SSH 認証を使用したルート パスワード検出のためのアラート ルール
ルート アカウント パスワードを使用する直接ログインが検出されました。
このルールは、既定では無効になっています。 このルールを有効にするには、特定の Universal Linux インスタンスまたは Universal Linux インスタンスのグループをターゲットにした上書きを使います。 このルールを有効にした場合は、RegExpFilter パラメーターをターゲットの Linux オペレーティング システムとバージョンに適した正規表現パターンで上書きする必要があります。 特定の条件のシステム ログ メッセージは、オペレーティング システムとバージョンによって異なる場合があります。
ユーザーが、特権アカウントへのアクセス許可を付与されている可能性があります。 このアラート ルールは、システム管理者がルート アカウント パスワードを使用して直接ログインを追跡できるようにします。
アラートや出力データ項目の説明には、発生したイベントに関する情報が含まれています。 このイベントに疑問がある場合は、関連イベントの詳細およびこのイベントとほぼ同時刻に発生したその他のイベントを確認してください。
Target | Microsoft.Linux.Universal.Computer | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.Universal.LogFile.Syslog.Root.SSHAuth.Password.Alert" Target="Universal!Microsoft.Linux.Universal.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<!-- [TYPE] Redhat6 SSH True -->
<!-- [INPUT] Dec 6 00:57:45 scxcrd64-rhel6-01 sshd[14769]: Accepted password for root from 10.217.5.101 port 52268 ssh2 -->
<!-- [INPUT] Jul 31 20:04:31 scxcrd64-rhel6-01 sshd[16729]: Accepted publickey for root from 172.30.182.25 port 35550 ssh2 -->
<!-- [INPUT-MISS] Dec 6 01:49:37 scxcrd64-rhel6-01 sshd[15053]: Accepted password for zoyang from 172.30.170.58 port 18320 ssh2 -->
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/secure</LogFile>
<RegExpFilter>\s+sshd\[[[:digit:]]+\]: Accepted \S+ for root from \S+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.Universal.LogFile.Syslog.Root.SSHAuth.Password.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>