Home
  •  

Règle d'alerte d'authentification SSH par mot de passe root

Microsoft.Solaris.9.LogFile.Syslog.Root.SSHAuth.Password.Alert (Rule)

Règle d'alerte pour messages de réussite « SSH as root ».

Knowledge Base article:

Résumé

Détection d'une connexion directe utilisant un mot de passe de compte root.

Configuration

Cette règle est désactivée par défaut. Pour activer cette règle à des fins d'analyse, utilisez des remplacements pour configurer le chemin d'accès au fichier journal et activer la règle. Le chemin d'accès au fichier journal est défini avec la propriété substituable nommée LogFile, et la valeur doit être définie sur le chemin d'accès complet au fichier journal qui recevra ces événements, tel que défini dans la configuration syslog. Les remplacements permettent de modifier les valeurs de paramètres pour toutes les instances, ou pour des instances ou groupes spécifiques.

Causes

Des utilisateurs peuvent avoir reçu le droit d'accès à des comptes privilégiés. Cette règle permet aux administrateurs système de suivre les connexions directes utilisant des mots de passe de compte racine.

Résolutions

La description de l'alerte et/ou de l'élément de données de sortie contient des informations sur le problème rencontré. Si un incident se produit, consultez les détails des événements connexes ou des événements survenus à peu près au même moment pour diagnostiquer le problème.

Element properties:

TargetMicrosoft.Solaris.9.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Réussite de la commande SSH as Root détectée
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Solaris.9.LogFile.Syslog.Root.SSHAuth.Password.Alert" Target="Microsoft.Solaris.9.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Solaris SSH True -->

    <!-- [INPUT] Nov  9 16:42:25 scxsun14 sshd[14455]: [ID 800047 auth.info] Accepted keyboard-interactive for root from 10.195.173.73 port 35120 ssh2 -->

    <!-- [INPUT-MISS] Nov  9 16:41:32 scxsun14 sshd[14416]: [ID 800047 auth.info] Accepted publickey for jeffcof from 10.195.173.73 port 35119 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/authlog</LogFile>

      <RegExpFilter>[[:space:]]+sshd\[[[:digit:]]+\]: \[.*\] Accepted [^[:space:]]+ for root from [^[:space:]]+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Solaris.9.LogFile.Syslog.Root.SSHAuth.Password.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>