Alerty zabezpieczeń mikro agenta
Usługa Defender dla IoT stale analizuje rozwiązanie IoT przy użyciu zaawansowanej analizy i analizy zagrożeń, aby otrzymywać alerty o złośliwych działaniach. Ponadto można tworzyć niestandardowe alerty na podstawie wiedzy o oczekiwanym zachowaniu urządzenia. Alert działa jako wskaźnik potencjalnego naruszenia i powinien zostać zbadany i skorygowany.
Uwaga
Usługa Defender dla IoT planuje wycofać mikro agenta 1 sierpnia 2025 r.
W tym artykule znajdziesz listę wbudowanych alertów, które mogą być wyzwalane na urządzeniach IoT.
Alerty zabezpieczeń
Wysoka ważność
| Nazwisko | Ważność | Źródło danych | opis | Sugerowane kroki korygowania | Typ alertu |
|---|---|---|---|---|---|
| Binarny wiersz polecenia | Wys. | Defender-IoT-micro-agent | Wykryto plik binarny LA Linux o nazwie/wykonaniu z wiersza polecenia. Ten proces może być uzasadnionym działaniem lub wskazaniem, że urządzenie zostało naruszone. | Przejrzyj polecenie za pomocą użytkownika, który go uruchomił, i sprawdź, czy jest to coś zgodnie z prawem oczekiwane do uruchomienia na urządzeniu. Jeśli nie, przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_BinaryCommandLine |
| Wyłączanie zapory | Wys. | Defender-IoT-micro-agent | Wykryto możliwe manipulowanie zaporą na hoście. Złośliwi aktorzy często wyłączają zaporę na hoście, próbując eksfiltrować dane. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, aby potwierdzić, czy było to uzasadnione oczekiwane działanie na urządzeniu. Jeśli nie, przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_DisableFirewall |
| Wykrywanie przekierowania portów | Wys. | Defender-IoT-micro-agent | Zainicjowanie przekierowania portów do wykrytego zewnętrznego adresu IP. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_PortForwarding |
| Możliwa próba wyłączenia wykrytego rejestrowania inspekcji | Wys. | Defender-IoT-micro-agent | System Inspekcja systemu Linux umożliwia śledzenie informacji dotyczących zabezpieczeń w systemie. System rejestruje jak najwięcej informacji o zdarzeniach występujących w systemie, jak to możliwe. Te informacje mają kluczowe znaczenie dla środowisk o znaczeniu krytycznym w celu określenia, kto naruszył zasady zabezpieczeń i wykonane przez nich działania. Wyłączenie rejestrowania poddanego inspekcji może uniemożliwić wykrywanie naruszeń zasad zabezpieczeń używanych w systemie. | Sprawdź właściciela urządzenia, czy była to legalna aktywność ze względów biznesowych. Jeśli nie, to zdarzenie może ukrywać działanie złośliwych podmiotów. Natychmiast eskalował zdarzenie do zespołu ds. zabezpieczeń informacji. | IoT_DisableAuditdLogging |
| Odwrotne powłoki | Wys. | Defender-IoT-micro-agent | Analiza danych hosta na urządzeniu wykryła potencjalną powłokę odwrotną. Powłoki odwrotne są często używane do uzyskania naruszonej maszyny w celu wywołania z powrotem do maszyny kontrolowanej przez złośliwego aktora. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_ReverseShell |
| Pomyślne logowanie lokalne | Wys. | Defender-IoT-micro-agent | Wykryto pomyślne logowanie lokalne na urządzeniu. | Upewnij się, że zalogowany użytkownik jest autoryzowanym użytkownikiem. | IoT_SuccessfulLocalLogin |
| Powłoka sieci Web | Wys. | Defender-IoT-micro-agent | Wykryto możliwą powłokę internetową. Złośliwi aktorzy często przekazują powłokę internetową do zagrożonej maszyny w celu uzyskania trwałości lub dalszego wykorzystania. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_WebShell |
| Zachowanie podobne do wykrytego oprogramowania wymuszającego okup | Wys. | Defender-IoT-micro-agent | Wykonanie plików podobnych do znanego oprogramowania wymuszającego okup, które może uniemożliwić użytkownikom dostęp do systemu lub plików osobistych i może zażądać płatności okupu w celu odzyskania dostępu. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_Ransomware |
| Obraz górnika monet kryptograficznych | Wys. | Defender-IoT-micro-agent | Wykonanie procesu zwykle skojarzonego z wykrytym wyszukiwaniem walut cyfrowych. | Sprawdź, czy użytkownik, który uruchomił polecenie, jeśli było to uzasadnione działanie na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_CryptoMiner |
| Nowe połączenie USB | Wys. | Defender-IoT-micro-agent | Wykryto połączenie urządzenia USB. Może to wskazywać na złośliwe działanie. | Upewnij się, że jest to uzasadnione oczekiwane działanie na hoście. Jeśli nie, przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_USBConnection |
| Rozłączanie USB | Wys. | Defender-IoT-micro-agent | Wykryto rozłączenie urządzenia USB. Może to wskazywać na złośliwe działanie. | Upewnij się, że jest to uzasadnione oczekiwane działanie na hoście. Jeśli nie, przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_UsbDisconnection |
| Nowe połączenie Ethernet | Wys. | Defender-IoT-micro-agent | Wykryto nowe połączenie Ethernet. Może to wskazywać na złośliwe działanie. | Upewnij się, że jest to uzasadnione oczekiwane działanie na hoście. Jeśli nie, przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_EthernetConnection |
| Rozłączanie sieci Ethernet | Wys. | Defender-IoT-micro-agent | Wykryto nowe rozłączenie Ethernet. Może to wskazywać na złośliwe działanie. | Upewnij się, że jest to uzasadnione oczekiwane działanie na hoście. Jeśli nie, przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_EthernetDisconnection |
| Utworzony nowy plik | Wys. | Defender-IoT-micro-agent | Wykryto nowy plik. Może to wskazywać na złośliwe działanie. | Upewnij się, że jest to uzasadnione oczekiwane działanie na hoście. Jeśli nie, przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_FileCreated |
| Plik zmodyfikowany | Wys. | Defender-IoT-micro-agent | Wykryto modyfikację pliku. Może to wskazywać na złośliwe działanie. | Upewnij się, że jest to uzasadnione oczekiwane działanie na hoście. Jeśli nie, przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_FileModified |
| Usunięto plik | Wys. | Defender-IoT-micro-agent | Wykryto usunięcie pliku. Może to wskazywać na złośliwe działanie. | Upewnij się, że jest to uzasadnione oczekiwane działanie na hoście. Jeśli nie, przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_FileDeleted |
Średnia ważność
| Nazwisko | Ważność | Źródło danych | opis | Sugerowane kroki korygowania | Typ alertu |
|---|---|---|---|---|---|
| Zachowanie podobne do typowych wykrytych botów systemu Linux | Śred. | Defender-IoT-micro-agent | Wykonywanie procesu zwykle skojarzonego z wykrytymi typowymi botnetami systemu Linux. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_CommonBots |
| Wykryto zachowanie podobne do wykrytego oprogramowania wymuszającego oprogramowanie wymuszające oprogramowanie Fairware | Śred. | Defender-IoT-micro-agent | Wykonanie poleceń rm -rf zastosowanych do podejrzanych lokalizacji wykrytych przy użyciu analizy danych hosta. Ponieważ rm -rf rekursywnie usuwa pliki, zwykle jest używany tylko w folderach dyskretnych. W takim przypadku jest on używany w lokalizacji, która może usunąć dużą ilość danych. Oprogramowanie wymuszanie oprogramowania fairware jest znane do wykonywania rm -rf poleceń w tym folderze. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, które było legalnym działaniem, które można zobaczyć na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_FairwareMalware |
| Wykryto obraz kontenera górnika monet kryptograficznych | Śred. | Defender-IoT-micro-agent | Kontener wykrywający uruchomione znane obrazy wyszukiwania walut cyfrowych. | 1. Jeśli to zachowanie nie jest zamierzone, usuń odpowiedni obraz kontenera. 2. Upewnij się, że demon platformy Docker nie jest dostępny za pośrednictwem niebezpiecznego gniazda TCP. 3. Eskalowanie alertu do zespołu ds. zabezpieczeń informacji. |
IoT_CryptoMinerContainer |
| Wykryto podejrzane użycie polecenia nohup | Śred. | Defender-IoT-micro-agent | Wykryto podejrzane użycie polecenia nohup na hoście. Złośliwi aktorzy często uruchamiają polecenie nohup z katalogu tymczasowego, co pozwala na uruchamianie plików wykonywalnych w tle. To polecenie jest uruchamiane w plikach znajdujących się w katalogu tymczasowym nie jest oczekiwane lub zwykle działa. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_SuspiciousNohup |
| Wykryto podejrzane użycie polecenia useradd | Śred. | Defender-IoT-micro-agent | Podejrzane użycie polecenia useradd wykrytego na urządzeniu. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_SuspiciousUseradd |
| Uwidoczniony demon platformy Docker przez gniazdo TCP | Śred. | Defender-IoT-micro-agent | Dzienniki maszyn wskazują, że demon platformy Docker (dockerd) uwidacznia gniazdo TCP. Domyślnie konfiguracja platformy Docker nie używa szyfrowania ani uwierzytelniania po włączeniu gniazda TCP. Domyślna konfiguracja platformy Docker umożliwia pełny dostęp do demona platformy Docker przez wszystkich użytkowników z dostępem do odpowiedniego portu. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_ExposedDocker |
| Logowanie lokalne nie powiodło się | Śred. | Defender-IoT-micro-agent | Wykryto nieudaną próbę logowania lokalnego na urządzeniu. | Upewnij się, że żadna nieautoryzowana strona nie ma fizycznego dostępu do urządzenia. | IoT_FailedLocalLogin |
| Wykryto pobieranie pliku ze złośliwego źródła | Śred. | Defender-IoT-micro-agent | Pobieranie pliku ze znanego wykrytego źródła złośliwego oprogramowania. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_PossibleMalware |
| Wykryto dostęp do pliku htaccess | Śred. | Defender-IoT-micro-agent | Analiza danych hosta wykryła możliwe manipulowanie plikiem htaccess. Htaccess to zaawansowany plik konfiguracji, który umożliwia wprowadzanie wielu zmian na serwerze internetowym z uruchomionym oprogramowaniem Apache Web, w tym podstawowe funkcje przekierowania i bardziej zaawansowane funkcje, takie jak podstawowa ochrona haseł. Złośliwi aktorzy często modyfikują pliki htaccess na naruszonych maszynach w celu uzyskania trwałości. | Upewnij się, że jest to zgodne z prawem oczekiwane działanie na hoście. Jeśli nie, przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_AccessingHtaccessFile |
| Znane narzędzie do ataku | Śred. | Defender-IoT-micro-agent | Wykryto narzędzie często skojarzone ze złośliwymi użytkownikami atakującymi inne maszyny. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_KnownAttackTools |
| Wykryto rekonesans hosta lokalnego | Śred. | Defender-IoT-micro-agent | Wykonanie polecenia zwykle skojarzonego z typowym rekonesansem bota systemu Linux wykrytym. | Przejrzyj podejrzany wiersz polecenia, aby potwierdzić, że został on wykonany przez uprawnionego użytkownika. Jeśli nie, przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_LinuxReconnaissance |
| Niezgodność między interpreterem skryptu a rozszerzeniem pliku | Śred. | Defender-IoT-micro-agent | Niezgodność między interpreterem skryptu a rozszerzeniem pliku skryptu dostarczonego jako wykryte dane wejściowe. Ten typ niezgodności jest często skojarzony z wykonywaniem skryptów atakujących. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_ScriptInterpreterMismatch |
| Wykryto możliwe backdoor | Śred. | Defender-IoT-micro-agent | Pobrany podejrzany plik został pobrany, a następnie uruchomiony na hoście w ramach subskrypcji. Ten typ działania jest często skojarzony z instalacją backdoor. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_LinuxBackdoor |
| Możliwa utrata wykrytych danych | Śred. | Defender-IoT-micro-agent | Możliwy warunek ruchu wychodzącego danych wykryty przy użyciu analizy danych hosta. Złośliwi aktorzy często przedostają się do danych z naruszonych maszyn. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_EgressData |
| Wykryto kontener uprzywilejowany | Śred. | Defender-IoT-micro-agent | Dzienniki maszyn wskazują, że uruchomiony jest uprzywilejowany kontener platformy Docker. Uprzywilejowany kontener ma pełny dostęp do zasobów hosta. W przypadku naruszenia zabezpieczeń złośliwy aktor może użyć kontenera uprzywilejowanego, aby uzyskać dostęp do maszyny hosta. | Jeśli kontener nie musi działać w trybie uprzywilejowanym, usuń uprawnienia z kontenera. | IoT_PrivilegedContainer |
| Usunięcie wykrytych plików dzienników systemowych | Śred. | Defender-IoT-micro-agent | Wykryto podejrzane usunięcie plików dziennika na hoście. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_RemovalOfSystemLogs |
| Spacja po nazwie pliku | Śred. | Defender-IoT-micro-agent | Wykonanie procesu z podejrzanym rozszerzeniem wykrytym przy użyciu analizy danych hosta. Podejrzane rozszerzenia mogą skłonić użytkowników do bezpiecznego otwierania plików i mogą wskazywać na obecność złośliwego oprogramowania w systemie. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_ExecuteFileWithTrailingSpace |
| Narzędzia często używane do wykrywania dostępu do złośliwych poświadczeń | Śred. | Defender-IoT-micro-agent | Wykrywanie użycia narzędzia często skojarzonego ze złośliwymi próbami uzyskania dostępu do poświadczeń. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_CredentialAccessTools |
| Wykryto podejrzaną kompilację | Śred. | Defender-IoT-micro-agent | Wykryto podejrzaną kompilację. Złośliwi aktorzy często kompilują luki na naruszonej maszynie w celu eskalacji uprawnień. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_SuspiciousCompilation |
| Podejrzane pobieranie plików, a następnie działanie uruchamiania pliku | Śred. | Defender-IoT-micro-agent | Analiza danych hosta wykryła plik, który został pobrany i uruchomiony w tym samym poleceniu. Ta technika jest często używana przez złośliwych podmiotów do zainfekowania plików na maszynach ofiar. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_DownloadFileThenRun |
| Podejrzana komunikacja z adresem IP | Śred. | Defender-IoT-micro-agent | Wykryto komunikację z podejrzanym adresem IP. | Sprawdź, czy połączenie jest wiarygodne. Rozważ zablokowanie komunikacji z podejrzanym adresem IP. | IoT_TiConnection |
| Żądanie złośliwej nazwy domeny | Śred. | Defender-IoT-micro-agent | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Odłącz źródło od sieci. Wykonaj odpowiedź na zdarzenia. | IoT_MaliciousNameQueriesDetection |
Niska ważność
| Nazwisko | Ważność | Źródło danych | opis | Sugerowane kroki korygowania | Typ alertu |
|---|---|---|---|---|---|
| Wyczyszczone historię powłoki Bash | Niski | Defender-IoT-micro-agent | Wyczyszczone dziennik historii powłoki Bash. Złośliwi aktorzy często wymazują historię powłoki bash, aby ukryć własne polecenia przed pojawieniem się w dziennikach. | Przejrzyj polecenie z użytkownikiem, który uruchomił działanie w tym alercie, aby sprawdzić, czy rozpoznasz to jako uzasadnione działania administracyjne. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. | IoT_ClearHistoryFile |
Następne kroki
- Omówienie usługi Defender for IoT