Beveiligingswaarschuwingen voor microagent
Defender for IoT analyseert uw IoT-oplossing continu met behulp van geavanceerde analyses en bedreigingsinformatie om u te waarschuwen voor schadelijke activiteiten. Daarnaast kunt u aangepaste waarschuwingen maken op basis van uw kennis van het verwachte apparaatgedrag. Een waarschuwing fungeert als een indicator van mogelijke inbreuk en moet worden onderzocht en hersteld.
Notitie
Defender for IoT wil de microagent op 1 augustus 2025 buiten gebruik stellen.
In dit artikel vindt u een lijst met ingebouwde waarschuwingen die kunnen worden geactiveerd op uw IoT-apparaten.
Beveiligingswaarschuwingen
Urgentie Hoog
| Naam | Ernst | Gegevensbron | Beschrijving | Voorgestelde herstelstappen | Waarschuwingstype |
|---|---|---|---|---|---|
| Binaire opdrachtregel | Hoog | Defender-IoT-micro-agent | LA Linux binair bestand dat wordt aangeroepen/uitgevoerd vanaf de opdrachtregel is gedetecteerd. Dit proces kan legitieme activiteit zijn of een indicatie dat uw apparaat is aangetast. | Controleer de opdracht met de gebruiker die deze heeft uitgevoerd en controleer of dit iets is dat legitiem op het apparaat wordt uitgevoerd. Zo niet, escaleer de waarschuwing naar uw informatiebeveiligingsteam. | IoT_BinaryCommandLine |
| Firewall uitschakelen | Hoog | Defender-IoT-micro-agent | Mogelijke manipulatie van de firewall op de host gedetecteerd. Kwaadwillende actoren schakelen de firewall op de host vaak uit in een poging om gegevens te exfiltreren. | Controleer met de gebruiker die de opdracht heeft uitgevoerd om te bevestigen of dit legitieme verwachte activiteit op het apparaat was. Zo niet, escaleer de waarschuwing naar uw informatiebeveiligingsteam. | IoT_DisableFirewall |
| Detectie van port forwarding | Hoog | Defender-IoT-micro-agent | Start van port forwarding naar een extern IP-adres gedetecteerd. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_PortForwarding |
| Mogelijke poging om auditd logging gedetecteerd uit te schakelen | Hoog | Defender-IoT-micro-agent | Linux Auditd system biedt een manier om beveiligingsgerelateerde informatie over het systeem bij te houden. Het systeem registreert zoveel mogelijk informatie over de gebeurtenissen die op uw systeem plaatsvinden. Deze informatie is van cruciaal belang voor bedrijfskritieke omgevingen om te bepalen wie het beveiligingsbeleid heeft geschonden en welke acties ze hebben uitgevoerd. Het uitschakelen van auditd logboekregistratie kan voorkomen dat u schendingen van beveiligingsbeleid dat op het systeem wordt gebruikt, detecteert. | Neem contact op met de eigenaar van het apparaat als dit een legitieme activiteit was met zakelijke redenen. Als dit niet het geval is, kan deze gebeurtenis activiteiten verbergen door kwaadwillende actoren. Het incident onmiddellijk geëscaleerd naar uw informatiebeveiligingsteam. | IoT_DisableAuditdLogging |
| Omgekeerde shells | Hoog | Defender-IoT-micro-agent | Bij analyse van hostgegevens op een apparaat is een mogelijke omgekeerde shell gedetecteerd. Omgekeerde shells worden vaak gebruikt om een gecompromitteerde machine terug te roepen naar een computer die wordt beheerd door een kwaadwillende actor. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_ReverseShell |
| Geslaagde lokale aanmelding | Hoog | Defender-IoT-micro-agent | Geslaagde lokale aanmelding bij het gedetecteerde apparaat. | Zorg ervoor dat de aangemelde gebruiker een geautoriseerde partij is. | IoT_SuccessfulLocalLogin |
| Webshell | Hoog | Defender-IoT-micro-agent | Mogelijke webshell gedetecteerd. Kwaadwillende actoren uploaden meestal een webshell naar een gecompromitteerde machine om persistentie te krijgen of voor verdere exploitatie. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_WebShell |
| Gedrag dat vergelijkbaar is met ransomware gedetecteerd | Hoog | Defender-IoT-micro-agent | Uitvoering van bestanden vergelijkbaar met bekende ransomware die kunnen voorkomen dat gebruikers toegang krijgen tot hun systeem, of persoonlijke bestanden, en kunnen vraag losgeld betaling om weer toegang te krijgen. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_Ransomware |
| Afbeelding van miner van cryptomunten | Hoog | Defender-IoT-micro-agent | Uitvoering van een proces dat normaal gesproken is gekoppeld aan de gedetecteerde digitale valutaanalyse. | Controleer met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit op het apparaat was. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_CryptoMiner |
| Nieuwe USB-verbinding | Hoog | Defender-IoT-micro-agent | Er is een USB-apparaatverbinding gedetecteerd. Dit kan duiden op schadelijke activiteiten. | Bevestig dat dit een legitieme verwachte activiteit op de host is. Zo niet, escaleer de waarschuwing naar uw informatiebeveiligingsteam. | IoT_USBConnection |
| USB-verbinding verbreken | Hoog | Defender-IoT-micro-agent | Er is een verbroken USB-apparaat gedetecteerd. Dit kan duiden op schadelijke activiteiten. | Bevestig dat dit een legitieme verwachte activiteit op de host is. Zo niet, escaleer de waarschuwing naar uw informatiebeveiligingsteam. | IoT_UsbDisconnection |
| Nieuwe Ethernet-verbinding | Hoog | Defender-IoT-micro-agent | Er is een nieuwe Ethernet-verbinding gedetecteerd. Dit kan duiden op schadelijke activiteiten. | Bevestig dat dit een legitieme verwachte activiteit op de host is. Zo niet, escaleer de waarschuwing naar uw informatiebeveiligingsteam. | IoT_EthernetConnection |
| Ethernet-verbinding verbreken | Hoog | Defender-IoT-micro-agent | Er is een nieuwe Ethernet-verbinding gedetecteerd. Dit kan duiden op schadelijke activiteiten. | Bevestig dat dit een legitieme verwachte activiteit op de host is. Zo niet, escaleer de waarschuwing naar uw informatiebeveiligingsteam. | IoT_EthernetDisconnection |
| Nieuw bestand gemaakt | Hoog | Defender-IoT-micro-agent | Er is een nieuw bestand gedetecteerd. Dit kan duiden op schadelijke activiteiten. | Bevestig dat dit een legitieme verwachte activiteit op de host is. Zo niet, escaleer de waarschuwing naar uw informatiebeveiligingsteam. | IoT_FileCreated |
| Bestand gewijzigd | Hoog | Defender-IoT-micro-agent | Bestandswijziging is gedetecteerd. Dit kan duiden op schadelijke activiteiten. | Bevestig dat dit een legitieme verwachte activiteit op de host is. Zo niet, escaleer de waarschuwing naar uw informatiebeveiligingsteam. | IoT_FileModified |
| Bestand verwijderd | Hoog | Defender-IoT-micro-agent | Bestandsverwijdering is gedetecteerd. Dit kan duiden op schadelijke activiteiten. | Bevestig dat dit een legitieme verwachte activiteit op de host is. Zo niet, escaleer de waarschuwing naar uw informatiebeveiligingsteam. | IoT_FileDeleted |
Urgentie Gemiddeld
| Naam | Ernst | Gegevensbron | Beschrijving | Voorgestelde herstelstappen | Waarschuwingstype |
|---|---|---|---|---|---|
| Behavior similar to common Linux bots detected (Gedrag vergelijkbaar met gangbare Linux-bots gedetecteerd) | Gemiddeld | Defender-IoT-micro-agent | Uitvoering van een proces dat normaal gesproken is gekoppeld aan veelvoorkomende Linux-botnets die zijn gedetecteerd. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_CommonBots |
| Behavior similar to Fairware ransomware detected (Gedrag vergelijkbaar met Fairware-ransomware gedetecteerd) | Gemiddeld | Defender-IoT-micro-agent | Uitvoering van rm-rf-opdrachten die zijn toegepast op verdachte locaties die zijn gedetecteerd met behulp van analyse van hostgegevens. Omdat rm -rf recursief bestanden verwijdert, wordt deze normaal gesproken alleen gebruikt in discrete mappen. In dit geval wordt deze gebruikt op een locatie die een grote hoeveelheid gegevens kan verwijderen. Het is bekend dat Fairware-ransomware rm -rf-opdrachten uitvoert in deze map. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd. Dit was legitieme activiteit die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_FairwareMalware |
| Containerinstallatiekopieën van cryptomunten miner gedetecteerd | Gemiddeld | Defender-IoT-micro-agent | Container die bekende digitale valutaanalyse-installatiekopieën detecteert. | 1. Als dit gedrag niet is bedoeld, verwijdert u de relevante containerinstallatiekopieën. 2. Zorg ervoor dat de Docker-daemon niet toegankelijk is via een onveilige TCP-socket. 3. Escaleer de waarschuwing naar het informatiebeveiligingsteam. |
IoT_CryptoMinerContainer |
| Detected suspicious use of the nohup command (Verdacht gebruik van de opdracht nohup gedetecteerd) | Gemiddeld | Defender-IoT-micro-agent | Verdacht gebruik van de nohup-opdracht op de gedetecteerde host. Kwaadwillende actoren voeren meestal de nohup-opdracht uit vanuit een tijdelijke map, waardoor hun uitvoerbare bestanden op de achtergrond kunnen worden uitgevoerd. Deze opdracht wordt uitgevoerd op bestanden die zich in een tijdelijke map bevinden, wordt niet verwacht of normaal gedrag. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_SuspiciousNohup |
| Detected suspicious use of the useradd command (Verdacht gebruik van de opdracht useradd gedetecteerd) | Gemiddeld | Defender-IoT-micro-agent | Verdacht gebruik van de useradd-opdracht gedetecteerd op het apparaat. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_SuspiciousUseradd |
| Docker-daemon beschikbaar gesteld door TCP-socket | Gemiddeld | Defender-IoT-micro-agent | Computerlogboeken geven aan dat uw Docker-daemon (dockerd) een TCP-socket weergeeft. De Docker-configuratie gebruikt standaard geen versleuteling of verificatie wanneer een TCP-socket wordt ingeschakeld. Standaardconfiguratie van Docker maakt volledige toegang tot de Docker-daemon mogelijk door iedereen met toegang tot de relevante poort. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_ExposedDocker |
| Mislukte lokale aanmelding | Gemiddeld | Defender-IoT-micro-agent | Er is een mislukte lokale aanmeldingspoging naar het apparaat gedetecteerd. | Zorg ervoor dat geen onbevoegde partij fysieke toegang heeft tot het apparaat. | IoT_FailedLocalLogin |
| Bestand downloaden van een schadelijke bron gedetecteerd | Gemiddeld | Defender-IoT-micro-agent | Download van een bestand van een bekende malwarebron gedetecteerd. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_PossibleMalware |
| htaccess-bestandstoegang gedetecteerd | Gemiddeld | Defender-IoT-micro-agent | Bij analyse van hostgegevens is een mogelijke manipulatie van een htaccess-bestand gedetecteerd. Htaccess is een krachtig configuratiebestand waarmee u meerdere wijzigingen kunt aanbrengen in een webserver waarop Apache Web-software wordt uitgevoerd, waaronder eenvoudige omleidingsfunctionaliteit en geavanceerdere functies, zoals basiswachtwoordbeveiliging. Kwaadwillende actoren wijzigen vaak htaccess-bestanden op gecompromitteerde machines om persistentie te krijgen. | Controleer of dit een legitieme verwachte activiteit op de host is. Zo niet, escaleer de waarschuwing naar uw informatiebeveiligingsteam. | IoT_AccessingHtaccessFile |
| Bekende aanvalstool | Gemiddeld | Defender-IoT-micro-agent | Er is vaak een hulpprogramma gedetecteerd dat is gekoppeld aan kwaadwillende gebruikers die andere computers aanvallen. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_KnownAttackTools |
| Local host reconnaissance detected (Verkenning van lokale host gedetecteerd) | Gemiddeld | Defender-IoT-micro-agent | Uitvoering van een opdracht die normaal gesproken is gekoppeld aan algemene Verkenning van Linux-bot gedetecteerd. | Controleer de verdachte opdrachtregel om te bevestigen dat deze is uitgevoerd door een legitieme gebruiker. Zo niet, escaleer de waarschuwing naar uw informatiebeveiligingsteam. | IoT_LinuxReconnaissance |
| Niet-overeenkomende script-interpreter en bestandsextensie | Gemiddeld | Defender-IoT-micro-agent | Komt niet overeen tussen de script-interpreter en de extensie van het scriptbestand dat is opgegeven als invoer gedetecteerd. Dit type komt vaak overeen met uitvoeringen van aanvallersscripts. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_ScriptInterpreterMismatch |
| Mogelijke achterdeur gedetecteerd | Gemiddeld | Defender-IoT-micro-agent | Er is een verdacht bestand gedownload en vervolgens uitgevoerd op een host in uw abonnement. Dit type activiteit is meestal gekoppeld aan de installatie van een achterdeur. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_LinuxBackdoor |
| Possible loss of data detected (Mogelijk verlies van gegevens gedetecteerd) | Gemiddeld | Defender-IoT-micro-agent | Mogelijke uitgaande gegevensvoorwaarde gedetecteerd met behulp van analyse van hostgegevens. Kwaadwillende actoren uitgaan vaak gegevens van gecompromitteerde machines. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_EgressData |
| Privileged container detected (Geprivilegieerde container gedetecteerd) | Gemiddeld | Defender-IoT-micro-agent | Computerlogboeken geven aan dat er een geprivilegieerde Docker-container wordt uitgevoerd. Een bevoegde container heeft volledige toegang tot hostbronnen. Als er inbreuk is gemaakt, kan een kwaadwillende actor de bevoegde container gebruiken om toegang te krijgen tot de hostcomputer. | Als de container niet in de bevoegde modus hoeft te worden uitgevoerd, verwijdert u de bevoegdheden uit de container. | IoT_PrivilegedContainer |
| Verwijdering van gedetecteerde systeembestanden | Gemiddeld | Defender-IoT-micro-agent | Suspicious removal of log files on the host detected (Verdachte verwijdering van logboekbestanden op de gedetecteerde host). | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_RemovalOfSystemLogs |
| Spatie na bestandsnaam | Gemiddeld | Defender-IoT-micro-agent | Uitvoering van een proces met een verdachte extensie gedetecteerd met behulp van analyse van hostgegevens. Verdachte extensies kunnen gebruikers misleiden om te denken dat bestanden veilig kunnen worden geopend en kunnen duiden op de aanwezigheid van malware op het systeem. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_ExecuteFileWithTrailingSpace |
| Hulpprogramma's die vaak worden gebruikt voor toegang tot schadelijke referenties gedetecteerd | Gemiddeld | Defender-IoT-micro-agent | Detectiegebruik van een hulpprogramma dat vaak is gekoppeld aan schadelijke pogingen om toegang te krijgen tot referenties. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_CredentialAccessTools |
| Suspicious compilation detected (Verdachte compilatie gedetecteerd) | Gemiddeld | Defender-IoT-micro-agent | Verdachte compilatie gedetecteerd. Kwaadwillende actoren compileren vaak exploits op een gecompromitteerde computer om bevoegdheden te escaleren. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_SuspiciousCompilation |
| Verdachte bestandsdownload gevolgd door activiteit voor het uitvoeren van bestanden | Gemiddeld | Defender-IoT-micro-agent | Bij analyse van hostgegevens is een bestand gedetecteerd dat is gedownload en uitgevoerd in dezelfde opdracht. Deze techniek wordt vaak gebruikt door kwaadwillende actoren om geïnfecteerde bestanden op slachtoffermachines te krijgen. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd als dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_DownloadFileThenRun |
| Verdachte IP-adrescommunicatie | Gemiddeld | Defender-IoT-micro-agent | Communicatie met een verdacht IP-adres gedetecteerd. | Controleer of de verbinding legitiem is. Overweeg de communicatie met het verdachte IP-adres te blokkeren. | IoT_TiConnection |
| Aanvraag voor schadelijke domeinnaam | Gemiddeld | Defender-IoT-micro-agent | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden geassocieerd met een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. | Verbreek de verbinding met de bron van het netwerk. Incidentrespons uitvoeren. | IoT_MaliciousNameQueriesDetection |
Urgentie Laag
| Naam | Ernst | Gegevensbron | Beschrijving | Voorgestelde herstelstappen | Waarschuwingstype |
|---|---|---|---|---|---|
| Bash-geschiedenis gewist | Beperkt | Defender-IoT-micro-agent | Het Bash-geschiedenislogboek is gewist. Kwaadwillende actoren wissen meestal de bash-geschiedenis om hun eigen opdrachten te verbergen in de logboeken. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd die de activiteit in deze waarschuwing heeft uitgevoerd om te zien of u deze als legitieme beheeractiviteit herkent. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_ClearHistoryFile |