Säkerhetsaviseringar för mikroagenter
Defender for IoT analyserar kontinuerligt din IoT-lösning med hjälp av avancerad analys och hotinformation för att varna dig om skadlig aktivitet. Dessutom kan du skapa anpassade aviseringar baserat på dina kunskaper om förväntat enhetsbeteende. En avisering fungerar som en indikator på potentiella kompromisser och bör undersökas och åtgärdas.
Kommentar
Defender for IoT planerar att dra tillbaka mikroagenten den 1 augusti 2025.
I den här artikeln hittar du en lista över inbyggda aviseringar som kan utlösas på dina IoT-enheter.
Säkerhetsaviseringar
Hög allvarlighetsgrad
| Name | Allvarlighet | Datakälla | beskrivning | Föreslagna reparationssteg | Aviseringstyp |
|---|---|---|---|---|---|
| Binär kommandorad | Högt | Defender-IoT-micro-agent | LA Linux-binärfil som anropas/körs från kommandoraden identifierades. Den här processen kan vara legitim aktivitet eller en indikation på att enheten har komprometterats. | Granska kommandot med användaren som körde det och kontrollera om detta är något som förväntas köras på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_BinaryCommandLine |
| Inaktivera brandvägg | Högt | Defender-IoT-micro-agent | Möjlig manipulering av brandväggen på värden har identifierats. Skadliga aktörer inaktiverar ofta brandväggen på värden i ett försök att exfiltera data. | Granska med användaren som körde kommandot för att bekräfta om detta var en giltig förväntad aktivitet på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_DisableFirewall |
| Identifiering av portvidarebefordring | Högt | Defender-IoT-micro-agent | Initiering av portvidarebefordring till en extern IP-adress har identifierats. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_PortForwarding |
| Möjligt försök att inaktivera granskad loggning har identifierats | Högt | Defender-IoT-micro-agent | Med Linux Auditd-systemet kan du spåra säkerhetsrelevent information om systemet. Systemet registrerar så mycket information om de händelser som händer i systemet som möjligt. Den här informationen är avgörande för att verksamhetskritiska miljöer ska kunna avgöra vem som bröt mot säkerhetspolicyn och vilka åtgärder de utförde. Om du inaktiverar granskad loggning kan du förhindra att du upptäcker överträdelser av säkerhetsprinciper som används i systemet. | Kontakta enhetens ägare om det här var en legitim aktivitet med affärsskäl. Om inte, kan den här händelsen dölja aktivitet av skadliga aktörer. Omedelbart eskalerade incidenten till ditt informationssäkerhetsteam. | IoT_DisableAuditdLogging |
| Omvända gränssnitt | Högt | Defender-IoT-micro-agent | Analys av värddata på en enhet identifierade ett potentiellt omvändt gränssnitt. Omvända gränssnitt används ofta för att få en komprometterad dator att anropa tillbaka till en dator som styrs av en skadlig aktör. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_ReverseShell |
| Lyckad lokal inloggning | Högt | Defender-IoT-micro-agent | Lyckad lokal inloggning till enheten har identifierats. | Kontrollera att den inloggade användaren är en behörig part. | IoT_SuccessfulLocalLogin |
| Webbgränssnitt | Högt | Defender-IoT-micro-agent | Möjligt webbgränssnitt har identifierats. Skadliga aktörer laddar ofta upp ett webbgränssnitt till en komprometterad dator för att få beständighet eller för ytterligare utnyttjande. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_WebShell |
| Beteende som liknar utpressningstrojan har identifierats | Högt | Defender-IoT-micro-agent | Körning av filer som liknar kända utpressningstrojaner som kan hindra användare från att komma åt sitt system, eller personliga filer, och kan kräva lösensumma för att återfå åtkomsten. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_Ransomware |
| Minerbild av kryptomynt | Högt | Defender-IoT-micro-agent | Körning av en process som normalt är associerad med utvinning av digital valuta har identifierats. | Kontrollera med användaren som körde kommandot om det var en legitim aktivitet på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_CryptoMiner |
| Ny USB-anslutning | Högt | Defender-IoT-micro-agent | En USB-enhetsanslutning har identifierats. Detta kan tyda på skadlig aktivitet. | Bekräfta att det här är en legitim förväntad aktivitet på värden. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_USBConnection |
| USB-frånkoppling | Högt | Defender-IoT-micro-agent | En USB-enhets frånkoppling upptäcktes. Detta kan tyda på skadlig aktivitet. | Bekräfta att det här är en legitim förväntad aktivitet på värden. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_UsbDisconnection |
| Ny Ethernet-anslutning | Högt | Defender-IoT-micro-agent | En ny Ethernet-anslutning har identifierats. Detta kan tyda på skadlig aktivitet. | Bekräfta att det här är en legitim förväntad aktivitet på värden. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_EthernetConnection |
| Ethernet-frånkoppling | Högt | Defender-IoT-micro-agent | En ny Ethernet-frånkoppling har identifierats. Detta kan tyda på skadlig aktivitet. | Bekräfta att det här är en legitim förväntad aktivitet på värden. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_EthernetDisconnection |
| Ny fil har skapats | Högt | Defender-IoT-micro-agent | En ny fil har identifierats. Detta kan tyda på skadlig aktivitet. | Bekräfta att det här är en legitim förväntad aktivitet på värden. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_FileCreated |
| Fil har ändrats | Högt | Defender-IoT-micro-agent | Filändring har identifierats. Detta kan tyda på skadlig aktivitet. | Bekräfta att det här är en legitim förväntad aktivitet på värden. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_FileModified |
| Filen har tagits bort | Högt | Defender-IoT-micro-agent | Filborttagning har identifierats. Detta kan tyda på skadlig aktivitet. | Bekräfta att det här är en legitim förväntad aktivitet på värden. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_FileDeleted |
Medelhög allvarlighetsgrad
| Name | Allvarlighet | Datakälla | beskrivning | Föreslagna reparationssteg | Aviseringstyp |
|---|---|---|---|---|---|
| Beteende som liknar vanliga Linux-robotar som identifierats | Medium | Defender-IoT-micro-agent | Körning av en process som normalt är associerad med vanliga Linux-botnät har identifierats. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_CommonBots |
| Beteende som liknar Fairware Ransomware har identifierats | Medium | Defender-IoT-micro-agent | Körning av rm -rf-kommandon som tillämpas på misstänkta platser som identifierats med hjälp av analys av värddata. Eftersom rm -rf rekursivt tar bort filer används de normalt bara på diskreta mappar. I det här fallet används den på en plats som kan ta bort en stor mängd data. Fairware Ransomware är känt för att köra rm -rf-kommandon i den här mappen. | Granska med användaren som körde kommandot detta var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_FairwareMalware |
| Containeravbildning för kryptomyntgrävare har identifierats | Medium | Defender-IoT-micro-agent | Containeridentifiering som kör kända gruvavbildningar för digital valuta. | 1. Om det här beteendet inte är avsett tar du bort den relevanta containeravbildningen. 2. Kontrollera att Docker-daemonen inte är tillgänglig via en osäker TCP-socket. 3. Eskalera aviseringen till informationssäkerhetsteamet. |
IoT_CryptoMinerContainer |
| Misstänkt användning av nohup-kommandot har identifierats | Medium | Defender-IoT-micro-agent | Misstänkt användning av nohup-kommandot på värden har identifierats. Skadliga aktörer kör vanligtvis nohup-kommandot från en tillfällig katalog, vilket i praktiken gör att deras körbara filer kan köras i bakgrunden. Att se det här kommandot köras på filer som finns i en tillfällig katalog är inte förväntat eller vanligt beteende. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_SuspiciousNohup |
| Misstänkt användning av useradd-kommandot har identifierats | Medium | Defender-IoT-micro-agent | Misstänkt användning av useradd-kommandot har identifierats på enheten. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_SuspiciousUseradd |
| Exponerad Docker-daemon från TCP-socket | Medium | Defender-IoT-micro-agent | Datorloggar anger att docker-daemonen (dockerd) exponerar en TCP-socket. Docker-konfigurationen använder som standard inte kryptering eller autentisering när en TCP-socket är aktiverad. Docker-standardkonfigurationen ger fullständig åtkomst till Docker-daemon av alla som har åtkomst till relevant port. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_ExposedDocker |
| Misslyckad lokal inloggning | Medium | Defender-IoT-micro-agent | Ett misslyckat lokalt inloggningsförsök till enheten upptäcktes. | Kontrollera att ingen obehörig part har fysisk åtkomst till enheten. | IoT_FailedLocalLogin |
| Filnedladdning från en skadlig källa har identifierats | Medium | Defender-IoT-micro-agent | Nedladdning av en fil från en känd källa för skadlig kod har identifierats. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_PossibleMalware |
| htaccess-filåtkomst har identifierats | Medium | Defender-IoT-micro-agent | Analys av värddata identifierade möjlig manipulering av en htaccess-fil. Htaccess är en kraftfull konfigurationsfil som gör att du kan göra flera ändringar i en webbserver som kör Apache-webbprogramvara, inklusive grundläggande omdirigeringsfunktioner och mer avancerade funktioner, till exempel grundläggande lösenordsskydd. Skadliga aktörer ändrar ofta htaccess-filer på komprometterade datorer för att få beständighet. | Bekräfta att det här är en giltig förväntad aktivitet på värden. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_AccessingHtaccessFile |
| Känt attackverktyg | Medium | Defender-IoT-micro-agent | Ett verktyg som ofta är associerat med skadliga användare som angriper andra datorer på något sätt upptäcktes. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_KnownAttackTools |
| Lokal värdspaning har identifierats | Medium | Defender-IoT-micro-agent | Körning av ett kommando som normalt är associerat med vanlig Linux-bot-rekognosering har identifierats. | Granska den misstänkta kommandoraden för att bekräfta att den har körts av en legitim användare. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_LinuxReconnaissance |
| Matchningsfel mellan skripttolkare och filnamnstillägg | Medium | Defender-IoT-micro-agent | Matchningsfel mellan skripttolkaren och tillägget för skriptfilen som tillhandahålls som indata identifierad. Den här typen av matchningsfel är ofta associerad med körning av angripares skript. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_ScriptInterpreterMismatch |
| Möjlig bakdörr har identifierats | Medium | Defender-IoT-micro-agent | En misstänkt fil laddades ned och kördes sedan på en värd i din prenumeration. Den här typen av aktivitet är ofta associerad med installationen av en bakdörr. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_LinuxBackdoor |
| Möjliga dataförluster har identifierats | Medium | Defender-IoT-micro-agent | Möjliga datautgående villkor har identifierats med hjälp av analys av värddata. Skadliga aktörer tar ofta ut data från komprometterade datorer. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_EgressData |
| Privilegierad container har identifierats | Medium | Defender-IoT-micro-agent | Datorloggar anger att en privilegierad Docker-container körs. En privilegierad container har fullständig åtkomst till värdresurser. Om det komprometteras kan en obehörig aktör använda den privilegierade containern för att få åtkomst till värddatorn. | Om containern inte behöver köras i privilegierat läge tar du bort behörigheterna från containern. | IoT_PrivilegedContainer |
| Borttagning av systemloggfiler har identifierats | Medium | Defender-IoT-micro-agent | Misstänkt borttagning av loggfiler på värden har identifierats. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_RemovalOfSystemLogs |
| Blanksteg efter filnamn | Medium | Defender-IoT-micro-agent | Körning av en process med ett misstänkt tillägg som identifierats med hjälp av analys av värddata. Misstänkta tillägg kan lura användare att tro att filer är säkra att öppnas och kan indikera förekomsten av skadlig kod i systemet. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_ExecuteFileWithTrailingSpace |
| Verktyg som ofta används för åtkomst till skadliga autentiseringsuppgifter har identifierats | Medium | Defender-IoT-micro-agent | Identifiering av användning av ett verktyg som ofta är associerat med skadliga försök att komma åt autentiseringsuppgifter. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_CredentialAccessTools |
| Misstänkt kompilering har identifierats | Medium | Defender-IoT-micro-agent | Misstänkt kompilering har identifierats. Skadliga aktörer kompilerar ofta kryphål på en komprometterad dator för att eskalera privilegier. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_SuspiciousCompilation |
| Misstänkt filnedladdning följt av filkörningsaktivitet | Medium | Defender-IoT-micro-agent | Analys av värddata identifierade en fil som laddades ned och kördes i samma kommando. Den här tekniken används ofta av skadliga aktörer för att få infekterade filer till offerdatorer. | Granska med användaren som körde kommandot om det här var en legitim aktivitet som du förväntar dig att se på enheten. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_DownloadFileThenRun |
| Misstänkt IP-adresskommunikation | Medium | Defender-IoT-micro-agent | Kommunikation med en misstänkt IP-adress har identifierats. | Kontrollera om anslutningen är legitim. Överväg att blockera kommunikationen med den misstänkta IP-adressen. | IoT_TiConnection |
| Begäran om skadligt domännamn | Medium | Defender-IoT-micro-agent | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utnyttjar en metod som används av känd skadlig kod. | Koppla bort källan från nätverket. Utför incidenthantering. | IoT_MaliciousNameQueriesDetection |
Låg allvarlighetsgrad
| Name | Allvarlighet | Datakälla | beskrivning | Föreslagna reparationssteg | Aviseringstyp |
|---|---|---|---|---|---|
| Bash-historiken har rensats | Låg | Defender-IoT-micro-agent | Bash-historikloggen har rensats. Skadliga aktörer raderar ofta bash-historiken för att dölja sina egna kommandon från att visas i loggarna. | Granska med användaren som körde kommandot som aktiviteten i den här aviseringen för att se om du känner igen detta som legitim administrativ aktivitet. Om inte eskalerar du aviseringen till informationssäkerhetsteamet. | IoT_ClearHistoryFile |