Regola di avviso per i messaggi del comando "SU to root" riuscito.
Nei file log di sistema è stato rilevato un comando "su" eseguito correttamente.
Agli utenti potrebbe essere stato concesso l'accesso ad account privilegiati con elevazione "su". Questa regola di avviso consente agli amministratori di sistema di tenere traccia dell'utilizzo di "su".
La descrizione dell'avviso e/o l'elemento dati di output contiene informazioni sull'evento rilevato. Se l'utilizzo di "su" appare sospetto, controllare i dettagli sull'evento associato e altri eventi verificatisi alla stessa ora di questo errore.
Target | Microsoft.Linux.SLES.11.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.SLES.11.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Microsoft.Linux.SLES.11.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] SUSE SU True -->
<!-- [INPUT] Nov 30 03:36:38 scxcr-sles11-03 su: (to root) jonas on /dev/pts/2 -->
<!-- [INPUT-MISS] Nov 30 03:36:38 scxcr-sles11-03 su: (to jeffcof) jonas on /dev/pts/2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/messages</LogFile>
<RegExpFilter>\s+su: \(to root\) \S+ on</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.SLES.11.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>