Home
  •  

Reguła alertu dotycząca użycia hasła użytkownika Root w ramach uwierzytelniania SSH

Microsoft.Linux.RHEL.5.LogFile.Syslog.Root.SSHAuth.Password.Alert (Rule)

Reguła alertu dotycząca wykrywania użycia hasła użytkownika Root w ramach uwierzytelniania SSH

Knowledge Base article:

Podsumowanie

Wykryto bezpośrednie logowanie przy użyciu hasła konta „root”.

Przyczyny

Użytkownikom mógł zostać przyznany dostęp do kont uprzywilejowanych. Ta zasada alertów umożliwia administratorom systemu śledzenie operacji bezpośredniego logowania przy użyciu hasła konta „root”.

Rozwiązania

Opis alertu i/lub element danych wyjściowych zawiera informacje o napotkanym zdarzeniu. Jeśli zdarzenie wydaje się podejrzane, sprawdź szczegóły odpowiedniego zdarzenia oraz inne zdarzenia, które wystąpiły w bliskim czasie.

Element properties:

TargetMicrosoft.Linux.RHEL.5.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Wykroty zalogowanie do systemu za pośrednictwem usługi SSH przy użyciu hasła użytkownika „root”
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.RHEL.5.LogFile.Syslog.Root.SSHAuth.Password.Alert" Target="Microsoft.Linux.RHEL.5.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <!-- [TYPE] Redhat5 SSH True -->

  <!-- [INPUT] Jul 31 18:40:21 scxcore-rhel50-01 sshd[16525]: Accepted password for root from 172.30.181.43 port 2039 ssh2 -->

  <!-- [INPUT] Jul 31 20:04:31 scxcore-rhel50-01 sshd[16729]: Accepted publickey for root from 172.30.182.25 port 35550 ssh2 -->

  <!-- [INPUT-MISS] Jul 31 20:03:52 scxcore-rhel50-01 sshd[16696]: Accepted password for jonas from 172.30.181.43 port 4893 ssh2 -->

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <RegExpFilter>\s+sshd\[[[:digit:]]+\]: Accepted \S+ for root from \S+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.RHEL.5.LogFile.Syslog.Root.SSHAuth.Password.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>