Regra do alerta para mensagens "Comando SU para raiz" com êxito.
Foi detetado um comando "su" bem sucedido nos ficheiros de registo do sistema.
Esta regra está desativada por predefinição. Pode ser ativada com uma substituição, visando instâncias específicas do Linux Universal ou um grupo de instâncias do Linux Universal. Se esta regra estiver ativada, o parâmetro RegExpFilter deve ser substituído por um padrão de Expressão Regular adequado para o sistema operativo e versão Linux de destino. As mensagens de registo do sistema para condições específicas podem variar entre sistemas operativos e versões.
Pode ter sido concedido aos utilizadores acesso a contas privilegiadas com elevação 'su'. Esta regra de alerta permite aos administradores de sistema controlar a utilização de 'su'.
A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se a utilização de 'su' parece suspeita, verifique os detalhes do evento associado e quaisquer outros eventos que tenham acontecido perto da hora deste evento.
Target | Microsoft.Linux.Universal.Computer | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Universal!Microsoft.Linux.Universal.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] Redhat6 SU True -->
<!-- [INPUT] Dec 6 01:24:06 scxcrd64-rhel6-01 su: pam_unix(su-l:session): session opened for user root by zoyang(uid=504) -->
<!-- [TYPE] Redhat8 SU True -->
<!-- Dec 25 05:36:46 ost64-rh8-01 su[77788]: pam_unix(su:session): session opened for user root by root(uid=1000) -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/secure</LogFile>
<RegExpFilter>\s+su\[*[[:digit:]]*\]*: \S+\(\S+\): session opened for user root by \S+\(uid=[[:digit:]]+\)</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>