Upozornění zabezpečení starší verze Defenderu pro zařízení IoT
Poznámka:
Starší verzi agenta Microsoft Defenderu pro IoT nahradilo naše novější prostředí mikro-agentů. Další informace najdete v tématu Kurz: Zkoumání výstrah zabezpečení.
Od 31. března 2022 se starší verze agenta ukončuje a nevyvíjí se žádné nové funkce. Starší verze agenta bude plně vyřazena 31. března 2023. V tomto okamžiku už nebudeme poskytovat opravy chyb ani jinou podporu starší verze agenta.
Defender pro IoT průběžně analyzuje vaše řešení IoT pomocí pokročilých analýz a analýzy hrozeb, aby vás upozornil na škodlivou aktivitu. Kromě toho můžete vytvářet vlastní výstrahy na základě vašich znalostí o očekávaném chování zařízení. Výstraha funguje jako indikátor potenciálního ohrožení zabezpečení a měla by být vyšetřována a odstraněna.
V tomto článku najdete seznam předdefinovaných upozornění, která se dají aktivovat na vašich zařízeních IoT. Kromě předdefinovaných upozornění vám Defender pro IoT umožňuje definovat vlastní výstrahy na základě očekávaného chování ioT Hubu nebo zařízení. Další informace najdete v tématu přizpůsobitelné výstrahy.
Výstrahy zabezpečení založené na agentech
| Název | Závažnost | Zdroj dat | Popis | Navrhované kroky nápravy |
|---|---|---|---|---|
| Vysoká závažnost | ||||
| Binární příkazový řádek | Vysoká | Starší verze agenta Defender-IoT-micro-agent | Byl zjištěn binární soubor LA Linux, který se volá nebo spouští z příkazového řádku. Tento proces může být legitimní aktivitou nebo indikací, že je vaše zařízení ohroženo. | Zkontrolujte příkaz s uživatelem, který ho spustil, a zkontrolujte, jestli se na zařízení neočekává, jestli se jedná o něco legitimního. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Zakázání brány firewall | Vysoká | Starší verze agenta Defender-IoT-micro-agent | Možná manipulace s bránou firewall na hostiteli byla zjištěna. Aktéři se zlými úmysly často zakážou bránu firewall na hostiteli při pokusu o exfiltraci dat. | Zkontrolujte uživatele, který spustil příkaz, a ověřte, jestli se jedná o legitimní očekávanou aktivitu na zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Detekce přesměrování portů | Vysoká | Starší verze agenta Defender-IoT-micro-agent | Byla zjištěna inicializace přesměrování portů na externí IP adresu. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Možné pokusy o zakázání zjištěného protokolování auditování | Vysoká | Starší verze agenta Defender-IoT-micro-agent | Systém Auditd linuxu poskytuje způsob, jak sledovat informace související se zabezpečením v systému. Systém zaznamenává co nejvíce informací o událostech, které se v systému děje. Tyto informace jsou zásadní pro klíčové prostředí k určení, kdo porušil zásady zabezpečení a akce, které provedly. Zakázání protokolování auditování může bránit vaší schopnosti zjišťovat porušení zásad zabezpečení používaných v systému. | Obraťte se na vlastníka zařízení, jestli se jedná o legitimní aktivitu z obchodních důvodů. Pokud ne, tato událost může skrýt aktivitu škodlivých herců. Okamžitě eskaloval incident týmu zabezpečení informací. |
| Obrácené prostředí | Vysoká | Starší verze agenta Defender-IoT-micro-agent | Analýza hostitelských dat na zařízení zjistila potenciální reverzní prostředí. Reverzní prostředí se často používají k získání ohroženého počítače pro volání zpět do počítače řízeného škodlivým aktérem. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Úspěšný pokus o hrubou silou | Vysoká | Starší verze agenta Defender-IoT-micro-agent | Bylo zjištěno více neúspěšných pokusů o přihlášení a úspěšné přihlášení. Pokus o útok hrubou silou mohl být na zařízení úspěšný. | Zkontrolujte upozornění hrubou silou SSH a aktivitu na zařízeních. Pokud byla aktivita škodlivá: Zavedení resetování hesla pro ohrožené účty Prozkoumejte a opravte (pokud se našlo) zařízení pro malware. |
| Úspěšné místní přihlášení | Vysoká | Starší verze agenta Defender-IoT-micro-agent | Úspěšné místní přihlášení k zjištěnému zařízení | Ujistěte se, že přihlášený uživatel je autorizovanou stranou. |
| Webové prostředí | Vysoká | Starší verze agenta Defender-IoT-micro-agent | Zjistilo se možné webové prostředí. Aktéři se zlými úmysly obvykle nahrávají webové prostředí do ohroženého počítače, aby získali trvalost nebo další zneužití. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Střední závažnost | ||||
| Chování podobné běžnému linuxovém robotovi se zjistilo | Střední | Starší verze agenta Defender-IoT-micro-agent | Spuštění procesu obvykle spojeného s běžnými zjištěnými linuxovými botnety. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Zjistilo se chování podobné ransomwaru Fairware | Střední | Starší verze agenta Defender-IoT-micro-agent | Provádění příkazů rm -rf použitých na podezřelá umístění zjištěná pomocí analýzy hostitelských dat. Vzhledem k tomu, že rm -rf rekurzivně odstraní soubory, obvykle se používá pouze u diskrétních složek. V tomto případě se používá v umístění, které by mohlo odebrat velké množství dat. Fairware ransomware je známo, že v této složce spouští příkazy rm -rf. | Zkontrolujte uživatele, který spustil příkaz, že se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Chování podobné ransomwaru zjištěnému | Střední | Starší verze agenta Defender-IoT-micro-agent | Spuštění souborů podobných známému ransomwaru, které může uživatelům zabránit v přístupu ke svému systému nebo osobním souborům a může požadovat platbu výkupného, aby znovu získali přístup. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Zjistila se image kontejneru mineru kryptografických mincí | Střední | Starší verze agenta Defender-IoT-micro-agent | Kontejner rozpoznává spuštění známých obrázků dolování digitálních měn. | 1. Pokud toto chování není zamýšleno, odstraňte příslušnou image kontejneru. 2. Ujistěte se, že démon Dockeru není přístupný prostřednictvím nebezpečného soketu TCP. 3. Eskalujte výstrahu týmu zabezpečení informací. |
| Obrázek mineru kryptografických mincí | Střední | Starší verze agenta Defender-IoT-micro-agent | Bylo zjištěno provádění procesu spojeného s dolováním digitální měny. | Ověřte u uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Zjištění podezřelého použití příkazu nohup | Střední | Starší verze agenta Defender-IoT-micro-agent | Podezřelé použití příkazu nohup na zjištěném hostiteli. Aktéři se zlými úmysly obvykle spouští příkaz nohup z dočasného adresáře, což umožňuje jejich spustitelným souborům běžet na pozadí. Zobrazení tohoto příkazu spuštěného u souborů umístěných v dočasném adresáři není očekávané nebo obvyklé chování. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Zjištění podezřelého použití příkazu useradd | Střední | Starší verze agenta Defender-IoT-micro-agent | Podezřelé použití příkazu useradd zjištěného v zařízení. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Zveřejnění démona Dockeru pomocí soketu TCP | Střední | Starší verze agenta Defender-IoT-micro-agent | Protokoly počítačů označují, že proces démon Dockeru (dockerd) zveřejňuje soket TCP. Ve výchozím nastavení konfigurace Dockeru nepoužívá šifrování ani ověřování, pokud je povolený soket TCP. Výchozí konfigurace Dockeru umožňuje úplný přístup k procesu démona Dockeru, a to kýmkoli, kdo má přístup k příslušnému portu. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Místní přihlášení se nezdařilo. | Střední | Starší verze agenta Defender-IoT-micro-agent | Zjistil se neúspěšný místní pokus o přihlášení k zařízení. | Ujistěte se, že k zařízení nemá fyzický přístup žádná neoprávněná strana. |
| Zjistilo se stahování souborů ze známého škodlivého zdroje. | Střední | Starší verze agenta Defender-IoT-micro-agent | Stažení souboru ze známého zdroje malwaru bylo zjištěno. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Zjištěn přístup k souboru htaccess | Střední | Starší verze agenta Defender-IoT-micro-agent | Analýza hostitelských dat zjistila možnou manipulaci se souborem htaccess. Htaccess je výkonný konfigurační soubor, který umožňuje provádět více změn webového serveru se softwarem Apache Web, včetně základních funkcí přesměrování a pokročilejších funkcí, jako je základní ochrana heslem. Aktéři se zlými úmysly často upravují soubory htaccess na ohrožených počítačích, aby získali trvalost. | Ověřte, že se jedná o legitimní očekávanou aktivitu na hostiteli. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Známý nástroj pro útok | Střední | Starší verze agenta Defender-IoT-micro-agent | Byl zjištěn nástroj často spojený se zlými uživateli, kteří napadnou jiné počítače nějakým způsobem. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Agent IoT se pokusil analyzovat konfiguraci dvojčete modulu a nepodařilo se ho analyzovat. | Střední | Starší verze agenta Defender-IoT-micro-agent | Agent zabezpečení Defenderu pro IoT se nepodařilo analyzovat konfiguraci dvojčete modulu kvůli neshodám typů v objektu konfigurace. | Ověřte konfiguraci dvojčete modulu ve schématu konfigurace agenta IoT a opravte všechny neshody. |
| Zjištění rekognoskace místního hostitele | Střední | Starší verze agenta Defender-IoT-micro-agent | Spuštění příkazu obvykle spojeného s běžnou rekognoskací linuxového robota se zjistilo. | Zkontrolujte podezřelý příkazový řádek a ověřte, že ho provedl legitimní uživatel. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Neshoda mezi interpretem skriptu a příponou souboru | Střední | Starší verze agenta Defender-IoT-micro-agent | Neshoda mezi interpretem skriptu a příponou souboru skriptu poskytnutého při zjištění vstupu. Tento typ neshody se běžně přidruží ke spouštění skriptů útočníka. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Možné zjištění zadního vrátka | Střední | Starší verze agenta Defender-IoT-micro-agent | Podezřelý soubor se stáhl a pak spustil na hostiteli ve vašem předplatném. Tento typ aktivity je běžně přidružený k instalaci zadního vrátka. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Potenciální ztráta zjištěných dat | Střední | Starší verze agenta Defender-IoT-micro-agent | Možná podmínka výchozího přenosu dat byla zjištěna pomocí analýzy hostitelských dat. Aktéři se zlými úmysly často odsunou data z ohrožených počítačů. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Potenciální přepsání běžných souborů | Střední | Starší verze agenta Defender-IoT-micro-agent | Běžný spustitelný soubor se přepíše na zařízení. Škodliví aktéři jsou známi tak, že přepíšou běžné soubory jako způsob, jak skrýt jejich akce nebo jako způsob, jak získat trvalost. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Zjištěný privilegovaný kontejner | Střední | Starší verze agenta Defender-IoT-micro-agent | Protokoly počítačů označují, že je spuštěný privilegovaný kontejner Dockeru. Privilegovaný kontejner má úplný přístup k hostitelským prostředkům. V případě ohrožení zabezpečení může objekt actor se zlými úmysly použít privilegovaný kontejner k získání přístupu k hostitelskému počítači. | Pokud kontejner nemusí běžet v privilegovaném režimu, odeberte z kontejneru oprávnění. |
| Odebrání zjištěných souborů systémových protokolů | Střední | Starší verze agenta Defender-IoT-micro-agent | Zjistilo se podezřelé odebrání souborů protokolu na hostiteli. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Mezera za názvem souboru | Střední | Starší verze agenta Defender-IoT-micro-agent | Spuštění procesu s podezřelým rozšířením detekovaným pomocí analýzy hostitelských dat Podezřelá rozšíření můžou uživatele oklamat, že soubory jsou bezpečné otevřít a mohou indikovat přítomnost malwaru v systému. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Zjistily se podezřelé škodlivé přístupové nástroje pro přístup k přihlašovacím údajům. | Střední | Starší verze agenta Defender-IoT-micro-agent | Detekce použití nástroje běžně spojeného se škodlivými pokusy o přístup k přihlašovacím údajům | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Zjištěná podezřelá kompilace | Střední | Starší verze agenta Defender-IoT-micro-agent | Byla zjištěna podezřelá kompilace. Aktéři se zlými úmysly často kompilují zneužití na ohroženém počítači za účelem eskalace oprávnění. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Podezřelé stahování souborů následované aktivitou spuštění souboru | Střední | Starší verze agenta Defender-IoT-micro-agent | Analýza dat hostitele zjistila soubor, který byl stažen a spuštěn ve stejném příkazu. Tuto techniku běžně používají aktéři se zlými úmysly k získání napadených souborů na počítače obětí. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Podezřelá komunikace s IP adresou | Střední | Starší verze agenta Defender-IoT-micro-agent | Byla zjištěna komunikace s podezřelou IP adresou. | Ověřte, jestli je připojení legitimní. Zvažte blokování komunikace s podezřelou IP adresou. |
| NÍZKÁ závažnost | ||||
| Vymazání historie bashe | Nízká | Starší verze agenta Defender-IoT-micro-agent | Protokol historie Bash se vymaže. Aktéři se zlými úmysly obvykle vymažou historii Bash, aby se v protokolech zobrazovaly vlastní příkazy. | Zkontrolujte uživatele, který spustil příkaz, který aktivita v této výstraze spustil, a zjistěte, jestli ji rozpoznáte jako legitimní aktivitu správy. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. |
| Zařízení bezobslužné | Nízká | Starší verze agenta Defender-IoT-micro-agent | Zařízení za posledních 72 hodin neodeslalo žádná telemetrická data. | Ujistěte se, že je zařízení online a odesílá data. Zkontrolujte, jestli je na zařízení spuštěný agent zabezpečení Azure. |
| Neúspěšný pokus o hrubou silou | Nízká | Starší verze agenta Defender-IoT-micro-agent | Bylo zjištěno více neúspěšných pokusů o přihlášení. Potenciální pokus o útok hrubou silou na zařízení selhal. | Zkontrolujte upozornění hrubou silou SSH a aktivitu na zařízení. Nevyžaduje se žádná další akce. |
| Místní uživatel přidaný do jedné nebo více skupin | Nízká | Starší verze agenta Defender-IoT-micro-agent | Nový místní uživatel přidaný do skupiny na tomto zařízení Změny skupin uživatelů jsou neobvyklé a můžou značit, že herec se zlými úmysly shromažďuje další oprávnění. | Ověřte, jestli je změna konzistentní s oprávněními vyžadovanými ovlivněným uživatelem. Pokud je změna nekonzistentní, předejte týmu zabezpečení informací. |
| Místní uživatel byl odstraněn z jedné nebo více skupin. | Nízká | Starší verze agenta Defender-IoT-micro-agent | Místní uživatel byl odstraněn z jedné nebo více skupin. Je známo, že se pomocí této metody pokusíte odepřít přístup oprávněným uživatelům nebo odstranit historii jejich akcí. | Ověřte, jestli je změna konzistentní s oprávněními vyžadovanými ovlivněným uživatelem. Pokud je změna nekonzistentní, předejte týmu zabezpečení informací. |
| Zjistilo se odstranění místního uživatele. | Nízká | Starší verze agenta Defender-IoT-micro-agent | Odstranění místního uživatele bylo zjištěno. Odstranění místního uživatele je neobvyklé, že se herec se zlými úmysly snaží odepřít přístup legitimním uživatelům nebo odstranit historii svých akcí. | Ověřte, jestli je změna konzistentní s oprávněními vyžadovanými ovlivněným uživatelem. Pokud je změna nekonzistentní, předejte týmu zabezpečení informací. |
Další kroky
- Přehled služby Defender for IoT
- Zjistěte, jak získat přístup k datům zabezpečení.
- Další informace o zkoumání zařízení