Zbieranie zdarzeń mikro agenta
Agenci zabezpieczeń usługi Defender for IoT zbierają dane i zdarzenia systemowe z urządzenia lokalnego oraz wysyłają dane do chmury platformy Azure w celu przetworzenia.
Uwaga
Usługa Defender dla IoT planuje wycofać mikro agenta 1 sierpnia 2025 r.
Jeśli skonfigurowano i połączono obszar roboczy usługi Log Analytics, te zdarzenia będą widoczne w usłudze Log Analytics. Aby uzyskać więcej informacji, zobacz Samouczek: badanie alertów zabezpieczeń.
Mikro agent usługi Defender for IoT zbiera wiele typów zdarzeń urządzenia, w tym nowe procesy i wszystkie nowe zdarzenia połączenia. Zarówno nowy proces, jak i nowe zdarzenia połączenia mogą występować często na urządzeniu. Ta funkcja jest ważna w przypadku kompleksowych zabezpieczeń, jednak liczba komunikatów wysyłanych przez agentów zabezpieczeń może szybko osiągnąć lub przekroczyć limit przydziału usługi IoT Hub oraz limity kosztów. Te komunikaty i zdarzenia zawierają wysoce cenne informacje o zabezpieczeniach, które mają kluczowe znaczenie dla ochrony urządzenia.
Aby zmniejszyć liczbę komunikatów i kosztów przy zachowaniu zabezpieczeń urządzenia, agenci usługi Defender dla IoT agregują następujące typy zdarzeń:
Przetwarzanie zdarzeń (tylko system Linux)
Zdarzenia działań sieciowych
Zdarzenia systemu plików
Zdarzenia statystyk
Aby uzyskać więcej informacji, zobacz Agregacja zdarzeń dla procesów i modułów zbierających sieci.
Moduły zbierające oparte na zdarzeniach to moduły zbierające, które są wyzwalane na podstawie odpowiednich działań z poziomu urządzenia. Na przykład a process was started in the device.
Moduły zbierające oparte na wyzwalaczach to moduły zbierające wyzwalane w zaplanowany sposób na podstawie konfiguracji klienta.
Przetwarzanie zdarzeń (moduł zbierający oparty na zdarzeniach)
Zdarzenia procesów są obsługiwane w systemach operacyjnych Linux.
Zdarzenia procesu są uznawane za identyczne, gdy wiersz polecenia i identyfikator userid są identyczne.
Domyślny bufor zdarzeń procesu to 256 procesów. Po osiągnięciu tego limitu bufor będzie cykliczny, a najstarsze zdarzenie procesu zostanie odrzucone, aby zapewnić miejsce dla najnowszego przetworzonego zdarzenia. Zostanie zarejestrowane ostrzeżenie o zwiększeniu rozmiaru pamięci podręcznej.
Dane zebrane dla każdego zdarzenia to:
| Parametr | Opis |
|---|---|
| Sygnatura czasowa | Po raz pierwszy zaobserwowano proces. |
| process_id | Identyfikator PID systemu Linux. |
| parent_process_id | Nadrzędny identyfikator PID systemu Linux, jeśli istnieje. |
| Wiersz polecenia | Wiersz polecenia. |
| Type | Może to być wartość fork, lub exec. |
| hit_count | Liczba agregacji. Liczba wykonań tego samego procesu w tym samym przedziale czasu do momentu wysłania zdarzeń do chmury. |
Zdarzenia aktywności sieciowej (moduł zbierający oparty na zdarzeniach)
Zdarzenia aktywności sieciowej są traktowane tak samo, gdy port lokalny, port zdalny, protokół transportu, adres lokalny i adres zdalny są identyczne.
Domyślny bufor zdarzenia działania sieciowego to 256. W sytuacjach, w których pamięć podręczna jest pełna:
Urządzenia Eclipse ThreadX: żadne nowe zdarzenia sieciowe nie będą buforowane do momentu rozpoczęcia następnego cyklu zbierania.
Urządzenia z systemem Linux: najstarsze zdarzenie zostanie zastąpione przez każde nowe zdarzenie. Zostanie zarejestrowane ostrzeżenie o zwiększeniu rozmiaru pamięci podręcznej.
W przypadku urządzeń z systemem Linux obsługiwany jest tylko protokół IPv4.
Dane zebrane dla każdego zdarzenia to:
| Parametr | Opis |
|---|---|
| Adres lokalny | Adres źródłowy połączenia. |
| Adres zdalny | Adres docelowy połączenia. |
| Port lokalny | Port źródłowy połączenia. |
| Port zdalny | Port docelowy połączenia. |
| Bytes_in | Łączna zagregowana liczba bajtów RX połączenia. |
| Bytes_out | Łączna zagregowana liczba bajtów TX połączenia. |
| Transport_protocol | Może to być TCP, UDP lub ICMP. |
| Protokół aplikacji | Protokół aplikacji skojarzony z połączeniem. |
| Właściwości rozszerzone | Dodatkowe szczegóły połączenia. Na przykład host name. |
| Liczba trafień | Liczba obserwowanych pakietów |
Moduł zbierający dane logowania (moduł zbierający oparty na zdarzeniach)
Moduł zbierający dane logowania zbiera logowania użytkowników, wylogowywane i nieudane próby logowania.
Moduł zbierający dane logowania obsługuje następujące typy metod zbierania:
UTMP i SYSLOG. Protokół UTMP przechwytuje zdarzenia interakcyjne SSH, zdarzenia telnet i identyfikatory logowania terminalu, a także wszystkie nieudane zdarzenia logowania z protokołu SSH, telnet i terminalu. Jeśli usługa SYSLOG jest włączona na urządzeniu, moduł zbierający dane logowania zbiera również zdarzenia logowania SSH za pośrednictwem pliku SYSLOG o nazwie auth.log.
Podłączane moduły uwierzytelniania (PAM) Zbiera zdarzenia logowania sSH, telnet i lokalnego logowania. Aby uzyskać więcej informacji, zobacz Configure Pluggable Authentication Modules (PAM) to audit sign-in events (Konfigurowanie podłączonych modułów uwierzytelniania w celu inspekcji zdarzeń logowania).
Zbierane są następujące dane:
| Parametr | Opis |
|---|---|
| rozdzielnicy | Jeden z następujących elementów: Login, , LogoutLoginFailed |
| process_id | Identyfikator PID systemu Linux. |
| user_name | Użytkownik systemu Linux. |
| plik wykonywalny | Urządzenie terminalowe. Na przykład: tty1..6 lub pts/n. |
| remote_address | Źródło połączenia, zdalny adres IP w formacie IPv6 lub IPv4 lub 127.0.0.1/0.0.0.0 wskazujący połączenie lokalne. |
Informacje o systemie (moduł zbierający oparty na wyzwalaczach)
Dane zebrane dla każdego zdarzenia to:
| Parametr | Opis |
|---|---|
| hardware_vendor | Nazwa dostawcy urządzenia. |
| hardware_model | Numer modelu urządzenia. |
| os_dist | Rozkład systemu operacyjnego. Na przykład Linux. |
| os_version | Wersja systemu operacyjnego. Na przykład , Windows 10lub Ubuntu 20.04.1. |
| os_platform | System operacyjny urządzenia. |
| os_arch | Architektura systemu operacyjnego. Na przykład x86_64. |
| agent_type | Typ agenta (Edge/Standalone). |
| agent_version | Wersja agenta. |
| nics | Kontroler interfejsu sieciowego. Pełna lista właściwości znajduje się poniżej. |
Właściwości kart interfejsu sieciowego składają się z następujących elementów:
| Parametr | Opis |
|---|---|
| type | Jedna z następujących wartości: UNKNOWN, , ETHWIFI, MOBILElub SATELLITE. |
| sieci vlan | Wirtualna sieć LAN skojarzona z interfejsem sieciowym. |
| sprzedawca | Dostawca kontrolera sieci. |
| Informacji | IpS i maCs skojarzone z kontrolerem sieci. Obejmuje to następujące pola; - ipv4_address: adres IPv4. - ipv6_address: adres IPv6. - mac: adres MAC. |
Punkt odniesienia (moduł zbierający oparty na wyzwalaczu)
Moduł zbierający punkt odniesienia przeprowadza okresowe testy ciągłej integracji i kończy się niepowodzeniem, przekazywaniem i pomijanie wyników sprawdzania są wysyłane do usługi Defender for IoT w chmurze. Usługa Defender dla IoT agreguje wyniki i udostępnia zalecenia na podstawie wszelkich błędów.
Dane zebrane dla każdego zdarzenia to:
| Parametr | Opis |
|---|---|
| Sprawdź identyfikator | W formacie CIS. Na przykład CIS-debian-9-Filesystem-1.1.2. |
| Sprawdź wynik | Może to być Fail, Pass, Skiplub Error. Na przykład w sytuacji, Error w której nie można uruchomić sprawdzania. |
| Błąd | Informacje o błędzie i opis. |
| Opis | Opis sprawdzania z ciS. |
| Korygowanie | Zalecenie dotyczące korygowania z modelu CIS. |
| Ważność | Poziom ważności. |
SBoM (moduł zbierający oparty na wyzwalaczach)
Moduł zbierający SBoM (Software Bill of Materials) okresowo zbiera pakiety zainstalowane na urządzeniu.
Dane zebrane w każdym pakiecie obejmują:
| Parametr | opis |
|---|---|
| Nazwa/nazwisko | Nazwa pakietu. |
| Wersja | Wersja pakietu. |
| Dostawca | Dostawca pakietu, który jest polem Konserwacji w pakietach deb. |
Zdarzenia peryferyjne (moduł zbierający oparty na zdarzeniach)
Moduł zbierający zdarzenia peryferyjne zbiera połączenia i rozłączenia zdarzeń USB i Ethernet.
Zebrane pola zależą od typu zdarzenia:
Zdarzenia USB
| Parametr | Opis |
|---|---|
| Sygnatura czasowa | Godzina wystąpienia zdarzenia. |
| Typ akcji | Czy zdarzenie było zdarzeniem połączenia, czy rozłączenia. |
| bus_number | Określony identyfikator kontrolera, każde urządzenie USB może mieć kilka. |
| kernel_device_number | Reprezentacja w jądrze urządzenia, a nie unikatowa i może za każdym razem, gdy urządzenie jest połączone. |
| device_class | Identyfikator określający klasę urządzenia. |
| device_subclass | Identyfikator określający typ urządzenia. |
| device_protocol | Identyfikator określający protokół urządzenia. |
| interface_class | W przypadku, gdy klasa urządzenia ma wartość 0, wskaż typ urządzenia. |
| interface_subclass | W przypadku, gdy klasa urządzenia ma wartość 0, wskaż typ urządzenia. |
| interface_protocol | W przypadku, gdy klasa urządzenia ma wartość 0, wskaż typ urządzenia. |
Zdarzenia Ethernet
| Parametr | Opis |
|---|---|
| Sygnatura czasowa | Godzina wystąpienia zdarzenia. |
| Typ akcji | Czy zdarzenie było zdarzeniem połączenia, czy rozłączenia. |
| bus_number | Określony identyfikator kontrolera, każde urządzenie USB może mieć kilka. |
| Nazwa interfejsu | Nazwa interfejsu. |
Zdarzenia systemu plików (moduł zbierający oparty na zdarzeniach)
Moduł zbierający zdarzenia systemu plików zbiera zdarzenia za każdym razem, gdy istnieją zmiany w katalogach obserwowanych: tworzenie, usuwanie, przenoszenie i modyfikowanie katalogów i plików. Aby zdefiniować, które katalogi i pliki chcesz monitorować, zobacz Ustawienia specyficzne dla modułu zbierającego informacje o systemie.
Zbierane są następujące dane:
| Parametr | Opis |
|---|---|
| Sygnatura czasowa | Godzina wystąpienia zdarzenia. |
| Maska | Maska inotify systemu Linux związana ze zdarzeniem systemu plików, maska identyfikuje typ akcji i może być jedną z następujących czynności: Access/Modified/Metadata changed/Closed/Opened/Moved/Created/Deleted. |
| Ścieżka | Katalog/ścieżka pliku, do którego zostało wygenerowane zdarzenie. |
| Hitcount | Liczba zagregowanych zdarzeń. |
Dane statystyczne (moduł zbierający oparty na wyzwalaczu)
Moduł zbierający statystyki generuje różne statystyki dotyczące różnych modułów zbierających mikro agentów. Te statystyki zawierają informacje o wydajności modułów zbierających w poprzednim cyklu kolekcji. Przykłady możliwych statystyk obejmują liczbę zdarzeń, które zostały pomyślnie wysłane, oraz liczbę porzuconych zdarzeń wraz z przyczynami awarii.
Zebrane pola:
| Parametr | Opis |
|---|---|
| Sygnatura czasowa | Godzina wystąpienia zdarzenia. |
| Nazwa/nazwisko | Nazwa modułu zbierającego. |
| Wydarzenia | Tablica par sformatowana jako JSON z opisem i liczba trafień. |
| Opis | Czy wiadomość została wysłana/porzucona, a przyczyna upuszczania. |
| Hitcount | Liczba odpowiednich komunikatów. |
Agregacja zdarzeń dla modułów zbierających proces i sieci
Jak działa agregacja zdarzeń procesu i zdarzeń działania sieciowego:
Agenci usługi Defender for IoT agregują zdarzenia w interwale wysyłania zdefiniowanym w konfiguracji częstotliwości komunikatów dla każdego modułu zbierającego, takiego jak Process_MessageFrequency lub NetworkActivity_MessageFrequency. Po upływie okresu interwału wysyłania agent wysyła zagregowane zdarzenia do chmury platformy Azure w celu dalszej analizy. Zagregowane zdarzenia są przechowywane w pamięci do momentu wysłania ich do chmury platformy Azure.
Gdy agent zbiera podobne zdarzenia do tych, które są już przechowywane w pamięci, agent zwiększy liczbę trafień tego konkretnego zdarzenia, aby zmniejszyć ilość pamięci agenta. Po przejściu okna czasu agregacji agent wysyła liczbę trafień każdego typu zdarzenia, które wystąpiło. Agregacja zdarzeń to agregacja liczby trafień podobnych zdarzeń. Na przykład aktywność sieciowa z tym samym hostem zdalnym i na tym samym porcie jest agregowana jako jedno zdarzenie, a nie jako oddzielne zdarzenie dla każdego pakietu.
Uwaga
Domyślnie mikro agent wysyła dzienniki i dane telemetryczne do chmury w celu rozwiązywania problemów i monitorowania. To zachowanie można skonfigurować lub wyłączyć za pomocą bliźniaczej reprezentacji bliźniaczej.
Następne kroki
Aby uzyskać więcej informacji, zobacz:
- Konfiguracje mikro agenta
- Sprawdź alerty zabezpieczeń usługi Defender dla IoT.