Regla de alerta para mensajes correctos de SSH como root.
Se ha detectado una autenticación de SSH como raíz en los archivos de registro del sistema.
Es posible que se haya concedido a usuarios el acceso a cuentas con privilegios. Este monitor permite a los administradores del sistema realizar el seguimiento de los inicios de sesión directos como usuario root.
La descripción de la alerta y/o el elemento de datos de salida contiene información sobre el evento detectado. Si este evento parece sospechoso, compruebe los detalles de los eventos asociados, así como cualquier otro evento ocurrido aproximadamente a la hora de este evento.
Target | Microsoft.HPUX.11iv3.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.HPUX.11iv3.LogFile.Syslog.SSHAuth.PAM.Root.Success.Alert" Target="Microsoft.HPUX.11iv3.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] HP SSH True -->
<!-- [INPUT] Nov 9 14:36:38 scxhpi1 sshd[19262]: Accepted keyboard-interactive/pam for root from 10.195.172.48 port 55428 ssh2 -->
<!-- [INPUT] Nov 9 13:45:32 6E:scxhpr2 sshd[2789]: Accepted publickey for root from 172.30.182.25 port 58369 ssh2 -->
<!-- [INPUT-MISS] Nov 9 14:35:50 scxhpi1 sshd[19207]: Accepted publickey for jonas from 172.30.182.25 port 6545 ssh2 -->
<!-- [INPUT-MISS] Nov 9 13:46:58 6E:scxhpr2 sshd[2839]: Accepted keyboard-interactive/pam for jonas from 10.195.172.49 port 57023 ssh2 -->
<!-- [INPUT-MISS] Nov 9 13:45:32 6E:scxhpr2 sshd[2789]: Accepted publickey for jonas from 172.30.182.25 port 58369 ssh2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/adm/syslog/syslog.log</LogFile>
<RegExpFilter>[[:space:]]sshd\[[[:digit:]]+\]: Accepted [^[:space:]]+ for root from [^[:space:]]+[[:space:]]+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.HPUX.11iv3.LogFile.Syslog.SSHAuth.PAM.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>