SSH Kimlik Doğrulaması aracılığıyla Kök Parolası algılamak için uyarı kuralı
Kök hesabı parolası kullanılarak doğrudan oturum açma algılandı.
Bu kural varsayılan olarak devre dışıdır. Belirli Evrensel Linux örnekleri veya bir grup Evrensel Linux örneği hedeflenerek, geçersiz kılma ile etkinleştirilebilir. Bu kural etkinleştirilirse, RegExpFilter parametresi, hedef Linux işletim sistemi ve sürümü için uygun olan bir Normal İfade deseniyle geçersiz kılınmalıdır. Belirli koşullara yönelik sistem günlüğü iletileri, işletim sistemleri ve sürüm arasında farklılık gösterebilir.
Kullanıcılara ayrıcalıklı hesaplara erişim izni verilmiş olabilir. Bu uyarı kuralı, sistem yöneticilerinin kök hesabı parolası kullanılarak doğrudan açılan oturumları izlemesini sağlar.
Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan olayla ilgili bilgiler içerir. Bu olay şüpheli görünürse, ilişkili olay ayrıntılarını ve bu olay gerçekleştiği sırada meydana gelen diğer olayları denetleyin.
Target | Microsoft.Linux.Universal.Computer | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.Universal.LogFile.Syslog.Root.SSHAuth.Password.Alert" Target="Universal!Microsoft.Linux.Universal.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<!-- [TYPE] Redhat6 SSH True -->
<!-- [INPUT] Dec 6 00:57:45 scxcrd64-rhel6-01 sshd[14769]: Accepted password for root from 10.217.5.101 port 52268 ssh2 -->
<!-- [INPUT] Jul 31 20:04:31 scxcrd64-rhel6-01 sshd[16729]: Accepted publickey for root from 172.30.182.25 port 35550 ssh2 -->
<!-- [INPUT-MISS] Dec 6 01:49:37 scxcrd64-rhel6-01 sshd[15053]: Accepted password for zoyang from 172.30.170.58 port 18320 ssh2 -->
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/secure</LogFile>
<RegExpFilter>\s+sshd\[[[:digit:]]+\]: Accepted \S+ for root from \S+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.Universal.LogFile.Syslog.Root.SSHAuth.Password.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>