SU to root コマンド メッセージの成功のアラート ルール
成功した su コマンドがシステム ログ ファイルで検出されました。
このルールは、既定では無効になっています。 このルールを有効にするには、特定の Universal Linux インスタンスまたは Universal Linux インスタンスのグループをターゲットにした上書きを使います。 このルールを有効にした場合は、RegExpFilter パラメーターをターゲットの Linux オペレーティング システムとバージョンに適した正規表現パターンで上書きする必要があります。 特定の条件のシステム ログ メッセージは、オペレーティング システムとバージョンによって異なる場合があります。
ユーザーが、su 昇格によって特権アカウントへのアクセス許可を付与されている可能性があります。このアラート ルールは、システム管理者が su コマンドの使用を追跡できるようにします。
アラートや出力データ項目の説明には、発生したイベントに関する情報が含まれています。su の使用に疑問がある場合は、関連イベントの詳細およびこのイベントとほぼ同時刻に発生したその他のイベントを確認してください。
Target | Microsoft.Linux.Universal.Computer | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Universal!Microsoft.Linux.Universal.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] Redhat6 SU True -->
<!-- [INPUT] Dec 6 01:24:06 scxcrd64-rhel6-01 su: pam_unix(su-l:session): session opened for user root by zoyang(uid=504) -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/secure</LogFile>
<RegExpFilter>\s+su: \S+\(\S+\): session opened for user root by \S+\(uid=[[:digit:]]+\)</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>