Başarılı "Köke yönelik SU komutu" iletileri için uyarı kuralı.
Sistem günlük dosyalarında başarılı bir 'su' komutu algılandı.
Kullanıcılara 'su' yükseltmesi ile ayrıcalıklı hesaplara erişim imkanı verilmiş olabilir. Bu uyarı kuralı, sistem yöneticilerinin 'su' kullanımını izlemelerine olanak verir.
Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan olayla ilgili bilgiler içerir. 'Su' kullanımı şüpheli görünürse, ilişkili olay ayrıntılarını ve bu olay gerçekleştiği sırada meydana gelen diğer olayları denetleyin.
Target | Microsoft.Linux.SLES.11.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.SLES.11.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Microsoft.Linux.SLES.11.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] SUSE SU True -->
<!-- [INPUT] Nov 30 03:36:38 scxcr-sles11-03 su: (to root) jonas on /dev/pts/2 -->
<!-- [INPUT-MISS] Nov 30 03:36:38 scxcr-sles11-03 su: (to jeffcof) jonas on /dev/pts/2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/messages</LogFile>
<RegExpFilter>\s+su: \(to root\) \S+ on</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.SLES.11.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>