Regla para recopilar eventos de inicio de sesión incorrecto en la consola
Se ha detectado un error de operación de inicio de sesión en consola en los archivos de registro del sistema.
No se concedió al usuario acceso al sistema a través de la consola del sistema. Este monitor permite a los administradores del sistema realizar un seguimiento del uso de la consola del sistema.
La descripción de la alerta y/o el elemento de datos de salida contiene información sobre el evento detectado. Si la actividad parece sospechosa, compruebe los detalles de los eventos asociados, así como cualquier otro evento ocurrido aproximadamente a la hora de este evento.
Target | Microsoft.ACS.Linux.RHEL.7.ACSEndPoint |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.RHEL.7.Console.Login.Failed" Enabled="true" Target="Microsoft.ACS.Linux.RHEL.7.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/secure</LogFile>
<!-- [TYPE] Redhat7 ConsoleLogin False -->
<!-- [INPUT] Sep 16 14:03:36 ostcdev64-rhel7-10 login: FAILED LOGIN 2 FROM tty1 FOR root, Authentication failure -->
<!-- [EXPECTED] date="Sep 14:03:36"; hostname="ostcdev64-rhel7-10"; process="login"; subSystem="pam_unix"; user="root" -->
<RegExpFilter>\s+login: FAILED LOGIN [[:digit:]]+ FROM \S+ FOR \S+."</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'login): FAILED LOGIN \d+ FROM \S+ FOR (?'user'\S+),</RegExp>
<EventType>0</EventType>
<EventId>27003</EventId>
</WriteAction>
</WriteActions>
</Rule>