Alertas de segurança herdados do Defender para dispositivos IoT
Observação
O agente herdado do Microsoft Defender para IoT foi substituído por nossa experiência de microagente mais recente. Para obter mais informações, confira Tutorial: investigar alertas de segurança.
A partir de 31 de março de 2022, o agente herdado caducará e novos recursos não serão desenvolvidos. O agente herdado será totalmente desativado em 31 de março de 2023. A essa altura, não forneceremos mais correções de bug nem outro suporte para o agente herdado.
O Defender para IoT analisa as soluções IoT continuamente usando análise avançada e inteligência contra ameaças para alertar você sobre atividades mal-intencionadas. Além disso, você pode criar alertas personalizados com base no seu conhecimento do comportamento esperado dos dispositivos. Um alerta atua como um indicador de possível comprometimento e deve ser investigado e o problema corrigido.
Neste artigo, você encontrará uma lista de alertas internos, que podem ser disparados em seus dispositivos IoT. Além dos alertas internos, o Defender para IoT permite que você defina alertas personalizados de acordo com o comportamento esperado do Hub IoT e/ou do dispositivo. Para obter mais informações, confira Alertas personalizáveis.
Alertas de segurança baseados em agente
| Nome | Severidade | fonte de dados | Descrição | Etapas de correção sugeridas |
|---|---|---|---|---|
| Severidade alta | ||||
| Linha de comando binário | Alto | Microagente herdado do Defender para IoT | O binário LA do Linux sendo chamado/executado na linha de comando foi detectado. O processo pode ser uma atividade legítima ou uma indicação de que o seu dispositivo está comprometido. | Examine o comando com o usuário que o executou e verifique se é algo que realmente se espera do dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Desabilitar firewall | Alto | Microagente herdado do Defender para IoT | Possível manipulação do firewall no host detectada. Os atores mal-intencionados geralmente desabilitam o firewall no host em uma tentativa de exfiltrar dados. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Detecção de encaminhamento de porta | Alto | Microagente herdado do Defender para IoT | Inicialização do encaminhamento de porta para um endereço IP externo detectada. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Possível tentativa de desabilitar o log de auditoria detectada | Alto | Microagente herdado do Defender para IoT | O sistema de auditoria do Linux fornece uma maneira de rastrear informações relevantes para a segurança no sistema. Ele registra o máximo possível de informações sobre os eventos que estão ocorrendo em seu sistema. Essas informações são cruciais para ambientes de missão crítica para determinar quem violou a diretiva de segurança e as ações que eles executaram. Desabilitar o log de auditoria pode impedir sua capacidade de descobrir violações de políticas de segurança usadas no sistema. | Verifique com o proprietário do dispositivo se essa atividade é legítima e com motivos comerciais. Caso contrário, o evento pode estar ocultando a atividade de atores mal-intencionados. E encaminhe imediatamente o incidente para sua equipe de segurança de informações. |
| Shells reversos | Alto | Microagente herdado do Defender para IoT | A análise de dados do host detectou um possível shell reverso. Os shells reversos costumam ser usados para que um computador comprometido faça um retorno de chamada a um computador controlado por um invasor. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Tentativa de Força Bruta bem-sucedida | Alto | Microagente herdado do Defender para IoT | Várias tentativas de logon malsucedidas foram identificadas, seguidas por um logon bem-sucedido. Uma tentativa de ataque de força bruta pode ter tido êxito no dispositivo. | Examine o alerta de força bruta por SSH e a atividade nos dispositivos. Se a atividade for mal-intencionada: Implemente a redefinição de senha para as contas comprometidas. Investigue e corrija (se encontrados) os dispositivos para a existência de malware. |
| Logon local bem-sucedido | Alto | Microagente herdado do Defender para IoT | Foi detectado um logon local bem-sucedido no dispositivo. | Verifique se o usuário conectado é uma pessoa autorizada. |
| Web shell | Alto | Microagente herdado do Defender para IoT | Possível web shell detectado. Os invasores geralmente carregam um web shell em um computador comprometido para obter persistência ou maior exploração. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Severidade média | ||||
| Comportamento semelhante a bots Linux comuns detectado | Médio | Microagente herdado do Defender para IoT | A execução de um processo normalmente associada a botnets comuns do Linux foi detectada. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Comportamento semelhante ao ransomware do Fairware detectado | Médio | Microagente herdado do Defender para IoT | Execução de comandos rm -rf aplicados a locais suspeitos detectada usando a análise de dados do host. Como rm -rf excluirá arquivos recursivamente, ele é normalmente usado em pastas discretas. Nesse caso, os comandos estão sendo usados em um local que pode remover muitos dados. O ransomware Fairware é conhecido por executar comandos rm -rf nessa pasta. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Comportamento semelhante ao ransomware detectado | Médio | Microagente herdado do Defender para IoT | Execução de arquivos semelhantes a ransomware conhecidos que podem impedir que os usuários acessem o sistema, ou arquivos pessoais, e podem exigir o pagamento de ransomware para recuperação do acesso. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Imagem de contêiner de Miner de moeda de criptografia detectada | Médio | Microagente herdado do Defender para IoT | Contêiner que detecta a execução de imagens de mineração de moeda digital conhecidas. | 1. Se esse comportamento não for intencional, exclua a imagem de contêiner relevante. 2. Verifique se o daemon do Docker não está acessível por meio de um soquete TCP inseguro. 3. Encaminhe o alerta para a equipe de segurança de informações. |
| Imagem de Miner de moeda de criptografia | Médio | Microagente herdado do Defender para IoT | A execução de um processo normalmente associado à mineração de moeda digital foi detectada. | Verifique com o usuário que executou o comando se essa é uma atividade legítima no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Uso suspeito do comando nohup detectado | Médio | Microagente herdado do Defender para IoT | Uso suspeito do comando nohup detectado. Os atores mal-intencionados costumam executar o comando nohup de um diretório temporário. Isso permite efetivamente que seus executáveis funcionem em segundo plano. Ver esse comando ser executado em arquivos localizados em um diretório temporário não é um comportamento normal, nem esperado. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Uso suspeito do comando useradd detectado | Médio | Microagente herdado do Defender para IoT | Uso suspeito do comando useradd detectado no dispositivo. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Daemon do Docker exposto por soquete TCP | Médio | Microagente herdado do Defender para IoT | Os logs de computador indicam que o daemon do Docker (dockerd) expõe um soquete TCP. Por padrão, a configuração do Docker não usa criptografia ou autenticação quando um soquete TCP está habilitado. Isso permite acesso completo ao daemon do Docker, por qualquer pessoa com acesso à porta relevante. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Falha no logon local | Médio | Microagente herdado do Defender para IoT | Foi detectada uma tentativa falha de logon local no dispositivo. | Tenha certeza de que nenhuma parte não autorizada tenha acesso físico ao dispositivo. |
| Download de arquivo de uma fonte mal-intencionada conhecida detectado | Médio | Microagente herdado do Defender para IoT | Foi detectado o download de um arquivo de uma fonte de malware conhecida. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Acesso ao arquivo htaccess detectado | Médio | Microagente herdado do Defender para IoT | A análise de dados do host detectou uma possível manipulação de um arquivo htaccess. O htaccess é um arquivo de configuração poderoso que permite que você faça várias alterações em um servidor Web que executa o software Apache Web, inclusive na funcionalidade básica de redirecionamento ou em funções mais avançadas, como a proteção de senha básica. Os invasores geralmente modificam arquivos htaccess em máquinas que estão comprometidos para obter persistência. | Confirme se essa é uma atividade legítima e esperada no host. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Ferramenta de ataque conhecida | Médio | Microagente herdado do Defender para IoT | Uma ferramenta geralmente associada a usuários mal-intencionados foi detectada. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Tentativa e falha do agente de IoT de analisar a configuração do módulo gêmeo | Médio | Microagente herdado do Defender para IoT | O agente de segurança do Defender para IoT falhou ao analisar a configuração do módulo gêmeo devido a incompatibilidades de tipo no objeto de configuração. | Valide a configuração do módulo gêmeo em relação ao esquema de configuração do agente IoT e corrija todas as incompatibilidades. |
| Reconhecimento de host local detectado | Médio | Microagente herdado do Defender para IoT | Execução de um comando normalmente associado ao reconhecimento de bots comuns do Linux detectada. | Examine a linha de comando suspeita para confirmar que ela foi executada por um usuário legítimo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Incompatibilidade entre interpretador de script e extensão de arquivo | Médio | Microagente herdado do Defender para IoT | Uma incompatibilidade entre o intérprete do script e a extensão do arquivo de script fornecido como entrada foi detectada. Esse tipo de incompatibilidade normalmente é associado a execuções de script invasor. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Possível backdoor detectado | Médio | Microagente herdado do Defender para IoT | Um arquivo suspeito foi baixado e, em seguida, executado em um host da sua assinatura. Esse tipo de atividade é normalmente associado à instalação de um Backdoor. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Possível perda de dados detectada | Médio | Microagente herdado do Defender para IoT | Possível condição de saída de dados detectada usando análise de dados do host. Atores mal-intencionados geralmente extraem dados de computadores comprometidos. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Possível substituição de arquivos comuns | Médio | Microagente herdado do Defender para IoT | Executável comum substituído no dispositivo. Atores mal-intencionados são conhecidos por substituir arquivos comuns como uma forma de ocultar suas ações ou como uma forma de obter persistência. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Contêiner privilegiado detectado | Médio | Microagente herdado do Defender para IoT | Os logs do computador indicam que um contêiner do Docker privilegiado está em execução. Um contêiner privilegiado tem acesso completo aos recursos do host. Se for comprometido, um invasor pode usar o contêiner privilegiado para obter acesso ao computador host. | Se o contêiner não precisar ser executado no modo privilegiado, remova os privilégios do contêiner. |
| Remoção de arquivos de log do sistema detectada | Médio | Microagente herdado do Defender para IoT | Remoção suspeita de arquivos de log no host detectada. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Espaço depois do nome de arquivo | Médio | Microagente herdado do Defender para IoT | Execução de um processo com uma extensão suspeita detectada usando análise de dados do host. A extensão pode induzir os usuários a pensar que os arquivos estão seguros para serem abertos e pode indicar a presença de malware no sistema. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Ferramentas de acesso a credenciais possivelmente mal-intencionadas detectadas | Médio | Microagente herdado do Defender para IoT | O uso de uma ferramenta comumente associada a tentativas mal-intencionadas de acessar credenciais foi detectado. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Compilação suspeita detectada | Médio | Microagente herdado do Defender para IoT | Compilação suspeita detectada. Atores mal-intencionados costumam compilar explorações em um computador comprometido para escalonar privilégios. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Download de arquivo suspeito seguido de atividade de execução do arquivo | Médio | Microagente herdado do Defender para IoT | A análise dos dados do host detectou um arquivo que foi baixado e executado no mesmo comando. Essa técnica é comumente usada por atores mal-intencionados para introduzir arquivos infectados em máquinas vítimas. | Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Comunicação com endereço IP suspeito | Médio | Microagente herdado do Defender para IoT | A comunicação com um endereço IP suspeito foi detectada. | Verifique se a conexão é legítima. Considere bloquear a comunicação com o IP suspeito. |
| Severidade baixa | ||||
| Histórico de bash limpo | Baixo | Microagente herdado do Defender para IoT | O log do histórico de bash foi limpo. Os atores mal-intencionados geralmente apagam o histórico de bash para que seus próprios comandos não sejam exibidos nos logs. | Verifique junto ao usuário que executou o comando se esta é uma atividade administrativa legítima. Caso contrário, encaminhe o alerta para a equipe de segurança de informações. |
| Dispositivo silencioso | Baixo | Microagente herdado do Defender para IoT | O dispositivo não enviou nenhum dado de telemetria nas últimas 72 horas. | Confirme se o dispositivo está online e enviando dados. Verifique se o agente de segurança do Azure está em execução no dispositivo. |
| Falha na tentativa de Força bruta | Baixo | Microagente herdado do Defender para IoT | Várias tentativas de logon malsucedidas foram identificadas. Uma possível tentativa de ataque de força bruta no dispositivo falhou. | Examine os alertas de força bruta por SSH e a atividade no dispositivo. Nenhuma ação adicional é necessária. |
| Usuário local adicionado a um ou mais grupos | Baixo | Microagente herdado do Defender para IoT | Novo usuário local adicionado a um grupo neste dispositivo. As alterações nos grupos de usuários não são comuns e podem indicar que um ator mal-intencionado está coletando permissões adicionais. | Verifique se a alteração é consistente com as permissões exigidas pelo usuário afetado. Se não for o caso, encaminhe para sua equipe de segurança de informações. |
| Usuário local excluído de um ou mais grupos | Baixo | Microagente herdado do Defender para IoT | Um usuário local foi excluído de um ou mais grupos. Esta é uma tática conhecida de atores mal-intencionados que tenta negar o acesso ou excluir o histórico de ações de usuários legítimos. | Verifique se a alteração é consistente com as permissões exigidas pelo usuário afetado. Se não for o caso, encaminhe para sua equipe de segurança de informações. |
| Exclusão de usuário local detectada | Baixo | Microagente herdado do Defender para IoT | A exclusão de um usuário foi local detectada. Isso não é comum, um ator mal-intencionado pode estar tentando negar acesso ou excluir o histórico de ações de usuários legítimos. | Verifique se a alteração é consistente com as permissões exigidas pelo usuário afetado. Se não for o caso, encaminhe para sua equipe de segurança de informações. |
Próximas etapas
- Visão geral do serviço Defender para IoT
- Aprenda a Acessar dados de segurança
- Saiba mais sobre como Investigar um dispositivo