Başarılı kök olarak SSH iletileri için uyarı kuralı.
Sistem günlük dosyalarında kök olarak SSH yetkilendirmesi algılandı.
Kullanıcılara ayrıcalıklı hesaplara erişim izni verilmiş olabilir. Bu izleyici sistem yöneticilerine kök kullanıcı olarak doğrudan oturum açmaları izleme izni verir.
Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan olayla ilgili bilgiler içerir. Bu olay şüpheli görünürse, lütfen ilişkili olay ayrıntılarını ve bu olay gerçekleştiği sırada meydana gelen diğer olayları denetleyin.
Target | Microsoft.HPUX.11iv3.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.HPUX.11iv3.LogFile.Syslog.SSHAuth.PAM.Root.Success.Alert" Target="Microsoft.HPUX.11iv3.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] HP SSH True -->
<!-- [INPUT] Nov 9 14:36:38 scxhpi1 sshd[19262]: Accepted keyboard-interactive/pam for root from 10.195.172.48 port 55428 ssh2 -->
<!-- [INPUT] Nov 9 13:45:32 6E:scxhpr2 sshd[2789]: Accepted publickey for root from 172.30.182.25 port 58369 ssh2 -->
<!-- [INPUT-MISS] Nov 9 14:35:50 scxhpi1 sshd[19207]: Accepted publickey for jonas from 172.30.182.25 port 6545 ssh2 -->
<!-- [INPUT-MISS] Nov 9 13:46:58 6E:scxhpr2 sshd[2839]: Accepted keyboard-interactive/pam for jonas from 10.195.172.49 port 57023 ssh2 -->
<!-- [INPUT-MISS] Nov 9 13:45:32 6E:scxhpr2 sshd[2789]: Accepted publickey for jonas from 172.30.182.25 port 58369 ssh2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/adm/syslog/syslog.log</LogFile>
<RegExpFilter>[[:space:]]sshd\[[[:digit:]]+\]: Accepted [^[:space:]]+ for root from [^[:space:]]+[[:space:]]+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.HPUX.11iv3.LogFile.Syslog.SSHAuth.PAM.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>