Home
  •  

Regra do Alerta do SSH com Falha

Microsoft.Solaris.11.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert (Rule)

Regra do alerta para mensagens "SSH como raiz" com falha.

Knowledge Base article:

Resumo

Foi detetada uma falha de Autenticação SSH da conta de raiz nos ficheiros de registo do sistema.

Configuração

Esta regra está desativada por predefinição. Para ativar esta regra para a monitorização, utilize substituições para configurar o caminho do ficheiro de registo e ativar a regra. O caminho do ficheiro de registo está definido com a propriedade substituível com o nome LogFile, e o valor tem de ser definido para o caminho completo para o ficheiro de registo que vai receber estes eventos, tal como definido na configuração do syslog. As substituições podem ser utilizadas para alterar os valores de parâmetros de todas as instâncias ou de instâncias ou grupos específicos.

Causas

Uma falha pode ser causada por uma palavra-passe escrita incorretamente ou uma tentativa de utilizar um nome de utilizador inválido. No entanto, uma falha persistente pode ser uma indicação de que alguém está a tentar obter acesso não autorizado.

Resoluções

A descrição do alerta e/ou do item de dados de saída contém informações sobre o problema encontrado. Se ocorrer uma falha, verifique os detalhes do evento associado e quaisquer outros eventos que tenham acontecido perto da hora desta falha para diagnosticar o problema.

Element properties:

TargetMicrosoft.Solaris.11.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Falha do SSH como Raiz detetada
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Solaris.11.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert" Target="Microsoft.Solaris.11.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Solaris SSH False -->

    <!-- [INPUT] Nov 30 16:43:58 jeffcof-sol11-x86 sshd[1381]: [ID 800047 auth.notice] Failed keyboard-interactive for root from ::1 port 33798 ssh2 -->

    <!-- [INPUT-MISS] Nov 30 16:43:58 jeffcof-sol11-x86 sshd[1381]: [ID 800047 auth.notice] Failed keyboard-interactive for jeffcof from ::1 port 33798 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/authlog</LogFile>

      <RegExpFilter>sshd\[[[:digit:]]+\]: \[.*\] Failed (keyboard-interactive|publickey) for root from [^[:space:]]+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Solaris.11.LogFile.Syslog.SSHAuth.PAM.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>