Varningsregel för misslyckade meddelanden av typen "SU till rotkommando".
Ett misslyckat su-kommando har påträffats i systemloggfilerna.
Ett misslyckat försök gjordes att upphöja behörighet med "su". Detta kan ha orsakats av ett felstavat lösenord eller ett försök att använda ett ogiltigt användarnamn. Om felet återkommer kan det dock vara ett tecken på misstänkt aktivitet.
Information om den påträffade händelsen finns i varningsbeskrivningen och/eller utdataposten. Om användningen av "su" verkar misstänkt ska du kontrollera den associerade händelseinformationen och andra eventuella händelser som skedde vid ungefär samma tidpunkt som den här händelsen.
Target | Microsoft.Linux.SLES.10.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.SLES.10.LogFile.Syslog.SU.Command.Root.Failure.Alert" Target="Microsoft.Linux.SLES.10.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] SUSE SU False -->
<!-- [INPUT] Dec 15 16:13:50 scxcrd-sle10-03 su: FAILED SU (to root) jeffcof on /dev/pts/1 -->
<!-- [INPUT-MISS] Aug 17 14:39:55 scxcore-suse01 su: (to root) jeffcof on /dev/pts/6 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/messages</LogFile>
<RegExpFilter>\s+su: FAILED SU \(to root\) \S+ on</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.SLES.10.LogFile.Syslog.SU.Command.Root.Failure.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>