Alerte Prisma Cloud Compute sur « (CIS_Amazon_Linux2_1.0.0 - 4.1.8) Vérifier que les événements de connexion et de déconnexion sont collectés »

Alerte Prisma Cloud Compute sur « (CIS_Amazon_Linux2_1.0.0 - 4.1.8) Vérifier que les événements de connexion et de déconnexion sont collectés »

2051
Created On 06/20/24 06:43 AM - Last Modified 01/03/25 10:04 AM


Symptom


  • Cela arrive assez souvent lorsque ce contrôle « (CIS_Amazon_Linux2_1.0.0 - 4.1.8) Assurer la collecte des événements de connexion et de déconnexion » est partiellement corrigé et qu'il manque quelques lignes, par conséquent l' alerte est toujours déclenchée.

Environment


  • Nuage de prisme
  • Cloud Compute de Prisma

Cause


  • C'est parce que « audits. règle» n'est pas complet.

Resolution


  • Veuillez ajouter les lignes ci-dessous au fichier : /etc/audit/audit.rules
  • -w /var/log/tallylog -p wa -k logins
-w /var/run/faillock/ -p wa -k logins
-w /var/log/lastlog -p wa -k logins
  • Redémarrez ensuite le service auditd à l’aide de la commande ci-dessous :
  • #pkill -P 1-HUP auditd
  • Attendez ensuite l’analyse suivante pour voir si la détection a disparu.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000TosYCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language