Home
  •  

Regla de alerta de SSH correcta

Microsoft.HPUX.11iv3.LogFile.Syslog.SSHAuth.PAM.Root.Success.Alert (Rule)

Regla de alerta para mensajes correctos de SSH como root.

Knowledge Base article:

Resumen

Se ha detectado una autenticación de SSH como raíz en los archivos de registro del sistema.

Causas

Es posible que se haya concedido a usuarios el acceso a cuentas con privilegios. Este monitor permite a los administradores del sistema realizar el seguimiento de los inicios de sesión directos como usuario root.

Resoluciones

La descripción de la alerta y/o el elemento de datos de salida contiene información sobre el evento detectado. Si este evento parece sospechoso, compruebe los detalles de los eventos asociados, así como cualquier otro evento ocurrido aproximadamente a la hora de este evento.

Element properties:

TargetMicrosoft.HPUX.11iv3.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Se detectó SSH como root correcto
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.HPUX.11iv3.LogFile.Syslog.SSHAuth.PAM.Root.Success.Alert" Target="Microsoft.HPUX.11iv3.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] HP SSH True -->

    <!-- [INPUT] Nov  9 14:36:38 scxhpi1 sshd[19262]: Accepted keyboard-interactive/pam for root from 10.195.172.48 port 55428 ssh2 -->

    <!-- [INPUT] Nov  9 13:45:32 6E:scxhpr2 sshd[2789]: Accepted publickey for root from 172.30.182.25 port 58369 ssh2 -->

    <!-- [INPUT-MISS] Nov  9 14:35:50 scxhpi1 sshd[19207]: Accepted publickey for jonas from 172.30.182.25 port 6545 ssh2 -->

    <!-- [INPUT-MISS] Nov  9 13:46:58 6E:scxhpr2 sshd[2839]: Accepted keyboard-interactive/pam for jonas from 10.195.172.49 port 57023 ssh2 -->

    <!-- [INPUT-MISS] Nov  9 13:45:32 6E:scxhpr2 sshd[2789]: Accepted publickey for jonas from 172.30.182.25 port 58369 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/adm/syslog/syslog.log</LogFile>

      <RegExpFilter>[[:space:]]sshd\[[[:digit:]]+\]: Accepted [^[:space:]]+ for root from [^[:space:]]+[[:space:]]+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.HPUX.11iv3.LogFile.Syslog.SSHAuth.PAM.Root.Success.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>