Home
  •  

Regla de alerta de comando SU incorrecta

Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Failure.Alert (Rule)

Regla de alerta para mensajes "comando de SU a raíz" incorrectos.

Knowledge Base article:

Resumen

Se ha detectado un comando "su" incorrecto en los archivos de registro del sistema.

Configuración

Esta regla está deshabilitada de forma predeterminada. Se puede habilitar con una invalidación, dirigida a instancias específicas de Linux universal o a un grupo de instancias de Linux universal. Si esta regla está habilitada, el parámetro RegExpFilter debe invalidarse con un patrón de expresión regular que sea adecuado para el sistema operativo y la versión de Linux de destino. Los mensajes de registro del sistema para condiciones específicas pueden variar entre sistemas operativos y versiones.

Causas

Se intentó elevar privilegios mediante "su", sin éxito. La causa puede haber sido una contraseña mal escrita o un intento de usar un nombre de usuario no válido. Sin embargo, un error persistente puede ser una indicación de actividad sospechosa.

Soluciones

La descripción de la alerta y/o el elemento de datos de salida contiene información sobre el evento detectado. Si el uso de "su" parece sospechoso, compruebe los detalles de los eventos asociados, así como cualquier otro evento ocurrido aproximadamente a la hora de este evento.

Element properties:

TargetMicrosoft.Linux.Universal.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Se detectó SU a root incorrecto
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Failure.Alert" Target="Universal!Microsoft.Linux.Universal.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Redhat6 SU False -->

    <!-- [INPUT] Dec  6 01:30:47 scxcrd64-rhel6-01 su: pam_unix(su-l:auth): authentication failure; logname=zoyang uid=504 euid=0 tty=pts/0 ruser=zoyang rhost=  user=root -->

    <!-- [TYPE] Redhat8 SU False -->

    <!-- [INPUT] Dec 25 05:37:24 ost64-rh8-01 su[77807]: pam_unix(su:auth): authentication failure; logname=root uid=1000 euid=0 tty=pts/1 ruser=root rhost=  user=root -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <RegExpFilter>su\[*[[:digit:]]*\]*: \S+\(\S+\): authentication failure; logname=\S+ .* user=root</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>