントへのアクセス許可を付与されている可能性があります。このアラート ルールは、システム管理者が su コマンドの使用を追跡できるようにします。
アラートや出力データ項目の説明には、発生したイベントに関する情報が含まれています。su の使用に疑問がある場合は、関連イベントの詳細およびこのイベントとほぼ同時刻に発生したその他のイベントを確認してください。
Target | Microsoft.Linux.RHEL.7.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.RHEL.7.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Microsoft.Linux.RHEL.7.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] Redhat7 SU True -->
<!-- [INPUT] Dec 6 01:24:06 scxcrd64-rhel7-01 su: pam_unix(su-l:session): session opened for user root by zoyang(uid=504) -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/secure</LogFile>
<RegExpFilter>\s+su: \S+\(\S+\): session opened for user root by \S+\(uid=[[:digit:]]+\)</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.RHEL.7.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>