Waarschuwingsregel voor de SSH-verificatie van het root-wachtwoord - Microsoft.Linux.RHEL.7.LogFile.Syslog.Root.SSHAuth.Password.Alert (Rule) (NLD)

Microsoft.Linux.RHEL.7.LogFile.Syslog.Root.SSHAuth.Password.Alert (Rule)

Waarschuwingsregel voor de detectie van het root-wachtwoord via SSH-verificatie

Knowledge Base article:

Samenvatting

Direct aanmelden met het gedetecteerde wachtwoord voor het root-account.

Oorzaken

Gebruikers hebben mogelijk toegang gekregen tot beschermde accounts. Met deze waarschuwingsregel kunnen systeembeheerders directe aanmeldingen met het root-accountwachtwoord bijhouden.

Oplossingen

De beschrijving van de waarschuwing en/of het uitvoergegevensitem bevat informatie over de gebeurtenis die is opgetreden. Als deze gebeurtenis verdacht lijkt, controleert u de gekoppelde gebeurtenisgegevens en eventuele andere gebeurtenissen die rond de tijd van deze gebeurtenis zijn opgetreden.

Element properties:

Target

Microsoft.Linux.RHEL.7.Computer

Category

EventCollection

Enabled

True

Alert Generate

True

Alert Severity

Information

Alert Priority

Normal

Remotable

True

Alert Message

Aanmelding bij het systeem gedetecteerd via SSH met het root-wachtwoord

{0}

Member Modules:

ID	Module Type	TypeId	RunAs
EventDS	DataSource	Microsoft.Unix.SCXLog.Privileged.Datasource	Default
GenerateAlert	WriteAction	System.Health.GenerateAlert	Default

Module Type

TypeId

RunAs

EventDS

DataSource

Microsoft.Unix.SCXLog.Privileged.Datasource

Default

GenerateAlert

WriteAction

System.Health.GenerateAlert

Default

Source Code:

<Rule ID="Microsoft.Linux.RHEL.7.LogFile.Syslog.Root.SSHAuth.Password.Alert" Target="Microsoft.Linux.RHEL.7.Computer" Enabled="true" Remotable="true"> <Category>EventCollection</Category>     <DataSources> <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource"> <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host> <LogFile>/var/log/secure</LogFile> <RegExpFilter>\s+sshd\[[[:digit:]]+\]: Accepted \S+ for root from \S+</RegExpFilter> <IndividualAlerts>false</IndividualAlerts> </DataSource> </DataSources> <WriteActions> <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert"> <Priority>1</Priority> <Severity>0</Severity> <AlertMessageId>$MPElement[Name="Microsoft.Linux.RHEL.7.LogFile.Syslog.Root.SSHAuth.Password.AlertMessage"]$</AlertMessageId> <AlertParameters> <AlertParameter1>$Data/EventDescription$</AlertParameter1> </AlertParameters> <Suppression> <SuppressionValue/> </Suppression> </WriteAction> </WriteActions> </Rule>