Home
  •  

Accesso SSH riuscito (AIX 7)

Microsoft.ACS.AIX.7.Ssh.Succeeded (Rule)

Regola per raccogliere gli eventi di accesso SSH riuscito

Knowledge Base article:

Riepilogo

Nei file di registro di sistema è stato rilevato un comando ssh.

Cause

L'utente ha ottenuto l'accesso al sistema in modalità remota. Questo monitoraggio consente agli amministratori di sistema di tenere traccia dell'utilizzo di "ssh".

Risoluzioni

La descrizione dell'avviso e/o l'elemento dati di output contiene informazioni sull'evento rilevato. Se l'attività appare sospetta, controllare i dettagli sull'evento associato e altri eventi verificatisi alla stessa ora di questo.

Element properties:

TargetMicrosoft.ACS.AIX.7.ACSEndPoint
CategoryEventCollection
EnabledFalse
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.AIX.7.Ssh.Succeeded" Enabled="false" Target="Microsoft.ACS.AIX.7.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/syslog.log</LogFile>

      <!-- [TYPE] AIX SSH True -->

      <!-- [INPUT] Oct  4 11:17:08 scxomd-aix7-01 auth|security:info sshd[8585394]: Accepted publickey for jeffcof from 172.30.168.186 port 49374 ssh2 -->

      <!-- [EXPECTED] date="Oct  4 11:17:08"; hostname="scxomd-aix7-01"; process="sshd"; processId="8585394"; user="jeffcof"; clientHost="172.30.168.186" -->

      <!-- [INPUT] Oct  4 11:17:08 scxomd-aix7-01 auth|security:info sshd[8585394]: Accepted hostbased for jeffcof from 172.30.168.186 port 49374 ssh2 -->

      <!-- [EXPECTED] date="Oct  4 11:17:08"; hostname="scxomd-aix7-01"; process="sshd"; processId="8585394"; user="jeffcof"; clientHost="172.30.168.186" -->

      <!-- [INPUT] Oct  4 18:01:09 scxomd-aix7-01 auth|security:info sshd[8126594]: Accepted password for root from 172.30.170.215 port 44158 ssh2 -->

      <!-- [EXPECTED] date="Oct  4 18:01:09"; hostname="scxomd-aix7-01"; process="sshd"; processId="8126594"; user="root"; clientHost="172.30.170.215" -->

      <RegExpFilter>sshd\[[[:digit:]]+\]:[[:space:]]*Accepted .+ for [^[:space:]]+ from [^[:space:]]+</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+).+ (?'process'sshd)\[(?'processId'\d+)\]:\s*Accepted .+ for (?'user'\S+)+ from (?'clientHost'\S+)</RegExp>

      <EventType>1</EventType>

      <EventId>27002</EventId>

    </WriteAction>

  </WriteActions>

</Rule>