Правило предупреждения для успешной проверки SSH от имени привилегированного пользователя
Обнаружен прямой вход с использованием пароля привилегированной учетной записи (root).
Это правило по умолчанию отключено. Чтобы включить это правило при мониторинге, используйте переопределения для настройки пути файла журнала и включения правила. Путь файла журнала задается переопределяемым свойством LogFile, значением которого должен быть полный путь к файлу журнала, куда будут заноситься события согласно конфигурации syslog. Для изменения значений параметров для всех экземпляров или отдельных экземпляров и групп могут использоваться переопределения.
Возможно, пользователи получили доступ к привилегированным учетным записям. Это правило дает администраторам возможность отслеживать прямые входы в систему с паролем привилегированной учетной записи.
В описании предупреждения и (или) элемента выходных данных содержится информация об обнаруженной проблеме. Если возник сбой, то для диагностики проблемы просмотрите сведения о связанном событии и любых других событиях, возникших примерно в то же время.
Target | Microsoft.Solaris.9.Computer | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Solaris.9.LogFile.Syslog.Root.SSHAuth.Password.Alert" Target="Microsoft.Solaris.9.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] Solaris SSH True -->
<!-- [INPUT] Nov 9 16:42:25 scxsun14 sshd[14455]: [ID 800047 auth.info] Accepted keyboard-interactive for root from 10.195.173.73 port 35120 ssh2 -->
<!-- [INPUT-MISS] Nov 9 16:41:32 scxsun14 sshd[14416]: [ID 800047 auth.info] Accepted publickey for jeffcof from 10.195.173.73 port 35119 ssh2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/authlog</LogFile>
<RegExpFilter>[[:space:]]+sshd\[[[:digit:]]+\]: \[.*\] Accepted [^[:space:]]+ for root from [^[:space:]]+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Solaris.9.LogFile.Syslog.Root.SSHAuth.Password.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>