Prisma Cloud Compute 警报“(CIS_Amazon_Linux2_1.0.0 - 4.1.8)确保收集登录和注销事件”

Prisma Cloud Compute 警报“(CIS_Amazon_Linux2_1.0.0 - 4.1.8)确保收集登录和注销事件”

2043
Created On 06/20/24 06:43 AM - Last Modified 01/03/25 10:11 AM


Symptom


  • 当此控制“(CIS_Amazon_Linux2_1.0.0 - 4.1.8)确保收集登录和注销事件”部分修复并缺少一些行时,这种情况经常发生,因此仍然会触发警报。

Environment


  • Prisma Cloud
  • Prisma 云计算

Cause


  • 这是因为“审计规则”并不完整。

Resolution


  • 请将以下行添加到文件:/etc/audit/audit.rules
  • -w /var/log/tallylog -p wa -k logins
-w /var/run/faillock/ -p wa -k logins
-w /var/log/lastlog -p wa -k logins
  • 然后使用以下命令重新启动 auditd 服务:
  • #pkill -P 1-HUP auditd
  • 然后等待下一次扫描,看看检测是否消失。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000TosYCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language