Regra para coletar eventos relacionados a logons ssh com falha
Foi detectado um comando ssh malsucedido nos arquivos de log do sistema.
Não foi concedido ao usuário acesso ao sistema remotamente. Este monitor permite que os administradores de sistemas controlem o uso de 'ssh'.
A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se a atividade parecer suspeita, verifique os detalhes do evento relacionado e todos os outros eventos que ocorreram por volta do horário desse evento.
Target | Microsoft.ACS.Linux.RHEL.6.ACSEndPoint |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.RHEL.6.Ssh.Failed" Enabled="true" Target="Microsoft.ACS.Linux.RHEL.6.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/secure</LogFile>
<!-- [TYPE] Redhat6 SSH False -->
<!-- [INPUT] Oct 5 07:29:09 scxcrd-rhel6-01 sshd[20795]: Failed password for root from 172.30.170.215 port 42320 ssh2 -->
<!-- [INPUT] Oct 5 07:29:52 scxcrd-rhel6-01 sshd[20802]: Failed password for invalid user monuser from 172.30.170.215 port 42321 ssh2 -->
<!-- [EXPECTED] date="Oct 5 07:29:09"; hostname="scxcrd-rhel6-01"; process="sshd"; processId="20795"; user="root"; clientHost="172.30.170.215" -->
<!-- [EXPECTED] date="Oct 5 07:29:52"; hostname="scxcrd-rhel6-01"; process="sshd"; processId="20802"; user="monuser"; clientHost="172.30.170.215" -->
<RegExpFilter>\s+sshd\[[[:digit:]]+\]: Failed password for (invalid user )?\S+ from \S+</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'sshd)\[(?'processId'\d+)\]: Failed password for (?:invalid user )?(?'user'\S+) from (?'clientHost'\S+)</RegExp>
<EventType>0</EventType>
<EventId>27003</EventId>
</WriteAction>
</WriteActions>
</Rule>