Home
  •  

Varningsregel för lyckat SU-kommando

Microsoft.Solaris.10.LogFile.Syslog.SU.Command.Root.Success.Alert (Rule)

Varningsregel för lyckade meddelanden av typen "SU till rotkommando".

Knowledge Base article:

Sammanfattning

Ett lyckat su-kommando påträffades i systemloggfilerna.

Konfiguration

Som standard är den här regeln inaktiverad. Om du vill använda den här regeln för övervakning ska du använda åsidosättningar för att konfigurera sökvägen till loggfilen och aktivera regeln. Sökvägen till loggfilen anges med åsidosättningsegenskapen LogFile och värdet måste bestå av den fullständiga sökvägen till loggfilen som ska ta emot de händelser som definierats i systemloggkonfigurationen. Du kan använda åsidosättningar för att ändra parametervärden för alla instanser eller för specifika instanser eller grupper.

Orsaker

Användare kan ha beviljats åtkomst till behöriga konton. Med den här regeln kan systemadministratörer spåra su-användningen.

Lösningar

Information om den påträffade händelsen finns i varningsbeskrivningen och/eller utdataposten. Om användningen av "su" verkar misstänkt ska du kontrollera den associerade händelseinformationen och andra eventuella händelser som skedde vid ungefär samma tidpunkt som den här händelsen.

Element properties:

TargetMicrosoft.Solaris.10.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Lyckad SU till rot identifierade
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Solaris.10.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Microsoft.Solaris.10.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Solaris SU True -->

    <!-- [INPUT] Oct 29 17:38:01 scxsun12 su: [ID 366847 auth.notice] 'su root' succeeded for jeffcof on /dev/pts/1 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/authlog</LogFile>

      <RegExpFilter>[[:space:]]+su: \[.*\] \'su root\' succeeded for [^[:space:]]+ on</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Solaris.10.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>