Reguła alertu dotycząca wiadomości o powodzeniu polecenia „SU to root”.
W plikach dziennika systemowego wykryto pomyślne polecenie su.
Ta zasada jest domyślnie wyłączona. Aby włączyć tę zasadę na potrzeby monitorowania, należy przy użyciu zastąpień skonfigurować ścieżkę pliku dziennika i włączyć zasadę. Ścieżka pliku dziennika jest określana za pomocą zastępowalnej właściwości o nazwie LogFile, przy czym wartość ta musi być określona jako pełna ścieżka do pliku dziennika, do którego będą trafiać te zdarzenia, zgodnie z definicją w konfiguracji programu syslog. W celu zmiany wartości parametrów wszystkich wystąpień lub określonych wystąpień bądź grup można użyć zastąpień.
Użytkownikom mógł zostać przyznany dostęp do kont uprzywilejowanych. Ta zasada umożliwia administratorom systemu śledzenie użycia polecenia „su”.
Opis alertu i/lub element danych wyjściowych zawiera informacje o napotkanym zdarzeniu. Jeśli użycie polecenia „su” wydaje się podejrzane, sprawdź szczegóły skojarzone ze zdarzeniem oraz wszelkie inne zdarzenia, które wystąpiły w okolicy czasowej tego zdarzenia.
Target | Microsoft.Solaris.10.Computer | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Solaris.10.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Microsoft.Solaris.10.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] Solaris SU True -->
<!-- [INPUT] Oct 29 17:38:01 scxsun12 su: [ID 366847 auth.notice] 'su root' succeeded for jeffcof on /dev/pts/1 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/authlog</LogFile>
<RegExpFilter>[[:space:]]+su: \[.*\] \'su root\' succeeded for [^[:space:]]+ on</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Solaris.10.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>