Home
  •  

Reguła alertu o niepowodzeniu polecenia SU

Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Failure.Alert (Rule)

Reguła alertu dotycząca wiadomości o niepowodzeniu polecenia „SU to root”.

Knowledge Base article:

Podsumowanie

W plikach dziennika systemu wykryto nieudane polecenie „su”.

Konfiguracja

Ta reguła jest domyślnie wyłączona. Można ją włączyć za pomocą przesłonięcia, określając jako cel konkretne wystąpienia uniwersalnego systemu Linux lub grupę wystąpień uniwersalnego systemu Linux. Jeśli ta reguła jest włączona, parametr RegExpFilter powinien zostać przesłonięty wzorcem wyrażenia regularnego, które jest odpowiednie dla docelowego systemu operacyjnego Linux i jego wersji. Komunikaty dziennika systemowego dotyczące określonych warunków mogą się różnić w zależności od systemów operacyjnych i wersji.

Przyczyny

Wykonano nieudaną próbę podniesienia uprawnień za pomocą polecenia „su”. Przyczyną może być błędnie wpisane hasło lub próba użycia nieprawidłowej nazwy użytkownika. Niemniej jednak utrzymujące się niepowodzenie może wskazywać na podejrzaną aktywność.

Rozwiązania

Opis alertu i/lub elementu danych wyjściowych zawiera informacje o napotkanym zdarzeniu. Jeśli użycie polecenia „su” wydaje się podejrzane, sprawdź szczegóły skojarzone ze zdarzeniem oraz wszelkie inne zdarzenia, które wystąpiły w zbliżonym czasie.

Element properties:

TargetMicrosoft.Linux.Universal.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Wykryto niepowodzenie polecenia SU to Root
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Failure.Alert" Target="Universal!Microsoft.Linux.Universal.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Redhat6 SU False -->

    <!-- [INPUT] Dec  6 01:30:47 scxcrd64-rhel6-01 su: pam_unix(su-l:auth): authentication failure; logname=zoyang uid=504 euid=0 tty=pts/0 ruser=zoyang rhost=  user=root -->

    <!-- [TYPE] Redhat8 SU False -->

    <!-- [INPUT] Dec 25 05:37:24 ost64-rh8-01 su[77807]: pam_unix(su:auth): authentication failure; logname=root uid=1000 euid=0 tty=pts/1 ruser=root rhost=  user=root -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <RegExpFilter>su\[*[[:digit:]]*\]*: \S+\(\S+\): authentication failure; logname=\S+ .* user=root</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>