Comparteix a través de


Alertas de seguridad del microagente

Defender para IoT analiza continuamente la solución de IoT mediante análisis avanzados e inteligencia de amenazas para alertarle de cualquier actividad malintencionada. Además, puede crear alertas personalizadas según su conocimiento del comportamiento esperado del dispositivo. Una alerta sirve como indicador de un posible peligro, y debe investigarse y corregirse.

Nota:

Defender para IoT planea retirar el microagente el 1 de agosto de 2025.

En este artículo encontrará una lista de alertas integradas que pueden activarse en dispositivos IoT.

Alertas de seguridad

Gravedad alta

Nombre severity Origen de datos Descripción Pasos de la corrección sugerida Tipo de alerta
Binary Command Line (Línea de comandos de binario) Alto Defender-IoT-micro-agent Se detectó una llamada a un binario de LA Linux o la ejecución de dicho binario desde la línea de comandos. Este proceso puede ser una actividad permitida o un indicio de que el dispositivo está en peligro. Revise el comando con el usuario que lo ejecutó y compruebe si es algo que se espera que se ejecute de forma legítima en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_BinaryCommandLine
Disable firewall (Deshabilitar firewall) Alto Defender-IoT-micro-agent Se ha detectado una posible manipulación del firewall de host. Los actores malintencionados suelen deshabilitar el firewall en el host para intentar el filtrado de datos. Revise con el usuario que ejecutó el comando para confirmar si se trataba de una actividad legítima esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_DisableFirewall
Port forwarding detection (Detección de enrutamiento de puerto) Alto Defender-IoT-micro-agent Se ha detectado la iniciación de un enrutamiento de puerto a una dirección IP externa. Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_PortForwarding
Possible attempt to disable Auditd logging detected (Detección de posible intento de deshabilitar el registro de Auditd) Alto Defender-IoT-micro-agent El sistema Linux Auditd proporciona una manera de hacer un seguimiento de información relacionada con la seguridad en el sistema. El sistema registra tanta información como sea posible sobre los eventos que se producen en el sistema. Esta información es fundamental para que los entornos de misión crítica puedan descubrir al infractor de la directiva de seguridad y las acciones que ha llevado a cabo. Si deshabilita los registros de Auditd puede impedir la capacidad de detectar infracciones de las directivas de seguridad usadas en el sistema. Compruebe con el propietario del dispositivo si se trataba de una actividad legítima con razones empresariales. Si no es así, es posible que este evento esté ocultando la actividad de actores malintencionados. Escale inmediatamente el incidente al equipo de seguridad de la información. IoT_DisableAuditdLogging
Reverse shells (Shells inversos) Alto Defender-IoT-micro-agent Un análisis de los datos del host en un dispositivo detectó el uso de un shell inverso posible. Los shells inversos se suelen usar para obtener una máquina en peligro para volver a llamar a una máquina controlada por un actor malintencionado. Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_ReverseShell
Successful local login (Inicio de sesión local correcto) Alto Defender-IoT-micro-agent Se ha detectado un inicio de sesión local correcto en el dispositivo. Asegúrese de que el usuario que ha iniciado sesión es una entidad autorizada. IoT_SucessfulLocalLogin
Web shell (Shell web) Alto Defender-IoT-micro-agent Se ha detectado un posible shell web. Normalmente, los actores malintencionados cargan un shell web en una máquina en peligro para obtener persistencia o para aprovechar mejor sus puntos vulnerables. Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_WebShell
Behavior similar to ransomware detected (Detección de comportamiento similar a ransomware) Alto Defender-IoT-micro-agent Ejecución de archivos similares a ransomware conocido que puede impedir que los usuarios accedan al sistema o a archivos personales, y puede solicitar el pago de un rescate para recuperar el acceso. Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_Ransomware
Crypto coin miner image (Imagen de minería de criptomoneda) Alto Defender-IoT-micro-agent Se detectó la ejecución de un proceso que normalmente se asocia con la minería de datos de monedas digitales. Verifique con el usuario que ejecutó el comando si se trataba de una actividad legítima en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_CryptoMiner
Nueva conexión USB Alto Defender-IoT-micro-agent Se detectó una conexión de dispositivo USB. Esto puede indicar actividad malintencionada. Confirme que se trata de una actividad legítima esperada en el host. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_USBConnection
Desconexión de USB Alto Defender-IoT-micro-agent Se detectó una desconexión de dispositivos USB. Esto puede indicar actividad malintencionada. Confirme que se trata de una actividad legítima esperada en el host. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_UsbDisconnection
Nueva conexión de Ethernet Alto Defender-IoT-micro-agent Se detectó una nueva conexión de Ethernet. Esto puede indicar actividad malintencionada. Confirme que se trata de una actividad legítima esperada en el host. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_EthernetConnection
Desconexión de Ethernet Alto Defender-IoT-micro-agent Se detectó una nueva desconexión de Ethernet. Esto puede indicar actividad malintencionada. Confirme que se trata de una actividad legítima esperada en el host. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_EthernetDisconnection
Nuevo archivo creado Alto Defender-IoT-micro-agent Se detectó un nuevo archivo. Esto puede indicar actividad malintencionada. Confirme que se trata de una actividad legítima esperada en el host. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_FileCreated
Archivo modificado Alto Defender-IoT-micro-agent Se ha detectado una modificación en el archivo. Esto puede indicar actividad malintencionada. Confirme que se trata de una actividad legítima esperada en el host. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_FileModified
Archivo eliminado Alto Defender-IoT-micro-agent Se ha detectado una eliminación de archivos. Esto puede indicar actividad malintencionada. Confirme que se trata de una actividad legítima esperada en el host. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_FileDeleted

Gravedad media

Nombre severity Origen de datos Descripción Pasos de la corrección sugerida Tipo de alerta
Behavior similar to common Linux bots detected (Detección de comportamiento similar a bots comunes de Linux) Media Defender-IoT-micro-agent Se ha detectado la ejecución de un proceso que normalmente se asocia con botnets comunes de Linux. Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_CommonBots
Behavior similar to Fairware ransomware detected (Detección de comportamiento similar a ransomware Fairware) Media Defender-IoT-micro-agent Se detectó la ejecución de comandos rm -rf aplicados a ubicaciones sospechosas mediante el análisis de los datos del host. Dado que rm -rf elimina archivos de manera recursiva, normalmente solo se usa en carpetas independientes. En este caso, se usa en una ubicación que podría quitar una gran cantidad de datos. El ransomware Fairware es conocido por ejecutar comandos de rm -rf en esta carpeta. Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_FairwareMalware
Crypto coin miner container image detected (Se ha detectado una imagen de contenedor de minería de criptomoneda) Media Defender-IoT-micro-agent Contenedor que detecta la ejecución de imágenes de minería de moneda digital conocidas. 1. Si este comportamiento no es el previsto, elimine la imagen de contenedor pertinente.
2. Asegúrese de que el demonio de Docker no es accesible a través de un socket TCP no seguro.
3. Escale la alerta al equipo de seguridad de la información.
IoT_CryptoMinerContainer
Detected suspicious use of the nohup command (Detección de uso sospechoso del comando nohup) Media Defender-IoT-micro-agent Se ha detectado el uso sospechoso del comando nohup en el host. Los actores malintencionados suelen ejecutar el comando nohup desde un directorio temporal, lo que permite que sus ejecutables se ejecuten en segundo plano. La ejecución de este comando en archivos ubicados en un directorio temporal no es lo esperado ni un comportamiento normal. Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_SuspiciousNohup
Detected suspicious use of the useradd command (Detección de uso sospechoso del comando useradd) Media Defender-IoT-micro-agent Se ha detectado el uso sospechoso del comando useradd en el dispositivo. Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_SuspiciousUseradd
Exposed Docker daemon by TCP socket (Demonio de Docker expuesto por socket TCP) Media Defender-IoT-micro-agent Los registros de la máquina indican que el demonio de Docker (dockerd) expone un socket TCP. De manera predeterminada, la configuración de Docker no usa cifrado ni autenticación cuando un socket TCP está habilitado. La configuración de Docker predeterminada permite el acceso total al demonio de Docker a cualquier persona con acceso al puerto pertinente. Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_ExposedDocker
Failed local login (Inicio de sesión local con error) Media Defender-IoT-micro-agent Se ha detectado un intento de inicio de sesión local con errores en el dispositivo. Asegúrese de que ninguna persona no autorizada tenga acceso físico al dispositivo. IoT_FailedLocalLogin
Se detectó una descarga de archivos desde un origen malintencionado. Media Defender-IoT-micro-agent Se detectó la descarga de un archivo desde un origen de malware conocido. Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_PossibleMalware
htaccess file access detected (Se ha detectado un acceso a un archivo htaccess) Media Defender-IoT-micro-agent El análisis de los datos del host ha detectado una posible manipulación de un archivo htaccess. Htaccess es un archivo de configuración eficaz que le permite hacer varios cambios en un servidor web que ejecuta software web Apache, incluida la funcionalidad básica de redireccionamiento, y funciones más avanzadas, como la protección de contraseña básica. A menudo, los actores malintencionados modificarán los archivos htaccess en máquinas en peligro a fin de lograr persistencia. Confirme que se trata de una actividad legítima esperada en el host. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_AccessingHtaccessFile
Known attack tool (Herramienta de ataque conocida) Media Defender-IoT-micro-agent Se ha detectado una herramienta a menudo asociada con usuarios malintencionados que atacan otros equipos de alguna manera. Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_KnownAttackTools
Local host reconnaissance detected (Detección de reconocimiento de host local) Media Defender-IoT-micro-agent Se detectó la ejecución de un comando que normalmente se asocia con el reconocimiento de bots comunes de Linux. Revise la línea de comandos sospechosa para confirmar que lo ejecutó un usuario legítimo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_LinuxReconnaissance
Mismatch between script interpreter and file extension (Error de coincidencia entre el intérprete del script y la extensión del archivo) Media Defender-IoT-micro-agent Se ha detectado un error de coincidencia entre el intérprete del script y la extensión del archivo de script proporcionado como entrada. Este tipo de discrepancia normalmente se asocia con las ejecuciones de scripts de un atacante. Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_ScriptInterpreterMismatch
Possible backdoor detected (Detección de posible puerta trasera) Media Defender-IoT-micro-agent Se descargó un archivo sospechoso y luego se ejecutó en un host de su suscripción. Este tipo de actividad se asocia normalmente con la instalación de una puerta trasera. Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_LinuxBackdoor
Se detectó una posible pérdida de datos. Media Defender-IoT-micro-agent Posible condición de salida de datos detectada mediante el análisis de los datos del host. A menudo, los actores malintencionados extraen datos de máquinas en peligro. Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_EgressData
Privileged container detected (Detección de contenedor con privilegios) Media Defender-IoT-micro-agent Los registros de la máquina indican que se está ejecutando un contenedor de Docker con privilegios. Un contenedor con privilegios tiene acceso total a los recursos del host. Si se pone en peligro, un actor malintencionado puede usar el contenedor con privilegios para acceder a la máquina host. Si el contenedor no necesita ejecutarse en modo con privilegios, quite los privilegios del contenedor. IoT_PrivilegedContainer
Removal of system logs files detected (Detección de eliminación de archivos de registro del sistema) Media Defender-IoT-micro-agent Se ha detectado la eliminación sospechosa de archivos del registro en el host. Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_RemovelOfSystemLogs
Space after filename (Espacio luego de nombre de archivo) Media Defender-IoT-micro-agent Se detectó la ejecución de un proceso con una extensión sospechosa mediante el análisis de los datos del host. Las extensiones sospechosas pueden engañar a los usuarios para que piensen que es seguro abrir los archivos y pueden indicar la presencia de malware en el sistema. Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_ExecuteFileWithTrailingSpace
Tools commonly used for malicious credentials access detected (Se han detectado herramientas que se suelen utilizar para el acceso malintencionado a credenciales) Media Defender-IoT-micro-agent Se ha detectado el uso de una herramienta que habitualmente se asocia con intentos malintencionados de acceso a las credenciales. Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_CredentialAccessTools
Suspicious compilation detected (Detección de compilación sospechosa) Media Defender-IoT-micro-agent Se ha detectado una compilación sospechosa. A menudo, los actores malintencionados compilan vulnerabilidades de seguridad en una máquina en peligro a fin de elevar los privilegios. Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_SuspiciousCompilation
Suspicious file download followed by file run activity (Descarga de archivo sospechosa seguida de una actividad de ejecución de archivo) Media Defender-IoT-micro-agent El análisis de los datos del host detectó la descarga y ejecución de un archivo en el mismo comando. Los actores malintencionados suelen usar esta técnica para obtener archivos infectados en equipos víctimas. Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_DownloadFileThenRun
Suspicious IP address communication (Comunicación con dirección IP sospechosa) Media Defender-IoT-micro-agent Se ha detectado una comunicación con una dirección IP sospechosa. Compruebe si la conexión es legítima. Considere la posibilidad de bloquear la comunicación con la dirección IP sospechosa. IoT_TiConnection
Solicitud de nombre de dominio malintencionado Media Defender-IoT-micro-agent Se ha detectado actividad sospechosa en la red. Esta actividad puede estar asociada con un ataque que aproveche un método usado por malware conocido. Desconecte el origen de la red. Realice respuesta a incidentes. IoT_MaliciousNameQueriesDetection

Low severity

Nombre severity Origen de datos Descripción Pasos de la corrección sugerida Tipo de alerta
Bash history cleared (Historial de Bash borrado) Bajo Defender-IoT-micro-agent El registro del historial de Bash se ha borrado. Los actores malintencionados suelen borrar el historial de Bash para ocultar sus propios comandos para que no aparezcan en los registros. Revise con el usuario que ejecutó el comando la actividad de esta alerta para ver si usted la reconoce como actividad administrativa legítima. Si no es así, escale la alerta al equipo de seguridad de la información. IoT_ClearHistoryFile

Pasos siguientes