Règle d'alerte pour messages d'échec « SSH as root ».
Un échec d'authentification SSH en tant qu'utilisateur racine a été détecté dans les fichiers journaux système.
Cette règle est désactivée par défaut. Pour activer cette règle à des fins d'analyse, utilisez des remplacements pour configurer le chemin d'accès au fichier journal et activer la règle. Le chemin d'accès au fichier journal est défini avec la propriété substituable nommée LogFile, et la valeur doit être définie sur le chemin d'accès complet au fichier journal qui recevra ces événements, tel que défini dans la configuration syslog. Les remplacements permettent de modifier les valeurs de paramètres pour toutes les instances, ou pour des instances ou groupes spécifiques.
L'échec de l'opération peut être lié à une erreur de saisie du mot de passe ou à l'utilisation d'un nom d'utilisateur incorrect. Cependant, si l'incident persiste, cela peut être le signe qu'une personne non autorisée tente d'accéder au réseau.
La description de l'alerte et/ou de l'élément de données de sortie contient des informations sur le problème rencontré. Si un incident se produit, consultez les détails des événements connexes ou des événements survenus à peu près au même moment pour diagnostiquer le problème.
Target | Microsoft.AIX.5.3.Computer | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.AIX.5.3.LogFile.Syslog.SSHAuth.Root.Failure.Alert" Target="Microsoft.AIX.5.3.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] AIX SSH False -->
<!-- [INPUT] Oct 30 15:28:07 scxaix3-1 auth|security:info sshd[241818]: Failed password for root from 172.30.182.212 port 41909 ssh2 -->
<!-- [INPUT-MISS] Oct 30 15:28:00 scxaix3-1 auth|security:info sshd[241816]: Failed password for scxuser from 172.30.182.212 port 41908 ssh2 -->
<!-- [INPUT-MISS] Oct 30 15:22:27 scxaix3-1 auth|security:info sshd[483338]: Failed none for invalid user ccrammo from 172.30.182.212 port 57623 ssh2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/syslog.log</LogFile>
<RegExpFilter>[[:space:]]sshd\[[[:digit:]]+]: Failed password for root from</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.AIX.5.3.LogFile.Syslog.SSHAuth.Root.Failure.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>