Regola per raccogliere gli eventi di accesso SSH non riuscito
Nei file di registro di sistema è stato rilevato un comando ssh non riuscito.
L'utente non ha ottenuto l'accesso al sistema in modalità remota. Questo monitoraggio consente agli amministratori di sistema di tenere traccia dell'utilizzo di "ssh".
La descrizione dell'avviso e/o l'elemento dati di output contiene informazioni sull'evento rilevato. Se l'attività appare sospetta, controllare i dettagli sull'evento associato e altri eventi verificatisi alla stessa ora di questo.
Target | Microsoft.ACS.Linux.RHEL.5.ACSEndPoint |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.RHEL.5.Ssh.Failed" Enabled="true" Target="Microsoft.ACS.Linux.RHEL.5.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/secure</LogFile>
<!-- [TYPE] Redhat5 SSH False -->
<!-- [INPUT] Jul 31 20:06:04 scxcore-rhel50-01 sshd[16762]: Failed password for jonas from 172.30.181.43 port 2898 ssh2 -->
<!-- [INPUT] Jul 31 20:06:25 scxcore-rhel50-01 sshd[16764]: Failed password for root from 172.30.181.43 port 2899 ssh2 -->
<!-- [INPUT] Jul 31 20:06:40 scxcore-rhel50-01 sshd[16766]: Failed password for invalid user kalle from 172.30.181.43 port 2900 ssh2 -->
<!-- [EXPECTED] date="Jul 31 20:06:04"; hostname="scxcore-rhel50-01"; process="sshd"; processId="16762"; user="jonas"; clientHost="172.30.181.43" -->
<!-- [EXPECTED] date="Jul 31 20:06:25"; hostname="scxcore-rhel50-01"; process="sshd"; processId="16764"; user="root"; clientHost="172.30.181.43" -->
<!-- [EXPECTED] date="Jul 31 20:06:40"; hostname="scxcore-rhel50-01"; process="sshd"; processId="16766"; user="kalle"; clientHost="172.30.181.43" -->
<RegExpFilter>\s+sshd\[[[:digit:]]+\]: Failed password for (invalid user )?\S+ from \S+</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'sshd)\[(?'processId'\d+)\]: Failed password for (?:invalid user )?(?'user'\S+) from (?'clientHost'\S+)</RegExp>
<EventType>0</EventType>
<EventId>27003</EventId>
</WriteAction>
</WriteActions>
</Rule>