Reguła alertu dotycząca wiadomości o powodzeniu usługi SSH.
Wykryto bezpośrednie logowanie przy użyciu hasła konta „root”.
Ta zasada jest domyślnie wyłączona. Aby włączyć tę zasadę na potrzeby monitorowania, należy przy użyciu zastąpień skonfigurować ścieżkę pliku dziennika i włączyć zasadę. Ścieżka pliku dziennika jest określana za pomocą zastępowalnej właściwości o nazwie LogFile, przy czym wartość ta musi być określona jako pełna ścieżka do pliku dziennika, do którego będą trafiać te zdarzenia, zgodnie z definicją w konfiguracji programu syslog. W celu zmiany wartości parametrów wszystkich wystąpień lub określonych wystąpień bądź grup można użyć zastąpień.
Użytkownikom mógł zostać przyznany dostęp do kont uprzywilejowanych. Ta zasada umożliwia administratorom systemu śledzenie operacji bezpośredniego logowania przy użyciu hasła konta „root”.
Opis alertu i/lub element danych wyjściowych zawiera informacje o napotkanym problemie. Aby zdiagnozować problem w razie błędu, sprawdź szczegóły skojarzonego zdarzenia oraz inne zdarzenia, które wystąpiły w czasie zbliżonym do tej awarii.
Target | Microsoft.Solaris.10.Computer | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Solaris.10.LogFile.Syslog.Root.SSHAuth.Password.Alert" Target="Microsoft.Solaris.10.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] Solaris SSH True -->
<!-- [INPUT] Nov 6 11:33:32 scxsun12 sshd[21671]: [ID 800047 auth.info] Accepted keyboard-interactive for root from 10.195.173.98 port 61677 ssh2 -->
<!-- [INPUT-MISS] Nov 6 13:45:56 scxsun12 sshd[22060]: [ID 800047 auth.info] Accepted publickey for jeffcof from 10.195.173.98 port 61688 ssh2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/authlog</LogFile>
<RegExpFilter>[[:space:]]+sshd\[[[:digit:]]+\]: \[.*\] Accepted [^[:space:]]+ for root from [^[:space:]]+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Solaris.10.LogFile.Syslog.Root.SSHAuth.Password.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>