Home
  •  

Règle d’alerte d’échec de la commande SU

Microsoft.Linux.SLES.12.LogFile.Syslog.SU.Command.Root.Failure.Alert (Rule)

Règle d’alerte pour les messages d’échec « SU to root command ».

Knowledge Base article:

Récapitulatif

L'échec d'une commande 'su' a été détecté dans les fichiers journaux système.

Causes

Une tentative d'élévation des privilèges avec la commande 'su' a échoué. L'échec de l'opération peut être lié à une erreur de saisie du mot de passe ou à l'utilisation d'un nom d'utilisateur incorrect. Toutefois, un échec permanent peut indiquer une activité suspecte.

Résolutions

La description de l'alerte et/ou de l'élément de données de sortie contient des informations sur l'événement survenu. Si l'utilisation de la commande 'su' paraît suspecte, consultez les détails des événements connexes ou de tout autre événement survenu à peu près au même moment.

Element properties:

TargetMicrosoft.Linux.SLES.12.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Échec de la commande SU to Root détecté
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.SLES.12.LogFile.Syslog.SU.Command.Root.Failure.Alert" Target="Microsoft.Linux.SLES.12.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] SUSE SU False -->

    <!-- [INPUT] 2014-12-15T13:57:14.311950-05:00 linux-sb1s su: FAILED SU (to root) root on pts/1 -->

    <!-- [INPUT-MISS] Nov 30 03:37:25 scxcr-sles11-03 su: FAILED SU (to jeffcof) jonas on /dev/pts/2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/messages</LogFile>

      <RegExpFilter>\s+su: FAILED SU \(to root\) \S+ on</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.SLES.12.LogFile.Syslog.SU.Command.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>