Regla de alerta para mensajes correctos de SSH como root.
Se ha detectado una autenticación de SSH como raíz en los archivos de registro del sistema.
Esta regla está deshabilitada de forma predeterminada. Para habilitar esta regla de supervisión, use invalidaciones para configurar la ruta de acceso al archivo de registro y habilitar la regla. La ruta de acceso al archivo de registro se establece con una propiedad reemplazable denominada LogFile, cuyo valor se debe establecer en la ruta de acceso completa al archivo de registro que recibirá estos eventos, definido en la configuración de syslog. Se pueden usar invalidaciones para cambiar los valores de parámetros para todas las instancias o para instancias o grupos específicos.
Es posible que se haya concedido a usuarios el acceso a cuentas con privilegios. Este monitor permite a los administradores del sistema realizar el seguimiento de los inicios de sesión directos como usuario root.
La descripción de la alerta y/o el elemento de datos de salida contiene información sobre el evento detectado. Si este evento parece sospechoso, compruebe los detalles de los eventos asociados, así como cualquier otro evento ocurrido aproximadamente a la hora de este evento.
Target | Microsoft.AIX.6.1.Computer | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.AIX.6.1.LogFile.Syslog.SSHAuth.Root.Success.Alert" Target="Microsoft.AIX.6.1.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] AIX SSH True -->
<!-- [INPUT] Oct 30 14:11:34 scxaix1 auth|security:info sshd[376912]: Accepted password for root from 172.30.182.212 port 40873 ssh2 -->
<!-- [INPUT] Nov 6 12:39:23 scxaix1 auth|security:info sshd[524538]: Accepted hostbased for root from 10.195.175.32 port 37129 ssh2 -->
<!-- [INPUT-MISS] Oct 30 14:10:48 scxaix1 auth|security:info sshd[344146]: Accepted publickey for ccrammo from 172.30.182.212 port 40871 ssh2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/syslog.log</LogFile>
<RegExpFilter>sshd\[[[:digit:]]+\]: Accepted [^[:space:]]+ for root from [^[:space:]]+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.AIX.6.1.LogFile.Syslog.SSHAuth.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>