Comparteix a través de


Recopilación de eventos de microagente

Los agentes de seguridad de Defender para IoT recopilan datos y eventos del sistema del dispositivo local y los envían a la nube de Azure para su procesamiento.

Nota:

Defender para IoT planea retirar el microagente el 1 de agosto de 2025.

Si ha configurado y conectado un área de trabajo de Log Analytics, verá estos eventos en Log Analytics. Para más información, consulte Tutorial: Investigación de alertas de seguridad.

El microagente de Defender para IoT recopila muchos tipos de eventos de dispositivo, incluidos los nuevos procesos y todos los nuevos eventos de conexión. Tanto el nuevo proceso como los nuevos eventos de conexión pueden producirse con frecuencia en un dispositivo. Esta capacidad es importante para proporcionar una seguridad completa; sin embargo, el número de mensajes que envían los agentes de seguridad puede alcanzar rápidamente, o incluso superar, los límites de cuota y costo de IoT Hub. Estos mensajes y eventos contienen información de seguridad muy valiosa que es crucial para proteger el dispositivo.

Para reducir el número de mensajes y los costos al mismo tiempo que se mantiene la seguridad del dispositivo, los agentes de Defender para IoT agregan los siguientes tipos de eventos:

  • Eventos de proceso (solo Linux)

  • Eventos de actividad de red

  • Eventos del sistema de archivos

  • Eventos de estadísticas

Para obtener más información, consulte agregación de eventos para recopiladores de procesos y redes.

Los recopiladores basados en eventos son recopiladores que se desencadenan en función de la actividad correspondiente en el dispositivo. Por ejemplo, a process was started in the device.

Los recopiladores basados en desencadenados son recopiladores que se desencadenan de forma programada en función de las configuraciones del cliente.

Procesar eventos (recopilador basado en eventos)

Los eventos de proceso se admiten en los sistemas operativos Linux.

Los eventos de proceso se consideran idénticos cuando la línea de comandos y el identificador de usuario son idénticos.

El búfer predeterminado para los eventos de proceso es de 256 procesos. Cuando se alcanza este límite, el búfer vuelve a comenzar el ciclo y el evento más antiguo se descarta para dar paso al evento procesado más reciente. Se registrará una advertencia para aumentar el tamaño de la caché.

Los datos recopilados para cada evento:

Parámetro Descripción
Timestamp La primera vez que se observó el proceso.
process_id El PID de Linux.
parent_process_id El PID principal de Linux, si existe.
Commandline Línea de comandos.
Tipo Puede ser fork o exec.
hit_count El recuento agregado. El número de ejecuciones del mismo proceso, durante el mismo período de tiempo, hasta que los eventos se envían a la nube.

Eventos de actividad de red (recopilador basado en eventos)

Los eventos de actividad de red se consideran idénticos cuando el puerto local, el puerto remoto, el protocolo de transporte, la dirección local y la dirección remota son idénticos.

El búfer predeterminado para los eventos de actividad de red es 256. En situaciones en las que la caché está llena:

  • Dispositivos de Eclipse ThreadX: no se almacenará en la caché ningún evento de red nuevo hasta el siguiente ciclo de recopilación.

  • Dispositivos Linux: el evento más antiguo se reemplazará por cada nuevo evento. Se registrará una advertencia para aumentar el tamaño de la caché.

En dispositivos Linux, solo se admite IPv4.

Los datos recopilados para cada evento:

Parámetro Descripción
Dirección local La dirección de origen de la conexión.
Dirección remota La dirección de destino de la conexión.
Puerto local El puerto de origen de la conexión.
Puerto remoto El puerto de destino de la conexión.
Bytes de entrada Los bytes de recepción totales agregados de la conexión.
Bytes de salida El bytes de transmisión totales agregados de la conexión.
Protocolo de transporte Puede ser TCP, UDP, or ICMP.
Protocolo de aplicación El protocolo de aplicación asociado a la conexión.
Propiedades extendidas Detalles adicionales de la conexión. Por ejemplo, host name.
Número de llamadas Recuento de paquetes observados

Recopilador de inicio de sesión (recopilador basado en eventos)

El recopilador de registros recopila los inicios de sesión de los usuarios, los cierres de sesión de los usuarios y los intentos de inicio de sesión con errores.

El recopilador de inicios de sesión admite los siguientes tipos de métodos de recopilación:

  • UTMP y SYSLOG. UTMP detecta eventos interactivos SSH, eventos telnet e inicios de sesión de terminal, así como todos los eventos de inicio de sesión con errores de SSH, telnet y terminal. Si SYSLOG se habilita en el dispositivo, el recopilador de inicios de sesión recopila eventos de inicio de sesión SSH a través del archivo SYSLOG denominado auth.log.

  • Módulos de autenticación conectables (PAM). Recopila eventos SSH, telnet y de inicio de sesión local. Para obtener más información, consulte Configuración de módulos de autenticación conectables (PAM) para auditar eventos de inicio de sesión.

Se pueden recopilar los siguientes datos:

Parámetro Descripción
operation Uno de los siguientes: Login, Logout, LoginFailed
process_id El PID de Linux.
user_name El usuario de Linux.
executable El dispositivo terminal. Por ejemplo, tty1..6 o pts/n.
remote_address Origen de la conexión, ya sea una dirección IP remota en formato IPv6 o IPv4, o 127.0.0.1/0.0.0.0 para indicar la conexión local.

Información del sistema (recopilador basado en desencadenador)

Los datos recopilados para cada evento:

Parámetro Descripción
hardware_vendor Nombre del proveedor del dispositivo.
hardware_model El número de modelo del dispositivo.
os_dist Distribución del sistema operativo. Por ejemplo, Linux.
os_version La versión del sistema operativo. Por ejemplo, Windows 10 o Ubuntu 20.04.1.
os_platform Sistema operativo del dispositivo.
os_arch La arquitectura del sistema operativo. Por ejemplo, x86_64.
agent_type Tipo del agente (Edge/Independiente).
agent_version Versión del agente.
nics El controlador de interfaz de red. A continuación se incluye la lista completa de propiedades.

Las propiedades nics están formadas por los siguientes elementos:

Parámetro Descripción
type Uno de los siguientes valores: UNKNOWN, ETH, WIFI, MOBILE, o SATELLITE.
vlans La red LAN virtual asociada a la interfaz de red.
vendor El proveedor de la controladora de red.
info Direcciones IP y MAC asociadas a la controladora de red. Esto incluye los campos siguientes:
- ipv4_address: la dirección IPv4.
- ipv6_address: la dirección IPv6.
- mac: la dirección MAC.

Línea base (recopilador basado en desencadenadores)

El recopilador de línea de base realiza comprobaciones periódicas de CIS y los resultados de comprobación suspende, aprueba y pasa se envían al servicio en la nube de Defender para IoT. Defender para IoT agrega los resultados y proporciona recomendaciones basadas en los errores.

Los datos recopilados para cada evento:

Parámetro Descripción
Check ID En formato CIS. Por ejemplo, CIS-debian-9-Filesystem-1.1.2.
Check result Puede ser Fail, Pass, Skip o Error. Por ejemplo, Error en una situación en la que no se puede ejecutar la comprobación.
Error La información y la descripción del error.
Descripción La descripción de la comprobación de CIS.
Corrección La corrección recomendada de CIS.
Gravedad Nivel de gravedad.

SBoM (recopilador basado en desencadenadores)

El recopilador de SBoM (lista de materiales de software) recopila periódicamente los paquetes instalados en el dispositivo.

Los datos recopilados en cada paquete incluyen:

Parámetro Descripción
Nombre Nombre del paquete.
Versión Versión del paquete.
Proveedor El proveedor del paquete, que es el campo Mantenedor en paquetes deb.

Eventos periféricos (recopilador basado en eventos)

El recopilador de eventos periféricos recopila conexiones y desconexiones de eventos USB y Ethernet.

Los campos recopilados dependen del tipo de evento:

Eventos USB

Parámetro Descripción
Timestamp Hora en que se produjo el evento.
ActionType Si el evento era un evento de conexión o desconexión.
bus_number Identificador de controlador específico, cada dispositivo USB puede tener varios.
kernel_device_number Representación en el kernel del dispositivo, no es única y es posible cada vez que el dispositivo está conectado.
device_class Identificador que especifica la clase de dispositivo.
device_subclass Identificador que especifica el tipo de dispositivo.
device_protocol Identificador que especifica el protocolo de dispositivo.
interface_class En caso de que la clase de dispositivo sea 0, indique el tipo de dispositivo.
interface_subclass En caso de que la clase de dispositivo sea 0, indique el tipo de dispositivo.
interface_protocol En caso de que la clase de dispositivo sea 0, indique el tipo de dispositivo.

Eventos Ethernet

Parámetro Descripción
Timestamp Hora en que se produjo el evento.
ActionType Si el evento era un evento de conexión o desconexión.
bus_number Identificador de controlador específico, cada dispositivo USB puede tener varios.
Nombre de la interfaz Nombre de la interfaz.

Eventos del sistema de archivos (recopilador basado en eventos)

El recopilador de eventos del sistema de archivos recopila eventos siempre que haya cambios en los directorios de inspección para: creación, eliminación, movimiento y modificación de directorios y archivos. Para definir qué directorios y archivos desea supervisar, consulte Configuración específica del recopilador de información del sistema.

Se pueden recopilar los siguientes datos:

Parámetro Descripción
Timestamp Hora en que se produjo el evento.
Mask Máscara de Linux inotify relacionada con el evento del sistema de archivos, la máscara identifica el tipo de la acción y puede ser una de las siguientes: Access/Modified/Metadata changed/Closed/Opened/Moved/Created/Deleted.
Path Ruta de acceso a directorios/archivos en la que se generó el evento.
Número de llamadas Número de veces que se agregó este evento.

Datos de estadísticas (recopilador basado en desencadenadores)

El recopilador de estadísticas genera varias estadísticas sobre los distintos recopiladores de microagentes. Estas estadísticas proporcionan información sobre el rendimiento de los recopiladores en el ciclo de recopilación anterior. Algunos ejemplos de estadísticas posibles incluyen el número de eventos que se enviaron correctamente y el número de eventos que se quitaron, junto con los motivos de los errores.

Campos recopilados:

Parámetro Descripción
Timestamp Hora en que se produjo el evento.
Nombre Nombre del recopilador.
Eventos Matriz de pares con formato JSON con descripción y número de llamadas.
Descripción Si el mensaje se envió o eliminó y el motivo de la eliminación.
Número de llamadas Número de mensajes correspondientes.

Agregación de eventos para recopiladores de procesos y redes

Cómo funciona la agregación de eventos para los Eventos de procesos y los eventos de actividad de red:

Los agentes de Defender para IoT agregan eventos durante el intervalo de envío definido en la configuración de frecuencia de mensaje para cada recopilador, como Process_MessageFrequency o NetworkActivity_MessageFrequency. Una vez transcurrido el período de intervalo, el agente envía los eventos agregados a la nube de Azure para su posterior análisis. Los eventos agregados se almacenan en memoria hasta que se envían a la nube de Azure.

Cuando el agente recopila eventos similares a otros que ya están guardados en la memoria, el agente aumenta el número de llamadas de este evento específico para reducir la superficie de memoria del agente. Cuando ha transcurrido el periodo de agregación, el agente envía el número de llamadas de cada tipo de evento que se ha producido. La agregación de eventos es la agregación de los recuentos de aciertos de eventos similares. Por ejemplo, la actividad de red con el mismo host remoto y en el mismo puerto se agrega como un evento, en lugar de como un evento independiente para cada paquete.

Nota

De forma predeterminada, el microagente envía registros y telemetría a la nube con fines de solución de problemas y supervisión. Este comportamiento se puede configurar o desactivar a través del gemelo.

Pasos siguientes

Para más información, consulte: