Alertas de segurança do Legacy Defender for IoT devices
Nota
O agente herdado do Microsoft Defender para IoT foi substituído por nossa experiência mais recente com microagentes. Para obter mais informações, consulte Tutorial: Investigar alertas de segurança.
A partir de 31 de março de 2022, o agente legado está suspenso e nenhum novo recurso está sendo desenvolvido. O agente legado será totalmente aposentado em 31 de março de 2023, quando não forneceremos mais correções de bugs ou outro suporte para o agente legado.
O Defender for IoT analisa continuamente sua solução de IoT usando análises avançadas e inteligência contra ameaças para alertá-lo sobre atividades maliciosas. Além disso, você pode criar alertas personalizados com base no seu conhecimento do comportamento esperado do dispositivo. Um alerta funciona como um indicador de potencial comprometimento e deve ser investigado e corrigido.
Neste artigo, você encontrará uma lista de alertas internos, que podem ser acionados em seus dispositivos IoT. Além dos alertas integrados, o Defender for IoT permite definir alertas personalizados com base no Hub IoT esperado e/ou no comportamento do dispositivo. Para obter mais informações, consulte alertas personalizáveis.
Alertas de segurança baseados em agente
| Nome | Gravidade | Origem de Dados | Description | Etapas de correção sugeridas |
|---|---|---|---|---|
| Alta severidade | ||||
| Linha de comando binária | Alto | Antigo Defender-IoT-micro-agente | LA Linux binário sendo chamado/executado a partir da linha de comando foi detetado. Este processo pode ser uma atividade legítima ou uma indicação de que o seu dispositivo está comprometido. | Revise o comando com o usuário que o executou e verifique se isso é algo legitimamente esperado para ser executado no dispositivo. Caso contrário, escale o alerta para sua equipe de segurança da informação. |
| Desativar firewall | Alto | Antigo Defender-IoT-micro-agente | Possível manipulação do firewall no host detetada. Agentes mal-intencionados geralmente desativam o firewall no host na tentativa de exfiltrar dados. | Analise com o usuário que executou o comando para confirmar se essa era uma atividade esperada legítima no dispositivo. Caso contrário, escale o alerta para sua equipe de segurança da informação. |
| Deteção de encaminhamento de porta | Alto | Antigo Defender-IoT-micro-agente | Início do encaminhamento de porta para um endereço IP externo detetado. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. |
| Possível tentativa de desativar o log auditado detetado | Alto | Antigo Defender-IoT-micro-agente | O sistema Linux Auditd fornece uma maneira de rastrear informações relevantes para a segurança no sistema. O sistema regista o máximo possível de informações sobre os eventos que estão a acontecer no seu sistema. Essas informações são cruciais para que ambientes de missão crítica determinem quem violou a política de segurança e as ações executadas. A desativação do registo auditado pode impedir a sua capacidade de detetar violações das políticas de segurança utilizadas no sistema. | Verifique com o proprietário do dispositivo se esta foi uma atividade legítima com motivos comerciais. Caso contrário, esse evento pode estar ocultando atividades de atores mal-intencionados. Imediatamente escalou o incidente para sua equipe de segurança da informação. |
| Invólucros inversos | Alto | Antigo Defender-IoT-micro-agente | A análise dos dados do host em um dispositivo detetou um potencial shell reverso. Os shells reversos são frequentemente usados para fazer com que uma máquina comprometida chame de volta uma máquina controlada por um ator mal-intencionado. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. |
| Tentativa bem-sucedida de força bruta | Alto | Antigo Defender-IoT-micro-agente | Várias tentativas de login sem sucesso foram identificadas, seguidas por um login bem-sucedido. A tentativa de ataque de força bruta pode ter sido bem-sucedida no dispositivo. | Revise o alerta de força bruta SSH e a atividade nos dispositivos. Se a atividade foi maliciosa: Implemente a redefinição de senha para contas comprometidas. Investigue e corrija (se encontrado) dispositivos em busca de malware. |
| Login local bem-sucedido | Alto | Antigo Defender-IoT-micro-agente | Login local bem-sucedido no dispositivo detetado | Verifique se o usuário conectado é uma parte autorizada. |
| Shell da Web | Alto | Antigo Defender-IoT-micro-agente | Possível web shell detetado. Agentes mal-intencionados geralmente carregam um web shell em uma máquina comprometida para ganhar persistência ou para exploração adicional. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. |
| Gravidade média | ||||
| Comportamento semelhante aos bots comuns do Linux detetados | Médio | Antigo Defender-IoT-micro-agente | Execução de um processo normalmente associado a botnets Linux comuns detetados. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. |
| Comportamento semelhante ao ransomware Fairware detetado | Médio | Antigo Defender-IoT-micro-agente | Execução de comandos rm -rf aplicados a locais suspeitos detetados usando análise de dados do host. Como rm -rf exclui arquivos recursivamente, ele normalmente só é usado em pastas discretas. Neste caso, ele está sendo usado em um local que poderia remover uma grande quantidade de dados. O ransomware Fairware é conhecido por executar comandos rm -rf nesta pasta. | Revise com o usuário que executou o comando esta foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. |
| Comportamento semelhante ao ransomware detetado | Médio | Antigo Defender-IoT-micro-agente | Execução de ficheiros semelhantes a ransomware conhecido que podem impedir os utilizadores de aceder ao seu sistema, ou ficheiros pessoais, e podem exigir o pagamento de resgate para recuperar o acesso. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. |
| Imagem de contêiner de minerador de moedas de criptografia detetada | Médio | Antigo Defender-IoT-micro-agente | Deteção de contêiner executando imagens de mineração de moeda digital conhecidas. | 1. Se esse comportamento não for intencional, exclua a imagem de contêiner relevante. 2. Certifique-se de que o daemon Docker não está acessível através de um soquete TCP inseguro. 3. Encaminhe o alerta para a equipe de segurança da informação. |
| Imagem do minerador de moedas criptográficas | Médio | Antigo Defender-IoT-micro-agente | Execução de um processo normalmente associado à mineração de moeda digital detetada. | Verifique com o usuário que executou o comando se essa foi uma atividade legítima no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. |
| Detetado uso suspeito do comando nohup | Médio | Antigo Defender-IoT-micro-agente | Uso suspeito do comando nohup no host detetado. Atores mal-intencionados geralmente executam o comando nohup a partir de um diretório temporário, permitindo efetivamente que seus executáveis sejam executados em segundo plano. Ver esse comando ser executado em arquivos localizados em um diretório temporário não é esperado ou um comportamento usual. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. |
| Detetado o uso suspeito do comando useradd | Médio | Antigo Defender-IoT-micro-agente | Uso suspeito do comando useradd detetado no dispositivo. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. |
| Daemon do Docker exposto pelo soquete TCP | Médio | Antigo Defender-IoT-micro-agente | Os logs da máquina indicam que o daemon do Docker (dockerd) expõe um soquete TCP. Por padrão, a configuração do Docker não usa criptografia ou autenticação quando um soquete TCP está habilitado. A configuração padrão do Docker permite o acesso total ao daemon do Docker, por qualquer pessoa com acesso à porta relevante. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. |
| Falha no login local | Médio | Antigo Defender-IoT-micro-agente | Foi detetada uma tentativa de login local com falha no dispositivo. | Certifique-se de que nenhuma parte não autorizada tem acesso físico ao dispositivo. |
| Descarregamentos de ficheiros de uma fonte maliciosa conhecida detetados | Médio | Antigo Defender-IoT-micro-agente | Download de um ficheiro de uma fonte de malware conhecida detetada. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. |
| Acesso ao arquivo HTACCESS detetado | Médio | Antigo Defender-IoT-micro-agente | A análise dos dados do host detetou a possível manipulação de um arquivo htaccess. O Htaccess é um poderoso arquivo de configuração que permite fazer várias alterações em um servidor web que executa o software Web Apache, incluindo a funcionalidade básica de redirecionamento e funções mais avançadas, como proteção básica por senha. Atores mal-intencionados geralmente modificam arquivos htaccess em máquinas comprometidas para ganhar persistência. | Confirme se esta é uma atividade esperada legítima no anfitrião. Caso contrário, escale o alerta para sua equipe de segurança da informação. |
| Ferramenta de ataque conhecida | Médio | Antigo Defender-IoT-micro-agente | Foi detetada uma ferramenta frequentemente associada a utilizadores maliciosos que atacam outras máquinas de alguma forma. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. |
| O agente IoT tentou e não conseguiu analisar a configuração do módulo gêmeo | Médio | Antigo Defender-IoT-micro-agente | O agente de segurança do Defender for IoT não conseguiu analisar a configuração dupla do módulo devido a incompatibilidades de tipo no objeto de configuração | Valide sua configuração de módulo duplo em relação ao esquema de configuração do agente IoT, corrija todas as incompatibilidades. |
| Reconhecimento de host local detetado | Médio | Antigo Defender-IoT-micro-agente | Execução de um comando normalmente associado ao reconhecimento de bot Linux comum detetado. | Reveja a linha de comandos suspeita para confirmar que foi executada por um utilizador legítimo. Caso contrário, escale o alerta para sua equipe de segurança da informação. |
| Incompatibilidade entre interpretador de script e extensão de arquivo | Médio | Antigo Defender-IoT-micro-agente | Incompatibilidade entre o interpretador de script e a extensão do arquivo de script fornecido como entrada detetada. Esse tipo de incompatibilidade é comumente associado a execuções de scripts de invasores. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. |
| Possível backdoor detetado | Médio | Antigo Defender-IoT-micro-agente | Um ficheiro suspeito foi transferido e, em seguida, executado num anfitrião na sua subscrição. Este tipo de atividade é comumente associado à instalação de um backdoor. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. |
| Perda potencial de dados detetada | Médio | Antigo Defender-IoT-micro-agente | Possível condição de saída de dados detetada usando a análise de dados do host. Agentes mal-intencionados geralmente emitem dados de máquinas comprometidas. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. |
| Substituição potencial de arquivos comuns | Médio | Antigo Defender-IoT-micro-agente | Executável comum substituído no dispositivo. Os agentes mal-intencionados são conhecidos por substituir arquivos comuns como uma forma de ocultar suas ações ou como uma maneira de ganhar persistência. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. |
| Contêiner privilegiado detetado | Médio | Antigo Defender-IoT-micro-agente | Os logs da máquina indicam que um contêiner privilegiado do Docker está em execução. Um contêiner privilegiado tem acesso total aos recursos do host. Se comprometido, um ator mal-intencionado pode usar o contêiner privilegiado para obter acesso à máquina host. | Se o contêiner não precisar ser executado no modo privilegiado, remova os privilégios do contêiner. |
| Remoção de arquivos de logs do sistema detetados | Médio | Antigo Defender-IoT-micro-agente | Remoção suspeita de arquivos de log no host detetado. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. |
| Espaço após o nome do ficheiro | Médio | Antigo Defender-IoT-micro-agente | Execução de um processo com uma extensão suspeita detetada usando análise de dados do host. As extensões suspeitas podem induzir os utilizadores a pensar que os ficheiros são seguros para serem abertos e podem indicar a presença de malware no sistema. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. |
| Ferramentas de acesso a credenciais maliciosas suspeitas detetadas | Médio | Antigo Defender-IoT-micro-agente | Uso de deteção de uma ferramenta comumente associada a tentativas maliciosas de acessar credenciais. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. |
| Compilação suspeita detetada | Médio | Antigo Defender-IoT-micro-agente | Compilação suspeita detetada. Atores mal-intencionados geralmente compilam exploits em uma máquina comprometida para aumentar os privilégios. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. |
| Descarregamento de ficheiros suspeitos seguido de atividade de execução de ficheiros | Médio | Antigo Defender-IoT-micro-agente | A análise dos dados do host detetou um arquivo que foi baixado e executado no mesmo comando. Essa técnica é comumente usada por atores mal-intencionados para colocar arquivos infetados nas máquinas das vítimas. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. |
| Comunicação de endereço IP suspeito | Médio | Antigo Defender-IoT-micro-agente | Comunicação com um endereço IP suspeito detetado. | Verifique se a conexão é legítima. Considere bloquear a comunicação com o IP suspeito. |
| BAIXA gravidade | ||||
| Histórico de Bash limpo | Baixo | Antigo Defender-IoT-micro-agente | Log de histórico de bash limpo. Atores mal-intencionados geralmente apagam o histórico de bash para ocultar seus próprios comandos de aparecer nos logs. | Analise com o usuário que executou o comando que a atividade neste alerta para ver se você reconhece isso como atividade administrativa legítima. Caso contrário, escale o alerta para a equipe de segurança da informação. |
| Dispositivo silencioso | Baixo | Antigo Defender-IoT-micro-agente | O dispositivo não enviou nenhum dado de telemetria nas últimas 72 horas. | Certifique-se de que o dispositivo está online e a enviar dados. Verifique se o Agente de Segurança do Azure está em execução no dispositivo. |
| Tentativa de força bruta falhada | Baixo | Antigo Defender-IoT-micro-agente | Várias tentativas de login sem sucesso identificadas. Potencial tentativa de ataque de força bruta falhou no dispositivo. | Analise os alertas de força bruta SSH e a atividade no dispositivo. Nenhuma outra ação é necessária. |
| Usuário local adicionado a um ou mais grupos | Baixo | Antigo Defender-IoT-micro-agente | Novo utilizador local adicionado a um grupo neste dispositivo. Alterações em grupos de usuários são incomuns e podem indicar que um ator mal-intencionado pode estar coletando permissões extras. | Verifique se a alteração é consistente com as permissões exigidas pelo usuário afetado. Se a alteração for inconsistente, encaminhe para sua equipe de Segurança da Informação. |
| Usuário local excluído de um ou mais grupos | Baixo | Antigo Defender-IoT-micro-agente | Um usuário local foi excluído de um ou mais grupos. Os agentes mal-intencionados são conhecidos por usar esse método na tentativa de negar acesso a usuários legítimos ou excluir o histórico de suas ações. | Verifique se a alteração é consistente com as permissões exigidas pelo usuário afetado. Se a alteração for inconsistente, encaminhe para sua equipe de Segurança da Informação. |
| Exclusão de usuário local detetada | Baixo | Antigo Defender-IoT-micro-agente | Exclusão de um usuário local detetada. A exclusão de usuários locais é incomum, um ator mal-intencionado pode estar tentando negar acesso a usuários legítimos ou excluir o histórico de suas ações. | Verifique se a alteração é consistente com as permissões exigidas pelo usuário afetado. Se a alteração for inconsistente, encaminhe para sua equipe de Segurança da Informação. |
Próximos passos
- Visão geral do serviço Defender for IoT
- Saiba como aceder aos seus dados de segurança
- Saiba mais sobre como investigar um dispositivo