Home
  •  

Regola di avviso accesso a SSH riuscito

Microsoft.AIX.5.3.LogFile.Syslog.SSHAuth.Root.Success.Alert (Rule)

Regola di avviso per i messaggi di accesso a SSH come root riuscito.

Knowledge Base article:

Riepilogo

Nei file di registro di sistema è stata rilevata un'autenticazione SSH come root.

Configurazione

Questa regola è disattivata per impostazione predefinita. Per attivare questa regola per il monitoraggio, utilizzare override per configurare il percorso del file di registro e attivare la regola. Il percorso file di registro è impostato con la proprietà sottoponibile a override denominata LogFile e il valore deve essere impostato al percorso completo del file di registro che riceve tali eventi, come indicato nella configurazione syslog. Override può essere utilizzato per modificare i valori di parametro per tutte le istanze o per istanze specifiche o gruppi.

Cause

Agli utenti potrebbe essere stato concesso l'accesso a conti con privilegi. Questo monitoraggio consente agli amministratori di sistema di tenere traccia degli accessi diretti come utente root.

Risoluzioni

La descrizione dell'avviso e/o l'elemento dati di output contiene informazioni sull'evento rilevato. Se l'evento appare sospetto, controllare i dettagli sull'evento associato e altri eventi verificatisi alla stessa ora di questo errore.

Element properties:

TargetMicrosoft.AIX.5.3.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Rilevato SSH come root riuscito
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.AIX.5.3.LogFile.Syslog.SSHAuth.Root.Success.Alert" Target="Microsoft.AIX.5.3.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] AIX SSH True -->

    <!-- [INPUT] Oct 30 15:05:16 scxaix3-1 auth|security:info sshd[483544]: Accepted publickey for root from 172.30.182.212 port 49259 ssh2 -->

    <!-- [INPUT] Oct 30 15:06:48 scxaix3-1 auth|security:info sshd[483546]: Accepted password for root from 172.30.182.212 port 49261 ssh2 -->

    <!-- [INPUT] Nov  6 12:39:23 scxaix3-1 auth|security:info sshd[666666]: Accepted hostbased for root from dubbuster port 37129 ssh2 -->

    <!-- [INPUT-MISS] Nov  6 12:39:23 scxaix3-1 auth|security:info sshd[666666]: Accepted hostbased for bambi from dubbuster port 37129 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/syslog.log</LogFile>

      <RegExpFilter>sshd\[[[:digit:]]+\]: Accepted [^[:space:]]+ for root from [^[:space:]]+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.AIX.5.3.LogFile.Syslog.SSHAuth.Root.Success.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>