PAM SSH yoluyla Kök Kimlik Doğrulamasının algılanması için uyarı kuralı
Kök hesaba doğrudan oturum açma algılandı.
Kullanıcılara ayrıcalıklı hesaplara erişim izni verilmiş olabilir. Bu izleyici sistem yöneticilerine kök kullanıcı olarak doğrudan oturum açmaları izleme izni verir.
Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan olayla ilgili bilgiler içerir. Bu olay şüpheli görünürse, lütfen ilişkili olay ayrıntılarını ve bu olay gerçekleştiği sırada meydana gelen diğer olayları denetleyin.
Target | Microsoft.Linux.SLES.11.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.SLES.11.LogFile.Syslog.SSHAuth.PAM.Root.Success.Alert" Target="Microsoft.Linux.SLES.11.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] SUSE SSH True -->
<!-- [INPUT] Oct 7 16:42:09 sles11-cjc sshd[18807]: Accepted keyboard-interactive/pam for root from 192.168.233.132 port 17401 ssh2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/messages</LogFile>
<RegExpFilter>\s+sshd\[[[:digit:]]+\]: Accepted \S+ for root from \S+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.SLES.11.LogFile.Syslog.SSHAuth.PAM.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>