Coleção de eventos do microagente
Os agentes de segurança do Defender for IoT coletam dados e eventos do sistema do seu dispositivo local e enviam os dados para a nuvem do Azure para processamento.
Nota
A Defender for IoT planeja aposentar o microagente em 1º de agosto de 2025.
Se você configurou e conectou um espaço de trabalho do Log Analytics, verá esses eventos no Log Analytics. Para obter mais informações, consulte Tutorial: Investigar alertas de segurança.
O microagente do Defender for IoT coleta muitos tipos de eventos de dispositivo, incluindo novos processos e todos os novos eventos de conexão. O novo processo e os novos eventos de conexão podem ocorrer com freqüência em um dispositivo. Esse recurso é importante para uma segurança abrangente, no entanto, o número de mensagens que os agentes de segurança enviam pode atender rapidamente ou exceder sua cota do Hub IoT e os limites de custo. Estas mensagens e eventos contêm informações de segurança altamente valiosas que são cruciais para proteger o seu dispositivo.
Para reduzir o número de mensagens e os custos, mantendo a segurança do seu dispositivo, os agentes do Defender for IoT agregam os seguintes tipos de eventos:
Eventos de processo (somente Linux)
Eventos de atividade de rede
Eventos do sistema de arquivos
Eventos estatísticos
Para obter mais informações, consulte agregação de eventos para coletores de processo e rede.
Os coletores baseados em eventos são coletores que são acionados com base na atividade correspondente de dentro do dispositivo. Por exemplo, a process was started in the device.
Os coletores baseados em gatilhos são coletores acionados de forma programada com base nas configurações do cliente.
Eventos de processo (coletor baseado em eventos)
Os eventos de processo são suportados em sistemas operacionais Linux.
Os eventos de processo são considerados idênticos quando a linha de comando e o userid são idênticos.
O buffer padrão para eventos de processo é 256 processos. Quando esse limite for atingido, o buffer será alternado e o evento de processo mais antigo será descartado para abrir espaço para o evento processado mais recente. Um aviso para aumentar o tamanho do cache será registrado.
Os dados recolhidos para cada evento são:
| Parâmetro | Description |
|---|---|
| Carimbo de data/hora | A primeira vez que o processo foi observado. |
| process_id | O PID Linux. |
| parent_process_id | O PID pai do Linux, se existir. |
| Linha de comando | A linha de comando. |
| Tipo | Pode ser , forkou exec. |
| hit_count | A contagem agregada. O número de execuções do mesmo processo, durante o mesmo período de tempo, até que os eventos sejam enviados para a nuvem. |
Eventos de atividade de rede (coletor baseado em eventos)
Os eventos de atividade de rede são considerados idênticos quando a porta local, a porta remota, o protocolo de transporte, o endereço local e o endereço remoto são idênticos.
O buffer padrão para um evento de atividade de rede é 256. Para situações em que o cache está cheio:
Dispositivos Eclipse ThreadX: Nenhum novo evento de rede será armazenado em cache até que o próximo ciclo de coleta seja iniciado.
Dispositivos Linux: O evento mais antigo será substituído por cada novo evento. Um aviso para aumentar o tamanho do cache será registrado.
Para dispositivos Linux, apenas IPv4 é suportado.
Os dados recolhidos para cada evento são:
| Parâmetro | Description |
|---|---|
| Endereço local | O endereço de origem da conexão. |
| Endereço remoto | O endereço de destino da conexão. |
| Porta local | A porta de origem da conexão. |
| Porta remota | A porta de destino da conexão. |
| Bytes_in | O total de bytes RX agregados da conexão. |
| Bytes_out | O total de bytes TX agregados da conexão. |
| Transport_protocol | Pode ser TCP, UDP ou ICMP. |
| Protocolo de candidatura | O protocolo de aplicativo associado à conexão. |
| Propriedades estendidas | Os detalhes adicionais da conexão. Por exemplo, host name. |
| Contagem de acertos | A contagem de pacotes observados |
Coletor de login (coletor baseado em eventos)
O coletor de login coleta entradas de usuário, saídas e tentativas de entrada com falha.
O coletor Login suporta os seguintes tipos de métodos de coleta:
UTMP e SYSLOG. O UTMP captura eventos interativos SSH, eventos telnet e logins de terminal, bem como todos os eventos de login com falha de SSH, telnet e terminal. Se SYSLOG estiver habilitado no dispositivo, o coletor de login também coletará eventos de entrada SSH por meio do arquivo SYSLOG chamado auth.log.
Módulos de autenticação conectáveis (PAM). Coleta eventos SSH, telnet e entrada local. Para obter mais informações, consulte Configurar módulos de autenticação conectáveis (PAM) para auditar eventos de entrada.
São recolhidos os seguintes dados:
| Parâmetro | Description |
|---|---|
| Funcionamento | Um dos seguintes: Login, Logout, LoginFailed |
| process_id | O PID Linux. |
| user_name | O usuário Linux. |
| executável | O dispositivo terminal. Por exemplo, tty1..6 ou pts/n. |
| remote_address | A fonte de conexão, seja um endereço IP remoto no formato IPv6 ou IPv4, ou 127.0.0.1/0.0.0.0 para indicar conexão local. |
Informações do sistema (coletor baseado em gatilho)
Os dados recolhidos para cada evento são:
| Parâmetro | Description |
|---|---|
| hardware_vendor | O nome do fornecedor do dispositivo. |
| hardware_model | O número do modelo do dispositivo. |
| os_dist | A distribuição do sistema operacional. Por exemplo, Linux. |
| os_version | A versão do sistema operacional. Por exemplo, Windows 10ou Ubuntu 20.04.1. |
| os_platform | O sistema operacional do dispositivo. |
| os_arch | A arquitetura do sistema operacional. Por exemplo, x86_64. |
| agent_type | O tipo do agente (Edge/Standalone). |
| agent_version | A versão do agente. |
| NICS | O controlador de interface de rede. A lista completa de propriedades está listada abaixo. |
As propriedades nics são compostas pelo seguinte;
| Parâmetro | Description |
|---|---|
| type | Um dos seguintes valores: UNKNOWN, ETH, WIFI, MOBILE, ou SATELLITE. |
| VLANs | A lan virtual associada com a interface de rede. |
| fornecedor | O fornecedor do controlador de rede. |
| informação | IPS e MACs associados ao controlador de rede. Isso inclui os seguintes campos; - ipv4_address: O endereço IPv4. - ipv6_address: O endereço IPv6. - mac: O endereço MAC. |
Linha de base (coletor baseado em gatilho)
O coletor de linha de base executa verificações periódicas do CIS e os resultados da verificação de falha, aprovação e pulo são enviados para o serviço de nuvem do Defender for IoT. O Defender for IoT agrega os resultados e fornece recomendações com base em eventuais falhas.
Os dados recolhidos para cada evento são:
| Parâmetro | Description |
|---|---|
| Verificar ID | Em formato CIS. Por exemplo, CIS-debian-9-Filesystem-1.1.2. |
| Verificar resultado | Pode ser Fail, Pass, Skip, ou Error. Por exemplo, Error em uma situação em que a verificação não pode ser executada. |
| Erro | Informações e descrição do erro. |
| Descrição | Descrição do controlo efetuado pelo CIS. |
| Remediação | A recomendação de remediação da CEI. |
| Gravidade | O nível de gravidade. |
SBoM (coletor baseado em gatilho)
O coletor SBoM (Software Bill of Materials) coleta os pacotes instalados no dispositivo periodicamente.
Os dados recolhidos em cada embalagem incluem:
| Parâmetro | Description |
|---|---|
| Nome | O nome do pacote. |
| Versão | A versão do pacote. |
| Fornecedor | O fornecedor do pacote, que é o campo Mantenedor em pacotes deb. |
Eventos periféricos (coletor baseado em eventos)
O coletor de eventos periféricos coleta conexões e desconexões de eventos USB e Ethernet.
Os campos recolhidos dependem do tipo de evento:
Eventos USB
| Parâmetro | Description |
|---|---|
| Carimbo de data/hora | A hora a que o evento ocorreu. |
| Tipo de ação | Se o evento foi um evento de conexão ou desconexão. |
| bus_number | Identificador de controlador específico, cada dispositivo USB pode ter vários. |
| kernel_device_number | Representação no kernel do dispositivo, não é única e pode cada vez que o dispositivo está conectado. |
| device_class | Identificador que especifica a classe do dispositivo. |
| device_subclass | Identificador que especifica o tipo de dispositivo. |
| device_protocol | Identificador que especifica o protocolo do dispositivo. |
| interface_class | Caso a classe de dispositivo seja 0, indique o tipo de dispositivo. |
| interface_subclass | Caso a classe de dispositivo seja 0, indique o tipo de dispositivo. |
| interface_protocol | Caso a classe de dispositivo seja 0, indique o tipo de dispositivo. |
Eventos Ethernet
| Parâmetro | Description |
|---|---|
| Carimbo de data/hora | A hora a que o evento ocorreu. |
| Tipo de ação | Se o evento foi um evento de conexão ou desconexão. |
| bus_number | Identificador de controlador específico, cada dispositivo USB pode ter vários. |
| Nome da interface | O nome da interface. |
Eventos do sistema de arquivos (coletor baseado em eventos)
O coletor de eventos do sistema de arquivos coleta eventos sempre que há alterações em diretórios de observação para: criação, exclusão, movimentação e modificação de diretórios e arquivos. Para definir quais diretórios e arquivos você gostaria de monitorar, consulte Configurações específicas do coletor de informações do sistema.
São recolhidos os seguintes dados:
| Parâmetro | Description |
|---|---|
| Carimbo de data/hora | A hora a que o evento ocorreu. |
| Máscara | Máscara inotify Linux relacionada ao evento do sistema de arquivos, a máscara identifica o tipo de ação e pode ser uma das seguintes: Access/Modified/Metadata changed/Closed/Opened/Moved/Created/Deleted. |
| Caminho | Caminho do diretório/arquivo para o qual o evento foi gerado. |
| Contagem de acertos | Número de vezes que este evento foi agregado. |
Dados estatísticos (coletor baseado em gatilho)
O coletor de estatísticas gera várias estatísticas sobre os diferentes coletores de microagentes. Estas estatísticas fornecem informações sobre o desempenho dos coletores no ciclo de recolha anterior. Exemplos de estatísticas possíveis incluem o número de eventos que foram enviados com êxito e o número de eventos que foram descartados, juntamente com as razões para as falhas.
Campos recolhidos:
| Parâmetro | Description |
|---|---|
| Carimbo de data/hora | A hora a que o evento ocorreu. |
| Nome | Nome do colecionador. |
| Eventos | Uma matriz de pares formatados como JSON com descrição e contagem de acertos. |
| Descrição | Se a mensagem foi enviada/descartada e o motivo da queda. |
| Contagem de acertos | Número de mensagens respetivas. |
Agregação de eventos para coletores de processo e rede
Como funciona a agregação de eventos para os eventos Process e Network Activity:
Os agentes do Defender for IoT agregam eventos durante o intervalo de envio definido na configuração de frequência de mensagem para cada coletor, como Process_MessageFrequency ou NetworkActivity_MessageFrequency. Depois que o período de intervalo de envio passar, o agente envia os eventos agregados para a nuvem do Azure para análise posterior. Os eventos agregados são armazenados na memória até serem enviados para a nuvem do Azure.
Quando o agente coleta eventos semelhantes aos que já estão armazenados na memória, o agente aumentará a contagem de ocorrências desse evento específico para reduzir a pegada de memória do agente. Quando a janela de tempo de agregação passa, o agente envia a contagem de ocorrências de cada tipo de evento que ocorreu. A agregação de eventos é a agregação das contagens de ocorrências de eventos semelhantes. Por exemplo, a atividade de rede com o mesmo host remoto e na mesma porta é agregada como um evento, em vez de como um evento separado para cada pacote.
Nota
Por padrão, o microagente envia logs e telemetria para a nuvem para fins de solução de problemas e monitoramento. Esse comportamento pode ser configurado ou desativado através do gêmeo.
Próximos passos
Para obter mais informações, consulte:
- Configurações do microagente
- Verifique se há alertas de segurança do Defender para IoT.