Home
  •  

Regra de alerta de Falha na Autenticação SSH

Microsoft.Linux.RHEL.7.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert (Rule)

Regra de alerta para a detecção de falhas de Autenticação SSH.

Knowledge Base article:

Resumo

Foi detectada uma falha de autenticação SSH para a conta raiz nos arquivos de log do sistema.

Causas

Uma falha pode ser causada por senha incorretamente digitada ou tentativa de usar um nome de usuário inválido. No entanto, uma falha persistente poderia ser uma indicação de que alguém está tentando obter acesso não autorizado.

Resoluções

A descrição do alerta e/ou do item de dados de saída contém informações sobre o problema encontrado. Se ocorrer uma falha, verifique os detalhes do evento relacionado e todos os outros eventos que ocorreram por volta do horário dessa falha para diagnosticar o problema.

Element properties:

TargetMicrosoft.Linux.RHEL.7.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Falha de Autenticação SSH detectada
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.RHEL.7.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert" Target="Microsoft.Linux.RHEL.7.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Redhat7 SSH False -->

    <!-- [INPUT] Dec  6 01:48:30 scxcrd64-rhel7-01 sshd[15029]: Failed password for root from 172.30.170.58 port 18319 ssh2 -->

    <!-- [INPUT] Jul 31 20:06:25 scxcrd64-rhel7-01 sshd[16764]: Failed password for invalid user root from 172.30.181.43 port 2899 ssh2 -->

    <!-- [INPUT-MISS] Dec  6 01:49:18 scxcrd64-rhel7-01 sshd[15053]: Failed password for zoyang from 172.30.170.58 port 18320 ssh2 -->

    <!-- [INPUT-MISS] Dec  7 22:44:00 scxcrd64-rhel7-01 sshd[19637]: Failed password for invalid user jasd from 172.30.168.209 port 34514 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <RegExpFilter>\s+sshd\[[[:digit:]]+\]: Failed password for (invalid user )?root from \S+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.RHEL.7.LogFile.Syslog.SSHAuth.PAM.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>