Regla para recopilar eventos de inicio de sesión de ssh incorrecto
Se ha detectado un error de comando "ssh" en los archivos de registro del sistema.
No se concedió al usuario acceso remoto al sistema. Este monitor permite a los administradores del sistema realizar un seguimiento del uso de "ssh".
La descripción de la alerta y/o el elemento de datos de salida contiene información sobre el evento detectado. Si la actividad parece sospechosa, compruebe los detalles de los eventos asociados, así como cualquier otro evento ocurrido aproximadamente a la hora de este evento.
Target | Microsoft.ACS.Linux.SLES.9.ACSEndPoint |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.SLES.9.Ssh.Failed" Enabled="true" Target="Microsoft.ACS.Linux.SLES.9.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/messages</LogFile>
<!-- [TYPE] SUSE SSH False -->
<!-- [INPUT] Nov 30 12:37:25 sles9v4-cjc sshd[11468]: error: PAM: Authentication failure for ccrammo from localhost -->
<!-- [INPUT] Nov 30 12:37:40 sles9v4-cjc sshd[11474]: error: PAM: Authentication failure for root from localhost -->
<!-- [INPUT] Nov 30 12:39:42 sles9v4-cjc sshd[11600]: error: PAM: Authentication failure for illegal user newguy from localhost -->
<!-- [INPUT] Nov 30 12:40:05 sles9v4-cjc sshd[11621]: error: PAM: Authentication failure for illegal user root from localhost -->
<!-- [EXPECTED] date="Nov 30 12:37:25"; hostname="sles9v4-cjc"; process="sshd"; processId="11468"; user="ccrammo"; clientHost="localhost" -->
<!-- [EXPECTED] date="Nov 30 12:37:40"; hostname="sles9v4-cjc"; process="sshd"; processId="11474"; user="root"; clientHost="localhost" -->
<!-- [EXPECTED] date="Nov 30 12:39:42"; hostname="sles9v4-cjc"; process="sshd"; processId="11600"; user="newguy"; clientHost="localhost" -->
<!-- [EXPECTED] date="Nov 30 12:40:05"; hostname="sles9v4-cjc"; process="sshd"; processId="11621"; user="root"; clientHost="localhost" -->
<RegExpFilter>sshd\s*\[[[:digit:]]+\]\s*:\s*error:\s*PAM:\s*Authentication\s+failure.*\s+\S+\s+from\s+\S+</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'sshd)\s*\[(?'processId'\d+)\]\s*:\s*error:\s*PAM:\s*Authentication\s+failure.*\s+(?'user'\S+)\s+from\s+(?'clientHost'\S+)</RegExp>
<EventType>0</EventType>
<EventId>27003</EventId>
</WriteAction>
</WriteActions>
</Rule>