T1548.003 Sudo
必要なテーブル
- shell_commands
戻りフィールド
| フィールド | 説明 |
|---|---|
| shell_commands.* | 権限昇格で sudo が使用されたシェルコマンドのすべてのフィールド |
クエリ
SELECT *
FROM shell_commands
WHERE program_filename IN ('/usr/bin/sudo', '/bin/su')
| フィールド | 説明 |
|---|---|
| shell_commands.* | 権限昇格で sudo が使用されたシェルコマンドのすべてのフィールド |
SELECT *
FROM shell_commands
WHERE program_filename IN ('/usr/bin/sudo', '/bin/su')