Coleta de eventos do microagente
Os agentes de segurança do Defender para IoT coletam dados e eventos do sistema do seu dispositivo local e enviam esses dados para a nuvem do Azure para processamento.
Observação
O Defender para IoT planeja desativar o microagente em 1º de agosto de 2025.
Se você configurou e conectou um workspace do Log Analytics, verá esses eventos no Log Analytics. Para obter mais informações, confira Tutorial: investigar alertas de segurança.
O microagente do Defender para IoT coleta muitos tipos de eventos do dispositivo, inclusive novos processos e todos os novos eventos de conexão. Em um dispositivo, o novo processo e os novos eventos de conexão podem ocorrer com frequência. Essa capacidade é importante para uma segurança abrangente. Porém, o número de mensagens que os agentes de segurança enviam pode rapidamente atingir ou exceder os seus limites de custo e cota do Hub IoT. Essas mensagens e eventos contêm informações de segurança altamente valiosas que são cruciais para proteger seu dispositivo.
Para reduzir o número de mensagens e os custos sem abrir mão da segurança do dispositivo, os agentes do Defender para IoT agregam os seguintes tipos de eventos:
Eventos de processo (somente Linux)
Eventos de atividade de rede
Eventos do sistema de arquivos
Eventos de estatísticas
Para obter mais informações, confira Agregação de eventos para coletores de processo e de rede.
Os coletores baseados em evento são coletores que são acionados com base na atividade correspondente de dentro do dispositivo. Por exemplo, a process was started in the device.
Os coletores baseados em gatilhos são coletores que são acionados de uma maneira agendada com base nas configurações do cliente.
Eventos de processo (coletor baseado em evento)
Os eventos de processo têm suporte em sistemas operacionais Linux.
Os eventos de processo são considerados idênticos quando a linha de comando e a ID de usuário são idênticas.
O buffer padrão para eventos de processo é de 256 processos. Quando esse limite for atingido, o buffer será acionado e o evento do processo mais antigo será descartado para liberar espaço para o evento mais recente processado. Um aviso para aumentar o tamanho do cache será registrado.
Os dados coletados para cada evento são:
| Parâmetro | Descrição |
|---|---|
| Timestamp | A primeira vez que o processo foi observado. |
| process_id | O PID do Linux. |
| parent_process_id | O PID pai do Linux, se existir. |
| Commandline | A linha de comando. |
| Tipo | Pode ser fork ou exec. |
| hit_count | A contagem de agregação. O número de execuções do mesmo processo, durante o mesmo período de tempo, até que os eventos sejam enviados para a nuvem. |
Eventos de Atividade de Rede (coletor baseado em evento)
Os eventos de Atividade de Rede são considerados idênticos quando a porta local, a porta remota, o protocolo de transporte, o endereço local e o endereço remoto são idênticos.
O buffer padrão para um evento de atividade de rede é de 256. Para situações nas quais o cache está cheio:
Dispositivos do Eclipse ThreadX: nenhum novo evento de rede será armazenado em cache até que o próximo ciclo de coleta comece.
Dispositivos Linux: o evento mais antigo será substituído por cada novo evento. Um aviso para aumentar o tamanho do cache será registrado.
Para dispositivos Linux, somente há suporte para IPv4.
Os dados coletados para cada evento são:
| Parâmetro | Descrição |
|---|---|
| Local address | O endereço de origem da conexão. |
| Endereço remoto | O endereço de destino da conexão. |
| Porta local | A porta de origem da conexão. |
| Porta remota | A porta de destino da conexão. |
| Bytes_in | O total de bytes RX agregados da conexão. |
| Bytes_out | O total de bytes TX agregados da conexão. |
| Transport_protocol | Pode ser TCP, UDP ou ICMP. |
| Application protocol | O protocolo de aplicativo associado à conexão. |
| Propriedades estendidas | Os detalhes adicionais da conexão. Por exemplo, host name. |
| Contagem de ocorrências | A contagem de pacotes observados |
Coletor de logon (coletor baseado em evento)
O coletor de logon coleta as entradas, as saídas e as tentativas de entrada com falha do usuário.
O coletor de logon dá suporte aos seguintes tipos de métodos de coleção:
UTMP e SYSLOG. O UTMP captura eventos interativos SSH, eventos telnet e logons de terminal, bem como todos os eventos de logon com falha do SSH, telnet e terminal. Se o SYSLOG estiver habilitado no dispositivo, o coletor de logon também coletará os eventos de entrada SSH por meio do arquivo do SYSLOG chamado auth.log.
PAM (Módulos de Autenticação Conectáveis). Coleta eventos de SSH, de Telnet e de entrada local. Para obter mais informações, confira Configurar PAM (Módulos de Autenticação Conectáveis) para auditar eventos de entrada.
Os seguintes dados são coletados:
| Parâmetro | Descrição |
|---|---|
| operation | Um dos seguintes: Login, Logout ou LoginFailed |
| process_id | O PID do Linux. |
| user_name | O usuário Linux. |
| executable | O dispositivo de terminal. Por exemplo, tty1..6 ou pts/n. |
| remote_address | A origem da conexão, um endereço IP remoto no formato IPv6 ou IPv4, ou 127.0.0.1/0.0.0.0 para indicar a conexão local. |
Informações do Sistema (coletor baseado em gatilho)
Os dados coletados para cada evento são:
| Parâmetro | Descrição |
|---|---|
| hardware_vendor | O nome do fornecedor do dispositivo. |
| hardware_model | O número de modelo do dispositivo. |
| os_dist | A distribuição do sistema operacional. Por exemplo, Linux. |
| os_version | A versão do sistema operacional. Por exemplo, Windows 10, ou Ubuntu 20.04.1. |
| os_platform | O sistema operacional do dispositivo. |
| os_arch | A arquitetura do sistema operacional. Por exemplo, x86_64. |
| agent_type | O tipo do agente (Edge/Autônomo). |
| agent_version | A versão do agente. |
| nics | O controlador de interface de rede. Abaixo está a lista completa de propriedades. |
As propriedades nics são compostas dos seguintes itens;
| Parâmetro | Descrição |
|---|---|
| tipo | Um dos seguintes valores: UNKNOWN, ETH, WIFI, MOBILE ou SATELLITE. |
| vlans | A LAN virtual associada à interface de rede. |
| vendor | O fornecedor do controlador de rede. |
| info | IPS e MACs associados ao controlador de rede. Isso inclui os seguintes campos; - ipv4_address: O endereço IPv4. - ipv6_address: O endereço IPv6. - mac: O endereço MAC. |
Linha de Base (coletor baseado em gatilho)
O coletor de linha de base executa verificações periódicas do CIS e os resultados de verificação com falha, passar e ignorar são enviados para o serviço de nuvem do Defender para IoT. O Defender para IoT agrega os resultados e fornece recomendações com base nas falhas.
Os dados coletados para cada evento são:
| Parâmetro | Descrição |
|---|---|
| Verificar ID | No formato CIS. Por exemplo, CIS-debian-9-Filesystem-1.1.2. |
| Verificar resultado | Pode ser Fail, Pass, Skip ou Error. Por exemplo, Error em uma situação em que a verificação não pode ser realizada. |
| Erro | A informação e descrição do erro. |
| Descrição | A descrição da verificação do CIS. |
| Remediação | A recomendação para correção do CIS. |
| Gravidade | O nível de gravidade. |
SBoM (coletor baseado em gatilho)
O coletor SBoM (Lista de Materiais de Software) coleta os pacotes instalados no dispositivo periodicamente.
Os dados coletados em cada pacote incluem:
| Parâmetro | Descrição |
|---|---|
| Nome | O nome do pacote. |
| Versão | A versão do pacote. |
| Fornecedor | O fornecedor do pacote, que é o campo Mantenedor em pacotes deb. |
Eventos periféricos (coletor baseado em evento)
O coletor de eventos Periféricos coleta conexões e desconexões de eventos USB e Ethernet.
Os campos coletados dependem do tipo de evento:
Eventos USB
| Parâmetro | Descrição |
|---|---|
| Timestamp | A hora em que o evento ocorreu. |
| ActionType | Se o evento foi um evento de conexão ou desconexão. |
| bus_number | Identificador de controlador específico, cada dispositivo USB pode ter vários. |
| kernel_device_number | Representação no kernel do dispositivo, não é exclusiva e pode sempre que o dispositivo estiver conectado. |
| device_class | Identificador que especifica a classe de dispositivo. |
| device_subclass | Identificador que especifica o tipo de dispositivo. |
| device_protocol | Identificador que especifica o protocolo do dispositivo. |
| interface_class | Caso a classe de dispositivo seja 0, indique o tipo de dispositivo. |
| interface_subclass | Caso a classe de dispositivo seja 0, indique o tipo de dispositivo. |
| interface_protocol | Caso a classe de dispositivo seja 0, indique o tipo de dispositivo. |
Eventos Ethernet
| Parâmetro | Descrição |
|---|---|
| Timestamp | A hora em que o evento ocorreu. |
| ActionType | Se o evento foi um evento de conexão ou desconexão. |
| bus_number | Identificador de controlador específico, cada dispositivo USB pode ter vários. |
| Nome da Interface | O nome da interface. |
Eventos do sistema de arquivos (coletor baseado em evento)
O coletor de eventos do sistema de arquivos coleta eventos sempre que há alterações em diretórios de inspeção para: criação, exclusão, movimentação e modificação de diretórios e arquivos. Para definir quais diretórios e arquivos você gostaria de monitorar, consulte Configurações específicas do coletor de informações do sistema.
Os seguintes dados são coletados:
| Parâmetro | Descrição |
|---|---|
| Timestamp | A hora em que o evento ocorreu. |
| Máscara | Máscara de inotify do Linux relacionada ao evento do sistema de arquivos, a máscara identifica o tipo da ação e pode ser uma das seguintes: Acesso/Modificado/Metadados alterados/Fechados/Abertos/Movidos/Criados/Excluídos. |
| Caminho | Diretório/caminho de arquivo para o qual o evento foi gerado. |
| Hitcount | Número de vezes que esse evento foi agregado. |
Dados de estatísticas (coletor baseado em gatilho)
O coletor de Estatísticas gera várias estatísticas nos diferentes coletores de microagentes. Essas estatísticas fornecem informações sobre o desempenho dos coletores no ciclo de coleta anterior. Exemplos de estatísticas possíveis incluem o número de eventos que foram enviados com êxito e o número de eventos que foram descartados, juntamente com os motivos das falhas.
Campos coletados:
| Parâmetro | Descrição |
|---|---|
| Timestamp | A hora em que o evento ocorreu. |
| Nome | Nome do coletor. |
| Eventos | Uma matriz de pares formatados como JSON com descrição e contagem de ocorrências. |
| Descrição | Se a mensagem foi enviada/descartada e o motivo da remoção. |
| Hitcount | Número de respectivas mensagens. |
Agregação de eventos para coletores de Processo e de Rede
Como a agregação de eventos funciona para os eventos de Processo e os eventos de Atividade de Rede:
Os agentes do Defender para IoT agregam eventos durante o intervalo de envio definido na configuração de frequência de mensagem para cada coletor, como Process_MessageFrequency ou NetworkActivity_MessageFrequency. Depois que o período de intervalo de envio passar, o agente envia os eventos agregados para a nuvem do Azure para uma análise mais detalhada. Os eventos agregados são armazenados na memória até serem enviados para a nuvem do Azure.
Quando o agente coletar evento semelhantes aos que já foram armazenados na memória, ele aumentará a contagem de ocorrências desse evento específico, para reduzir o próprio volume de memória. Quando a janela de tempo de agregação passa, o agente envia a contagem de ocorrências de cada tipo específico de evento ocorrido. A agregação de eventos é a agregação das contagens de ocorrências de eventos semelhantes. Por exemplo, a atividade de rede com o mesmo host remoto e na mesma porta é agregada como um evento, em vez de como um evento separado para cada pacote.
Observação
Por padrão, o micro agente envia logs e telemetria para a nuvem para fins de solução de problemas e monitoramento. Esse comportamento pode ser configurado ou desativado por meio do gêmeo.
Próximas etapas
Para obter mais informações, consulte: