Geçersiz SSH oturumu açma olaylarını toplayan kural
Sistem günlük dosyalarında geçersiz bir ssh komutu algılandı.
Kullanıcıya sisteme uzaktan erişim izni verilmedi. Bu izleyici sistem yöneticilerinin 'ssh' kullanımını izleyebilmesini sağlar.
Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan olayla ilgili bilgiler içerir. Aktivite şüpheli görünüyorsa, lütfen ilişkili olay ayrıntılarını ve bu olayın gerçekleştiği zaman olan diğer olayları kontrol edin.
Target | Microsoft.ACS.Solaris.11.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Solaris.11.Ssh.Invalid" Enabled="false" Target="Microsoft.ACS.Solaris.11.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/authlog</LogFile>
<!-- [TYPE] Solaris SSH False -->
<!-- [INPUT] Jan 13 10:57:24 jeffcof-sol11-x86 sshd[3142]: [ID 800047 auth.info] Illegal user unknownuser from 172.30.168.208 -->
<!-- [EXPECTED] date="Jan 13 10:57:24"; hostname="jeffcof-sol11-x86"; process="sshd"; processId="3142"; user="unknownuser"; clientHost="172.30.168.208" -->
<RegExpFilter>[[:space:]]+sshd\[[[:digit:]]+\]: \[.*\] Illegal user ([^[:space:]]+) from [^[:space:]]+</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'sshd)\[(?'processId'\d+)\]: \[.*\] Illegal user (?'user'\S+) from (?'clientHost'\S+)</RegExp>
<EventType>0</EventType>
<EventId>27003</EventId>
</WriteAction>
</WriteActions>
</Rule>