Başarılı kök olarak SSH iletileri için uyarı kuralı.
Kök hesap parolası kullanılarak doğrudan oturum açma algılandı.
Bu kural varsayılan olarak devre dışıdır. Bu kuralı izleme amacıyla etkinleştirmek için, günlük dosyası yolunu yapılandırmak ve kuralı etkinleştirmek üzere geçersiz kılmaları kullanın. Günlük dosyası LogFile adlı geçersiz kılınabilir özellik ile ayarlanır ve değer syslog yapılandırmasında tanımlandığı şekilde bu olayları alacak olan günlük dosyasının tam yoluna ayarlanmalıdır. Geçersiz kılmalar, tüm örnekler veya belirli örnekler ya da gruplar için parametre değerlerini değiştirmek üzere kullanılabilir.
Kullanıcılara ayrıcalıklı hesaplara erişim izni verilmiş olabilir. Bu kural, sistem yöneticilerine kök hesap parolası kullanılarak doğrudan oturum açmaları izleme izni verir.
Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan sorunla ilgili bilgiler içerir. Bir sorun oluşursa, sorunu tanılamak için ilişkili olay ayrıntılarını ve bu hata gerçekleştiği sırada meydana gelen diğer olayları denetleyin.
Target | Microsoft.Solaris.11.Computer | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Solaris.11.LogFile.Syslog.Root.SSHAuth.Password.Alert" Target="Microsoft.Solaris.11.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] Solaris SSH True -->
<!-- [INPUT] Dec 2 10:53:41 jeffcof-sol11-x86 sshd[1819]: [ID 800047 auth.info] Accepted keyboard-interactive for root from 172.30.170.215 port 38708 ssh2 -->
<!-- [INPUT-MISS] Dec 2 11:00:01 jeffcof-sol11-x86 sshd[1828]: [ID 800047 auth.info] Accepted publickey for jeffcof from 172.30.170.215 port 47999 ssh2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/authlog</LogFile>
<RegExpFilter>[[:space:]]+sshd\[[[:digit:]]+\]: \[.*\] Accepted [^[:space:]]+ for root from [^[:space:]]+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Solaris.11.LogFile.Syslog.Root.SSHAuth.Password.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>