微代理程式事件收集
適用於 IoT 的 Defender 安全性代理程式會從您的本機裝置收集資料和系統事件,並將資料傳送至 Azure 雲端,以進行處理。
注意
適用於 IoT 的 Defender 計劃於 2025 年 8 月 1 日淘汰微代理程式。
如果您已設定並連接 Log Analytics 工作區,則會在 Log Analytics 中看到這些事件。 如需詳細資訊,請參閱教學課程:調查安全性警示。
適用於 IoT 的 Defender 微代理程式會收集許多類型的裝置事件,包括新的程序和所有新的連線事件。 裝置上可能會經常發生新程序和新的連線事件。 這項功能對於完整的安全性十分重要,不過,安全性代理程式所傳送的訊息數目可能會達到或超過您的 IoT 中樞配額和成本限制。 這些訊息和事件包含寶貴的安全性資訊,是保護裝置時不可或缺的。
為了降低訊息數目以及維護裝置安全性的成本,適用於 IoT 的 Defender 代理程式會彙總下列類型的事件:
程序事件 (僅限 Linux)
網路活動事件
檔案系統事件
統計資料事件
如需詳細資訊,請參閱程序和網路收集器的事件彙總。
事件型收集器是根據裝置內的對應活動觸發的收集器。 例如: a process was started in the device 。
觸發程序型收集器,是根據客戶的設定以排程方式觸發的收集器。
程序事件 (事件型收集器)
Linux 作業系統支援程序事件。
當命令列與 userid 相同時,就會將程序事件視為相同。
程序事件的預設緩衝區是 256 個程序。 達到此限制時,緩衝區會進入循環,並捨棄最舊的程序事件,以便為最新的已處理事件挪出空間。 將會記錄增加快取大小的警告。
為每個事件收集的資料如下:
| 參數 | 描述 |
|---|---|
| Timestamp | 第一次觀察到此程序的時間。 |
| process_id | Linux PID。 |
| parent_process_id | Linux 父 PID (如果存在)。 |
| Commandline | 命令列。 |
| 類型 | 可為 fork 或 exec。 |
| hit_count | 彙總計數。 相同程序在相同時間範圍內的執行次數,直到事件傳送至雲端為止。 |
網路活動事件 (事件型收集器)
當本機連接埠、遠端連接埠、傳輸通訊協定、本機位址和遠端位址相同時,就會將網路活動事件會視為相同。
網路活動事件的預設緩衝區為 256。 對於快取已滿的情況:
Eclipse ThreadX 裝置:在下一個收集週期開始之前,不會快取任何新的網路事件。
Linux 裝置:最舊的事件將會由每個新事件取代。 將會記錄增加快取大小的警告。
對於 Linux 裝置,僅支援 IPv4。
為每個事件收集的資料如下:
| 參數 | 描述 |
|---|---|
| 本機位址 | 連線的來源位址。 |
| 遠端位址 | 連線的目的地位址。 |
| 本機連接埠 | 連線的來源連接埠。 |
| 遠端連接埠 | 連線的目的地連接埠。 |
| Bytes_in | 連線的彙總 RX 位元組總計。 |
| Bytes_out | 連線的彙總 TX 位元組總計。 |
| Transport_protocol | 可以是 TCP、UDP 或 ICMP。 |
| 應用程式通訊協定 | 與連線相關聯的應用程式通訊協定。 |
| 擴充屬性 | 連線的其他詳細資料。 例如: host name 。 |
| 叫用計數 | 觀察到的封包計數 |
登入收集器 (事件型收集器)
登入收集器,會收集使用者登入、登出和失敗的登入嘗試。
登入收集器支援下列類型的收集方法:
UTMP 和 SYSLOG。 UTMP 會捕捉 SSH 互動式事件、Telnet 事件和終端機登入,以及來自 SSH、Telnet 和終端機的所有失敗登入事件。 如果裝置上啟用了 SYSLOG,則登入收集器也會透過名為 auth.log 的 SYSLOG 檔案來收集 SSH 登入事件。
插入式驗證模組 (PAM)。 收集 SSH、Telnet 和本機登入事件。 如需詳細資訊,請參閱設定插入式驗證模組 (PAM) 以稽核登入事件。
會收集下列資料:
| 參數 | 描述 |
|---|---|
| operation | 下列其中之一:Login、Logout、LoginFailed |
| process_id | Linux PID。 |
| user_name | Linux 使用者。 |
| 可執行檔 | 終端機裝置。 例如,tty1..6 或 pts/n。 |
| remote_address | 連線的來源,可以是 IPv6 或 IPv4 格式的遠端 IP 位址,或是 127.0.0.1/0.0.0.0 (表示本機連線)。 |
系統資訊 (觸發程序型收集器)
為每個事件收集的資料如下:
| 參數 | 描述 |
|---|---|
| hardware_vendor | 裝置廠商的名稱。 |
| hardware_model | 裝置的型號。 |
| os_dist | 作業系統的發行版本。 例如: Linux 。 |
| os_version | 作業系統的版本。 例如,Windows 10 或 Ubuntu 20.04.1。 |
| os_platform | 裝置的作業系統。 |
| os_arch | 作業系統的架構。 例如: x86_64 。 |
| agent_type | 代理程式的類型 (Edge/獨立式)。 |
| agent_version | 代理程式的版本。 |
| nics | 網路介面控制器。 以下列出屬性的完整清單。 |
nics 屬性由下列項目組成;
| 參數 | 描述 |
|---|---|
| type | 下列其中一個值:UNKNOWN、ETH、WIFI、MOBILE 或 SATELLITE。 |
| vlans | 與網路介面相關聯的虛擬 LAN。 |
| vendor | 網路控制卡的廠商。 |
| 資訊 | IPS 以及與網路控制卡相關聯的 MAC。 其中包含下列欄位; - ipv4_address:IPv4 位址。 - ipv6_address:IPv6 位址。 - mac:MAC 位址。 |
基準 (觸發程式型收集器)
基準收集器會執行定期 CIS 檢查,並將失敗、通過和略過等檢查結果傳送至適用於 IoT 的 Defender 雲端服務。 適用於 IoT 的 Defender 會彙總結果,並根據任何失敗提供建議。
為每個事件收集的資料如下:
| 參數 | 描述 |
|---|---|
| 檢查識別碼 | 採用 CIS 格式。 例如: CIS-debian-9-Filesystem-1.1.2 。 |
| 檢查結果 | 可以是 Fail、Pass、Skip 或 Error。 例如,在無法執行檢查的情況下為 Error。 |
| 錯誤 | 錯誤的資訊和描述。 |
| 說明 | 從 CIS 檢查的描述。 |
| 補救 | 從 CIS 補救的建議。 |
| 嚴重性 | 嚴重性層級。 |
SBoM (觸發程序型收集器)
SBoM (軟體用料表) 收集器會定期收集在裝置上安裝的套件。
在每個套件上收集的資料包括:
| 參數 | 描述: |
|---|---|
| 名稱 | 封裝名稱。 |
| 版本 | 封裝版本。 |
| 廠商 | 套件的廠商,即 deb 套件中的 [維護程式] 欄位。 |
周邊事件 (事件型收集器)
周邊事件收集器會收集 USB 和乙太網路事件的連線和中斷連線。
收集的欄位取決於事件類型:
USB 事件
| 參數 | 描述 |
|---|---|
| Timestamp | 發生事件的時間。 |
| ActionType | 事件為連線或中斷連線事件。 |
| bus_number | 特定控制器識別碼,每個 USB 裝置可以有數個。 |
| kernel_device_number | 裝置核心中的表示法,並非唯一的,且可以在每次裝置連線時表示。 |
| device_class | 指定裝置類別的識別碼。 |
| device_subclass | 指定裝置類型的識別碼。 |
| device_protocol | 指定裝置通訊協議的識別碼。 |
| interface_class | 如果裝置類別為 0,則表示裝置的類型。 |
| interface_subclass | 如果裝置類別為 0,則表示裝置的類型。 |
| interface_protocol | 如果裝置類別為 0,則表示裝置的類型。 |
乙太網路事件
| 參數 | 描述 |
|---|---|
| Timestamp | 發生事件的時間。 |
| ActionType | 事件為連線或中斷連線事件。 |
| bus_number | 特定控制器識別碼,每個 USB 裝置可以有數個。 |
| 介面名稱 | 介面名稱。 |
檔案系統事件 (事件型收集器)
每當監看目錄下有變更時,檔系統事件收集器就會收集事件:建立、刪除、移動和修改目錄和檔案。 若要定義您要監視的目錄和檔案,請參閱系統資訊收集器特定設定。
會收集下列資料:
| 參數 | 描述 |
|---|---|
| Timestamp | 發生事件的時間。 |
| 遮罩 | Linux inotify mask 與檔案系統事件相關,遮罩會識別動作的類型,且可以是下列其中一項:Access/Modified/Metadata changed/Closed/Opened/Moved/Created/Deleted。 |
| 路徑 | 產生事件的目錄/檔案路徑。 |
| Hitcount | 彙總此事件的次數。 |
統計資料 (觸發程序型收集器)
統計資料收集器會針對不同的微代理程式收集器產生各種統計資料。 這些統計資料提供上一個收集週期中收集器效能的相關資訊。 可能的統計資料範例包括成功傳送的事件數目,以及已卸除的事件數目,以及失敗的原因。
收集的欄位:
| 參數 | 描述 |
|---|---|
| Timestamp | 發生事件的時間。 |
| 名稱 | 收集器的名稱。 |
| 事件 | 一組格式化為 JSON 的陣列,其中包含描述和叫用計數。 |
| 說明 | 訊息是否已傳送/卸除,以及卸除的原因。 |
| Hitcount | 個別訊息的數目。 |
程序和網路收集器的事件彙總
適用於 IoT 的 Defender 代理程式會在每個收集器的訊息頻率設定中定義的傳送間隔期間彙總事件,例如 Process_MessageFrequency 或 NetworkActivity_MessageFrequency。 傳送間隔期間結束後,代理程式就會將彙總的事件傳送至 Azure 雲端,以進行進一步分析。 彙總的事件會儲存在記憶體中,直到傳送至 Azure 雲端為止。
如果代理程式收集到的事件類似於已儲存在記憶體中的事件,代理程式將會增加該事件的叫用次數,以降低代理程式的記憶體使用量。 當彙總時間範圍結束時,代理程式會傳送發生的各種事件的叫用次數。 事件彙總是類似事件叫用計數的彙總。 例如,具有相同遠端主機、且位於相同連接埠上的網路活動,將會彙總為一個事件,而不是每個封包的個別事件。
注意
根據預設,微代理程式會將記錄和遙測傳送至雲端,以供疑難排解和監視之用。 您可以透過對應項來設定或關閉此行為。
下一步
如需詳細資訊,請參閱