Home
  •  

Regla de alerta de comando SU correcta

Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Success.Alert (Rule)

Regla de alerta para mensajes "comando de SU a raíz" correctos.

Knowledge Base article:

Resumen

Se ha detectado un comando "su" correcto en los archivos de registro del sistema.

Configuración

Esta regla está deshabilitada de forma predeterminada. Se puede habilitar con una invalidación, dirigida a instancias específicas de Linux universal o a un grupo de instancias de Linux universal. Si esta regla está habilitada, el parámetro RegExpFilter debe invalidarse con un patrón de expresión regular que sea adecuado para el sistema operativo y la versión de Linux de destino. Los mensajes de registro del sistema para condiciones específicas pueden variar entre sistemas operativos y versiones.

Causas

Es posible que se haya concedido a usuarios el acceso a cuentas con privilegios de "su" elevado. Esta regla de alerta permite a los administradores del sistema realizar un seguimiento del uso de "su".

Soluciones

La descripción de la alerta y/o el elemento de datos de salida contiene información sobre el evento detectado. Si el uso de "su" parece sospechoso, compruebe los detalles de los eventos asociados, así como cualquier otro evento ocurrido aproximadamente a la hora de este evento.

Element properties:

TargetMicrosoft.Linux.Universal.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Se detectó SU a root correcto
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Universal!Microsoft.Linux.Universal.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Redhat6 SU True -->

    <!-- [INPUT] Dec  6 01:24:06 scxcrd64-rhel6-01 su: pam_unix(su-l:session): session opened for user root by zoyang(uid=504) -->

    <!-- [TYPE] Redhat8 SU True -->

    <!-- Dec 25 05:36:46 ost64-rh8-01 su[77788]: pam_unix(su:session): session opened for user root by root(uid=1000) -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <RegExpFilter>\s+su\[*[[:digit:]]*\]*: \S+\(\S+\): session opened for user root by \S+\(uid=[[:digit:]]+\)</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>