Home
  •  

Regla de alerta de autenticación de SSH mediante contraseña raíz

Microsoft.Linux.Universal.LogFile.Syslog.Root.SSHAuth.Password.Alert (Rule)

Regla de alerta para la detección de contraseña root en la autenticación de SSH

Knowledge Base article:

Resumen

Inicio de sesión directo con la contraseña de la cuenta raíz detectada.

Configuración

Esta regla está deshabilitada de forma predeterminada. Se puede habilitar con una invalidación dirigida a instancias específicas de Universal Linux o a un grupo de instancias de Universal Linux. Si esta regla está habilitada, el parámetro RegExpFilter debe reemplazarse con un patrón de expresión regular que sea adecuado para el sistema operativo Linux de destino y la versión. Los mensajes de registro del sistema para condiciones específicas pueden variar entre sistemas operativos y versiones.

Causas

Es posible que se haya concedido a usuarios el acceso a cuentas con privilegios. Esta regla de alerta permite a los administradores del sistema realizar el seguimiento de los inicios de sesión directos con la contraseña de la cuenta raíz.

Resoluciones

La descripción de la alerta y/o el elemento de datos de salida contiene información sobre el evento detectado. Si este evento parece sospechoso, compruebe los detalles de los eventos asociados, así como cualquier otro evento ocurrido aproximadamente a la hora de este evento.

Element properties:

TargetMicrosoft.Linux.Universal.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Se ha iniciado sesión en el sistema por medio de SSH usando la contraseña "raíz" detectada
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.Universal.LogFile.Syslog.Root.SSHAuth.Password.Alert" Target="Universal!Microsoft.Linux.Universal.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <!-- [TYPE] Redhat6 SSH True -->

  <!-- [INPUT] Dec  6 00:57:45 scxcrd64-rhel6-01 sshd[14769]: Accepted password for root from 10.217.5.101 port 52268 ssh2 -->

  <!-- [INPUT] Jul 31 20:04:31 scxcrd64-rhel6-01 sshd[16729]: Accepted publickey for root from 172.30.182.25 port 35550 ssh2 -->

  <!-- [INPUT-MISS] Dec  6 01:49:37 scxcrd64-rhel6-01 sshd[15053]: Accepted password for zoyang from 172.30.170.58 port 18320 ssh2 -->

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <RegExpFilter>\s+sshd\[[[:digit:]]+\]: Accepted \S+ for root from \S+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.Universal.LogFile.Syslog.Root.SSHAuth.Password.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>