Home
  •  

Waarschuwingsregel voor mislukte SU-opdracht

Microsoft.Linux.SLES.11.LogFile.Syslog.SU.Command.Root.Failure.Alert (Rule)

Waarschuwingsregel voor mislukte SU naar root-opdracht-berichten.

Knowledge Base article:

Samenvatting

Er is een mislukte 'su'-opdracht aangetroffen in de logboekbestanden van het systeem.

Oorzaken

Er is een mislukte poging gedaan om bevoegdheden te verhogen met 'su'. Dit wordt mogelijk veroorzaakt door een verkeerd getypt wachtwoord of een poging om een ongeldige gebruikersnaam te gebruiken. Een permanente storing kan echter wel een indicatie van verdachte activiteiten zijn.

Oplossingen

De beschrijving van de waarschuwing en/of het uitvoergegevensitem bevat informatie over de gebeurtenis die is opgetreden. Als het gebruik van 'su' verdacht lijkt, controleert u de details van de bijbehorende gebeurtenis en alle andere gebeurtenissen die rond dezelfde tijd hebben plaatsgevonden.

Element properties:

TargetMicrosoft.Linux.SLES.11.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Mislukte SU naar root gedetecteerd
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.SLES.11.LogFile.Syslog.SU.Command.Root.Failure.Alert" Target="Microsoft.Linux.SLES.11.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] SUSE SU False -->

    <!-- [INPUT] Nov 30 03:37:25 scxcr-sles11-03 su: FAILED SU (to root) jonas on /dev/pts/2 -->

    <!-- [INPUT-MISS] Nov 30 03:37:25 scxcr-sles11-03 su: FAILED SU (to jeffcof) jonas on /dev/pts/2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/messages</LogFile>

      <RegExpFilter>\s+su: FAILED SU \(to root\) \S+ on</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.SLES.11.LogFile.Syslog.SU.Command.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>