Règle d’alerte pour les messages de réussite « SU to root command ».
L’exécution d’une commande « su » a été détectée dans les fichiers journaux système.
Cette règle est désactivée par défaut. Elle peut être activée à l’aide d’un remplacement, en ciblant des instances Universal Linux spécifiques ou un groupe d’instances Universal Linux. Si cette règle est activée, le paramètre RegExpFilter doit être remplacé par un modèle d’expression régulière adapté au système d’exploitation et à la version Linux cibles. Les messages du journal système pour les conditions spécifiques peuvent varier suivant les systèmes d’exploitation et la version.
Des utilisateurs peuvent avoir reçu le droit d'accès à des comptes privilégiés avec l'élévation 'su'. Cette règle d'alerte permet aux administrateurs système de suivre l'utilisation de la commande 'su'.
La description de l'alerte et/ou de l'élément de données de sortie contient des informations sur l'événement survenu. Si l'utilisation de la commande 'su' paraît suspecte, consultez les détails des événements connexes ou de tout autre événement survenu à peu près au même moment.
Target | Microsoft.Linux.Universal.Computer | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Universal!Microsoft.Linux.Universal.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] Redhat6 SU True -->
<!-- [INPUT] Dec 6 01:24:06 scxcrd64-rhel6-01 su: pam_unix(su-l:session): session opened for user root by zoyang(uid=504) -->
<!-- [TYPE] Redhat8 SU True -->
<!-- Dec 25 05:36:46 ost64-rh8-01 su[77788]: pam_unix(su:session): session opened for user root by root(uid=1000) -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/secure</LogFile>
<RegExpFilter>\s+su\[*[[:digit:]]*\]*: \S+\(\S+\): session opened for user root by \S+\(uid=[[:digit:]]+\)</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>