Avvisi di sicurezza per micro agenti
Defender per IoT analizza continuamente la soluzione IoT tramite funzionalità di analisi avanzata e intelligence sulle minacce per avvisare l'utente di attività dannose. È anche possibile creare avvisi personalizzati in base alla conoscenza del comportamento previsto del dispositivo. Un avviso funge da indicatore di potenziale compromissione e deve dare il via a ulteriori operazioni di indagine e correzione.
Nota
Defender per IoT prevede di ritirare il micro agente il 1° agosto 2025.
In questo articolo è disponibile un elenco di avvisi predefiniti che possono essere attivati nei dispositivi IoT.
Avvisi di sicurezza
Gravità alta
| Nome | Gravità | Origine dati | Descrizione | Passaggi per la correzione consigliati | Tipo di avviso |
|---|---|---|---|---|---|
| Riga di comando per file binario | Alto | Micro-agente di Defender per IoT | È stato rilevato un file binario Linux chiamato/eseguito dalla riga di comando. Questo processo può essere un'attività legittima o può indicare che il dispositivo è compromesso. | Verificare il comando con l'utente che lo ha eseguito e controllare se ne è legittimamente prevista l'esecuzione nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_BinaryCommandLine |
| Disabilitare il firewall | Alto | Micro-agente di Defender per IoT | È stata rilevata una possibile manipolazione nel firewall nell'host. Gli attori malintenzionati disabilitano spesso il firewall nell'host nel tentativo di esfiltrare dati. | Verificare con l'utente che ha eseguito il comando per confermare che si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_DisableFirewall |
| Rilevamento di port forwarding | Alto | Micro-agente di Defender per IoT | È stato rilevato l'avvio di port forwarding a un indirizzo IP esterno. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_PortForwarding |
| Rilevamento di un possibile tentativo di disabilitare la registrazione Auditd | Alto | Micro-agente di Defender per IoT | Il sistema Auditd Linux fornisce un modo per tenere traccia delle informazioni rilevanti per la sicurezza nel sistema. Il sistema registra la quantità massima possibile di informazioni sugli eventi che si verificano nel sistema. Queste informazioni sono essenziali per ambienti cruciali per determinare chi ha violato il criterio di sicurezza e quali azioni hanno eseguito. La disabilitazione della registrazione Auditd può impedire la possibilità di individuare violazioni dei criteri di sicurezza usati nel sistema. | Verificare con il proprietario del dispositivo se si è trattato di un'attività legittima con finalità aziendali. In caso contrario, è possibile che questo evento nasconda attività da attori malintenzionati. È stata eseguita immediatamente l'escalation dell'evento imprevisto al team responsabile della sicurezza delle informazioni. | IoT_DisableAuditdLogging |
| Shell inverso | Alto | Micro-agente di Defender per IoT | L'analisi dei dati dell'host in un dispositivo ha rilevato una shell inversa. Le shell inverse vengono spesso usate per fare in modo che un computer compromesso contatti un computer controllato da un attore malintenzionato. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_ReverseShell |
| Accesso locale riuscito | Alto | Micro-agente di Defender per IoT | È stato rilevato un accesso locale riuscito al dispositivo. | Assicurarsi che l'utente connesso sia una parte autorizzata. | IoT_SucessfulLocalLogin |
| Shell Web | Alto | Micro-agente di Defender per IoT | Possibile rilevamento di una web shell. Gli attori malintenzionati caricano comunemente una web shell in un computer compromesso per ottenere la persistenza o per altri tipi di sfruttamento. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_WebShell |
| Rilevamento di un comportamento simile a ransomware | Alto | Micro-agente di Defender per IoT | È stata rilevata l'esecuzione di file simili a un ransomware noto che potrebbe impedire agli utenti di accedere ai rispettivi sistemi o file personali e potrebbe richiedere il pagamento di un riscatto per recuperare l'accesso. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_Ransomware |
| Immagine di strumento che esegue mining di criptovaluta | Alto | Micro-agente di Defender per IoT | È stata rilevata l'esecuzione di un processo normalmente associato al mining di valuta digitale. | Richiedere all'utente che ha eseguito il comando se si è trattato di un'attività legittima nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_CryptoMiner |
| Nuova connessione USB | Alto | Micro-agente di Defender per IoT | È stata rilevata una connessione al dispositivo USB. Ciò può indicare attività dannose. | Verificare che si tratti di un'attività prevista e legittima nell'host. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_USBConnection |
| Disconnessione USB | Alto | Micro-agente di Defender per IoT | È stata rilevata una disconnessione del dispositivo USB. Ciò può indicare attività dannose. | Verificare che si tratti di un'attività prevista e legittima nell'host. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_UsbDisconnection |
| Nuova connessione Ethernet | Alto | Micro-agente di Defender per IoT | È stata rilevata una nuova connessione Ethernet. Ciò può indicare attività dannose. | Verificare che si tratti di un'attività prevista e legittima nell'host. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_EthernetConnection |
| Disconnessione Ethernet | Alto | Micro-agente di Defender per IoT | È stata rilevata una nuova disconnessione Ethernet. Ciò può indicare attività dannose. | Verificare che si tratti di un'attività prevista e legittima nell'host. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_EthernetDisconnection |
| Nuovo file creato | Alto | Micro-agente di Defender per IoT | È stato rilevato un nuovo file. Ciò può indicare attività dannose. | Verificare che si tratti di un'attività prevista e legittima nell'host. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_FileCreated |
| File modificato | Alto | Micro-agente di Defender per IoT | È stata rilevata una modifica del file. Ciò può indicare attività dannose. | Verificare che si tratti di un'attività prevista e legittima nell'host. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_FileModified |
| File eliminato | Alto | Micro-agente di Defender per IoT | È stata rilevata l'eliminazione di un file. Ciò può indicare attività dannose. | Verificare che si tratti di un'attività prevista e legittima nell'host. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_FileDeleted |
Gravità media
| Nome | Gravità | Origine dati | Descrizione | Passaggi per la correzione consigliati | Tipo di avviso |
|---|---|---|---|---|---|
| Rilevato comportamento simile a bot di Linux comuni | Medio | Micro-agente di Defender per IoT | È stata rilevata l'esecuzione di un processo normalmente associato a botnet Linux comuni. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_CommonBots |
| Rilevato comportamento simile al ransomware Fairware | Medio | Micro-agente di Defender per IoT | È stata rilevata l'esecuzione di comandi rm -rf applicata a posizioni sospette mediante l'analisi dei dati dell'host. Poiché rm -rf elimina in modo ricorsivo i file, in genere viene usato solo nelle cartelle discrete. In questo caso, viene usato in un percorso che potrebbe rimuovere una grande quantità di dati. Il ransomware Fairware è noto per l'esecuzione di comandi rm -rf in questa cartella. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_FairwareMalware |
| Rilevamento di immagine di contenitore che esegue mining di criptovaluta | Medio | Micro-agente di Defender per IoT | È stato rilevato un contenitore che esegue immagini note di mining di valuta digitale. | 1. Se questo comportamento non è voluto, eliminare l'immagine del contenitore pertinente. 2. Assicurarsi che il daemon Docker non sia accessibile tramite un socket TCP non sicuro. 3. Inoltrare l'avviso al team di sicurezza delle informazioni. |
IoT_CryptoMinerContainer |
| Rilevato uso sospetto del comando nohup | Medio | Micro-agente di Defender per IoT | È stato rilevato un uso sospetto del comando nohup nell'host. Gli attori malintenzionati eseguono comunemente il comando nohup da una directory temporanea, consentendo l'esecuzione efficiente dei rispettivi file eseguibili in background. La visualizzazione dell'esecuzione di questo comando nei file che si trovano in una directory temporanea non è un comportamento previsto o consueto. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_SuspiciousNohup |
| Rilevato uso sospetto del comando useradd | Medio | Micro-agente di Defender per IoT | È stato rilevato un uso sospetto del comando useradd nel dispositivo. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_SuspiciousUseradd |
| Daemon Docker esposto dal socket TCP | Medio | Micro-agente di Defender per IoT | I log del computer indicano che il daemon Docker (dockerd) espone un socket TCP. Per impostazione predefinita, la configurazione di Docker non usa la crittografia o l'autenticazione quando è abilitato un socket TCP. La configurazione predefinita di Docker consente l'accesso completo al daemon Docker da qualsiasi utente autorizzato ad accedere alla porta rilevante. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_ExposedDocker |
| Accesso locale non riuscito | Medio | Micro-agente di Defender per IoT | È stato rilevato un tentativo di accesso locale non riuscito nel dispositivo. | Assicurarsi che nessuna parte non autorizzata possa accedere fisicamente al dispositivo. | IoT_FailedLocalLogin |
| Rilevato download di un file da un'origine dannosa | Medio | Micro-agente di Defender per IoT | È stato rilevato il download di un file da un'origine nota di malware. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_PossibleMalware |
| Accesso al file htaccess rilevato | Medio | Micro-agente di Defender per IoT | L'analisi dei dati dell'host ha rilevato una possibile manipolazione di un file htaccess. Htaccess è un file di configurazione avanzato che consente di apportare più modifiche a un server Web che esegue software Web di Apache, che include la funzionalità di reindirizzamento di base e funzioni più avanzate, come la protezione di base della password. Gli attori malintenzionati modificano spesso i file htaccess nei computer compromessi per ottenere la persistenza. | Confermare che si tratta di un'attività prevista legittima nell'host. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_AccessingHtaccessFile |
| Strumento di attacco noto | Medio | Micro-agente di Defender per IoT | È stato rilevato uno strumento spesso associato a utenti malintenzionati che attaccano in qualche modo altri computer. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_KnownAttackTools |
| Rilevata ricognizione dell'host locale | Medio | Micro-agente di Defender per IoT | È stata rilevata l'esecuzione di un comando normalmente associato a una ricognizione comune del bot Linux. | Esaminare la riga di comando sospetta per verificare che sia stata eseguita da un utente legittimo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_LinuxReconnaissance |
| Mancata corrispondenza tra l'interprete di script e l'estensione del file | Medio | Micro-agente di Defender per IoT | L'analisi dei dati dell'host ha rilevato una mancata corrispondenza tra l'interprete di script e l'estensione del file di script fornito come input. Questo tipo di mancata corrispondenza è in genere associato a esecuzioni di script di attacco. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_ScriptInterpreterMismatch |
| Rilevata possibile backdoor | Medio | Micro-agente di Defender per IoT | Un file sospetto è stato scaricato e quindi eseguito in un host nella sottoscrizione. Questo tipo di attività è comunemente associato all'installazione di una backdoor. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_LinuxBackdoor |
| Rilevata possibile perdita di dati | Medio | Micro-agente di Defender per IoT | È stata rilevata una possibile condizione di uscita di dati mediante l'analisi dei dati dell'host. Gli attori malintenzionati estraggono spesso dati in uscita dai computer danneggiati. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_EgressData |
| Rilevato contenitore con privilegi | Medio | Micro-agente di Defender per IoT | I log del computer indicano che è in esecuzione un contenitore Docker con privilegi. Un contenitore con privilegi ha accesso completo alle risorse dell'host. Se viene compromesso, un attore malintenzionato può usare il contenitore con privilegi per ottenere l'accesso al computer host. | Se non è necessario eseguire il contenitore in una modalità con privilegi, rimuovere i privilegi dal contenitore. | IoT_PrivilegedContainer |
| Rilevamento di rimozione di file dei log di sistema | Medio | Micro-agente di Defender per IoT | È stata rilevata una rimozione sospetta dei file di log nell'host. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_RemovelOfSystemLogs |
| Spazio dopo il nome del file | Medio | Micro-agente di Defender per IoT | È stata rilevata l'esecuzione di un processo con un'estensione sospetta mediante l'analisi dei dati dell'host. Le estensioni sospette possono ingannare gli utenti convincendoli che i file possono essere aperti in tutta sicurezza e possono indicare la presenza di malware nel sistema. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_ExecuteFileWithTrailingSpace |
| Rilevamento di strumenti comunemente usati per l'accesso dannoso alle credenziali | Medio | Micro-agente di Defender per IoT | È stato rilevato l'utilizzo di uno strumento comunemente associato a tentativi dannosi di accedere alle credenziali. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_CredentialAccessTools |
| Rilevata compilazione sospetta | Medio | Micro-agente di Defender per IoT | È stata rilevata una compilazione sospetta. Gli attori malintenzionati compilano spesso exploit in un computer compromesso per l'escalation dei privilegi. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_SuspiciousCompilation |
| Download di file sospetto seguito da un'attività di esecuzione file | Medio | Micro-agente di Defender per IoT | L'analisi dei dati dell'host ha rilevato un file scaricato ed eseguito nello stesso comando. Questa tecnica viene usata comunemente dagli attori malintenzionati per inserire file infetti nei computer vittime dell'attacco. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_DownloadFileThenRun |
| Comunicazione con indirizzo IP sospetto | Medio | Micro-agente di Defender per IoT | Sono state rilevate comunicazioni con un indirizzo IP sospetto. | Verificare se la connessione è legittima. Prendere in considerazione il blocco delle comunicazioni con l'IP sospetto. | IoT_TiConnection |
| Richiesta di nome di dominio dannosa | Medio | Micro-agente di Defender per IoT | È stata rilevata un'attività di rete sospetta. Questa attività può essere associata a un attacco che sfrutta un metodo usato da un malware noto. | Disconnettere l'origine dalla rete. Eseguire la risposta agli eventi imprevisti. | IoT_MaliciousNameQueriesDetection |
Gravità bassa
| Nome | Gravità | Origine dati | Descrizione | Passaggi per la correzione consigliati | Tipo di avviso |
|---|---|---|---|---|---|
| Cronologia di Bash cancellata | Basso | Micro-agente di Defender per IoT | Il log della cronologia di Bash è stato cancellato. Gli attori malintenzionati cancellano comunemente la cronologia di Bash per evitare che i rispettivi comandi vengano visualizzati nei log. | Verificare l'attività in questo avviso con l'utente che ha eseguito il comando per determinare se è riconosciuta come attività di amministrazione legittima. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. | IoT_ClearHistoryFile |
Passaggi successivi
- Panoramica del servizio Defender per IoT