Microagent-gebeurtenisverzameling
Defender for IoT-beveiligingsagenten verzamelen gegevens en systeemevenementen van uw lokale apparaat en verzenden de gegevens naar de Azure-cloud voor verwerking.
Notitie
Defender for IoT wil de microagent op 1 augustus 2025 buiten gebruik stellen.
Als u een Log Analytics-werkruimte hebt geconfigureerd en verbonden, ziet u deze gebeurtenissen in Log Analytics. Zie Zelfstudie: Beveiligingswaarschuwingen onderzoeken voor meer informatie.
De Defender for IoT-microagent verzamelt veel soorten apparaatevenementen, waaronder nieuwe processen en alle nieuwe verbindingsevenementen. Zowel het nieuwe proces als de nieuwe verbindingsevenementen kunnen regelmatig plaatsvinden op een apparaat. Deze mogelijkheid is belangrijk voor uitgebreide beveiliging, maar het aantal berichten dat de beveiligingsagenten verzenden, kan snel voldoen aan of overschrijden uw IoT Hub-quotum en kostenlimieten. Deze berichten en gebeurtenissen bevatten zeer waardevolle beveiligingsinformatie die essentieel is voor het beveiligen van uw apparaat.
Om het aantal berichten en kosten te verminderen terwijl de beveiliging van uw apparaat wordt gehandhaafd, aggregeren Defender for IoT-agents de volgende typen gebeurtenissen:
Gebeurtenissen verwerken (alleen Linux)
Gebeurtenissen van netwerkactiviteit
Bestandssysteem-gebeurtenissen
Gebeurtenissen met statistieken
Zie gebeurtenisaggregatie voor proces- en netwerkverzamelaars voor meer informatie.
Verzamelaars op basis van gebeurtenissen zijn verzamelaars die worden geactiveerd op basis van de bijbehorende activiteit vanuit het apparaat. Bijvoorbeeld: a process was started in the device.
Op triggers gebaseerde collectors zijn collectors die op een geplande manier worden geactiveerd op basis van de configuraties van de klant.
Gebeurtenissen verwerken (op gebeurtenissen gebaseerde collector)
Proces gebeurtenissen worden ondersteund op Linux-besturingssystemen.
Proces gebeurtenissen worden beschouwd als identiek wanneer de opdrachtregel en userid identiek zijn.
De standaardbuffer voor proces gebeurtenissen is 256 processen. Wanneer aan deze limiet wordt voldaan, wordt de buffer gecyclusd en wordt de oudste procesgebeurtenis verwijderd om ruimte te maken voor de nieuwste verwerkte gebeurtenis. Er wordt een waarschuwing weergegeven om de cachegrootte te vergroten.
De gegevens die voor elke gebeurtenis worden verzameld, zijn:
| Parameter | Description |
|---|---|
| Tijdstempel | De eerste keer dat het proces werd waargenomen. |
| process_id | De Linux PID. |
| parent_process_id | De bovenliggende PID van Linux, indien aanwezig. |
| Opdrachtregel | De opdrachtregel. |
| Type | Kan ofwel fork, of exec. |
| hit_count | Het totaalaantal. Het aantal uitvoeringen van hetzelfde proces, gedurende hetzelfde tijdsbestek, totdat de gebeurtenissen naar de cloud worden verzonden. |
Gebeurtenissen van netwerkactiviteit (op gebeurtenissen gebaseerde collector)
Netwerkactiviteitsevenementen worden als identiek beschouwd wanneer de lokale poort, de externe poort, het transportprotocol, het lokale adres en het externe adres identiek zijn.
De standaardbuffer voor een netwerkactiviteitsevenement is 256. Voor situaties waarin de cache vol is:
Eclipse ThreadX-apparaten: er worden geen nieuwe netwerkgebeurtenissen in de cache opgeslagen totdat de volgende verzamelingscyclus wordt gestart.
Linux-apparaten: de oudste gebeurtenis wordt vervangen door elke nieuwe gebeurtenis. Er wordt een waarschuwing weergegeven om de cachegrootte te vergroten.
Voor Linux-apparaten wordt alleen IPv4 ondersteund.
De gegevens die voor elke gebeurtenis worden verzameld, zijn:
| Parameter | Description |
|---|---|
| Lokaal adres | Het bronadres van de verbinding. |
| Extern adres | Het doeladres van de verbinding. |
| Lokale poort | De bronpoort van de verbinding. |
| Externe poort | De doelpoort van de verbinding. |
| Bytes_in | Het totale geaggregeerde RX-bytes van de verbinding. |
| Bytes_out | Het totale geaggregeerde TX-bytes van de verbinding. |
| Transport_protocol | Kan TCP, UDP of ICMP zijn. |
| Toepassingsprotocol | Het toepassingsprotocol dat is gekoppeld aan de verbinding. |
| Uitgebreide eigenschappen | De aanvullende details van de verbinding. Bijvoorbeeld: host name. |
| Aantal treffers | Het aantal waargenomen pakketten |
Aanmeldingsverzamelaar (op gebeurtenissen gebaseerde collector)
De aanmeldingsverzamelaar verzamelt aanmeldingen van gebruikers, afmeldingen en mislukte aanmeldingspogingen.
De aanmeldingsverzamelaar ondersteunt de volgende typen verzamelingsmethoden:
UTMP en SYSLOG. UTMP onderschept interactieve SSH-gebeurtenissen, telnetgebeurtenissen en terminalaanmeldingsgebeurtenissen, evenals alle mislukte aanmeldingsgebeurtenissen van SSH, telnet en terminal. Als SYSLOG is ingeschakeld op het apparaat, verzamelt de aanmeldingsverzamelaar ook SSH-aanmeldingsgebeurtenissen via het SYSLOG-bestand met de naam auth.log.
Pluggable Authentication Modules (PAM). Verzamelt SSH-, telnet- en lokale aanmeldingsgebeurtenissen. Zie Pluggable Authentication Modules (PAM) configureren voor meer informatie om aanmeldingsgebeurtenissen te controleren.
De volgende gegevens worden verzameld:
| Parameter | Description |
|---|---|
| schakelapparatuur optimaliseren | Een van de volgende: Login, LogoutLoginFailed |
| process_id | De Linux PID. |
| user_name | De Linux-gebruiker. |
| uitvoerbaar | Het terminalapparaat. Bijvoorbeeld tty1..6 of pts/n. |
| remote_address | De bron van de verbinding, een extern IP-adres in IPv6- of IPv4-indeling, of 127.0.0.1/0.0.0.0 om een lokale verbinding aan te geven. |
Systeeminformatie (op trigger gebaseerde collector)
De gegevens die voor elke gebeurtenis worden verzameld, zijn:
| Parameter | Description |
|---|---|
| hardware_vendor | De naam van de leverancier van het apparaat. |
| hardware_model | Het modelnummer van het apparaat. |
| os_dist | De distributie van het besturingssysteem. Bijvoorbeeld: Linux. |
| os_version | De versie van het besturingssysteem. Bijvoorbeeld Windows 10 of Ubuntu 20.04.1. |
| os_platform | Het besturingssysteem van het apparaat. |
| os_arch | De architectuur van het besturingssysteem. Bijvoorbeeld: x86_64. |
| agent_type | Het type agent (Edge/Standalone). |
| agent_version | De versie van de agent. |
| nics | De netwerkinterfacecontroller. Hieronder ziet u de volledige lijst met eigenschappen. |
De nics-eigenschappen bestaan uit het volgende;
| Parameter | Description |
|---|---|
| type | Een van de volgende waarden: UNKNOWN, ETH, WIFI, , MOBILEof SATELLITE. |
| vlans | Het virtuele lan dat is gekoppeld aan de netwerkinterface. |
| verkoper | De leverancier van de netwerkcontroller. |
| info | IPS en MACs die zijn gekoppeld aan de netwerkcontroller. Dit omvat de volgende velden; - ipv4_address: het IPv4-adres. - ipv6_address: het IPv6-adres. - mac: het MAC-adres. |
Basislijn (op trigger gebaseerde collector)
De basislijnverzamelaar voert periodieke CIS-controles uit en mislukt, pass en skip-controleresultaten worden verzonden naar de Defender for IoT-cloudservice. Defender for IoT voegt de resultaten samen en biedt aanbevelingen op basis van eventuele fouten.
De gegevens die voor elke gebeurtenis worden verzameld, zijn:
| Parameter | Description |
|---|---|
| Id controleren | In CIS-indeling. Bijvoorbeeld: CIS-debian-9-Filesystem-1.1.2. |
| Resultaat controleren | Kan zijnFail, Pass, of SkipError. Bijvoorbeeld in Error een situatie waarin de controle niet kan worden uitgevoerd. |
| Fout | De informatie en beschrijving van de fout. |
| Beschrijving | De beschrijving van de controle van CIS. |
| Herstel | De aanbeveling voor herstel van CIS. |
| Ernst | Het ernstniveau. |
SBoM (op trigger gebaseerde collector)
De SBoM-collector (Software Bill of Materials) verzamelt regelmatig de pakketten die op het apparaat zijn geïnstalleerd.
De gegevens die voor elk pakket worden verzameld, omvatten:
| Parameter | Omschrijving |
|---|---|
| Naam | De pakketnaam. |
| Versie | De pakketversie. |
| Leverancier | De leverancier van het pakket, het veld Onderhouder in deb-pakketten. |
Randapparatuurgebeurtenissen (collector op basis van gebeurtenissen)
De collector voor randapparatuur verzamelt verbindingen en verbindingen van USB- en Ethernet-gebeurtenissen.
Verzamelde velden zijn afhankelijk van het type gebeurtenis:
USB-gebeurtenissen
| Parameter | Description |
|---|---|
| Tijdstempel | De tijd waarop de gebeurtenis heeft plaatsgevonden. |
| ActionType | Of de gebeurtenis nu een verbindings- of verbroken gebeurtenis was. |
| bus_number | Specifieke controller-id, elk USB-apparaat kan verschillende hebben. |
| kernel_device_number | Weergave in de kernel van het apparaat, niet uniek en kan elke keer dat het apparaat is verbonden. |
| device_class | Id die de klasse van het apparaat opgeeft. |
| device_subclass | Id waarmee het type apparaat wordt opgegeven. |
| device_protocol | Id die het apparaatprotocol opgeeft. |
| interface_class | Als de apparaatklasse 0 is, geeft u het type apparaat aan. |
| interface_subclass | Als de apparaatklasse 0 is, geeft u het type apparaat aan. |
| interface_protocol | Als de apparaatklasse 0 is, geeft u het type apparaat aan. |
Ethernet-gebeurtenissen
| Parameter | Description |
|---|---|
| Tijdstempel | De tijd waarop de gebeurtenis heeft plaatsgevonden. |
| ActionType | Of de gebeurtenis nu een verbindings- of verbroken gebeurtenis was. |
| bus_number | Specifieke controller-id, elk USB-apparaat kan verschillende hebben. |
| Interfacenaam | De interfacenaam. |
Bestandssysteemgebeurtenissen (op gebeurtenissen gebaseerde collector)
De collector voor bestandssysteem-gebeurtenissen verzamelt gebeurtenissen wanneer er wijzigingen zijn onder controlemappen voor: maken, verwijderen, verplaatsen en wijzigen van mappen en bestanden. Als u wilt definiëren welke mappen en bestanden u wilt bewaken, raadpleegt u specifieke instellingen voor systeeminformatieverzamelaar.
De volgende gegevens worden verzameld:
| Parameter | Description |
|---|---|
| Tijdstempel | De tijd waarop de gebeurtenis heeft plaatsgevonden. |
| Masker | Linux inotify-masker met betrekking tot de gebeurtenis van het bestandssysteem, het masker identificeert het type van de actie en kan een van de volgende zijn: Access/Modified/Metadata changed/Closed/Opened/Moved/Created/Deleted. |
| Pad | Map-/bestandspad waarin de gebeurtenis is gegenereerd. |
| Hitcount | Aantal keren dat deze gebeurtenis is samengevoegd. |
Statistiekengegevens (op trigger gebaseerde collector)
De collector Statistieken genereert verschillende statistieken op de verschillende microagentverzamelaars. Deze statistieken bieden informatie over de prestaties van de verzamelaars in de vorige verzamelingscyclus. Voorbeelden van mogelijke statistieken zijn het aantal gebeurtenissen dat is verzonden en het aantal gebeurtenissen dat is verwijderd, samen met de redenen voor de fouten.
Verzamelde velden:
| Parameter | Description |
|---|---|
| Tijdstempel | De tijd waarop de gebeurtenis heeft plaatsgevonden. |
| Naam | Naam van de collector. |
| Gebeurtenissen | Een matrix van paren die zijn opgemaakt als JSON met beschrijving en aantal treffers. |
| Beschrijving | Of het bericht is verzonden/verwijderd en de reden voor het verwijderen. |
| Hitcount | Aantal respectieve berichten. |
Gebeurtenisaggregatie voor proces- en netwerkverzamelaars
Hoe aggregatie van gebeurtenissen werkt voor proces - en netwerkactiviteitsevenementen:
Defender for IoT-agents aggregeren gebeurtenissen tijdens het verzendinterval dat is gedefinieerd in de berichtfrequentieconfiguratie voor elke collector, zoals Process_MessageFrequency of NetworkActivity_MessageFrequency. Zodra de periode van het verzendinterval is verstreken, verzendt de agent de geaggregeerde gebeurtenissen naar de Azure-cloud voor verdere analyse. De samengevoegde gebeurtenissen worden opgeslagen in het geheugen totdat ze naar de Azure-cloud worden verzonden.
Wanneer de agent vergelijkbare gebeurtenissen verzamelt die al in het geheugen zijn opgeslagen, verhoogt de agent het aantal treffers van deze specifieke gebeurtenis om de geheugenvoetafdruk van de agent te verminderen. Wanneer het tijdvenster voor aggregatie is verstreken, verzendt de agent het aantal treffers van elk type gebeurtenis dat heeft plaatsgevonden. Gebeurtenisaggregatie is de aggregatie van het aantal treffers van vergelijkbare gebeurtenissen. Netwerkactiviteit met dezelfde externe host en op dezelfde poort wordt bijvoorbeeld samengevoegd als één gebeurtenis, in plaats van als een afzonderlijke gebeurtenis voor elk pakket.
Notitie
De microagent verzendt standaard logboeken en telemetrie naar de cloud voor probleemoplossing en bewakingsdoeleinden. Dit gedrag kan worden geconfigureerd of uitgeschakeld via de dubbel.
Volgende stappen
Zie voor meer informatie: