Varningsregel för misslyckat SU-kommando

Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Failure.Alert (Rule)

Varningsregel för misslyckade meddelanden av typen "SU till rotkommando".

Knowledge Base article:

Sammanfattning

Ett misslyckat su-kommando har påträffats i systemloggfilerna.

Konfiguration

Regeln är inaktiverad som standard. Den kan aktiveras med en åsidosättning som riktar sig mot specifika Universal Linux-instanser eller en grupp med Universal Linux-instanser. Om den här regeln är aktiverad ska parametern RegExpFilter åsidosättas med ett mönster för reguljära uttryck som är lämpligt för avsett Linux-operativsystem och avsedd version. Systemloggmeddelanden för vissa villkor kan variera mellan olika operativsystem och versioner.

Orsaker

Ett misslyckat försök gjordes att upphöja behörighet med "su". Detta kan ha orsakats av ett felstavat lösenord eller ett försök att använda ett ogiltigt användarnamn. Om felet återkommer kan det dock vara ett tecken på misstänkt aktivitet.

Lösningar

Information om den påträffade händelsen finns i varningsbeskrivningen och/eller utdataposten. Om användningen av "su" verkar misstänkt ska du kontrollera den associerade händelseinformationen och andra eventuella händelser som skedde vid ungefär samma tidpunkt som den här händelsen.

Element properties:

TargetMicrosoft.Linux.Universal.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Misslyckad SU till rot identifierade
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Failure.Alert" Target="Universal!Microsoft.Linux.Universal.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] Redhat6 SU False -->
<!-- [INPUT] Dec 6 01:30:47 scxcrd64-rhel6-01 su: pam_unix(su-l:auth): authentication failure; logname=zoyang uid=504 euid=0 tty=pts/0 ruser=zoyang rhost= user=root -->
<!-- [TYPE] Redhat8 SU False -->
<!-- [INPUT] Dec 25 05:37:24 ost64-rh8-01 su[77807]: pam_unix(su:auth): authentication failure; logname=root uid=1000 euid=0 tty=pts/1 ruser=root rhost= user=root -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/secure</LogFile>
<RegExpFilter>su\[*[[:digit:]]*\]*: \S+\(\S+\): authentication failure; logname=\S+ .* user=root</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Failure.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>