Home
  •  

Reguła alertu dotycząca użycia hasła użytkownika Root w ramach uwierzytelniania SSH

Microsoft.Linux.RHEL.6.LogFile.Syslog.Root.SSHAuth.Password.Alert (Rule)

Reguła alertu dotycząca wykrywania użycia hasła użytkownika Root w ramach uwierzytelniania SSH

Knowledge Base article:

Podsumowanie

Wykryto bezpośrednie logowanie przy użyciu hasła konta „root”.

Przyczyny

Użytkownikom mógł zostać przyznany dostęp do kont uprzywilejowanych. Ta reguła alertów umożliwia administratorom systemu śledzenie operacji bezpośredniego logowania przy użyciu hasła konta „root”.

Rozwiązania

Opis alertu i/lub element danych wyjściowych zawiera informacje o napotkanym zdarzeniu. Jeśli zdarzenie wydaje się podejrzane, sprawdź szczegóły odpowiedniego zdarzenia oraz inne zdarzenia, które wystąpiły w bliskim czasie.

Element properties:

TargetMicrosoft.Linux.RHEL.6.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Wykroty zalogowanie do systemu za pośrednictwem usługi SSH przy użyciu hasła użytkownika „root”
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.RHEL.6.LogFile.Syslog.Root.SSHAuth.Password.Alert" Target="Microsoft.Linux.RHEL.6.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <!-- [TYPE] Redhat6 SSH True -->

  <!-- [INPUT] Dec  6 00:57:45 scxcrd64-rhel6-01 sshd[14769]: Accepted password for root from 10.217.5.101 port 52268 ssh2 -->

  <!-- [INPUT] Jul 31 20:04:31 scxcrd64-rhel6-01 sshd[16729]: Accepted publickey for root from 172.30.182.25 port 35550 ssh2 -->

  <!-- [INPUT-MISS] Dec  6 01:49:37 scxcrd64-rhel6-01 sshd[15053]: Accepted password for zoyang from 172.30.170.58 port 18320 ssh2 -->

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <RegExpFilter>\s+sshd\[[[:digit:]]+\]: Accepted \S+ for root from \S+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.RHEL.6.LogFile.Syslog.Root.SSHAuth.Password.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>