Beveiligingswaarschuwingen voor verouderde Defender for IoT-apparaten
Notitie
De verouderde microsoft Defender for IoT-agent is vervangen door onze nieuwere microagentervaring. Zie Zelfstudie: Beveiligingswaarschuwingen onderzoeken voor meer informatie.
Vanaf 31 maart 2022 is de verouderde agent zonsondergang en worden er geen nieuwe functies ontwikkeld. De verouderde agent wordt op 31 maart 2023 volledig buiten gebruik gesteld. Op dat moment bieden we geen bugfixes meer of andere ondersteuning voor de verouderde agent.
Defender for IoT analyseert uw IoT-oplossing continu met behulp van geavanceerde analyses en bedreigingsinformatie om u te waarschuwen voor schadelijke activiteiten. Daarnaast kunt u aangepaste waarschuwingen maken op basis van uw kennis van het verwachte apparaatgedrag. Een waarschuwing fungeert als een indicator van mogelijke inbreuk en moet worden onderzocht en hersteld.
In dit artikel vindt u een lijst met ingebouwde waarschuwingen die kunnen worden geactiveerd op uw IoT-apparaten. Naast ingebouwde waarschuwingen kunt u met Defender for IoT aangepaste waarschuwingen definiëren op basis van het verwachte Gedrag van IoT Hub en/of apparaten. Zie aanpasbare waarschuwingen voor meer informatie.
Beveiligingswaarschuwingen op basis van agents
| Naam | Ernst | Gegevensbron | Beschrijving | Voorgestelde herstelstappen |
|---|---|---|---|---|
| Hoge ernst | ||||
| Binaire opdrachtregel | Hoog | Verouderde Defender-IoT-microagent | LA Linux binair bestand dat wordt aangeroepen/uitgevoerd vanaf de opdrachtregel is gedetecteerd. Dit proces kan legitieme activiteit zijn of een indicatie dat uw apparaat is aangetast. | Controleer de opdracht met de gebruiker die deze heeft uitgevoerd en controleer of dit iets is dat legitiem op het apparaat wordt uitgevoerd. Zo niet, escaleer de waarschuwing naar uw informatiebeveiligingsteam. |
| Firewall uitschakelen | Hoog | Verouderde Defender-IoT-microagent | Mogelijke manipulatie van de firewall op de host gedetecteerd. Kwaadwillende actoren schakelen de firewall op de host vaak uit in een poging om gegevens te exfiltreren. | Controleer met de gebruiker die de opdracht heeft uitgevoerd om te bevestigen of dit legitieme verwachte activiteit op het apparaat was. Zo niet, escaleer de waarschuwing naar uw informatiebeveiligingsteam. |
| Detectie van port forwarding | Hoog | Verouderde Defender-IoT-microagent | Start van port forwarding naar een extern IP-adres gedetecteerd. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Mogelijke poging om auditd logging gedetecteerd uit te schakelen | Hoog | Verouderde Defender-IoT-microagent | Linux Auditd system biedt een manier om beveiligingsgerelateerde informatie over het systeem bij te houden. Het systeem registreert zoveel mogelijk informatie over de gebeurtenissen die op uw systeem plaatsvinden. Deze informatie is van cruciaal belang voor bedrijfskritieke omgevingen om te bepalen wie het beveiligingsbeleid heeft geschonden en welke acties ze hebben uitgevoerd. Het uitschakelen van auditd logboekregistratie kan voorkomen dat u schendingen van beveiligingsbeleid dat op het systeem wordt gebruikt, detecteert. | Neem contact op met de eigenaar van het apparaat als dit een legitieme activiteit was met zakelijke redenen. Als dit niet het geval is, kan deze gebeurtenis activiteiten verbergen door kwaadwillende actoren. Het incident onmiddellijk geëscaleerd naar uw informatiebeveiligingsteam. |
| Omgekeerde shells | Hoog | Verouderde Defender-IoT-microagent | Bij analyse van hostgegevens op een apparaat is een mogelijke omgekeerde shell gedetecteerd. Omgekeerde shells worden vaak gebruikt om een gecompromitteerde machine terug te roepen naar een computer die wordt beheerd door een kwaadwillende actor. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Geslaagde Bruteforce-poging | Hoog | Verouderde Defender-IoT-microagent | Er zijn meerdere mislukte aanmeldingspogingen geïdentificeerd, gevolgd door een geslaagde aanmelding. Poging tot brute force-aanval is mogelijk geslaagd op het apparaat. | Bekijk de SSH Brute Force-waarschuwing en de activiteit op de apparaten. Als de activiteit schadelijk was: Het opnieuw instellen van wachtwoorden implementeren voor gecompromitteerde accounts. Onderzoek en herstel (indien gevonden) apparaten voor malware. |
| Geslaagde lokale aanmelding | Hoog | Verouderde Defender-IoT-microagent | Geslaagde lokale aanmelding bij het gedetecteerde apparaat | Zorg ervoor dat de aangemelde gebruiker een geautoriseerde partij is. |
| Webshell | Hoog | Verouderde Defender-IoT-microagent | Mogelijke webshell gedetecteerd. Kwaadwillende actoren uploaden meestal een webshell naar een gecompromitteerde machine om persistentie te krijgen of voor verdere exploitatie. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Gemiddelde ernst | ||||
| Behavior similar to common Linux bots detected (Gedrag vergelijkbaar met gangbare Linux-bots gedetecteerd) | Gemiddeld | Verouderde Defender-IoT-microagent | Uitvoering van een proces dat normaal gesproken is gekoppeld aan veelvoorkomende Linux-botnets die zijn gedetecteerd. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Behavior similar to Fairware ransomware detected (Gedrag vergelijkbaar met Fairware-ransomware gedetecteerd) | Gemiddeld | Verouderde Defender-IoT-microagent | Uitvoering van rm-rf-opdrachten die zijn toegepast op verdachte locaties die zijn gedetecteerd met behulp van analyse van hostgegevens. Omdat rm -rf recursief bestanden verwijdert, wordt deze normaal gesproken alleen gebruikt voor discrete mappen. In dit geval wordt deze gebruikt op een locatie die een grote hoeveelheid gegevens kan verwijderen. Het is bekend dat Fairware-ransomware rm -rf-opdrachten uitvoert in deze map. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd. Dit was legitieme activiteit die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Gedrag dat vergelijkbaar is met ransomware gedetecteerd | Gemiddeld | Verouderde Defender-IoT-microagent | Uitvoering van bestanden vergelijkbaar met bekende ransomware die kunnen voorkomen dat gebruikers toegang krijgen tot hun systeem, of persoonlijke bestanden, en kunnen vraag losgeld betaling om weer toegang te krijgen. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Containerinstallatiekopieën van cryptomunten miner gedetecteerd | Gemiddeld | Verouderde Defender-IoT-microagent | Container die bekende digitale valutaanalyse-installatiekopieën detecteert. | 1. Als dit gedrag niet is bedoeld, verwijdert u de relevante containerinstallatiekopieën. 2. Zorg ervoor dat de Docker-daemon niet toegankelijk is via een onveilige TCP-socket. 3. Escaleer de waarschuwing naar het informatiebeveiligingsteam. |
| Afbeelding van miner van cryptomunten | Gemiddeld | Verouderde Defender-IoT-microagent | Uitvoering van een proces dat normaal gesproken is gekoppeld aan de gedetecteerde digitale valutaanalyse. | Controleer met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit op het apparaat was. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Detected suspicious use of the nohup command (Verdacht gebruik van de opdracht nohup gedetecteerd) | Gemiddeld | Verouderde Defender-IoT-microagent | Verdacht gebruik van de nohup-opdracht op de gedetecteerde host. Kwaadwillende actoren voeren meestal de nohup-opdracht uit vanuit een tijdelijke map, waardoor hun uitvoerbare bestanden op de achtergrond kunnen worden uitgevoerd. Deze opdracht wordt uitgevoerd op bestanden die zich in een tijdelijke map bevinden, wordt niet verwacht of normaal gedrag. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Detected suspicious use of the useradd command (Verdacht gebruik van de opdracht useradd gedetecteerd) | Gemiddeld | Verouderde Defender-IoT-microagent | Verdacht gebruik van de useradd-opdracht gedetecteerd op het apparaat. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Docker-daemon beschikbaar gesteld door TCP-socket | Gemiddeld | Verouderde Defender-IoT-microagent | Computerlogboeken geven aan dat uw Docker-daemon (dockerd) een TCP-socket weergeeft. De Docker-configuratie gebruikt standaard geen versleuteling of verificatie wanneer een TCP-socket wordt ingeschakeld. Standaardconfiguratie van Docker maakt volledige toegang tot de Docker-daemon mogelijk door iedereen met toegang tot de relevante poort. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Mislukte lokale aanmelding | Gemiddeld | Verouderde Defender-IoT-microagent | Er is een mislukte lokale aanmeldingspoging naar het apparaat gedetecteerd. | Zorg ervoor dat geen onbevoegde partij fysieke toegang heeft tot het apparaat. |
| Bestandsdownloads van een bekende schadelijke bron gedetecteerd | Gemiddeld | Verouderde Defender-IoT-microagent | Download van een bestand van een bekende malwarebron gedetecteerd. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| htaccess-bestandstoegang gedetecteerd | Gemiddeld | Verouderde Defender-IoT-microagent | Bij analyse van hostgegevens is een mogelijke manipulatie van een htaccess-bestand gedetecteerd. Htaccess is een krachtig configuratiebestand waarmee u meerdere wijzigingen kunt aanbrengen in een webserver waarop Apache Web-software wordt uitgevoerd, waaronder eenvoudige omleidingsfunctionaliteit en geavanceerdere functies, zoals basiswachtwoordbeveiliging. Kwaadwillende actoren wijzigen vaak htaccess-bestanden op gecompromitteerde machines om persistentie te krijgen. | Controleer of dit een legitieme verwachte activiteit op de host is. Zo niet, escaleer de waarschuwing naar uw informatiebeveiligingsteam. |
| Bekende aanvalstool | Gemiddeld | Verouderde Defender-IoT-microagent | Er is vaak een hulpprogramma gedetecteerd dat is gekoppeld aan kwaadwillende gebruikers die andere computers aanvallen. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| IoT-agent heeft geprobeerd en kan de configuratie van de moduledubbel niet parseren | Gemiddeld | Verouderde Defender-IoT-microagent | De Defender for IoT-beveiligingsagent kan de configuratie van de moduledubbel niet parseren vanwege niet-overeenkomende typen in het configuratieobject | Valideer de configuratie van de moduledubbel op basis van het configuratieschema van de IoT-agent en corrigeer alle verschillen. |
| Local host reconnaissance detected (Verkenning van lokale host gedetecteerd) | Gemiddeld | Verouderde Defender-IoT-microagent | Uitvoering van een opdracht die normaal gesproken is gekoppeld aan algemene Verkenning van Linux-bot gedetecteerd. | Controleer de verdachte opdrachtregel om te bevestigen dat deze is uitgevoerd door een legitieme gebruiker. Zo niet, escaleer de waarschuwing naar uw informatiebeveiligingsteam. |
| Niet-overeenkomende script-interpreter en bestandsextensie | Gemiddeld | Verouderde Defender-IoT-microagent | Komt niet overeen tussen de script-interpreter en de extensie van het scriptbestand dat is opgegeven als invoer gedetecteerd. Dit type komt vaak overeen met uitvoeringen van aanvallersscripts. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Mogelijke achterdeur gedetecteerd | Gemiddeld | Verouderde Defender-IoT-microagent | Er is een verdacht bestand gedownload en vervolgens uitgevoerd op een host in uw abonnement. Dit type activiteit is meestal gekoppeld aan de installatie van een achterdeur. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Mogelijk verlies van gegevens gedetecteerd | Gemiddeld | Verouderde Defender-IoT-microagent | Mogelijke uitgaande gegevensvoorwaarde gedetecteerd met behulp van analyse van hostgegevens. Kwaadwillende actoren uitgaan vaak gegevens van gecompromitteerde machines. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Potential overriding of common files (Mogelijke overschrijving van veelvoorkomende bestanden) | Gemiddeld | Verouderde Defender-IoT-microagent | Veelvoorkomende overschreven uitvoerbare bestanden op het apparaat. Kwaadwillende actoren zijn bekend om algemene bestanden te overschrijven als een manier om hun acties te verbergen of als een manier om persistentie te verkrijgen. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Privileged container detected (Geprivilegieerde container gedetecteerd) | Gemiddeld | Verouderde Defender-IoT-microagent | Computerlogboeken geven aan dat er een geprivilegieerde Docker-container wordt uitgevoerd. Een bevoegde container heeft volledige toegang tot hostbronnen. Als er inbreuk is gemaakt, kan een kwaadwillende actor de bevoegde container gebruiken om toegang te krijgen tot de hostcomputer. | Als de container niet in de bevoegde modus hoeft te worden uitgevoerd, verwijdert u de bevoegdheden uit de container. |
| Verwijdering van gedetecteerde systeembestanden | Gemiddeld | Verouderde Defender-IoT-microagent | Suspicious removal of log files on the host detected (Verdachte verwijdering van logboekbestanden op de gedetecteerde host). | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Spatie na bestandsnaam | Gemiddeld | Verouderde Defender-IoT-microagent | Uitvoering van een proces met een verdachte extensie gedetecteerd met behulp van analyse van hostgegevens. Verdachte extensies kunnen gebruikers misleiden om te denken dat bestanden veilig kunnen worden geopend en kunnen duiden op de aanwezigheid van malware op het systeem. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Verdachte hulpprogramma's voor toegang tot schadelijke referenties gedetecteerd | Gemiddeld | Verouderde Defender-IoT-microagent | Detectiegebruik van een hulpprogramma dat vaak is gekoppeld aan schadelijke pogingen om toegang te krijgen tot referenties. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Suspicious compilation detected (Verdachte compilatie gedetecteerd) | Gemiddeld | Verouderde Defender-IoT-microagent | Verdachte compilatie gedetecteerd. Kwaadwillende actoren compileren vaak exploits op een gecompromitteerde computer om bevoegdheden te escaleren. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Verdachte bestandsdownload gevolgd door activiteit voor het uitvoeren van bestanden | Gemiddeld | Verouderde Defender-IoT-microagent | Bij analyse van hostgegevens is een bestand gedetecteerd dat is gedownload en uitgevoerd in dezelfde opdracht. Deze techniek wordt vaak gebruikt door kwaadwillende actoren om geïnfecteerde bestanden op slachtoffermachines te krijgen. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Verdachte IP-adrescommunicatie | Gemiddeld | Verouderde Defender-IoT-microagent | Communicatie met een verdacht IP-adres gedetecteerd. | Controleer of de verbinding legitiem is. Overweeg de communicatie met het verdachte IP-adres te blokkeren. |
| LAGE ernst | ||||
| Bash-geschiedenis gewist | Beperkt | Verouderde Defender-IoT-microagent | Het Bash-geschiedenislogboek is gewist. Kwaadwillende actoren wissen meestal de bash-geschiedenis om hun eigen opdrachten te verbergen in de logboeken. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd die de activiteit in deze waarschuwing heeft uitgevoerd om te zien of u deze als legitieme beheeractiviteit herkent. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Apparaat stil | Beperkt | Verouderde Defender-IoT-microagent | Het apparaat heeft de afgelopen 72 uur geen telemetriegegevens verzonden. | Zorg ervoor dat het apparaat online is en gegevens verzendt. Controleer of de Azure-beveiligingsagent wordt uitgevoerd op het apparaat. |
| Mislukte Bruteforce-poging | Beperkt | Verouderde Defender-IoT-microagent | Er zijn meerdere mislukte aanmeldingspogingen geïdentificeerd. Mogelijke beveiligingsaanvalpoging is mislukt op het apparaat. | Controleer SSH Brute Force-waarschuwingen en de activiteit op het apparaat. Er is geen verdere actie vereist. |
| Lokale gebruiker toegevoegd aan een of meer groepen | Beperkt | Verouderde Defender-IoT-microagent | Nieuwe lokale gebruiker toegevoegd aan een groep op dit apparaat. Wijzigingen in gebruikersgroepen zijn ongebruikelijk en kunnen erop wijzen dat een kwaadwillende actor mogelijk extra machtigingen verzamelt. | Controleer of de wijziging consistent is met de machtigingen die zijn vereist voor de betrokken gebruiker. Als de wijziging inconsistent is, escaleert u naar uw Information Security-team. |
| Lokale gebruiker verwijderd uit een of meer groepen | Beperkt | Verouderde Defender-IoT-microagent | Een lokale gebruiker is verwijderd uit een of meer groepen. Kwaadwillende actoren zijn bekend om deze methode te gebruiken in een poging om de toegang tot legitieme gebruikers te weigeren of om de geschiedenis van hun acties te verwijderen. | Controleer of de wijziging consistent is met de machtigingen die zijn vereist voor de betrokken gebruiker. Als de wijziging inconsistent is, escaleert u naar uw Information Security-team. |
| Verwijdering van lokale gebruiker gedetecteerd | Beperkt | Verouderde Defender-IoT-microagent | Verwijdering van een lokale gebruiker gedetecteerd. Het verwijderen van lokale gebruikers is ongebruikelijk, een kwaadwillende actor probeert de toegang tot legitieme gebruikers te weigeren of de geschiedenis van hun acties te verwijderen. | Controleer of de wijziging consistent is met de machtigingen die zijn vereist voor de betrokken gebruiker. Als de wijziging inconsistent is, escaleert u naar uw Information Security-team. |
Volgende stappen
- Overzicht van Defender for IoT-service
- Meer informatie over toegang tot uw beveiligingsgegevens
- Meer informatie over het onderzoeken van een apparaat