PAM SSH yoluyla Kök Kimlik Doğrulamasının algılanması için uyarı kuralı
Kök hesaba doğrudan oturum açma algılandı.
Kullanıcılara ayrıcalıklı hesaplara erişim izni verilmiş olabilir. Bu izleyici sistem yöneticilerine kök kullanıcı olarak doğrudan oturum açmaları izleme izni verir.
Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan olayla ilgili bilgiler içerir. Bu olay şüpheli görünürse, lütfen ilişkili olay ayrıntılarını ve bu olay gerçekleştiği sırada meydana gelen diğer olayları denetleyin.
Target | Microsoft.Linux.SLES.10.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.SLES.10.LogFile.Syslog.SSHAuth.PAM.Root.Success.Alert" Target="Microsoft.Linux.SLES.10.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] SUSE SSH True -->
<!-- [INPUT] Oct 7 16:54:06 sles-101-cjc sshd[31814]: Accepted keyboard-interactive/pam for root from 192.168.233.130 port 59544 ssh2 -->
<!-- [INPUT] Oct 13 11:23:37 sles-101-cjc sshd[26268]: Accepted publickey for root from 192.168.233.130 port 43962 ssh2 -->
<!-- [INPUT-MISS] Oct 7 16:48:23 sles-101-cjc sshd[31574]: Accepted keyboard-interactive/pam for ccrammo from 192.168.233.130 port 44141 ssh2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/messages</LogFile>
<RegExpFilter>\s+sshd\[[[:digit:]]+\]: Accepted \S+ for root from \S+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.SLES.10.LogFile.Syslog.SSHAuth.PAM.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>