Regel voor het verzamelen van gebeurtenissen voor geslaagde ssh-aanmeldingen
Er is een ssh-opdracht aangetroffen in de logboekbestanden van het systeem.
De gebruiker heeft extern toegang gekregen tot het systeem. Met deze monitor kunnen systeembeheerders het gebruik van 'ssh' bijhouden.
De beschrijving van de waarschuwing en/of het uitvoergegevensitem bevat informatie over de gebeurtenis die is opgetreden. Als de activiteit verdacht lijkt, controleert u de details van de bijbehorende gebeurtenis en alle andere gebeurtenissen die rond dezelfde tijd hebben plaatsgevonden.
Target | Microsoft.ACS.Solaris.11.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Solaris.11.Ssh.Succeeded" Enabled="false" Target="Microsoft.ACS.Solaris.11.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/authlog</LogFile>
<!-- [TYPE] Solaris SSH True -->
<!-- [INPUT] Jan 10 14:50:42 jeffcof-sol11-x86 sshd[19958]: [ID 800047 auth.info] Accepted keyboard-interactive for root from ::1 port 41405 ssh2 -->
<!-- [INPUT] Jan 11 10:42:52 jeffcof-sol11-x86 sshd[2000]: [ID 800047 auth.info] Accepted publickey for jeffcof from 172.30.168.208 port 40203 ssh2 -->
<!-- [EXPECTED] date="Jan 10 14:50:42"; hostname="jeffcof-sol11-x86"; process="sshd"; processId="19958"; user="root"; clientHost="::1" -->
<!-- [EXPECTED] date="Jan 11 10:42:52"; hostname="jeffcof-sol11-x86"; process="sshd"; processId="2000"; user="jeffcof"; clientHost="172.30.168.208" -->
<RegExpFilter>[[:space:]]+sshd\[[[:digit:]]+\]: \[.*\] Accepted [^[:space:]]+ for [^[:space:]]+ from [^[:space:]]+</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'sshd)\[(?'processId'\d+)\]: \[.*\] Accepted \S+ for (?'user'\S+) from (?'clientHost'\S+)</RegExp>
<EventType>1</EventType>
<EventId>27002</EventId>
</WriteAction>
</WriteActions>
</Rule>