Home
  •  

Правило предупреждения об успешном выполнении SSH

Microsoft.AIX.6.1.LogFile.Syslog.SSHAuth.Root.Success.Alert (Rule)

Правило предупреждения для успешной проверки SSH от имени привилегированного пользователя

Knowledge Base article:

Сводка

В файлах журнала системы обнаружено выполнение проверки подлинности SSH с учетной записью привилегированного пользователя.

Конфигурация

Это правило по умолчанию отключено. Чтобы включить это правило при мониторинге, используйте переопределения для настройки пути файла журнала и включения правила. Путь файла журнала задается переопределяемым свойством LogFile, значением которого должен быть полный путь к файлу журнала, куда будут заноситься события согласно конфигурации syslog. Для изменения значений параметров для всех экземпляров или отдельных экземпляров и групп могут использоваться переопределения.

Причины

Возможно, пользователи получили доступ к привилегированным учетным записям. Этот монитор дает системным администраторам возможность отслеживать прямые входы с учетной записью корневого пользователя.

Решения

В описании предупреждения и (или) элемента выходных данных содержится информация о возникшем событии. Если это событие выглядит подозрительно, просмотрите сведения о связанном событии и любых других событиях, возникших примерно в то же время.

Element properties:

TargetMicrosoft.AIX.6.1.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Успешное выполнение SSH от имени привилегированного пользователя
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.AIX.6.1.LogFile.Syslog.SSHAuth.Root.Success.Alert" Target="Microsoft.AIX.6.1.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] AIX SSH True -->

    <!-- [INPUT] Oct 30 14:11:34 scxaix1 auth|security:info sshd[376912]: Accepted password for root from 172.30.182.212 port 40873 ssh2 -->

    <!-- [INPUT] Nov  6 12:39:23 scxaix1 auth|security:info sshd[524538]: Accepted hostbased for root from 10.195.175.32 port 37129 ssh2 -->

    <!-- [INPUT-MISS] Oct 30 14:10:48 scxaix1 auth|security:info sshd[344146]: Accepted publickey for ccrammo from 172.30.182.212 port 40871 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/syslog.log</LogFile>

      <RegExpFilter>sshd\[[[:digit:]]+\]: Accepted [^[:space:]]+ for root from [^[:space:]]+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.AIX.6.1.LogFile.Syslog.SSHAuth.Root.Success.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>