Waarschuwingsregel SSH geslaagd - Microsoft.AIX.7.LogFile.Syslog.SSHAuth.Root.Success.Alert (Rule) (NLD)

Microsoft.AIX.7.LogFile.Syslog.SSHAuth.Root.Success.Alert (Rule)

Waarschuwingsregel voor succesvolle SSH als root-berichten.

Knowledge Base article:

Samenvatting

Er is een SSH-verificatie als hoofdgebruiker aangetroffen in de logboekbestanden van het systeem.

Configuratie

Deze regel is standaard uitgeschakeld. Als u deze regel wilt inschakelen voor bewaking, gebruikt u onderdrukkingen om het pad naar het logboekbestand te configureren en de regel in te schakelen. Het pad naar het logboekbestand wordt ingesteld met de onderdrukbare eigenschap LogFile, en de waarde moet worden ingesteld op het volledige pad naar het logboekbestand dat deze gebeurtenis ontvangt, zoals gedefinieerd in de syslog-configuratie. Onderdrukkingen kunnen worden gebruikt om de parameterwaarden te wijzigen voor alle exemplaren of voor specifieke exemplaren of groepen.

Oorzaken

Gebruikers hebben mogelijk toegang gekregen tot beschermde accounts. Deze monitor stelt systeembeheerders in staat directe aanmeldingen als hoofdgebruiker te traceren.

Oplossingen

De beschrijving van de waarschuwing en/of het uitvoergegevensitem bevat informatie over de gebeurtenis die is opgetreden. Als deze gebeurtenis verdacht lijkt, controleert u de details van de bijbehorende gebeurtenis en alle andere gebeurtenissen die rond dezelfde tijd hebben plaatsgevonden.

Element properties:

Target

Microsoft.AIX.7.Computer

Category

EventCollection

Enabled

True

Alert Generate

True

Alert Severity

Information

Alert Priority

Normal

Remotable

True

Alert Message

Geslaagde SSH als root gedetecteerd

{0}

Member Modules:

ID	Module Type	TypeId	RunAs
EventDS	DataSource	Microsoft.Unix.SCXLog.Datasource	Default
GenerateAlert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.AIX.7.LogFile.Syslog.SSHAuth.Root.Success.Alert" Target="Microsoft.AIX.7.Computer" Enabled="true" Remotable="true"> <Category>EventCollection</Category> <DataSources>     <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource"> <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host> <LogFile>/var/adm/ras/syslog.caa</LogFile> <RegExpFilter>sshd\[[[:digit:]]+\]: Accepted [^[:space:]]+ for root from [^[:space:]]+</RegExpFilter> <IndividualAlerts>false</IndividualAlerts> </DataSource> </DataSources> <WriteActions> <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert"> <Priority>1</Priority> <Severity>0</Severity> <AlertMessageId>$MPElement[Name="Microsoft.AIX.7.LogFile.Syslog.SSHAuth.Root.Success.AlertMessage"]$</AlertMessageId> <AlertParameters> <AlertParameter1>$Data/EventDescription$</AlertParameter1> </AlertParameters> <Suppression> <SuppressionValue/> </Suppression> </WriteAction> </WriteActions> </Rule>