Waarschuwingsregel voor succesvolle SSH als root-berichten.
Er is een SSH-verificatie als hoofdgebruiker aangetroffen in de logboekbestanden van het systeem.
Deze regel is standaard uitgeschakeld. Als u deze regel wilt inschakelen voor bewaking, gebruikt u onderdrukkingen om het pad naar het logboekbestand te configureren en de regel in te schakelen. Het pad naar het logboekbestand wordt ingesteld met de onderdrukbare eigenschap LogFile, en de waarde moet worden ingesteld op het volledige pad naar het logboekbestand dat deze gebeurtenis ontvangt, zoals gedefinieerd in de syslog-configuratie. Onderdrukkingen kunnen worden gebruikt om de parameterwaarden te wijzigen voor alle exemplaren of voor specifieke exemplaren of groepen.
Gebruikers hebben mogelijk toegang gekregen tot beschermde accounts. Deze monitor stelt systeembeheerders in staat directe aanmeldingen als hoofdgebruiker te traceren.
De beschrijving van de waarschuwing en/of het uitvoergegevensitem bevat informatie over de gebeurtenis die is opgetreden. Als deze gebeurtenis verdacht lijkt, controleert u de details van de bijbehorende gebeurtenis en alle andere gebeurtenissen die rond dezelfde tijd hebben plaatsgevonden.
Target | Microsoft.AIX.7.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.AIX.7.LogFile.Syslog.SSHAuth.Root.Success.Alert" Target="Microsoft.AIX.7.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] AIX7 SSH True -->
<!-- [INPUT] Jun 2 14:24:01 scxomd-aix7-01 auth|security:info sshd[6357222]: Accepted password for root from 10.195.175.198 port 58237 ssh2 -->
<!-- [INPUT] Jun 2 14:24:01 scxomd-aix7-01 auth|security:info sshd[6357222]: Accepted hostbased for root from 10.195.175.198 port 58237 ssh2 -->
<!-- [INPUT-MISS] Jun 2 14:24:01 scxomd-aix7-01 auth|security:info sshd[6357222]: Accepted password for jeffcof from 10.195.175.198 port 58237 ssh2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/adm/ras/syslog.caa</LogFile>
<RegExpFilter>sshd\[[[:digit:]]+\]: Accepted [^[:space:]]+ for root from [^[:space:]]+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.AIX.7.LogFile.Syslog.SSHAuth.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>