Home
  •  

Waarschuwingsregel voor mislukte SSH-verificatie

Microsoft.Linux.Universal.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert (Rule)

Waarschuwingsregel voor de detectie van SSH verificatiefouten.

Knowledge Base article:

Samenvatting

Er is een SSH-verificatiefout voor het root-account in de systeemlogboekbestanden gevonden.

Configuratie

Deze regel is standaard uitgeschakeld. De regel kan worden ingeschakeld met een overschrijving die gericht is op een specifiek exemplaar van Universal Linux, alle exemplaren van Universal Linux of een groep exemplaren van Universal Linux. Als deze regel wordt ingeschakeld, moet de parameter RegExpFilter worden overschreven met een reguliere-expressiepatroon dat geschikt is voor de bedoelde combinatie van Linux-besturingssysteem en versie. Systeemlogboekberichten voor specifieke condities kunnen variëren tussen besturingssystemen en versies.

Oorzaken

Een fout wordt mogelijk veroorzaakt door een verkeerd getypt wachtwoord of een poging om een ongeldige gebruikersnaam te gebruiken. Een permanente storing kan echter wel een indicatie zijn dat iemand probeert onbevoegd toegang te krijgen.

Oplossingen

De beschrijving van de waarschuwing en/of het uitvoergegevensitem bevat informatie over het probleem dat is opgetreden. Als er een fout optreedt, controleert u de details van de bijbehorende gebeurtenis en alle andere gebeurtenissen die rond dezelfde tijd hebben plaatsgevonden om de oorzaak van het probleem op te sporen.

Element properties:

TargetMicrosoft.Linux.Universal.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
SSH-verificatiefout gedetecteerd
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.Universal.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert" Target="Universal!Microsoft.Linux.Universal.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Redhat6 SSH False -->

    <!-- [INPUT] Dec  6 01:48:30 scxcrd64-rhel6-01 sshd[15029]: Failed password for root from 172.30.170.58 port 18319 ssh2 -->

    <!-- [INPUT] Jul 31 20:06:25 scxcrd64-rhel6-01 sshd[16764]: Failed password for invalid user root from 172.30.181.43 port 2899 ssh2 -->

    <!-- [INPUT-MISS] Dec  6 01:49:18 scxcrd64-rhel6-01 sshd[15053]: Failed password for zoyang from 172.30.170.58 port 18320 ssh2 -->

    <!-- [INPUT-MISS] Dec  7 22:44:00 scxcrd64-rhel6-01 sshd[19637]: Failed password for invalid user jasd from 172.30.168.209 port 34514 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <RegExpFilter>\s+sshd\[[[:digit:]]+\]: Failed password for (invalid user )?root from \S+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.Universal.LogFile.Syslog.SSHAuth.PAM.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>