Home
  •  

SU Komut Başarısı uyarı kuralı

Microsoft.HPUX.11iv3.LogFile.Syslog.SSHAuth.PAM.Root.Success.Alert (Rule)

Başarılı kök olarak SSH iletileri için uyarı kuralı.

Knowledge Base article:

Özet

Sistem günlük dosyalarında kök olarak SSH yetkilendirmesi algılandı.

Nedenler

Kullanıcılara ayrıcalıklı hesaplara erişim izni verilmiş olabilir. Bu izleyici sistem yöneticilerine kök kullanıcı olarak doğrudan oturum açmaları izleme izni verir.

Çözümlemeler

Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan olayla ilgili bilgiler içerir. Bu olay şüpheli görünürse, lütfen ilişkili olay ayrıntılarını ve bu olay gerçekleştiği sırada meydana gelen diğer olayları denetleyin.

Element properties:

TargetMicrosoft.HPUX.11iv3.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Kök olarak başarılı SSH algılandı
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.HPUX.11iv3.LogFile.Syslog.SSHAuth.PAM.Root.Success.Alert" Target="Microsoft.HPUX.11iv3.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] HP SSH True -->

    <!-- [INPUT] Nov  9 14:36:38 scxhpi1 sshd[19262]: Accepted keyboard-interactive/pam for root from 10.195.172.48 port 55428 ssh2 -->

    <!-- [INPUT] Nov  9 13:45:32 6E:scxhpr2 sshd[2789]: Accepted publickey for root from 172.30.182.25 port 58369 ssh2 -->

    <!-- [INPUT-MISS] Nov  9 14:35:50 scxhpi1 sshd[19207]: Accepted publickey for jonas from 172.30.182.25 port 6545 ssh2 -->

    <!-- [INPUT-MISS] Nov  9 13:46:58 6E:scxhpr2 sshd[2839]: Accepted keyboard-interactive/pam for jonas from 10.195.172.49 port 57023 ssh2 -->

    <!-- [INPUT-MISS] Nov  9 13:45:32 6E:scxhpr2 sshd[2789]: Accepted publickey for jonas from 172.30.182.25 port 58369 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/adm/syslog/syslog.log</LogFile>

      <RegExpFilter>[[:space:]]sshd\[[[:digit:]]+\]: Accepted [^[:space:]]+ for root from [^[:space:]]+[[:space:]]+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.HPUX.11iv3.LogFile.Syslog.SSHAuth.PAM.Root.Success.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>