用户或组创建/修改

设置

此规则需要使用 auditd_manager 集成。 Auditd_manager 是一款工具，旨在简化和增强 Linux 系统中审计子系统的管理。它提供了一个用户友好的界面和自动化功能，用于通过 auditd 守护进程配置和监控系统审计。使用 auditd_manager，管理员可以轻松定义审计规则、跟踪系统事件并生成全面的审计报告，从而提高系统的整体安全性和合规性。应按以下步骤在 Linux 系统上安装并部署 auditd_manager。

Kibana -->
Management -->
Integrations -->
Auditd Manager -->
Add Auditd Manager

Auditd_manager 订阅内核并在不进行任何其他配置的情况下接收事件。但是，如果需要更高级的配置来检测特定行为，则可以通过指定读取审计规则的文件，将审计规则添加到“审计规则”配置框或“auditd 规则文件”框中的集成。此检测规则不需要其他配置即可触发。

iam where host.os.type == "linux" and event.type in ("creation", "change") and auditd.result == "success" and
event.action in ("changed-password", "added-user-account", "added-group-account-to")

框架: MITRE ATT&CK^TM