Home
  •  

Правило предупреждения для проверки подлинности SSH с привилегированной учетной записью

Microsoft.Linux.RHEL.5.LogFile.Syslog.Root.SSHAuth.Password.Alert (Rule)

Правило предупреждения для определения пароля корневой учетной записи с помощью проверки подлинности SSH.

Knowledge Base article:

Сводка

Обнаружен прямой вход с использованием пароля привилегированной учетной записи.

Причины

Возможно, пользователи получили доступ к привилегированным учетным записям. Это правило генерации оповещений дает администраторам возможность отслеживать прямые входы в систему с использованием пароля привилегированной учетной записи.

Решения

В описании предупреждения и (или) элемента выходных данных содержится информация о возникшем событии. Если это событие выглядит подозрительно, просмотрите сведения о связанном событии и любых других событиях, возникших примерно в то же время.

Element properties:

TargetMicrosoft.Linux.RHEL.5.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Обнаружен вход в систему по протоколу SSH с использованием пароля учетной записи root
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.RHEL.5.LogFile.Syslog.Root.SSHAuth.Password.Alert" Target="Microsoft.Linux.RHEL.5.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <!-- [TYPE] Redhat5 SSH True -->

  <!-- [INPUT] Jul 31 18:40:21 scxcore-rhel50-01 sshd[16525]: Accepted password for root from 172.30.181.43 port 2039 ssh2 -->

  <!-- [INPUT] Jul 31 20:04:31 scxcore-rhel50-01 sshd[16729]: Accepted publickey for root from 172.30.182.25 port 35550 ssh2 -->

  <!-- [INPUT-MISS] Jul 31 20:03:52 scxcore-rhel50-01 sshd[16696]: Accepted password for jonas from 172.30.181.43 port 4893 ssh2 -->

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <RegExpFilter>\s+sshd\[[[:digit:]]+\]: Accepted \S+ for root from \S+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.RHEL.5.LogFile.Syslog.Root.SSHAuth.Password.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>