Waarschuwingsregel voor succesvolle SSH als root-berichten.
Er is een SSH-verificatie als hoofdgebruiker aangetroffen in de logboekbestanden van het systeem.
Deze regel is standaard uitgeschakeld. Als u deze regel wilt inschakelen voor bewaking, gebruikt u onderdrukkingen om het pad naar het logboekbestand te configureren en de regel in te schakelen. Het pad naar het logboekbestand wordt ingesteld met de onderdrukbare eigenschap LogFile, en de waarde moet worden ingesteld op het volledige pad naar het logboekbestand dat deze gebeurtenis ontvangt, zoals gedefinieerd in de syslog-configuratie. Onderdrukkingen kunnen worden gebruikt om de parameterwaarden te wijzigen voor alle exemplaren of voor specifieke exemplaren of groepen.
Gebruikers hebben mogelijk toegang gekregen tot beschermde accounts. Deze monitor stelt systeembeheerders in staat directe aanmeldingen als hoofdgebruiker te traceren.
De beschrijving van de waarschuwing en/of het uitvoergegevensitem bevat informatie over de gebeurtenis die is opgetreden. Als deze gebeurtenis verdacht lijkt, controleert u de details van de bijbehorende gebeurtenis en alle andere gebeurtenissen die rond dezelfde tijd hebben plaatsgevonden.
Target | Microsoft.AIX.6.1.Computer | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.AIX.6.1.LogFile.Syslog.SSHAuth.Root.Success.Alert" Target="Microsoft.AIX.6.1.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] AIX SSH True -->
<!-- [INPUT] Oct 30 14:11:34 scxaix1 auth|security:info sshd[376912]: Accepted password for root from 172.30.182.212 port 40873 ssh2 -->
<!-- [INPUT] Nov 6 12:39:23 scxaix1 auth|security:info sshd[524538]: Accepted hostbased for root from 10.195.175.32 port 37129 ssh2 -->
<!-- [INPUT-MISS] Oct 30 14:10:48 scxaix1 auth|security:info sshd[344146]: Accepted publickey for ccrammo from 172.30.182.212 port 40871 ssh2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/syslog.log</LogFile>
<RegExpFilter>sshd\[[[:digit:]]+\]: Accepted [^[:space:]]+ for root from [^[:space:]]+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.AIX.6.1.LogFile.Syslog.SSHAuth.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>