Alerta de Prisma Cloud Compute sobre "(CIS_Amazon_Linux2_1.0.0 - 4.1.8) Asegurarse de que se recopilan eventos de inicio de sesión y cierre de sesión"

Alerta de Prisma Cloud Compute sobre "(CIS_Amazon_Linux2_1.0.0 - 4.1.8) Asegurarse de que se recopilan eventos de inicio de sesión y cierre de sesión"

2057
Created On 06/20/24 06:43 AM - Last Modified 01/03/25 10:08 AM


Symptom


  • Esto sucede con bastante frecuencia cuando este control "(CIS_Amazon_Linux2_1.0.0 - 4.1.8) Asegurarse de que se recopilan eventos de inicio de sesión y cierre de sesión" está parcialmente corregido y faltan algunas líneas, por lo tanto, la alerta aún se activa.

Environment


  • Nube Prisma
  • Computación en la nube Prisma

Cause


  • Esto se debe a que la regla de“auditorías” no es completa.

Resolution


  • Agregue las siguientes líneas al archivo: /etc/audit/audit.rules
  • -w /var/log/tallylog -p wa -k logins
-w /var/run/faillock/ -p wa -k logins
-w /var/log/lastlog -p wa -k logins
  • Luego reinicie el servicio auditado usando el siguiente comando:
  • #pkill -P 1-HUP auditd
  • Luego espere el siguiente escaneo para ver si la detección ha desaparecido.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000TosYCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language