Säkerhetsaviseringar för Äldre Defender för IoT-enheter
Kommentar
Microsoft Defender for IoT-äldre agenten har ersatts av vår nyare mikroagentupplevelse. Mer information finns i Självstudie: Undersöka säkerhetsaviseringar.
Från och med den 31 mars 2022 är den äldre agenten avslutad och inga nya funktioner utvecklas. Den äldre agenten dras tillbaka helt den 31 mars 2023, då vi inte längre tillhandahåller felkorrigeringar eller annat stöd för den äldre agenten.
Defender for IoT analyserar kontinuerligt din IoT-lösning med hjälp av avancerad analys och hotinformation för att varna dig om skadlig aktivitet. Dessutom kan du skapa anpassade aviseringar baserat på dina kunskaper om förväntat enhetsbeteende. En avisering fungerar som en indikator på potentiella kompromisser och bör undersökas och åtgärdas.
I den här artikeln hittar du en lista över inbyggda aviseringar som kan utlösas på dina IoT-enheter. Förutom inbyggda aviseringar kan du med Defender för IoT definiera anpassade aviseringar baserat på förväntat IoT Hub- och/eller enhetsbeteende. Mer information finns i Anpassningsbara aviseringar.
Agentbaserade säkerhetsaviseringar
| Name | Allvarlighet | Datakälla | beskrivning | Föreslagna reparationssteg |
|---|---|---|---|---|
| Hög allvarlighetsgrad | ||||
| Binär kommandorad | Högt | Äldre Defender-IoT-micro-agent | LA Linux-binärfil som anropas/körs från kommandoraden identifierades. Den här processen kan vara legitim aktivitet eller en indikation på att enheten har komprometterats. | Granska kommandot med användaren som körde det och kontrollera om detta är något som förväntas köras på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Inaktivera brandvägg | Högt | Äldre Defender-IoT-micro-agent | Möjlig manipulering av brandväggen på värden har identifierats. Skadliga aktörer inaktiverar ofta brandväggen på värden i ett försök att exfiltera data. | Granska med användaren som körde kommandot för att bekräfta om detta var en giltig förväntad aktivitet på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Identifiering av portvidarebefordring | Högt | Äldre Defender-IoT-micro-agent | Initiering av portvidarebefordring till en extern IP-adress har identifierats. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Möjligt försök att inaktivera granskad loggning har identifierats | Högt | Äldre Defender-IoT-micro-agent | Med Linux Auditd-systemet kan du spåra säkerhetsrelevent information om systemet. Systemet registrerar så mycket information om de händelser som händer i systemet som möjligt. Den här informationen är avgörande för att verksamhetskritiska miljöer ska kunna avgöra vem som bröt mot säkerhetspolicyn och vilka åtgärder de utförde. Om du inaktiverar granskad loggning kan du förhindra att du upptäcker överträdelser av säkerhetsprinciper som används i systemet. | Kontakta enhetens ägare om det här var en legitim aktivitet med affärsskäl. Om inte, kan den här händelsen dölja aktivitet av skadliga aktörer. Omedelbart eskalerade incidenten till ditt informationssäkerhetsteam. |
| Omvända gränssnitt | Högt | Äldre Defender-IoT-micro-agent | Analys av värddata på en enhet identifierade ett potentiellt omvändt gränssnitt. Omvända gränssnitt används ofta för att få en komprometterad dator att anropa tillbaka till en dator som styrs av en skadlig aktör. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Lyckat Bruteforce-försök | Högt | Äldre Defender-IoT-micro-agent | Flera misslyckade inloggningsförsök identifierades, följt av en lyckad inloggning. Försök till brute force-attack kan ha lyckats på enheten. | Granska SSH Brute force-aviseringen och aktiviteten på enheterna. Om aktiviteten var skadlig: Distribuera lösenordsåterställning för komprometterade konton. Undersöka och åtgärda (om det hittas) enheter för skadlig kod. |
| Lyckad lokal inloggning | Högt | Äldre Defender-IoT-micro-agent | Lyckad lokal inloggning till enheten har identifierats | Kontrollera att den inloggade användaren är en behörig part. |
| Webbgränssnitt | Högt | Äldre Defender-IoT-micro-agent | Möjligt webbgränssnitt har identifierats. Skadliga aktörer laddar ofta upp ett webbgränssnitt till en komprometterad dator för att få beständighet eller för ytterligare utnyttjande. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Medelhög allvarlighetsgrad | ||||
| Beteende som liknar vanliga Linux-robotar som identifierats | Medium | Äldre Defender-IoT-micro-agent | Körning av en process som normalt är associerad med vanliga Linux-botnät har identifierats. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Beteende som liknar Fairware Ransomware har identifierats | Medium | Äldre Defender-IoT-micro-agent | Körning av rm -rf-kommandon som tillämpas på misstänkta platser som identifierats med hjälp av analys av värddata. Eftersom rm -rf rekursivt tar bort filer används de normalt bara på diskreta mappar. I det här fallet används den på en plats som kan ta bort en stor mängd data. Fairware Ransomware är känt för att köra rm -rf-kommandon i den här mappen. | Granska med användaren som körde kommandot detta var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Beteende som liknar utpressningstrojan har identifierats | Medium | Äldre Defender-IoT-micro-agent | Körning av filer som liknar kända utpressningstrojaner som kan hindra användare från att komma åt sitt system, eller personliga filer, och kan kräva lösensumma för att återfå åtkomsten. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Containeravbildning för kryptomyntgrävare har identifierats | Medium | Äldre Defender-IoT-micro-agent | Containeridentifiering som kör kända gruvavbildningar för digital valuta. | 1. Om det här beteendet inte är avsett tar du bort den relevanta containeravbildningen. 2. Kontrollera att Docker-daemonen inte är tillgänglig via en osäker TCP-socket. 3. Eskalera aviseringen till informationssäkerhetsteamet. |
| Minerbild av kryptomynt | Medium | Äldre Defender-IoT-micro-agent | Körning av en process som normalt är associerad med utvinning av digital valuta har identifierats. | Kontrollera med användaren som körde kommandot om det var en legitim aktivitet på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Misstänkt användning av nohup-kommandot har identifierats | Medium | Äldre Defender-IoT-micro-agent | Misstänkt användning av nohup-kommandot på värden har identifierats. Skadliga aktörer kör vanligtvis nohup-kommandot från en tillfällig katalog, vilket i praktiken gör att deras körbara filer kan köras i bakgrunden. Att se det här kommandot köras på filer som finns i en tillfällig katalog är inte förväntat eller vanligt beteende. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Misstänkt användning av useradd-kommandot har identifierats | Medium | Äldre Defender-IoT-micro-agent | Misstänkt användning av useradd-kommandot har identifierats på enheten. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Exponerad Docker-daemon från TCP-socket | Medium | Äldre Defender-IoT-micro-agent | Datorloggar anger att docker-daemonen (dockerd) exponerar en TCP-socket. Docker-konfigurationen använder som standard inte kryptering eller autentisering när en TCP-socket är aktiverad. Docker-standardkonfigurationen ger fullständig åtkomst till Docker-daemon av alla som har åtkomst till relevant port. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Misslyckad lokal inloggning | Medium | Äldre Defender-IoT-micro-agent | Ett misslyckat lokalt inloggningsförsök till enheten upptäcktes. | Kontrollera att ingen obehörig part har fysisk åtkomst till enheten. |
| Filnedladdningar från en känd skadlig källa har identifierats | Medium | Äldre Defender-IoT-micro-agent | Nedladdning av en fil från en känd källa för skadlig kod har identifierats. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| htaccess-filåtkomst har identifierats | Medium | Äldre Defender-IoT-micro-agent | Analys av värddata identifierade möjlig manipulering av en htaccess-fil. Htaccess är en kraftfull konfigurationsfil som gör att du kan göra flera ändringar i en webbserver som kör Apache-webbprogramvara, inklusive grundläggande omdirigeringsfunktioner och mer avancerade funktioner, till exempel grundläggande lösenordsskydd. Skadliga aktörer ändrar ofta htaccess-filer på komprometterade datorer för att få beständighet. | Bekräfta att det här är en giltig förväntad aktivitet på värden. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Känt attackverktyg | Medium | Äldre Defender-IoT-micro-agent | Ett verktyg som ofta är associerat med skadliga användare som angriper andra datorer på något sätt upptäcktes. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| IoT-agenten försökte och kunde inte parsa konfigurationen av modultvillingen | Medium | Äldre Defender-IoT-micro-agent | Defender för IoT-säkerhetsagenten kunde inte parsa konfigurationen av modultvillingen på grund av typmatchningar i konfigurationsobjektet | Verifiera konfigurationen av modultvillingen mot konfigurationsschemat för IoT-agenten och åtgärda alla matchningar. |
| Lokal värdspaning har identifierats | Medium | Äldre Defender-IoT-micro-agent | Körning av ett kommando som normalt är associerat med vanlig Linux-bot-rekognosering har identifierats. | Granska den misstänkta kommandoraden för att bekräfta att den har körts av en legitim användare. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Matchningsfel mellan skripttolkare och filnamnstillägg | Medium | Äldre Defender-IoT-micro-agent | Matchningsfel mellan skripttolkaren och tillägget för skriptfilen som tillhandahålls som indata identifierad. Den här typen av matchningsfel är ofta associerad med körning av angripares skript. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Möjlig bakdörr har identifierats | Medium | Äldre Defender-IoT-micro-agent | En misstänkt fil laddades ned och kördes sedan på en värd i din prenumeration. Den här typen av aktivitet är ofta associerad med installationen av en bakdörr. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Potentiell dataförlust har identifierats | Medium | Äldre Defender-IoT-micro-agent | Möjliga datautgående villkor har identifierats med hjälp av analys av värddata. Skadliga aktörer tar ofta ut data från komprometterade datorer. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Potentiellt åsidosättande av vanliga filer | Medium | Äldre Defender-IoT-micro-agent | Vanliga körbara skrivs över på enheten. Skadliga aktörer är kända för att skriva över vanliga filer som ett sätt att dölja sina handlingar eller som ett sätt att få beständighet. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Privilegierad container har identifierats | Medium | Äldre Defender-IoT-micro-agent | Datorloggar anger att en privilegierad Docker-container körs. En privilegierad container har fullständig åtkomst till värdresurser. Om det komprometteras kan en obehörig aktör använda den privilegierade containern för att få åtkomst till värddatorn. | Om containern inte behöver köras i privilegierat läge tar du bort behörigheterna från containern. |
| Borttagning av systemloggfiler har identifierats | Medium | Äldre Defender-IoT-micro-agent | Misstänkt borttagning av loggfiler på värden har identifierats. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Blanksteg efter filnamn | Medium | Äldre Defender-IoT-micro-agent | Körning av en process med ett misstänkt tillägg som identifierats med hjälp av analys av värddata. Misstänkta tillägg kan lura användare att tro att filer är säkra att öppnas och kan indikera förekomsten av skadlig kod i systemet. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Åtkomstverktyg för misstänkta skadliga autentiseringsuppgifter har identifierats | Medium | Äldre Defender-IoT-micro-agent | Identifiering av användning av ett verktyg som ofta är associerat med skadliga försök att komma åt autentiseringsuppgifter. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Misstänkt kompilering har identifierats | Medium | Äldre Defender-IoT-micro-agent | Misstänkt kompilering har identifierats. Skadliga aktörer kompilerar ofta kryphål på en komprometterad dator för att eskalera privilegier. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Misstänkt filnedladdning följt av filkörningsaktivitet | Medium | Äldre Defender-IoT-micro-agent | Analys av värddata identifierade en fil som laddades ned och kördes i samma kommando. Den här tekniken används ofta av skadliga aktörer för att få infekterade filer till offerdatorer. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Misstänkt IP-adresskommunikation | Medium | Äldre Defender-IoT-micro-agent | Kommunikation med en misstänkt IP-adress har identifierats. | Kontrollera om anslutningen är legitim. Överväg att blockera kommunikationen med den misstänkta IP-adressen. |
| LÅG allvarlighetsgrad | ||||
| Bash-historiken har rensats | Låg | Äldre Defender-IoT-micro-agent | Bash-historikloggen har rensats. Skadliga aktörer raderar ofta bash-historiken för att dölja sina egna kommandon från att visas i loggarna. | Granska med användaren som körde kommandot som aktiviteten i den här aviseringen för att se om du känner igen detta som legitim administrativ aktivitet. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. |
| Enheten är tyst | Låg | Äldre Defender-IoT-micro-agent | Enheten har inte skickat några telemetridata under de senaste 72 timmarna. | Kontrollera att enheten är online och skickar data. Kontrollera att Azure Security Agent körs på enheten. |
| Bruteforce-försök misslyckades | Låg | Äldre Defender-IoT-micro-agent | Flera misslyckade inloggningsförsök har identifierats. Det gick inte att utföra ett potentiellt brute force-attackförsök på enheten. | Granska SSH Brute force-aviseringar och aktiviteten på enheten. Ingen ytterligare åtgärd krävs. |
| Lokal användare har lagts till i en eller flera grupper | Låg | Äldre Defender-IoT-micro-agent | Ny lokal användare har lagts till i en grupp på den här enheten. Ändringar i användargrupper är ovanliga och kan tyda på att en obehörig aktör kan samla in extra behörigheter. | Kontrollera om ändringen överensstämmer med de behörigheter som krävs av den berörda användaren. Om ändringen är inkonsekvent eskalerar du till informationssäkerhetsteamet. |
| Lokal användare har tagits bort från en eller flera grupper | Låg | Äldre Defender-IoT-micro-agent | En lokal användare har tagits bort från en eller flera grupper. Skadliga aktörer är kända för att använda den här metoden i ett försök att neka åtkomst till legitima användare eller ta bort historiken för deras åtgärder. | Kontrollera om ändringen överensstämmer med de behörigheter som krävs av den berörda användaren. Om ändringen är inkonsekvent eskalerar du till informationssäkerhetsteamet. |
| Borttagning av lokal användare har identifierats | Låg | Äldre Defender-IoT-micro-agent | Borttagning av en lokal användare har identifierats. Borttagning av lokala användare är ovanligt, en obehörig aktör kan försöka neka åtkomst till legitima användare eller ta bort historiken för deras åtgärder. | Kontrollera om ändringen överensstämmer med de behörigheter som krävs av den berörda användaren. Om ändringen är inkonsekvent eskalerar du till informationssäkerhetsteamet. |
Nästa steg
- Översikt över Defender för IoT-tjänsten
- Lär dig hur du får åtkomst till dina säkerhetsdata
- Läs mer om att undersöka en enhet