Regel voor het verzamelen van gebeurtenissen voor geslaagde ssh-aanmeldingen
Er is een ssh-opdracht aangetroffen in de logboekbestanden van het systeem.
De gebruiker heeft extern toegang gekregen tot het systeem. Met deze monitor kunnen systeembeheerders het gebruik van 'ssh' bijhouden.
De beschrijving van de waarschuwing en/of het uitvoergegevensitem bevat informatie over de gebeurtenis die is opgetreden. Als de activiteit verdacht lijkt, controleert u de details van de bijbehorende gebeurtenis en alle andere gebeurtenissen die rond dezelfde tijd hebben plaatsgevonden.
Target | Microsoft.ACS.Linux.SLES.9.ACSEndPoint |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.SLES.9.Ssh.Succeeded" Enabled="true" Target="Microsoft.ACS.Linux.SLES.9.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/messages</LogFile>
<!-- [TYPE] SUSE SSH True -->
<!-- [INPUT] Jul 6 22:49:08 scxom64-sles9-03 sshd[12934]: Accepted keyboard-interactive/pam for ccrammo from 172.30.180.171 port 22641 ssh2 -->
<!-- [INPUT] Jul 6 22:47:41 scxom64-sles9-03 sshd[12904]: Accepted keyboard-interactive/pam for root from 172.30.180.171 port 22635 ssh2 -->
<!-- [INPUT] Oct 13 04:46:19 linux sshd[6834]: Accepted publickey for root from ::ffff:192.168.233.130 port 35342 ssh2 -->
<!-- [EXPECTED] date="Jul 6 22:49:08"; hostname="scxom64-sles9-03"; process="sshd"; processId="12934"; user="ccrammo"; clientHost="172.30.180.171" -->
<!-- [EXPECTED] date="Jul 6 22:47:41"; hostname="scxom64-sles9-03"; process="sshd"; processId="12904"; user="root"; clientHost="172.30.180.171" -->
<!-- [EXPECTED] date="Oct 13 04:46:19"; hostname="linux"; process="sshd"; processId="6834"; user="root"; clientHost="::ffff:192.168.233.130" -->
<RegExpFilter>sshd\[[[:digit:]]+\]: Accepted \S+ for \S+ from \S+</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'sshd)\[(?'processId'\d+)\]: Accepted \S+ for (?'user'\S+) from (?'clientHost'\S+)</RegExp>
<EventType>1</EventType>
<EventId>27002</EventId>
</WriteAction>
</WriteActions>
</Rule>