Reguła alertu służąca do wykrywania uwierzytelniania przeprowadzanego przy użyciu konta „root” za pośrednictwem programu PAM SSH
Wykryto bezpośrednie logowanie przy użyciu konta „root”.
Użytkownikom mógł zostać przyznany dostęp do kont uprzywilejowanych. Ten monitor umożliwia administratorom systemu śledzenie przypadków bezpośredniego logowania się jako użytkownik root.
Opis alertu i/lub element danych wyjściowych zawiera informacje o napotkanym zdarzeniu. Jeśli to zdarzenie wydaje się podejrzane, sprawdź szczegóły skojarzone ze zdarzeniem oraz wszelkie inne zdarzenia, które wystąpiły w okolicy czasowej tego zdarzenia.
Target | Microsoft.Linux.SLES.9.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.SLES.9.LogFile.Syslog.SSHAuth.PAM.Root.Success.Alert" Target="Microsoft.Linux.SLES.9.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] SUSE SSH True -->
<!-- [INPUT] Jul 6 22:47:41 scxom64-sles9-03 sshd[12904]: Accepted keyboard-interactive/pam for root from 172.30.180.171 port 22635 ssh2 -->
<!-- [INPUT] Oct 13 04:46:19 linux sshd[6834]: Accepted publickey for root from ::ffff:192.168.233.130 port 35342 ssh2 -->
<!-- [INPUT-MISS] Jul 6 22:49:08 scxom64-sles9-03 sshd[12934]: Accepted keyboard-interactive/pam for ccrammo from 172.30.180.171 port 22641 ssh2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/messages</LogFile>
<RegExpFilter>\s+sshd\[[[:digit:]]+\]: Accepted \S+ for root from \S+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.SLES.9.LogFile.Syslog.SSHAuth.PAM.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>