Règle d'alerte pour messages de réussite « SU to root command ».
L'exécution d'une commande 'su' a été détectée dans les fichiers journaux système.
Des utilisateurs peuvent avoir reçu le droit d'accès à des comptes privilégiés avec l'élévation 'su'. Cette règle d'alerte permet aux administrateurs système de suivre l'utilisation de la commande 'su'.
La description de l'alerte et/ou de l'élément de données de sortie contient des informations sur l'événement survenu. Si l'utilisation de la commande 'su' paraît suspecte, consultez les détails des événements connexes ou de tout autre événement survenu à peu près au même moment.
Target | Microsoft.Linux.SLES.10.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.SLES.10.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Microsoft.Linux.SLES.10.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] SUSE SU True -->
<!-- [INPUT] Aug 17 14:39:55 scxcore-suse01 su: (to root) jeffcof on /dev/pts/6 -->
<!-- [INPUT-MISS] Dec 15 16:13:50 scxcrd-sle10-03 su: FAILED SU (to root) jeffcof on /dev/pts/1 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/messages</LogFile>
<RegExpFilter>\s+su: \(to root\) \S+ on</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.SLES.10.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>