Home
  •  

Regra do Alerta do Comando SU com Êxito

Microsoft.Solaris.10.LogFile.Syslog.SU.Command.Root.Success.Alert (Rule)

Regra do alerta para mensagens "Comando SU para raiz" com êxito.

Knowledge Base article:

Resumo

Foi detetado um comando 'su' com êxito nos ficheiros de registo do sistema.

Configuração

Esta regra está desativada por predefinição. Para ativar esta regra para a monitorização, utilize substituições para configurar o caminho do ficheiro de registo e ativar a regra. O caminho do ficheiro de registo está definido com a propriedade substituível com o nome LogFile, e o valor tem de ser definido para o caminho completo para o ficheiro de registo que vai receber estes eventos, tal como definido na configuração do syslog. As substituições podem ser utilizadas para alterar os valores de parâmetros de todas as instâncias ou de instâncias ou grupos específicos.

Causas

É possível que utilizadores tenham tido acesso a contas com privilégios. Esta regra permite aos administradores de sistema controlar a utilização de "su".

Resoluções

A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se a utilização de 'su' parece suspeita, verifique os detalhes do evento associado e quaisquer outros eventos que tenham acontecido perto da hora deste evento.

Element properties:

TargetMicrosoft.Solaris.10.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Êxito do SU para Raiz detetado
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Solaris.10.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Microsoft.Solaris.10.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Solaris SU True -->

    <!-- [INPUT] Oct 29 17:38:01 scxsun12 su: [ID 366847 auth.notice] 'su root' succeeded for jeffcof on /dev/pts/1 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/authlog</LogFile>

      <RegExpFilter>[[:space:]]+su: \[.*\] \'su root\' succeeded for [^[:space:]]+ on</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Solaris.10.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>