Home
  •  

Reguła alertu o powodzeniu usługi SSH

Microsoft.AIX.7.LogFile.Syslog.SSHAuth.Root.Success.Alert (Rule)

Reguła alertu dotycząca wiadomości o powodzeniu usługi SSH.

Knowledge Base article:

Podsumowanie

W plikach dziennika systemowego wykryto uwierzytelnienie SSH dla konta „root”.

Konfiguracja

Ta reguła jest domyślnie wyłączona. Aby włączyć tę zasadę na potrzeby monitorowania, należy przy użyciu zastąpień skonfigurować ścieżkę pliku dziennika i włączyć zasadę. Ścieżka pliku dziennika jest określana za pomocą zastępowalnej właściwości o nazwie LogFile, przy czym wartość ta musi być określona jako pełna ścieżka do pliku dziennika, do którego będą trafiać te zdarzenia, zgodnie z definicją w konfiguracji programu syslog. W celu zmiany wartości parametrów wszystkich wystąpień lub określonych wystąpień bądź grup można użyć zastąpień.

Przyczyny

Użytkownikom mógł zostać przyznany dostęp do kont uprzywilejowanych. Ten monitor umożliwia administratorom systemu śledzenie przypadków bezpośredniego logowania się jako użytkownik root.

Rozwiązania

Opis alertu i/lub element danych wyjściowych zawiera informacje o napotkanym zdarzeniu. Jeśli to zdarzenie wydaje się podejrzane, sprawdź szczegóły skojarzone ze zdarzeniem oraz wszelkie inne zdarzenia, które wystąpiły w okolicy czasowej tego zdarzenia.

Element properties:

TargetMicrosoft.AIX.7.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Wykryto sukces usługi SSH jako katalogu głównego
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.AIX.7.LogFile.Syslog.SSHAuth.Root.Success.Alert" Target="Microsoft.AIX.7.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] AIX7 SSH True -->

    <!-- [INPUT] Jun  2 14:24:01 scxomd-aix7-01 auth|security:info sshd[6357222]: Accepted password for root from 10.195.175.198 port 58237 ssh2 -->

    <!-- [INPUT] Jun  2 14:24:01 scxomd-aix7-01 auth|security:info sshd[6357222]: Accepted hostbased for root from 10.195.175.198 port 58237 ssh2 -->

    <!-- [INPUT-MISS] Jun  2 14:24:01 scxomd-aix7-01 auth|security:info sshd[6357222]: Accepted password for jeffcof from 10.195.175.198 port 58237 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/adm/ras/syslog.caa</LogFile>

      <RegExpFilter>sshd\[[[:digit:]]+\]: Accepted [^[:space:]]+ for root from [^[:space:]]+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.AIX.7.LogFile.Syslog.SSHAuth.Root.Success.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>