Root Parolası SSH Kimlik Doğrulaması uyarı kuralı - Microsoft.Linux.RHEL.4.LogFile.Syslog.Root.SSHAuth.Password.Alert (Rule) (TRK)

Microsoft.Linux.RHEL.4.LogFile.Syslog.Root.SSHAuth.Password.Alert (Rule)

SSH Kimlik Doğrulaması yoluyla Root Parolasının algılanması için uyarı kuralı

Knowledge Base article:

Özet

Kök hesap parolası ile doğrudan oturum açma algılandı.

Nedenler

Kullanıcılara ayrıcalıklı hesaplara erişim izni verilmiş olabilir. Bu uyarma kuralı, sistem yöneticilerine kök hesap parolası ile doğrudan oturum açmaları izleme izni verir.

Çözümlemeler

Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan olayla ilgili bilgiler içerir. Bu olay şüpheli görünürse, ilişkili olay ayrıntılarını ve bu olay sırasında gerçekleşen diğer olayları denetleyin.

Element properties:

Target

Microsoft.Linux.RHEL.4.Computer

Category

EventCollection

Enabled

True

Alert Generate

True

Alert Severity

Information

Alert Priority

Normal

Remotable

True

Alert Message

Sistem algılanan "kök" parolasını kullanarak SSH yoluyla günlüğe kaydedilmiş

{0}

Member Modules:

ID	Module Type	TypeId	RunAs
EventDS	DataSource	Microsoft.Unix.SCXLog.Privileged.Datasource	Default
GenerateAlert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.Linux.RHEL.4.LogFile.Syslog.Root.SSHAuth.Password.Alert" Target="Microsoft.Linux.RHEL.4.Computer" Enabled="true" Remotable="true"> <Category>EventCollection</Category> <DataSources>     <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource"> <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host> <LogFile>/var/log/secure</LogFile> <RegExpFilter>\s+sshd\[[[:digit:]]+\]: Accepted \S+ for root from \S+</RegExpFilter> <IndividualAlerts>false</IndividualAlerts> </DataSource> </DataSources> <WriteActions> <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert"> <Priority>1</Priority> <Severity>0</Severity> <AlertMessageId>$MPElement[Name="Microsoft.Linux.RHEL.4.LogFile.Syslog.Root.SSHAuth.Password.AlertMessage"]$</AlertMessageId> <AlertParameters> <AlertParameter1>$Data/EventDescription$</AlertParameter1> </AlertParameters> <Suppression> <SuppressionValue/> </Suppression> </WriteAction> </WriteActions> </Rule>