Regra de alerta para o SSH com êxito como mensagens raiz.
Foi detectada uma autenticação SSH como raiz nos arquivos de log do sistema.
Essa regra está desabilitada por padrão. Para habilitar esta regra para monitoração, use substituições para configurar o caminho do arquivo de log e habilitar a regra. O caminho do arquivo de log é definido com a propriedade substituível denominada LogFile, e o valor deve ser definido como o caminho completo do arquivo de log que receberá esses eventos, conforme definido na configuração syslog. As substituições podem ser usadas para alterar os valores de parâmetros para todas as instâncias ou para instâncias ou grupos específicos.
Os usuários talvez obtiveram permissão de acesso a contas privilegiadas. Este monitor permite que os administradores do sistema controlem os logins diretos como usuário 'root'.
A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se esse evento parecer suspeito, verifique os detalhes do evento relacionado e todos os outros eventos que ocorreram por volta do horário desse evento.
Target | Microsoft.AIX.7.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.AIX.7.LogFile.Syslog.SSHAuth.Root.Success.Alert" Target="Microsoft.AIX.7.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] AIX7 SSH True -->
<!-- [INPUT] Jun 2 14:24:01 scxomd-aix7-01 auth|security:info sshd[6357222]: Accepted password for root from 10.195.175.198 port 58237 ssh2 -->
<!-- [INPUT] Jun 2 14:24:01 scxomd-aix7-01 auth|security:info sshd[6357222]: Accepted hostbased for root from 10.195.175.198 port 58237 ssh2 -->
<!-- [INPUT-MISS] Jun 2 14:24:01 scxomd-aix7-01 auth|security:info sshd[6357222]: Accepted password for jeffcof from 10.195.175.198 port 58237 ssh2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/adm/ras/syslog.caa</LogFile>
<RegExpFilter>sshd\[[[:digit:]]+\]: Accepted [^[:space:]]+ for root from [^[:space:]]+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.AIX.7.LogFile.Syslog.SSHAuth.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>