Händelsesamling för mikroagent
Defender för IoT-säkerhetsagenter samlar in data och systemhändelser från din lokala enhet och skickar data till Azure-molnet för bearbetning.
Kommentar
Defender for IoT planerar att dra tillbaka mikroagenten den 1 augusti 2025.
Om du har konfigurerat och anslutit en Log Analytics-arbetsyta visas dessa händelser i Log Analytics. Mer information finns i Självstudie: Undersöka säkerhetsaviseringar.
Defender for IoT-mikroagenten samlar in många typer av enhetshändelser, inklusive nya processer och alla nya anslutningshändelser. Både den nya processen och nya anslutningshändelser kan inträffa ofta på en enhet. Den här funktionen är viktig för omfattande säkerhet, men antalet meddelanden som säkerhetsagenterna skickar kan snabbt uppfylla eller överskrida din IoT Hub-kvot och kostnadsgränser. Dessa meddelanden och händelser innehåller mycket värdefull säkerhetsinformation som är avgörande för att skydda din enhet.
För att minska antalet meddelanden och kostnader samtidigt som enhetens säkerhet upprätthålls aggregerar Defender for IoT-agenter följande typer av händelser:
Processhändelser (endast Linux)
Nätverksaktivitetshändelser
Filsystemhändelser
Statistikhändelser
Mer information finns i händelsesammansättning för process- och nätverksinsamlare.
Händelsebaserade insamlare är insamlare som utlöses baserat på motsvarande aktivitet inifrån enheten. Exempel: a process was started in the device
Utlösarbaserade insamlare är insamlare som utlöses på ett schemalagt sätt baserat på kundens konfigurationer.
Processhändelser (händelsebaserad insamlare)
Processhändelser stöds i Linux-operativsystem.
Processhändelser anses vara identiska när kommandoraden och userid är identiska.
Standardbufferten för processhändelser är 256 processer. När den här gränsen uppfylls kommer bufferten att cykla och den äldsta processhändelsen ignoreras för att göra plats för den senaste bearbetade händelsen. En varning om att öka cachestorleken loggas.
De data som samlas in för varje händelse är:
| Parameter | Description |
|---|---|
| Tidsstämpel | Första gången processen observerades. |
| process_id | The Linux PID. |
| parent_process_id | Den överordnade PID:en för Linux, om den finns. |
| Kommandorad | Kommandoraden. |
| Typ | Kan vara antingen fork, eller exec. |
| hit_count | Det aggregerade antalet. Antalet körningar av samma process, under samma tidsperiod, tills händelserna skickas till molnet. |
Nätverksaktivitetshändelser (händelsebaserad insamlare)
Nätverksaktivitetshändelser anses vara identiska när den lokala porten, fjärrporten, transportprotokollet, den lokala adressen och fjärradressen är identiska.
Standardbufferten för en nätverksaktivitetshändelse är 256. För situationer där cachen är full:
Eclipse ThreadX-enheter: Inga nya nätverkshändelser cachelagras förrän nästa samlingscykel startar.
Linux-enheter: Den äldsta händelsen ersätts av varje ny händelse. En varning om att öka cachestorleken loggas.
För Linux-enheter stöds endast IPv4.
De data som samlas in för varje händelse är:
| Parameter | Description |
|---|---|
| Lokal adress | Anslutningens källadress. |
| Fjärradress | Anslutningens måladress. |
| Lokal port | Anslutningens källport. |
| Fjärrport | Målporten för anslutningen. |
| Bytes_in | Anslutningens totala aggregerade RX-byte. |
| Bytes_out | Totalt antal aggregerade TX-byte för anslutningen. |
| Transport_protocol | Kan vara TCP, UDP eller ICMP. |
| Programprotokoll | Programprotokollet som är associerat med anslutningen. |
| Utökade egenskaper | Ytterligare information om anslutningen. Exempel: host name |
| Antal träffar | Antalet paket som observerats |
Inloggningsinsamlare (händelsebaserad insamlare)
Inloggningsinsamlaren samlar in användarinloggningar, inloggningar och misslyckade inloggningsförsök.
Inloggningsinsamlaren stöder följande typer av insamlingsmetoder:
UTMP och SYSLOG. UTMP fångar interaktiva SSH-händelser, telnet-händelser och terminalinloggningar samt alla misslyckade inloggningshändelser från SSH, telnet och terminalen. Om SYSLOG är aktiverat på enheten samlar inloggningsinsamlaren även in SSH-inloggningshändelser via SYSLOG-filen med namnet auth.log.
Pluggbara autentiseringsmoduler (PAM). Samlar in SSH-, telnet- och lokala inloggningshändelser. Mer information finns i Konfigurera pluggbara autentiseringsmoduler (PAM) för granskning av inloggningshändelser.
Följande data samlas in:
| Parameter | Description |
|---|---|
| operation | Något av följande: Login, Logout, LoginFailed |
| process_id | The Linux PID. |
| user_name | Linux-användaren. |
| genomförbar | Terminalenheten. Exempel: tty1..6 eller pts/n. |
| remote_address | Anslutningskällan, antingen en fjärr-IP-adress i IPv6- eller IPv4-format, eller 127.0.0.1/0.0.0.0 för att indikera lokal anslutning. |
Systeminformation (utlösarbaserad insamlare)
De data som samlas in för varje händelse är:
| Parameter | Description |
|---|---|
| hardware_vendor | Namnet på enhetens leverantör. |
| hardware_model | Enhetens modellnummer. |
| os_dist | Fördelningen av operativsystemet. Exempel: Linux |
| os_version | Versionen av operativsystemet. Till exempel Windows 10, eller Ubuntu 20.04.1. |
| os_platform | Enhetens operativsystem. |
| os_arch | Operativsystemets arkitektur. Exempel: x86_64 |
| agent_type | Typen av agent (Edge/fristående). |
| agent_version | Versionen av agenten. |
| nics | Nätverksgränssnittsstyrenheten. Den fullständiga listan över egenskaper visas nedan. |
Egenskaperna för nätverkskort består av följande;
| Parameter | Description |
|---|---|
| typ | Något av följande värden: UNKNOWN, ETH, WIFI, MOBILEeller SATELLITE. |
| vlans | Det virtuella lan som är associerat med nätverksgränssnittet. |
| säljare | Leverantören av nätverksstyrenheten. |
| information | IPS och MAC:er som är associerade med nätverksstyrenheten. Detta inkluderar följande fält; - ipv4_address: IPv4-adressen. - ipv6_address: IPv6-adressen. - mac: MAC-adressen. |
Baslinje (utlösarbaserad insamlare)
Baslinjeinsamlaren utför periodiska CIS-kontroller och misslyckade resultat för att skicka och hoppa över kontroller skickas till Defender för IoT-molntjänsten. Defender for IoT aggregerar resultaten och ger rekommendationer baserat på eventuella fel.
De data som samlas in för varje händelse är:
| Parameter | Description |
|---|---|
| Kontrollera ID | I CIS-format. Exempel: CIS-debian-9-Filesystem-1.1.2 |
| Kontrollera resultatet | Kan vara Fail, Pass, Skipeller Error. Till exempel Error i en situation där kontrollen inte kan köras. |
| Fel | Felets information och beskrivning. |
| Beskrivning | Beskrivningen av kontrollen från CIS. |
| Reparation | Rekommendationen för reparation från CIS. |
| Allvarlighetsgrad | Allvarlighetsgraden. |
SBoM (utlösarbaserad insamlare)
SBoM-insamlaren (Software Bill of Materials) samlar regelbundet in paketen som är installerade på enheten.
De data som samlas in på varje paket innehåller:
| Parameter | Description |
|---|---|
| Namn | Paketnamnet. |
| Version: | Paketversionen. |
| Leverantör | Paketets leverantör, som är fältet Underhåll i deb-paket. |
Kringutrustningshändelser (händelsebaserad insamlare)
Insamling av kringutrustningshändelser samlar in anslutningar och frånkopplingar av USB- och Ethernet-händelser.
Insamlade fält beror på typen av händelse:
USB-händelser
| Parameter | Description |
|---|---|
| Tidsstämpel | Händelsens tid har inträffat. |
| ActionType | Om händelsen var en anslutnings- eller frånkopplingshändelse. |
| bus_number | Specifik styrenhetsidentifierare, varje USB-enhet kan ha flera. |
| kernel_device_number | Representation i enhetens kernel, inte unik och kan varje gång enheten är ansluten. |
| device_class | Identifierare som anger enhetens klass. |
| device_subclass | Identifierare som anger typ av enhet. |
| device_protocol | Identifierare som anger enhetsprotokollet. |
| interface_class | Om enhetsklassen är 0 anger du typen av enhet. |
| interface_subclass | Om enhetsklassen är 0 anger du typen av enhet. |
| interface_protocol | Om enhetsklassen är 0 anger du typen av enhet. |
Ethernet-händelser
| Parameter | Description |
|---|---|
| Tidsstämpel | Händelsens tid har inträffat. |
| ActionType | Om händelsen var en anslutnings- eller frånkopplingshändelse. |
| bus_number | Specifik styrenhetsidentifierare, varje USB-enhet kan ha flera. |
| Gränssnittsnamn | Gränssnittsnamnet. |
Filsystemhändelser (händelsebaserad insamlare)
Filsystemets händelseinsamlare samlar in händelser när det finns ändringar under bevakningskataloger för: skapande, borttagning, flytt och ändring av kataloger och filer. Information om hur du definierar vilka kataloger och filer som du vill övervaka finns i Specifika inställningar för systeminformationsinsamlare.
Följande data samlas in:
| Parameter | Description |
|---|---|
| Tidsstämpel | Händelsens tid har inträffat. |
| Mask | Linux-inotify-mask som är relaterad till filsystemhändelsen identifierar masken typen av åtgärd och kan vara något av följande: Åtkomst/Ändrad/Metadata har ändrats/Stängt/Öppnat/Flyttat/Skapat/Tagit bort. |
| Sökväg | Katalog-/filsökväg som händelsen genererades till. |
| Hitcount | Antal gånger som den här händelsen aggregerades. |
Statistikdata (utlösarbaserad insamlare)
Statistikinsamlaren genererar olika statistik om de olika mikroagentinsamlarna. Den här statistiken innehåller information om insamlarnas prestanda i föregående samlingscykel. Exempel på möjlig statistik är antalet händelser som har skickats och antalet händelser som har tagits bort, tillsammans med orsakerna till felen.
Insamlade fält:
| Parameter | Description |
|---|---|
| Tidsstämpel | Händelsens tid har inträffat. |
| Namn | Namnet på insamlaren. |
| Händelser | En matris med par som är formaterade som JSON med beskrivning och antal träffar. |
| Beskrivning | Om meddelandet skickades/togs bort och orsaken till att meddelandet togs bort. |
| Hitcount | Antal respektive meddelanden. |
Händelseaggregering för process- och nätverksinsamlare
Så här fungerar händelsesammansättning för processhändelser och nätverksaktivitetshändelser:
Defender för IoT-agenter aggregerar händelser under sändningsintervallet som definierats i konfigurationen av meddelandefrekvens för varje insamlare, till exempel Process_MessageFrequency eller NetworkActivity_MessageFrequency. När sändningsintervallperioden har passerat skickar agenten de aggregerade händelserna till Azure-molnet för ytterligare analys. De aggregerade händelserna lagras i minnet tills de skickas till Azure-molnet.
När agenten samlar in liknande händelser som de som redan lagras i minnet ökar agenten antalet träffar för den här specifika händelsen för att minska agentens minnesfotavtryck. När aggregeringstidsfönstret passerar skickar agenten träffantalet för varje typ av händelse som inträffade. Händelseaggregering är aggregeringen av träffantalet för liknande händelser. Nätverksaktivitet med samma fjärrvärd och på samma port aggregeras till exempel som en händelse, i stället för som en separat händelse för varje paket.
Kommentar
Som standard skickar mikroagenten loggar och telemetri till molnet för felsökning och övervakning. Det här beteendet kan konfigureras eller inaktiveras via tvillingen.
Nästa steg
Mer information finns i:
- Mikroagentkonfigurationer
- Kontrollera dina Defender for IoT-säkerhetsaviseringar.