Alertas de segurança do microagente
O Defender for IoT analisa continuamente sua solução de IoT usando análises avançadas e inteligência contra ameaças para alertá-lo sobre atividades maliciosas. Além disso, você pode criar alertas personalizados com base no seu conhecimento do comportamento esperado do dispositivo. Um alerta funciona como um indicador de potencial comprometimento e deve ser investigado e corrigido.
Nota
A Defender for IoT planeja aposentar o microagente em 1º de agosto de 2025.
Neste artigo, você encontrará uma lista de alertas internos, que podem ser acionados em seus dispositivos IoT.
Alertas de segurança
Gravidade elevada
| Nome | Gravidade | Origem de Dados | Description | Etapas de correção sugeridas | Tipo de alerta |
|---|---|---|---|---|---|
| Linha de comando binária | Alto | Defender-IoT-micro-agente | LA Linux binário sendo chamado/executado a partir da linha de comando foi detetado. Este processo pode ser uma atividade legítima ou uma indicação de que o seu dispositivo está comprometido. | Revise o comando com o usuário que o executou e verifique se isso é algo legitimamente esperado para ser executado no dispositivo. Caso contrário, escale o alerta para sua equipe de segurança da informação. | IoT_BinaryCommandLine |
| Desativar firewall | Alto | Defender-IoT-micro-agente | Possível manipulação do firewall no host detetada. Agentes mal-intencionados geralmente desativam o firewall no host na tentativa de exfiltrar dados. | Analise com o usuário que executou o comando para confirmar se essa era uma atividade esperada legítima no dispositivo. Caso contrário, escale o alerta para sua equipe de segurança da informação. | IoT_DisableFirewall |
| Deteção de encaminhamento de porta | Alto | Defender-IoT-micro-agente | Início do encaminhamento de porta para um endereço IP externo detetado. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. | IoT_PortForwarding |
| Possível tentativa de desativar o log auditado detetado | Alto | Defender-IoT-micro-agente | O sistema Linux Auditd fornece uma maneira de rastrear informações relevantes para a segurança no sistema. O sistema regista o máximo possível de informações sobre os eventos que estão a acontecer no seu sistema. Essas informações são cruciais para que ambientes de missão crítica determinem quem violou a política de segurança e as ações executadas. A desativação do registo auditado pode impedir a sua capacidade de detetar violações das políticas de segurança utilizadas no sistema. | Verifique com o proprietário do dispositivo se esta foi uma atividade legítima com motivos comerciais. Caso contrário, esse evento pode estar ocultando atividades de atores mal-intencionados. Imediatamente escalou o incidente para sua equipe de segurança da informação. | IoT_DisableAuditdLogging |
| Invólucros inversos | Alto | Defender-IoT-micro-agente | A análise dos dados do host em um dispositivo detetou um potencial shell reverso. Os shells reversos são frequentemente usados para fazer com que uma máquina comprometida chame de volta uma máquina controlada por um ator mal-intencionado. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. | IoT_ReverseShell |
| Login local bem-sucedido | Alto | Defender-IoT-micro-agente | Login local bem-sucedido no dispositivo detetado. | Verifique se o usuário conectado é uma parte autorizada. | IoT_SuccessfulLocalLogin |
| Shell da Web | Alto | Defender-IoT-micro-agente | Possível web shell detetado. Agentes mal-intencionados geralmente carregam um web shell em uma máquina comprometida para ganhar persistência ou para exploração adicional. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. | IoT_WebShell |
| Comportamento semelhante ao ransomware detetado | Alto | Defender-IoT-micro-agente | Execução de ficheiros semelhantes a ransomware conhecido que podem impedir os utilizadores de aceder ao seu sistema, ou ficheiros pessoais, e podem exigir o pagamento de resgate para recuperar o acesso. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. | IoT_Ransomware |
| Imagem do minerador de moedas criptográficas | Alto | Defender-IoT-micro-agente | Execução de um processo normalmente associado à mineração de moeda digital detetada. | Verifique com o usuário que executou o comando se essa foi uma atividade legítima no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. | IoT_CryptoMiner |
| Nova ligação USB | Alto | Defender-IoT-micro-agente | Foi detetada uma ligação de dispositivo USB. Isso pode indicar atividade maliciosa. | Confirme se esta é uma atividade esperada legítima no anfitrião. Caso contrário, escale o alerta para sua equipe de segurança da informação. | IoT_USBConnection |
| Desconexão USB | Alto | Defender-IoT-micro-agente | Foi detetada uma desconexão do dispositivo USB. Isso pode indicar atividade maliciosa. | Confirme se esta é uma atividade esperada legítima no anfitrião. Caso contrário, escale o alerta para sua equipe de segurança da informação. | IoT_UsbDisconnection |
| Nova conexão Ethernet | Alto | Defender-IoT-micro-agente | Foi detetada uma nova ligação Ethernet. Isso pode indicar atividade maliciosa. | Confirme se esta é uma atividade esperada legítima no anfitrião. Caso contrário, escale o alerta para sua equipe de segurança da informação. | IoT_EthernetConnection |
| Desconexão Ethernet | Alto | Defender-IoT-micro-agente | Foi detetada uma nova desconexão Ethernet. Isso pode indicar atividade maliciosa. | Confirme se esta é uma atividade esperada legítima no anfitrião. Caso contrário, escale o alerta para sua equipe de segurança da informação. | IoT_EthernetDisconnection |
| Novo arquivo criado | Alto | Defender-IoT-micro-agente | Foi detetado um novo ficheiro. Isso pode indicar atividade maliciosa. | Confirme se esta é uma atividade esperada legítima no anfitrião. Caso contrário, escale o alerta para sua equipe de segurança da informação. | IoT_FileCreated |
| Arquivo modificado | Alto | Defender-IoT-micro-agente | Foi detetada modificação do ficheiro. Isso pode indicar atividade maliciosa. | Confirme se esta é uma atividade esperada legítima no anfitrião. Caso contrário, escale o alerta para sua equipe de segurança da informação. | IoT_FileModified |
| Arquivo excluído | Alto | Defender-IoT-micro-agente | Foi detetada a eliminação do ficheiro. Isso pode indicar atividade maliciosa. | Confirme se esta é uma atividade esperada legítima no anfitrião. Caso contrário, escale o alerta para sua equipe de segurança da informação. | IoT_FileDeleted |
Gravidade média
| Nome | Gravidade | Origem de Dados | Description | Etapas de correção sugeridas | Tipo de alerta |
|---|---|---|---|---|---|
| Comportamento semelhante aos bots comuns do Linux detetados | Médio | Defender-IoT-micro-agente | Execução de um processo normalmente associado a botnets Linux comuns detetados. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. | IoT_CommonBots |
| Comportamento semelhante ao ransomware Fairware detetado | Médio | Defender-IoT-micro-agente | Execução de comandos rm -rf aplicados a locais suspeitos detetados usando análise de dados do host. Como rm -rf exclui arquivos recursivamente, ele normalmente só é usado em pastas discretas. Nesse caso, ele está sendo usado em um local que pode remover uma grande quantidade de dados. O ransomware Fairware é conhecido por executar comandos rm -rf nesta pasta. | Revise com o usuário que executou o comando esta foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. | IoT_FairwareMalware |
| Imagem de contêiner de minerador de moedas de criptografia detetada | Médio | Defender-IoT-micro-agente | Deteção de contêiner executando imagens de mineração de moeda digital conhecidas. | 1. Se esse comportamento não for intencional, exclua a imagem do contêiner relevante. 2. Certifique-se de que o daemon do Docker não está acessível através de um soquete TCP inseguro. 3. Encaminhe o alerta para a equipe de segurança da informação. |
IoT_CryptoMinerContainer |
| Detetado uso suspeito do comando nohup | Médio | Defender-IoT-micro-agente | Uso suspeito do comando nohup no host detetado. Atores mal-intencionados geralmente executam o comando nohup a partir de um diretório temporário, permitindo efetivamente que seus executáveis sejam executados em segundo plano. Ver esse comando ser executado em arquivos localizados em um diretório temporário não é esperado ou um comportamento usual. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. | IoT_SuspiciousNohup |
| Detetado o uso suspeito do comando useradd | Médio | Defender-IoT-micro-agente | Uso suspeito do comando useradd detetado no dispositivo. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. | IoT_SuspiciousUseradd |
| Daemon do Docker exposto pelo soquete TCP | Médio | Defender-IoT-micro-agente | Os logs da máquina indicam que o daemon do Docker (dockerd) expõe um soquete TCP. Por padrão, a configuração do Docker não usa criptografia ou autenticação quando um soquete TCP está habilitado. A configuração padrão do Docker permite o acesso total ao daemon do Docker, por qualquer pessoa com acesso à porta relevante. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. | IoT_ExposedDocker |
| Falha no login local | Médio | Defender-IoT-micro-agente | Foi detetada uma tentativa de login local com falha no dispositivo. | Certifique-se de que nenhuma parte não autorizada tem acesso físico ao dispositivo. | IoT_FailedLocalLogin |
| Descarregamento de ficheiros detetados a partir de uma fonte maliciosa | Médio | Defender-IoT-micro-agente | Download de um ficheiro de uma fonte de malware conhecida detetada. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. | IoT_PossibleMalware |
| Acesso ao arquivo HTACCESS detetado | Médio | Defender-IoT-micro-agente | A análise dos dados do host detetou a possível manipulação de um arquivo htaccess. O Htaccess é um poderoso arquivo de configuração que permite fazer várias alterações em um servidor web que executa o software Web Apache, incluindo a funcionalidade básica de redirecionamento e funções mais avançadas, como proteção básica por senha. Atores mal-intencionados geralmente modificam arquivos htaccess em máquinas comprometidas para ganhar persistência. | Confirme se esta é uma atividade esperada legítima no anfitrião. Caso contrário, escale o alerta para sua equipe de segurança da informação. | IoT_AccessingHtaccessFile |
| Ferramenta de ataque conhecida | Médio | Defender-IoT-micro-agente | Foi detetada uma ferramenta frequentemente associada a utilizadores maliciosos que atacam outras máquinas de alguma forma. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. | IoT_KnownAttackTools |
| Reconhecimento de host local detetado | Médio | Defender-IoT-micro-agente | Execução de um comando normalmente associado ao reconhecimento de bot Linux comum detetado. | Reveja a linha de comandos suspeita para confirmar que foi executada por um utilizador legítimo. Caso contrário, escale o alerta para sua equipe de segurança da informação. | IoT_LinuxReconnaissance |
| Incompatibilidade entre interpretador de script e extensão de arquivo | Médio | Defender-IoT-micro-agente | Incompatibilidade entre o interpretador de script e a extensão do arquivo de script fornecido como entrada detetada. Esse tipo de incompatibilidade é comumente associado a execuções de scripts de invasores. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. | IoT_ScriptInterpreterMismatch |
| Possível backdoor detetado | Médio | Defender-IoT-micro-agente | Um ficheiro suspeito foi transferido e, em seguida, executado num anfitrião na sua subscrição. Este tipo de atividade é comumente associado à instalação de um backdoor. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. | IoT_LinuxBackdoor |
| Possível perda de dados detetada | Médio | Defender-IoT-micro-agente | Possível condição de saída de dados detetada usando a análise de dados do host. Agentes mal-intencionados geralmente emitem dados de máquinas comprometidas. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. | IoT_EgressData |
| Contêiner privilegiado detetado | Médio | Defender-IoT-micro-agente | Os logs da máquina indicam que um contêiner privilegiado do Docker está em execução. Um contêiner privilegiado tem acesso total aos recursos do host. Se comprometido, um ator mal-intencionado pode usar o contêiner privilegiado para obter acesso à máquina host. | Se o contêiner não precisar ser executado no modo privilegiado, remova os privilégios do contêiner. | IoT_PrivilegedContainer |
| Remoção de arquivos de logs do sistema detetados | Médio | Defender-IoT-micro-agente | Remoção suspeita de arquivos de log no host detetado. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. | IoT_RemovalOfSystemLogs |
| Espaço após o nome do ficheiro | Médio | Defender-IoT-micro-agente | Execução de um processo com uma extensão suspeita detetada usando análise de dados do host. As extensões suspeitas podem induzir os utilizadores a pensar que os ficheiros são seguros para serem abertos e podem indicar a presença de malware no sistema. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. | IoT_ExecuteFileWithTrailingSpace |
| Ferramentas comumente usadas para acesso a credenciais mal-intencionadas detetado | Médio | Defender-IoT-micro-agente | Uso de deteção de uma ferramenta comumente associada a tentativas maliciosas de acessar credenciais. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. | IoT_CredentialAccessTools |
| Compilação suspeita detetada | Médio | Defender-IoT-micro-agente | Compilação suspeita detetada. Atores mal-intencionados geralmente compilam exploits em uma máquina comprometida para aumentar os privilégios. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. | IoT_SuspiciousCompilation |
| Descarregamento de ficheiros suspeitos seguido de atividade de execução de ficheiros | Médio | Defender-IoT-micro-agente | A análise dos dados do host detetou um arquivo que foi baixado e executado no mesmo comando. Essa técnica é comumente usada por atores mal-intencionados para colocar arquivos infetados nas máquinas das vítimas. | Analise com o usuário que executou o comando se essa foi uma atividade legítima que você espera ver no dispositivo. Caso contrário, escale o alerta para a equipe de segurança da informação. | IoT_DownloadFileThenRun |
| Comunicação de endereço IP suspeito | Médio | Defender-IoT-micro-agente | Comunicação com um endereço IP suspeito detetado. | Verifique se a conexão é legítima. Considere bloquear a comunicação com o IP suspeito. | IoT_TiConnection |
| Solicitação de nome de domínio mal-intencionado | Médio | Defender-IoT-micro-agente | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Desconecte a fonte da rede. Execute a resposta a incidentes. | IoT_MaliciousNameQueriesDetection |
Gravidade baixa
| Nome | Gravidade | Origem de Dados | Description | Etapas de correção sugeridas | Tipo de alerta |
|---|---|---|---|---|---|
| Histórico de Bash limpo | Baixo | Defender-IoT-micro-agente | Log de histórico de bash limpo. Atores mal-intencionados geralmente apagam o histórico de bash para ocultar seus próprios comandos de aparecer nos logs. | Analise com o usuário que executou o comando que a atividade neste alerta para ver se você reconhece isso como atividade administrativa legítima. Caso contrário, escale o alerta para a equipe de segurança da informação. | IoT_ClearHistoryFile |
Próximos passos
- Visão geral do serviço Defender for IoT