Home
  •  

Regra do alerta do Comando SU com Falha

Microsoft.Linux.SLES.9.LogFile.Syslog.SU.Command.Root.Failure.Alert (Rule)

Regra do alerta para mensagens "Comando SU para raiz" com falha.

Knowledge Base article:

Resumo

Foi detetado um comando 'su' falhado nos ficheiros de registo do sistema.

Causas

Foi efetuada uma tentativa sem êxito para elevar privilégios com 'su.' Isto pode ter sido causado por uma palavra-passe escrita incorretamente ou uma tentativa de utilizar um nome de utilizador inválido. No entanto, uma falha persistente pode ser uma indicação de atividade suspeita.

Resoluções

A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se a utilização de 'su' parece suspeita, verifique os detalhes do evento associado e quaisquer outros eventos que tenham acontecido perto da hora deste evento.

Element properties:

TargetMicrosoft.Linux.SLES.9.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Falha do SU para Raiz detetada
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.SLES.9.LogFile.Syslog.SU.Command.Root.Failure.Alert" Target="Microsoft.Linux.SLES.9.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] SUSE SU False -->

    <!-- [INPUT] Nov 30 10:12:57 scxsles9-03b su: FAILED SU (to root) jonas on /dev/pts/0 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/messages</LogFile>

      <RegExpFilter>\s+su: FAILED SU \(to root\) \S+ on</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.SLES.9.LogFile.Syslog.SU.Command.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>