Raccolta di eventi di micro-agenti
Gli agenti di sicurezza di Defender per IoT raccolgono i dati e gli eventi di sistema dal dispositivo locale e inviano i dati al cloud di Azure per l'elaborazione.
Nota
Defender per IoT prevede di ritirare il micro agente il 1° agosto 2025.
Se è stata configurata e connessa un'area di lavoro Log Analytics, questi eventi verranno visualizzati in Log Analytics. Per altre informazioni, vedere Esercitazione: Analizzare gli avvisi di sicurezza.
L'agente micro Defender per IoT raccoglie molti tipi di eventi del dispositivo, inclusi i nuovi processi e tutti i nuovi eventi di connessione. Sia il nuovo processo che i nuovi eventi di connessione possono verificarsi frequentemente in un dispositivo. Questa funzionalità è importante per la sicurezza completa, tuttavia, il numero di messaggi inviati dagli agenti di sicurezza può soddisfare rapidamente o superare la quota dell'hub IoT e i limiti dei costi. Questi messaggi ed eventi contengono informazioni di sicurezza estremamente importanti che sono fondamentali per proteggere il dispositivo.
Per ridurre il numero di messaggi e costi mantenendo al tempo stesso la sicurezza del dispositivo, gli agenti di Defender per IoT aggregano i tipi di eventi seguenti:
Eventi di processo (solo Linux)
Eventi di attività di rete
Eventi del file system
Eventi delle statistiche
Per altre informazioni, vedere Aggregazione di eventi per l'agente di raccolta di processi e di rete.
Gli agenti di raccolta basati su eventi sono agenti di raccolta attivati in base all'attività corrispondente dall'interno del dispositivo. Ad esempio: a process was started in the device.
Gli agenti di raccolta basati su trigger sono agenti di raccolta attivati in modo pianificato in base alle configurazioni del cliente.
Eventi di processo (agente di raccolta basato su eventi)
Gli eventi di processo sono supportati nei sistemi operativi Linux.
Gli eventi di processo sono considerati identici quando la riga di comando e l'id utente sono identici.
Il buffer predefinito per gli eventi di processo è 256 processi. Quando viene raggiunto questo limite, verrà eseguito il ciclo del buffer e l'evento del processo meno recente viene eliminato per fare spazio per l'evento elaborato più recente. Verrà registrato un avviso per aumentare le dimensioni della cache.
I dati raccolti per ogni evento sono:
| Parametro | Descrizione |
|---|---|
| Timestamp: | La prima volta che è stato osservato il processo. |
| process_id | PID linux. |
| parent_process_id | PID padre di Linux, se esistente. |
| Commandline | Riga di comando. |
| Type | Può essere fork o exec. |
| hit_count | Conteggio aggregato. Numero di esecuzioni dello stesso processo, nello stesso intervallo di tempo, fino a quando gli eventi non vengono inviati al cloud. |
Eventi dell'attività di rete (agente di raccolta basato su eventi)
Gli eventi di attività di rete sono considerati identici quando la porta locale, la porta remota, il protocollo di trasporto, l'indirizzo locale e l'indirizzo remoto sono identici.
Il buffer predefinito per un evento di attività di rete è 256. Per situazioni in cui la cache è piena:
Dispositivi Eclipse ThreadX: nessun nuovo evento di rete verrà memorizzato nella cache fino all'avvio del ciclo di raccolta successivo.
Dispositivi Linux: l'evento meno recente verrà sostituito da ogni nuovo evento. Verrà registrato un avviso per aumentare le dimensioni della cache.
Per i dispositivi Linux è supportato solo IPv4.
I dati raccolti per ogni evento sono:
| Parametro | Descrizione |
|---|---|
| Indirizzo locale | Indirizzo di origine della connessione. |
| Indirizzo remoto | Indirizzo di destinazione della connessione. |
| Porta locale | Porta di origine della connessione. |
| Porta remota | Porta di destinazione della connessione. |
| Bytes_in | Byte RX aggregati totali della connessione. |
| Bytes_out | Byte TX aggregati totali della connessione. |
| Transport_protocol | Può essere TCP, UDP o ICMP. |
| Protocollo applicativo | Protocollo dell'applicazione associato alla connessione. |
| Proprietà estese | Dettagli aggiuntivi della connessione. Ad esempio: host name. |
| Passaggi | Numero di pacchetti osservati |
Agente di raccolta account di accesso (agente di raccolta basato su eventi)
L'agente di raccolta account di accesso raccoglie gli accessi utente, le disconnessioni e i tentativi di accesso non riusciti.
L'agente di raccolta Account di accesso supporta i tipi di metodi di raccolta seguenti:
UTMP e SYSLOG. UTMP intercetta gli eventi interattivi SSH, gli eventi telnet e gli account di accesso del terminale, nonché tutti gli eventi di accesso non riusciti da SSH, telnet e terminale. Se SYSLOG è abilitato nel dispositivo, l'agente di raccolta account di accesso raccoglie anche gli eventi di accesso SSH tramite il file SYSLOG denominato auth.log.
Moduli di autenticazione collegabili (PAM). Raccoglie eventi di accesso SSH, telnet e locali. Per altre informazioni, vedere Configurare Moduli di autenticazione collegabili (PAM) per verificare gli eventi di accesso.
Vengono raccolti i dati seguenti:
| Parametro | Descrizione |
|---|---|
| operation | I tipi validi sono: Login, Logout, LoginFailed |
| process_id | PID linux. |
| user_name | L'utente Linux. |
| file eseguibile | Dispositivo terminale. Ad esempio, tty1..6 o pts/n. |
| remote_address | Origine della connessione, un indirizzo IP remoto in formato IPv6 o IPv4 o 127.0.0.1/0.0.0.0 per indicare la connessione locale. |
Informazioni di sistema (agente di raccolta basato su trigger)
I dati raccolti per ogni evento sono:
| Parametro | Descrizione |
|---|---|
| hardware_vendor | Nome del fornitore del dispositivo. |
| hardware_model | Il numero di modello del dispositivo. |
| os_dist | Distribuzione del sistema operativo. Ad esempio: Linux. |
| os_version | Versione del sistema operativo. Ad esempio, Windows 10 o Ubuntu 20.04.1. |
| os_platform | Sistema operativo del dispositivo. |
| os_arch | Architettura del sistema operativo. Ad esempio: x86_64. |
| agent_type | Tipo dell'agente (Edge/Standalone). |
| agent_version | Versione dell'agente. |
| schede di interfaccia di rete | Controller dell'interfaccia di rete. Di seguito è riportato l'elenco completo delle proprietà. |
Le proprietà delle schede di interfaccia di rete sono composte dagli elementi seguenti;
| Parametro | Descrizione |
|---|---|
| type | Uno dei valori seguenti: UNKNOWN, ETH, WIFI, MOBILE o SATELLITE. |
| vlan | Lan virtuale associata all'interfaccia di rete. |
| fornitore | Fornitore del controller di rete. |
| info | IPS e MAC associati al controller di rete. Sono inclusi i campi seguenti; - ipv4_address: indirizzo IPv4. - ipv6_address: indirizzo IPv6. - mac: indirizzo MAC. |
Baseline (agente di raccolta basato su trigger)
L'agente di raccolta baseline esegue controlli CIS periodici e i risultati del controllo non riuscito, riuscito e ignora vengono inviati al servizio cloud Defender per IoT. Defender per IoT aggrega i risultati e fornisce raccomandazioni in base a eventuali errori.
I dati raccolti per ogni evento sono:
| Parametro | Descrizione |
|---|---|
| Controllare l'ID | In formato CIS. Ad esempio: CIS-debian-9-Filesystem-1.1.2. |
| Controllare il risultato | Può essere Fail, Pass, Skip o Error. Ad esempio, Error in una situazione in cui il controllo non può essere eseguito. |
| Errore | Informazioni e descrizione dell'errore. |
| Descrizione | Descrizione del controllo da CIS. |
| Correzione | Raccomandazione per la correzione da CIS. |
| Gravità | Livello di gravità. |
SBoM (agente di raccolta basato su trigger)
L'agente di raccolta SBoM (Software Bill of Materials) raccoglie periodicamente i pacchetti installati nel dispositivo.
I dati raccolti in ogni pacchetto includono:
| Parametro | Description |
|---|---|
| Nome | Nome del pacchetto. |
| Versione | Versione del pacchetto. |
| Fornitore | Fornitore del pacchetto, ovvero il campo Maintainer nei pacchetti deb. |
Eventi periferici (agente di raccolta basato su eventi)
L'agente di raccolta eventi Peripheral raccoglie connessioni e disconnessioni di eventi USB e Ethernet.
I campi raccolti dipendono dal tipo di evento:
Eventi USB
| Parametro | Descrizione |
|---|---|
| Timestamp: | Ora in cui si è verificato l'evento. |
| ActionType | Indica se l'evento è stato un evento di connessione o disconnessione. |
| bus_number | Identificatore del controller specifico, ogni dispositivo USB può averne diversi. |
| kernel_device_number | Rappresentazione nel kernel del dispositivo, non univoca e che può essere usata ogni volta che il dispositivo è connesso. |
| device_class | Identificatore che specifica la classe del dispositivo. |
| device_subclass | Identificatore che specifica il tipo di dispositivo. |
| device_protocol | Identificatore che specifica il protocollo del dispositivo. |
| interface_class | Nel caso in cui la classe di dispositivo sia 0, indicare il tipo di dispositivo. |
| interface_subclass | Nel caso in cui la classe di dispositivo sia 0, indicare il tipo di dispositivo. |
| interface_protocol | Nel caso in cui la classe di dispositivo sia 0, indicare il tipo di dispositivo. |
Eventi Ethernet
| Parametro | Descrizione |
|---|---|
| Timestamp: | Ora in cui si è verificato l'evento. |
| ActionType | Indica se l'evento è stato un evento di connessione o disconnessione. |
| bus_number | Identificatore del controller specifico, ogni dispositivo USB può averne diversi. |
| Nome dell'interfaccia | Nome dell'interfaccia. |
Eventi del file system (agente di raccolta basato su eventi)
L'agente di raccolta eventi del file system raccoglie gli eventi ogni volta che sono presenti modifiche nelle directory di controllo per: creazione, eliminazione, spostamento e modifica di directory e file. Per definire le directory e i file da monitorare, vedere Impostazioni specifiche dell'agente di raccolta informazioni di sistema.
Vengono raccolti i dati seguenti:
| Parametro | Descrizione |
|---|---|
| Timestamp: | Ora in cui si è verificato l'evento. |
| Maschera | Maschera di notifica di Linux relativa all'evento del file system; la maschera identifica il tipo di azione e può essere una delle seguenti: Access/Modified/Metadata changed/Closed/Opened/Moved/Created/Deleted. |
| Percorso | Percorso directory/file in cui è stato generato l'evento. |
| Hitcount | Numero di volte in cui questo evento è stato aggregato. |
Dati delle statistiche (agente di raccolta basato su trigger)
L'agente di raccolta statistiche genera varie statistiche sui diversi agenti di raccolta di micro agenti. Queste statistiche forniscono informazioni sulle prestazioni degli agenti di raccolta nel ciclo di raccolta precedente. Esempi di possibili statistiche includono il numero di eventi inviati correttamente e il numero di eventi eliminati, insieme ai motivi degli errori.
Campi raccolti:
| Parametro | Descrizione |
|---|---|
| Timestamp: | Ora in cui si è verificato l'evento. |
| Nome | Nome dell'agente di raccolta. |
| Eventi | Matrice di coppie formattate come JSON con descrizione e numero di passaggi. |
| Descrizione | Indica se il messaggio è stato inviato/eliminato e il motivo dell'eliminazione. |
| Hitcount | Numero di messaggi corrispondenti. |
Aggregazione di eventi per gli agenti di raccolta processi e di rete
Funzionamento dell'aggregazione di eventi per gli eventi di processo e gli eventi delle attività di rete:
Gli agenti Defender per IoT aggregano gli eventi durante l'intervallo di invio definito nella configurazione della frequenza dei messaggi per ogni agente di raccolta, ad esempio Process_MessageFrequency o NetworkActivity_MessageFrequency. Dopo aver superato il periodo di intervallo di invio, l'agente invia gli eventi aggregati al cloud di Azure per un'ulteriore analisi. Gli eventi aggregati vengono archiviati in memoria fino a quando non vengono inviati al cloud di Azure.
Quando l'agente raccoglie eventi simili a quelli già archiviati in memoria, l'agente aumenterà il numero di riscontri di questo evento specifico per ridurre il footprint di memoria dell'agente. Quando l'intervallo di tempo dell'aggregazione passa, l'agente invia il numero di passaggi di ogni tipo di evento che si è verificato. L'aggregazione di eventi è l'aggregazione dei conteggi dei riscontri di eventi simili. Ad esempio, l'attività di rete con lo stesso host remoto e sulla stessa porta viene aggregata come un evento, anziché come evento separato per ogni pacchetto.
Nota
Per impostazione predefinita, il micro agente invia log e dati di telemetria al cloud a scopo di risoluzione dei problemi e monitoraggio. Questo comportamento può essere configurato o disattivato tramite il gemello.
Passaggi successivi
Per altre informazioni, vedi:
- Configurazioni di micro-agenti
- Controllare gli avvisi di sicurezza di Defender per IoT.