Alertas de segurança do microagente
O Defender para IoT analisa as soluções IoT continuamente usando análise avançada e inteligência contra ameaças para alertar você sobre atividades mal-intencionadas. Além disso, você pode criar alertas personalizados com base no seu conhecimento do comportamento esperado dos dispositivos. Um alerta atua como um indicador de possível comprometimento e deve ser investigado e o problema corrigido.
Observação
O Defender para IoT planeja desativar o microagente em 1º de agosto de 2025.
Neste artigo, você encontrará uma lista de alertas internos, que podem ser disparados em seus dispositivos IoT.
Alertas de segurança
Severidade alta
| Nome | Severidade | fonte de dados | Descrição | Etapas de correção sugeridas | Tipo de alerta |
|---|---|---|---|---|---|
| Linha de comando binário | Alto | Defender-IoT-micro-agent | O binário LA do Linux sendo chamado/executado na linha de comando foi detectado. O processo pode ser uma atividade legítima ou uma indicação de que o seu dispositivo está comprometido. | Examine o comando com o usuário que o executou e verifique se é algo que realmente se espera do dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_BinaryCommandLine |
| Desabilitar firewall | Alto | Defender-IoT-micro-agent | Possível manipulação do firewall no host detectada. Os atores mal-intencionados geralmente desabilitam o firewall no host em uma tentativa de exfiltrar dados. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_DisableFirewall |
| Detecção de encaminhamento de porta | Alto | Defender-IoT-micro-agent | Inicialização do encaminhamento de porta para um endereço IP externo detectada. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_PortForwarding |
| Possível tentativa de desabilitar o log de auditoria detectada | Alto | Defender-IoT-micro-agent | O sistema de auditoria do Linux fornece uma maneira de rastrear informações relevantes para a segurança no sistema. Ele registra o máximo possível de informações sobre os eventos que estão ocorrendo em seu sistema. Essas informações são cruciais para ambientes de missão crítica para determinar quem violou a diretiva de segurança e as ações que eles executaram. Desabilitar o log de auditoria pode impedir sua capacidade de descobrir violações de políticas de segurança usadas no sistema. | Verifique com o proprietário do dispositivo se essa atividade é legítima e com motivos comerciais. Caso contrário, o evento pode estar ocultando a atividade de atores mal-intencionados. E encaminhe imediatamente o incidente para sua equipe de segurança de informações. | IoT_DisableAuditdLogging |
| Shells reversos | Alto | Defender-IoT-micro-agent | A análise de dados do host detectou um possível shell reverso. Os shells reversos costumam ser usados para que um computador comprometido faça um retorno de chamada a um computador controlado por um invasor. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_ReverseShell |
| Logon local bem-sucedido | Alto | Defender-IoT-micro-agent | Detectada uma conexão local bem-sucedida no dispositivo. | Verifique se o usuário conectado é uma pessoa autorizada. | IoT_SuccessfulLocalLogin |
| Web shell | Alto | Defender-IoT-micro-agent | Possível web shell detectado. Os invasores geralmente carregam um web shell em um computador comprometido para obter persistência ou maior exploração. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_WebShell |
| Comportamento semelhante ao ransomware detectado | Alto | Defender-IoT-micro-agent | Execução de arquivos semelhantes a ransomware conhecidos que podem impedir que os usuários acessem o sistema, ou arquivos pessoais, e podem exigir o pagamento de ransomware para recuperação do acesso. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_Ransomware |
| Imagem de Miner de moeda de criptografia | Alto | Defender-IoT-micro-agent | A execução de um processo normalmente associado à mineração de moeda digital foi detectada. | Verifique com o usuário que executou o comando se essa é uma atividade legítima no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_CryptoMiner |
| Nova Conexão USB | Alto | Defender-IoT-micro-agent | Foi detectada uma conexão de dispositivo USB. Isso pode indicar atividade mal-intencionada. | Confirme se essa é uma atividade legítima e esperada no host. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_USBConnection |
| Desconexão USB | Alto | Defender-IoT-micro-agent | Foi detectada uma desconexão de dispositivo USB. Isso pode indicar atividade mal-intencionada. | Confirme se essa é uma atividade legítima e esperada no host. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_UsbDisconnection |
| Nova Conexão de Ethernet | Alto | Defender-IoT-micro-agent | Uma nova conexão de Ethernet foi detectada. Isso pode indicar atividade mal-intencionada. | Confirme se essa é uma atividade legítima e esperada no host. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_EthernetConnection |
| Desconexão de Ethernet | Alto | Defender-IoT-micro-agent | Uma nova desconexão de Ethernet foi detectada. Isso pode indicar atividade mal-intencionada. | Confirme se essa é uma atividade legítima e esperada no host. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_EthernetDisconnection |
| Arquivo Criado | Alto | Defender-IoT-micro-agent | Um novo arquivo foi detectado. Isso pode indicar atividade mal-intencionada. | Confirme se essa é uma atividade legítima e esperada no host. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_FileCreated |
| Arquivo Modificado | Alto | Defender-IoT-micro-agent | Modificação de arquivo detectada. Isso pode indicar atividade mal-intencionada. | Confirme se essa é uma atividade legítima e esperada no host. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_FileModified |
| Arquivo Excluído | Alto | Defender-IoT-micro-agent | A exclusão de arquivo foi detectada. Isso pode indicar atividade mal-intencionada. | Confirme se essa é uma atividade legítima e esperada no host. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_FileDeleted |
Severidade média
| Nome | Severidade | fonte de dados | Descrição | Etapas de correção sugeridas | Tipo de alerta |
|---|---|---|---|---|---|
| Comportamento semelhante a bots Linux comuns detectado | Médio | Defender-IoT-micro-agent | A execução de um processo normalmente associada a botnets comuns do Linux foi detectada. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_CommonBots |
| Comportamento semelhante ao ransomware do Fairware detectado | Médio | Defender-IoT-micro-agent | Execução de comandos rm -rf aplicados a locais suspeitos detectada usando a análise de dados do host. Como o rm -rf exclui arquivos recursivamente, geralmente ele é usado em pastas discretas. Nesse caso, ele está sendo usado em um local que poderia remover muitos dados. O ransomware Fairware é conhecido por executar comandos rm -rf nessa pasta. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_FairwareMalware |
| Imagem de contêiner de Miner de moeda de criptografia detectada | Médio | Defender-IoT-micro-agent | Contêiner que detecta a execução de imagens de mineração de moeda digital conhecidas. | 1. Se esse comportamento não for intencional, exclua a imagem de contêiner relevante. 2. Verifique se o daemon do Docker não está acessível por meio de um soquete TCP não seguro. 3. Encaminhe o alerta para a equipe de segurança de informações. |
IoT_CryptoMinerContainer |
| Uso suspeito do comando nohup detectado | Médio | Defender-IoT-micro-agent | Uso suspeito do comando nohup detectado. Os atores mal-intencionados costumam executar o comando nohup de um diretório temporário. Isso permite efetivamente que seus executáveis funcionem em segundo plano. Ver esse comando ser executado em arquivos localizados em um diretório temporário não é um comportamento normal, nem esperado. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_SuspiciousNohup |
| Uso suspeito do comando useradd detectado | Médio | Defender-IoT-micro-agent | Uso suspeito do comando useradd detectado no dispositivo. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_SuspiciousUseradd |
| Daemon do Docker exposto por soquete TCP | Médio | Defender-IoT-micro-agent | Os logs de computador indicam que o daemon do Docker (dockerd) expõe um soquete TCP. Por padrão, a configuração do Docker não usa criptografia ou autenticação quando um soquete TCP está habilitado. Isso permite acesso completo ao daemon do Docker, por qualquer pessoa com acesso à porta relevante. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_ExposedDocker |
| Falha no logon local | Médio | Defender-IoT-micro-agent | Foi detectada uma tentativa falha de logon local no dispositivo. | Tenha certeza de que nenhuma parte não autorizada tenha acesso físico ao dispositivo. | IoT_FailedLocalLogin |
| Download de arquivo de uma fonte mal-intencionada conhecida detectado | Médio | Defender-IoT-micro-agent | Foi detectado o download de um arquivo de uma fonte de malware conhecida. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_PossibleMalware |
| Acesso ao arquivo htaccess detectado | Médio | Defender-IoT-micro-agent | A análise de dados do host detectou uma possível manipulação de um arquivo htaccess. O htaccess é um arquivo de configuração poderoso que permite que você faça várias alterações em um servidor Web que executa o software Apache Web, inclusive na funcionalidade básica de redirecionamento ou em funções mais avançadas, como a proteção de senha básica. Os invasores geralmente modificam arquivos htaccess em máquinas que estão comprometidos para obter persistência. | Confirme se essa é uma atividade legítima e esperada no host. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_AccessingHtaccessFile |
| Ferramenta de ataque conhecida | Médio | Defender-IoT-micro-agent | Uma ferramenta geralmente associada a usuários mal-intencionados foi detectada. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_KnownAttackTools |
| Reconhecimento de host local detectado | Médio | Defender-IoT-micro-agent | Execução de um comando normalmente associado ao reconhecimento de bots comuns do Linux detectada. | Examine a linha de comando suspeita para confirmar que ela foi executada por um usuário legítimo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_LinuxReconnaissance |
| Incompatibilidade entre interpretador de script e extensão de arquivo | Médio | Defender-IoT-micro-agent | Uma incompatibilidade entre o intérprete do script e a extensão do arquivo de script fornecido como entrada foi detectada. Esse tipo de incompatibilidade normalmente é associado a execuções de script invasor. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_ScriptInterpreterMismatch |
| Possível backdoor detectado | Médio | Defender-IoT-micro-agent | Um arquivo suspeito foi baixado e, em seguida, executado em um host da sua assinatura. Esse tipo de atividade é normalmente associado à instalação de um Backdoor. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_LinuxBackdoor |
| Possível perda de dados detectada | Médio | Defender-IoT-micro-agent | Possível condição de saída de dados detectada usando análise de dados do host. Atores mal-intencionados geralmente extraem dados de computadores comprometidos. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_EgressData |
| Contêiner privilegiado detectado | Médio | Defender-IoT-micro-agent | Os logs do computador indicam que um contêiner do Docker privilegiado está em execução. Um contêiner privilegiado tem acesso completo aos recursos do host. Se for comprometido, um invasor pode usar o contêiner privilegiado para obter acesso ao computador host. | Se o contêiner não precisar ser executado no modo privilegiado, remova os privilégios do contêiner. | IoT_PrivilegedContainer |
| Remoção de arquivos de log do sistema detectada | Médio | Defender-IoT-micro-agent | Remoção suspeita de arquivos de log no host detectada. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_RemovalOfSystemLogs |
| Espaço depois do nome de arquivo | Médio | Defender-IoT-micro-agent | Execução de um processo com uma extensão suspeita detectada usando análise de dados do host. A extensão pode induzir os usuários a pensar que os arquivos estão seguros para serem abertos e pode indicar a presença de malware no sistema. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_ExecuteFileWithTrailingSpace |
| Ferramentas comumente usadas para acesso a credenciais mal-intencionadas detectadas | Médio | Defender-IoT-micro-agent | O uso de uma ferramenta comumente associada a tentativas mal-intencionadas de acessar credenciais foi detectado. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_CredentialAccessTools |
| Compilação suspeita detectada | Médio | Defender-IoT-micro-agent | Compilação suspeita detectada. Atores mal-intencionados costumam compilar explorações em um computador comprometido para escalonar privilégios. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_SuspiciousCompilation |
| Download de arquivo suspeito seguido de atividade de execução do arquivo | Médio | Defender-IoT-micro-agent | A análise dos dados do host detectou um arquivo que foi baixado e executado no mesmo comando. Essa técnica é comumente usada por atores mal-intencionados para introduzir arquivos infectados em máquinas vítimas. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_DownloadFileThenRun |
| Comunicação com endereço IP suspeito | Médio | Defender-IoT-micro-agent | A comunicação com um endereço IP suspeito foi detectada. | Verifique se a conexão é legítima. Considere bloquear a comunicação com o IP suspeito. | IoT_TiConnection |
| Solicitação de nome de domínio mal-intencionado | Médio | Defender-IoT-micro-agent | Foi detectada uma atividade de rede suspeita. Essa atividade pode ser associada a um ataque que explora um método usado por um malware conhecido. | Desconecte a origem da rede. Execute a resposta a incidentes. | IoT_MaliciousNameQueriesDetection |
Severidade baixa
| Nome | Severidade | fonte de dados | Descrição | Etapas de correção sugeridas | Tipo de alerta |
|---|---|---|---|---|---|
| Histórico de bash limpo | Baixo | Defender-IoT-micro-agent | O log do histórico de bash foi limpo. Os atores mal-intencionados geralmente apagam o histórico de bash para que seus próprios comandos não sejam exibidos nos logs. | Verifique junto ao usuário que executou o comando se esta é uma atividade administrativa legítima. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. | IoT_ClearHistoryFile |
Próximas etapas
- Visão geral do serviço Defender para IoT