Regra de alerta para as mensagens "SU para o comando raiz" que falharam.
Foi detectado um comando 'su' com falha nos arquivos de log do sistema.
Essa regra está desabilitada por padrão. Ela pode ser ativada com uma substituição visando uma instância específica Linux Universal ou um grupo de instâncias Linux Universal. Se a regra for ativada, o parâmetro RegExpFilter deve ser substituído por um padrão de Expressão Regular que seja apropriado para a versão e o sistema operacional Linux de destino. As mensagens de log do sistema para condições específicas podem variar entre sistemas operacionais e versões.
Houve uma tentativa malsucedida de elevar privilégios com 'su'. Isso pode ter sido causado por uma senha digitada incorretamente ou uma tentativa de usar um nome de usuário inválido. No entanto, uma falha persistente pode ser uma indicação de atividade suspeita.
A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se o uso de 'su' parecer suspeito, verifique os detalhes do evento relacionado e todos os outros eventos que ocorreram por volta do horário desse evento.
Target | Microsoft.Linux.Universal.Computer | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Failure.Alert" Target="Universal!Microsoft.Linux.Universal.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] Redhat6 SU False -->
<!-- [INPUT] Dec 6 01:30:47 scxcrd64-rhel6-01 su: pam_unix(su-l:auth): authentication failure; logname=zoyang uid=504 euid=0 tty=pts/0 ruser=zoyang rhost= user=root -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/secure</LogFile>
<RegExpFilter>su: \S+\(\S+\): authentication failure; logname=\S+ .* user=root</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Failure.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>