Regla de alerta para mensajes "comando de SU a raíz" correctos.
Se detectó un comando "su" correcto en los archivos de registro del sistema.
Esta regla está deshabilitada de forma predeterminada. Para habilitar esta regla de supervisión, use invalidaciones para configurar la ruta de acceso al archivo de registro y habilitar la regla. La ruta de acceso al archivo de registro se establece con una propiedad reemplazable denominada LogFile, cuyo valor se debe establecer en la ruta de acceso completa al archivo de registro que recibirá estos eventos, definido en la configuración de syslog. Se pueden usar invalidaciones para cambiar los valores de parámetros para todas las instancias o para instancias o grupos específicos.
Es posible que se haya concedido a usuarios el acceso a cuentas con privilegios. Esta regla permite a los administradores del sistema realizar un seguimiento del uso de "su".
La descripción de la alerta y/o el elemento de datos de salida contiene información sobre el evento detectado. Si el uso de "su" parece sospechoso, compruebe los detalles de los eventos asociados, así como cualquier otro evento ocurrido aproximadamente a la hora de este evento.
Target | Microsoft.Solaris.10.Computer | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Solaris.10.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Microsoft.Solaris.10.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] Solaris SU True -->
<!-- [INPUT] Oct 29 17:38:01 scxsun12 su: [ID 366847 auth.notice] 'su root' succeeded for jeffcof on /dev/pts/1 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/authlog</LogFile>
<RegExpFilter>[[:space:]]+su: \[.*\] \'su root\' succeeded for [^[:space:]]+ on</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Solaris.10.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>