Home
  •  

Reguła alertu o niepowodzeniu usługi SSH

Microsoft.AIX.6.1.LogFile.Syslog.SSHAuth.Root.Failure.Alert (Rule)

Reguła alertu dotycząca wiadomości o niepowodzeniu usługi SSH jako katalogu głównego.

Knowledge Base article:

Podsumowanie

W plikach dziennika systemowego wykryto nieudane uwierzytelnianie SSH dla konta „root”.

Konfiguracja

Ta reguła jest domyślnie wyłączona. Aby włączyć tę zasadę na potrzeby monitorowania, należy przy użyciu zastąpień skonfigurować ścieżkę pliku dziennika i włączyć zasadę. Ścieżka pliku dziennika jest określana za pomocą zastępowalnej właściwości o nazwie LogFile, przy czym wartość ta musi być określona jako pełna ścieżka do pliku dziennika, do którego będą trafiać te zdarzenia, zgodnie z definicją w konfiguracji programu syslog. W celu zmiany wartości parametrów wszystkich wystąpień lub określonych wystąpień bądź grup można użyć zastąpień.

Przyczyny

Przyczyną niepowodzenia może być błędnie wpisane hasło lub próba użycia nieprawidłowej nazwy użytkownika. Niemniej jednak utrzymujące się niepowodzenie może wskazywać, że ktoś próbuje uzyskać nieautoryzowany dostęp.

Rozwiązania

Opis alertu i/lub element danych wyjściowych zawiera informacje o napotkanym problemie. Aby w razie wystąpienia niepowodzenia zdiagnozować problem, sprawdź szczegóły skojarzone ze zdarzeniem oraz wszelkie inne zdarzenia, które wystąpiły w okolicy czasowej tego niepowodzenia.

Element properties:

TargetMicrosoft.AIX.6.1.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Wykryto niepowodzenie usługi SSH jako katalogu głównego
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.AIX.6.1.LogFile.Syslog.SSHAuth.Root.Failure.Alert" Target="Microsoft.AIX.6.1.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] AIX SSH False -->

    <!-- [INPUT] Nov  5 15:32:56 scxaix1 auth|security:info sshd[655370]: Failed password for root from 172.30.182.212 port 50879 ssh2 -->

    <!-- [INPUT-MISS] Nov  5 15:32:21 scxaix1 auth|security:info sshd[655368]: Failed password for scxuser from dubbuster port 50878 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/syslog.log</LogFile>

      <RegExpFilter>[[:space:]]sshd\[[[:digit:]]+]: Failed password for root from</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.AIX.6.1.LogFile.Syslog.SSHAuth.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>