Home
  •  

SSH 성공 경고 규칙

Microsoft.AIX.6.1.LogFile.Syslog.SSHAuth.Root.Success.Alert (Rule)

SSH 루트 성공 메시지에 대한 경고 규칙입니다.

Knowledge Base article:

요약

루트 로그인에 대한 SSH 인증이 시스템 로그 파일에서 검색되었습니다.

구성

이 규칙은 기본적으로 비활성화되어 있습니다. 모니터링을 위해 이 규칙을 사용하도록 설정하려면 재정의를 사용하여 로그 파일 경로를 구성하고 규칙을 활성화합니다. 로그 파일 경로는 LogFile라는 재정의 속성으로 설정되고, 값은 syslog 구성에 정의된 대로 이러한 이벤트를 수신하는 로그 파일의 전체 경로와 일치해야 합니다. 모든 인스턴스나 특정 인스턴스 또는 그룹의 매개 변수 값을 변경하는 데 재정의를 사용할 수 있습니다.

원인

사용자가 특권 계정에 대한 액세스 권한을 받았을 수 있습니다. 이 모니터를 통해 시스템 관리자는 루트 사용자로의 직접 로그인을 추적할 수 있습니다.

해결 방법

경고에 대한 설명 및/또는 출력 데이터 항목에 발생한 이벤트에 대한 정보가 포함되어 있습니다. 이 이벤트가 의심스러운 경우 관련 이벤트 정보 및 이 이벤트 시간에 발생한 다른 이벤트를 확인하십시오.

Element properties:

TargetMicrosoft.AIX.6.1.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
성공한 SSH 루트 감지
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.AIX.6.1.LogFile.Syslog.SSHAuth.Root.Success.Alert" Target="Microsoft.AIX.6.1.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] AIX SSH True -->

    <!-- [INPUT] Oct 30 14:11:34 scxaix1 auth|security:info sshd[376912]: Accepted password for root from 172.30.182.212 port 40873 ssh2 -->

    <!-- [INPUT] Nov  6 12:39:23 scxaix1 auth|security:info sshd[524538]: Accepted hostbased for root from 10.195.175.32 port 37129 ssh2 -->

    <!-- [INPUT-MISS] Oct 30 14:10:48 scxaix1 auth|security:info sshd[344146]: Accepted publickey for ccrammo from 172.30.182.212 port 40871 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/syslog.log</LogFile>

      <RegExpFilter>sshd\[[[:digit:]]+\]: Accepted [^[:space:]]+ for root from [^[:space:]]+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.AIX.6.1.LogFile.Syslog.SSHAuth.Root.Success.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>