Оповещения системы безопасности микроагента
Defender для Интернета вещей постоянно анализирует решение для Интернета вещей с помощью инструментов расширенной аналитики и аналитики угроз, чтобы оповещать вас о вредоносных действиях. Кроме того, можно создавать настраиваемые оповещения на основе знаний об ожидаемом поведении устройства. Оповещение служит индикатором потенциальной компрометации, поэтому нужно его исследовать и принять необходимые меры.
Примечание.
Defender для Интернета вещей планирует выйти из эксплуатации микроагента 1 августа 2025 года.
В этой статье приведен список встроенных оповещений, которые можно активировать на устройствах Интернета вещей.
Оповещения безопасности
Высокая серьезность
| Имя. | Важность | Источник данных | Description | Предлагаемые действия по исправлению | Тип оповещения |
|---|---|---|---|---|---|
| Двоичная командная строка | Высокая | Микроагент Defender для Интернета вещей | Обнаружен двоичный код Linux, вызываемый или выполняемый из командной строки. Этот процесс может быть допустимым действием или свидетельствовать о компрометации устройства. | Просмотрите команду вместе с пользователем, который ее запустил, и проверьте, является ли действие, выполняемое на устройстве, допустимым. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_BinaryCommandLine |
| Отключение брандмауэра | Высокая | Микроагент Defender для Интернета вещей | Обнаружены возможные манипуляции с брандмауэром на узле. Злоумышленники часто отключают брандмауэр на узле с целью похитить данные. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, выполняемое на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_DisableFirewall |
| Обнаружение переадресации порта | Высокая | Микроагент Defender для Интернета вещей | Обнаружен запуск переадресации порта на внешний IP-адрес. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_PortForwarding |
| Обнаружена возможная попытка отключить ведение журнала Auditd | Высокая | Микроагент Defender для Интернета вещей | Система Auditd в Linux позволяет отслеживать сведения о безопасности в системе. Система записывает как можно больше сведений о событиях, происходящих в системе. Эта информация имеет большое значение для критически важных сред, чтобы определить, кто нарушил политику безопасности и какие действия были при этом выполнены. Отключение ведения журнала Auditd может помешать обнаруживать нарушения политик безопасности системы. | Уточните у владельца устройства, было ли это действие допустимым по веским причинам. В противном случае это событие может скрывать действия злоумышленников. Немедленно эскалируйте инцидент в службу информационной безопасности. | IoT_DisableAuditdLogging |
| Обратные оболочки | Высокая | Микроагент Defender для Интернета вещей | При анализе данных узла на устройстве обнаружено возможное использование обратной оболочки. Обратные оболочки часто используются для того, чтобы отправить команду скомпрометированному компьютеру связаться с компьютером, управляемым злоумышленником. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_ReverseShell |
| Успешный локальный вход | Высокая | Микроагент Defender для Интернета вещей | Обнаружен успешный локальный вход на устройство. | Убедитесь, что вошедший в систему пользователь является авторизованным. | IoT_SuccessfulLocalLogin |
| Веб-оболочка. | Высокая | Микроагент Defender для Интернета вещей | Обнаружена возможная веб-оболочка. Злоумышленники обычно отправляют сценарий веб-оболочки на скомпрометированный компьютер, чтобы гарантировать сохраняемость или воспользоваться им в дальнейшем. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_WebShell |
| Обнаружена реакция на событие, похожая на реакцию программы-шантажиста | Высокая | Микроагент Defender для Интернета вещей | Выполнение файлов, похожих на известные программы-шантажисты, которые могут препятствовать доступу пользователей к их системе или личным файлам, а также вымогать деньги за восстановление доступа. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_Ransomware |
| Образ для майнинга криптовалют | Высокая | Микроагент Defender для Интернета вещей | Обнаружено выполнение процесса, обычно связанного с майнингом цифровой валюты. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие на устройстве правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_CryptoMiner |
| Новое USB-подключение | Высокая | Микроагент Defender для Интернета вещей | Обнаружено подключение USB-устройства. Это может указывать на вредоносные действия. | Убедитесь, что это законное ожидаемое действие на узле. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_USBConnection |
| Отключение USB | Высокая | Микроагент Defender для Интернета вещей | Обнаружена отключение USB-устройства. Это может указывать на вредоносные действия. | Убедитесь, что это законное ожидаемое действие на узле. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_UsbDisconnection |
| Новое подключение Ethernet | Высокая | Микроагент Defender для Интернета вещей | Обнаружено новое подключение Ethernet. Это может указывать на вредоносные действия. | Убедитесь, что это законное ожидаемое действие на узле. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_EthernetConnection |
| Отключение Ethernet | Высокая | Микроагент Defender для Интернета вещей | Обнаружена новая отключение Ethernet. Это может указывать на вредоносные действия. | Убедитесь, что это законное ожидаемое действие на узле. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_EthernetDisconnection |
| Создан новый файл | Высокая | Микроагент Defender для Интернета вещей | Обнаружен новый файл. Это может указывать на вредоносные действия. | Убедитесь, что это законное ожидаемое действие на узле. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_FileCreated |
| Измененный файл | Высокая | Микроагент Defender для Интернета вещей | Обнаружена модификация файла. Это может указывать на вредоносные действия. | Убедитесь, что это законное ожидаемое действие на узле. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_FileModified |
| Удаленный файл | Высокая | Микроагент Defender для Интернета вещей | Обнаружено удаление файлов. Это может указывать на вредоносные действия. | Убедитесь, что это законное ожидаемое действие на узле. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_FileDeleted |
Средняя серьезность
| Имя. | Важность | Источник данных | Description | Предлагаемые действия по исправлению | Тип оповещения |
|---|---|---|---|---|---|
| Behavior similar to common Linux bots detected (Обнаружено поведение, похожее на распространенные программы-роботы Linux) | Средняя | Микроагент Defender для Интернета вещей | Обнаружено выполнение процесса, обычно связанного с распространенными ботнетами Linux. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_CommonBots |
| Behavior similar to Fairware ransomware detected (Поведение, аналогичное атаке программы-шантажиста Fairware) | Средняя | Микроагент Defender для Интернета вещей | При анализе данных узла обнаружено выполнение команд rm -rf, применяемых к подозрительным расположениям. Так как команда rm -rf рекурсивно удаляет файлы, она обычно используется только в дискретных папках. В этом случае она используется в расположении, где может быть удален большой объем данных. Известно, что программа-шантажист Fairware выполняет команды rm -rf в этой папке. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_FairwareMalware |
| Обнаружен образ контейнера криптовалютного майнера | Средняя | Микроагент Defender для Интернета вещей | В контейнере обнаружены работающие известные образы для майнинга цифровой валюты. | 1. Если такая реакция на событие не предполагалась, удалите соответствующий образ контейнера. 2. Убедитесь, что к управляющей программе Docker нельзя получить доступ через небезопасный TCP-сокет. 3. Эскалируйте оповещение в службу информационной безопасности. |
IoT_CryptoMinerContainer |
| Detected suspicious use of the nohup command (Обнаружено подозрительное использование команды nohup) | Средняя | Микроагент Defender для Интернета вещей | На узле обнаружено подозрительное использование команды nohup. Злоумышленники обычно запускают команду nohup из временного каталога, успешно обеспечивая выполнение своих исполняемых файлов в фоновом режиме. Выполнение этой команды для файлов, расположенных во временном каталоге, не является ожидаемой или обычной реакцией на событие. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_SuspiciousNohup |
| Detected suspicious use of the useradd command (Обнаружено подозрительное использование команды useradd) | Средняя | Микроагент Defender для Интернета вещей | На устройстве обнаружено подозрительное использование команды useradd. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_SuspiciousUseradd |
| Доступ к управляющей программе Docker через TCP-сокет | Средняя | Микроагент Defender для Интернета вещей | Журналы компьютера указывают, что управляющая программа Docker (dockerd) предоставляет TCP-сокет. По умолчанию в конфигурации Docker не используется шифрование или проверка подлинности при включенном TCP-сокете. Конфигурация Docker по умолчанию обеспечивает полный доступ к управляющей программе Docker всем, у кого есть доступ к соответствующему порту. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_ExposedDocker |
| Ошибка при локальном входе | Средняя | Микроагент Defender для Интернета вещей | Обнаружена неудачная попытка локального входа на устройство. | Убедитесь, что у посторонних лиц нет физического доступа к устройству. | IoT_FailedLocalLogin |
| Обнаружена загрузка файла из вредоносного источника | Средняя | Микроагент Defender для Интернета вещей | Обнаружено скачивание файла из известного источника вредоносных программ. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_PossibleMalware |
| Обнаружен доступ к файлу htaccess | Средняя | Микроагент Defender для Интернета вещей | Во время анализа данных узла была обнаружена возможная манипуляция с файлом htaccess. Htaccess — это мощный файл конфигурации, позволяющий вносить несколько изменений на веб-сервер, на котором работает программное обеспечение Apache, включая базовую функцию перенаправления и более сложные функции, такие как обычная защита паролем. Злоумышленники часто изменяют файлы htaccess на скомпрометированных компьютерах, чтобы гарантировать их сохраняемость. | Подтвердите, что это действие является допустимым и ожидаемым на узле. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_AccessingHtaccessFile |
| Известный инструмент атаки | Средняя | Микроагент Defender для Интернета вещей | Обнаружен инструмент, который обычно используется злоумышленниками для атаки других компьютеров. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_KnownAttackTools |
| Local host reconnaissance detected (Обнаружена атака методом рекогносцировки на локальном узле) | Средняя | Микроагент Defender для Интернета вещей | Обнаружено выполнение команды, обычно связанной с рекогносцировкой бота Linux. | Проверьте подозрительную командную строку и убедитесь, что она была выполнена правомерным пользователем. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_LinuxReconnaissance |
| Несоответствие интерпретатора сценария и расширения файла | Средняя | Микроагент Defender для Интернета вещей | Обнаружено несоответствие между интерпретатором сценария и расширением файла сценария, предоставленного в качестве входных данных. Этот тип несоответствия обычно связан с выполнением сценариев злоумышленников. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_ScriptInterpreterMismatch |
| Обнаружен возможный черный ход | Средняя | Микроагент Defender для Интернета вещей | На узле в вашей подписке скачан и запущен подозрительный файл. Это действие обычно связано с установкой черного хода. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_LinuxBackdoor |
| Possible loss of data detected (Обнаружена возможная потеря данных) | Средняя | Микроагент Defender для Интернета вещей | С помощью анализа данных узла обнаружено условие возможного исходящего трафика. Злоумышленники часто используют исходящий трафик для кражи данных со скомпрометированных компьютеров. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_EgressData |
| Обнаружен привилегированный контейнер | Средняя | Микроагент Defender для Интернета вещей | Журналы компьютера указывают на то, что работает привилегированный контейнер Docker. Привилегированный контейнер имеет полный доступ к ресурсам узла. В случае компрометации злоумышленник может использовать привилегированный контейнер для получения доступа к хост-компьютеру. | Если контейнер не нужно запускать в привилегированном режиме, удалите привилегии из контейнера. | IoT_PrivilegedContainer |
| Обнаружено удаление системных файлов журналов | Средняя | Микроагент Defender для Интернета вещей | Обнаружено подозрительное удаление файлов журнала на узле. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_RemovalOfSystemLogs |
| Пробел после имени файла | Средняя | Микроагент Defender для Интернета вещей | С помощью анализа данных узла обнаружено выполнение процесса с подозрительным расширением. Подозрительные расширения могут обманным путем заставить пользователей открыть якобы безопасные файлы, а также указывать на наличие вредоносных программ в системе. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_ExecuteFileWithTrailingSpace |
| Обнаружены инструменты, обычно используемые для злонамеренного доступа к учетным данным | Средняя | Микроагент Defender для Интернета вещей | Обнаружение использования инструмента, обычно связанного со злоумышленными попытками получения доступа к учетным данным. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_CredentialAccessTools |
| Suspicious compilation detected (Обнаружена подозрительная компиляция) | Средняя | Микроагент Defender для Интернета вещей | Обнаружена подозрительная компиляция. Злоумышленники часто компилируют эксплойты на скомпрометированном компьютере, чтобы эскалировать привилегии. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_SuspiciousCompilation |
| Скачивание подозрительного файла с последующим его запуском | Средняя | Микроагент Defender для Интернета вещей | При анализе данных узла обнаружен файл, который был скачан и запущен с помощью одной и той же команды. Этот метод обычно используется злоумышленниками для передачи зараженных файлов на компьютеры жертв. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_DownloadFileThenRun |
| Связь с подозрительным IP-адресом | Средняя | Микроагент Defender для Интернета вещей | Обнаружена связь с подозрительным IP-адресом. | Проверьте, является ли подключение допустимым. Попробуйте заблокировать связь с подозрительным IP-адресом. | IoT_TiConnection |
| Вредоносный запрос доменного имени | Средняя | Микроагент Defender для Интернета вещей | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой по методу, используемому известными вредоносными программами. | Отключите источник от сети. Отреагируйте на инцидент. | IoT_MaliciousNameQueriesDetection |
Низкий уровень серьезности
| Имя. | Важность | Источник данных | Description | Предлагаемые действия по исправлению | Тип оповещения |
|---|---|---|---|---|---|
| Журнал Bash очищен | Низкая | Микроагент Defender для Интернета вещей | Журнал Bash очищен. Злоумышленники обычно удаляют журнал Bash, чтобы их команды не отображались в журналах. | Вместе с пользователем, выполнившим команду, проверьте, является ли действие, указанное в этом оповещении, правомерно административным. Если не было, эскалируйте оповещение в службу информационной безопасности. | IoT_ClearHistoryFile |
Следующие шаги
- Обзор службы "Defender для Интернета вещей"