Reguła alertu dotycząca wiadomości o powodzeniu usługi SSH.
W plikach dziennika systemowego wykryto uwierzytelnienie SSH dla konta „root”.
Użytkownikom mógł zostać przyznany dostęp do kont uprzywilejowanych. Ten monitor umożliwia administratorom systemu śledzenie przypadków bezpośredniego logowania się jako użytkownik root.
Opis alertu i/lub element danych wyjściowych zawiera informacje o napotkanym zdarzeniu. Jeśli to zdarzenie wydaje się podejrzane, sprawdź szczegóły skojarzone ze zdarzeniem oraz wszelkie inne zdarzenia, które wystąpiły w okolicy czasowej tego zdarzenia.
Target | Microsoft.HPUX.11iv2.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.HPUX.11iv2.LogFile.Syslog.SSHAuth.PAM.Root.Success.Alert" Target="Microsoft.HPUX.11iv2.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] HP SSH True -->
<!-- [INPUT] Nov 6 11:41:04 scxhpi10 sshd[26629]: Accepted keyboard-interactive/pam for root from 10.195.172.49 port 52266 ssh2 -->
<!-- [INPUT] Nov 6 11:39:20 scxhpi10 sshd[26526]: Accepted publickey for root from 10.195.172.49 port 52262 ssh2 -->
<!-- [INPUT-MISS] Nov 6 14:11:03 scxhpr3 sshd[21094]: Accepted keyboard-interactive/pam for jonas from 10.195.172.83 port 64853 ssh2 -->
<!-- [INPUT-MISS] Nov 6 14:11:23 scxhpr3 sshd[21113]: Accepted publickey for jonas from 10.195.172.83 port 64854 ssh2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/adm/syslog/syslog.log</LogFile>
<RegExpFilter>[[:space:]]sshd\[[[:digit:]]+\]: Accepted [^[:space:]]+ for root from [^[:space:]]+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.HPUX.11iv2.LogFile.Syslog.SSHAuth.PAM.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>