Výstrahy zabezpečení mikro agenta
Defender pro IoT průběžně analyzuje vaše řešení IoT pomocí pokročilých analýz a analýzy hrozeb, aby vás upozornil na škodlivou aktivitu. Kromě toho můžete vytvářet vlastní výstrahy na základě vašich znalostí o očekávaném chování zařízení. Výstraha funguje jako indikátor potenciálního ohrožení zabezpečení a měla by být vyšetřována a odstraněna.
Poznámka:
Defender for IoT plánuje vyřadit mikro agenta 1. srpna 2025.
V tomto článku najdete seznam předdefinovaných upozornění, která se dají aktivovat na vašich zařízeních IoT.
Výstrahy zabezpečení
Vysoká závažnost
| Název | Závažnost | Zdroj dat | Popis | Navrhované kroky nápravy | Typ upozornění |
|---|---|---|---|---|---|
| Binární příkazový řádek | Vysoká | Defender-IoT-micro-agent | Byl zjištěn binární soubor LA Linux, který se volá nebo spouští z příkazového řádku. Tento proces může být legitimní aktivitou nebo indikací, že je vaše zařízení ohroženo. | Zkontrolujte příkaz s uživatelem, který ho spustil, a zkontrolujte, jestli se na zařízení neočekává, jestli se jedná o něco legitimního. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_BinaryCommandLine |
| Zakázání brány firewall | Vysoká | Defender-IoT-micro-agent | Možná manipulace s bránou firewall na hostiteli byla zjištěna. Aktéři se zlými úmysly často zakážou bránu firewall na hostiteli při pokusu o exfiltraci dat. | Zkontrolujte uživatele, který spustil příkaz, a ověřte, jestli se jedná o legitimní očekávanou aktivitu na zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_DisableFirewall |
| Detekce přesměrování portů | Vysoká | Defender-IoT-micro-agent | Byla zjištěna inicializace přesměrování portů na externí IP adresu. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_PortForwarding |
| Možné pokusy o zakázání zjištěného protokolování auditování | Vysoká | Defender-IoT-micro-agent | Systém Auditd linuxu poskytuje způsob, jak sledovat informace související se zabezpečením v systému. Systém zaznamenává co nejvíce informací o událostech, které se v systému děje. Tyto informace jsou zásadní pro klíčové prostředí k určení, kdo porušil zásady zabezpečení a akce, které provedly. Zakázání protokolování auditování může bránit vaší schopnosti zjišťovat porušení zásad zabezpečení používaných v systému. | Obraťte se na vlastníka zařízení, jestli se jedná o legitimní aktivitu z obchodních důvodů. Pokud ne, tato událost může skrýt aktivitu škodlivých herců. Okamžitě eskaloval incident týmu zabezpečení informací. | IoT_DisableAuditdLogging |
| Obrácené prostředí | Vysoká | Defender-IoT-micro-agent | Analýza hostitelských dat na zařízení zjistila potenciální reverzní prostředí. Reverzní prostředí se často používají k získání ohroženého počítače pro volání zpět do počítače řízeného škodlivým aktérem. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_ReverseShell |
| Úspěšné místní přihlášení | Vysoká | Defender-IoT-micro-agent | Bylo zjištěno úspěšné místní přihlášení k zařízení. | Ujistěte se, že přihlášený uživatel je autorizovanou stranou. | IoT_SucessfulLocalLogin |
| Webové prostředí | Vysoká | Defender-IoT-micro-agent | Zjistilo se možné webové prostředí. Aktéři se zlými úmysly obvykle nahrávají webové prostředí do ohroženého počítače, aby získali trvalost nebo další zneužití. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_WebShell |
| Chování podobné ransomwaru zjištěnému | Vysoká | Defender-IoT-micro-agent | Spuštění souborů podobných známému ransomwaru, které může uživatelům zabránit v přístupu ke svému systému nebo osobním souborům a může požadovat platbu výkupného, aby znovu získali přístup. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_Ransomware |
| Obrázek mineru kryptografických mincí | Vysoká | Defender-IoT-micro-agent | Bylo zjištěno provádění procesu spojeného s dolováním digitální měny. | Ověřte u uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_CryptoMiner |
| Nové připojení USB | Vysoká | Defender-IoT-micro-agent | Bylo zjištěno připojení zařízení USB. To může znamenat škodlivou aktivitu. | Ověřte, že se jedná o legitimní očekávanou aktivitu na hostiteli. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_USBConnection |
| Odpojení USB | Vysoká | Defender-IoT-micro-agent | Zjistilo se odpojení zařízení USB. To může znamenat škodlivou aktivitu. | Ověřte, že se jedná o legitimní očekávanou aktivitu na hostiteli. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_UsbDisconnection |
| Nové ethernetové připojení | Vysoká | Defender-IoT-micro-agent | Bylo zjištěno nové ethernetové připojení. To může znamenat škodlivou aktivitu. | Ověřte, že se jedná o legitimní očekávanou aktivitu na hostiteli. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_EthernetConnection |
| Odpojení sítě Ethernet | Vysoká | Defender-IoT-micro-agent | Zjistilo se nové odpojení sítě Ethernet. To může znamenat škodlivou aktivitu. | Ověřte, že se jedná o legitimní očekávanou aktivitu na hostiteli. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_EthernetDisconnection |
| Vytvořen nový soubor | Vysoká | Defender-IoT-micro-agent | Byl zjištěn nový soubor. To může znamenat škodlivou aktivitu. | Ověřte, že se jedná o legitimní očekávanou aktivitu na hostiteli. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_FileCreated |
| Změněný soubor | Vysoká | Defender-IoT-micro-agent | Byla zjištěna úprava souboru. To může znamenat škodlivou aktivitu. | Ověřte, že se jedná o legitimní očekávanou aktivitu na hostiteli. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_FileModified |
| Odstraněný soubor | Vysoká | Defender-IoT-micro-agent | Bylo zjištěno odstranění souboru. To může znamenat škodlivou aktivitu. | Ověřte, že se jedná o legitimní očekávanou aktivitu na hostiteli. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_FileDeleted |
Střední závažnost
| Název | Závažnost | Zdroj dat | Popis | Navrhované kroky nápravy | Typ upozornění |
|---|---|---|---|---|---|
| Chování podobné běžnému linuxovém robotovi se zjistilo | Střední | Defender-IoT-micro-agent | Spuštění procesu obvykle spojeného s běžnými zjištěnými linuxovými botnety. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_CommonBots |
| Zjistilo se chování podobné ransomwaru Fairware | Střední | Defender-IoT-micro-agent | Provádění příkazů rm -rf použitých na podezřelá umístění zjištěná pomocí analýzy hostitelských dat. Vzhledem k tomu, že rm -rf rekurzivně odstraní soubory, obvykle se používá pouze u diskrétních složek. V tomto případě se používá v umístění, které by mohlo odebrat velké množství dat. Fairware ransomware je známo, že v této složce spouští příkazy rm -rf. | Zkontrolujte uživatele, který spustil příkaz, že se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_FairwareMalware |
| Zjistila se image kontejneru mineru kryptografických mincí | Střední | Defender-IoT-micro-agent | Kontejner rozpoznává spuštění známých obrázků dolování digitálních měn. | 1. Pokud toto chování není zamýšlené, odstraňte příslušnou image kontejneru. 2. Ujistěte se, že démon Dockeru není přístupný prostřednictvím nebezpečného soketu TCP. 3. Eskalujte výstrahu týmu zabezpečení informací. |
IoT_CryptoMinerContainer |
| Zjištění podezřelého použití příkazu nohup | Střední | Defender-IoT-micro-agent | Podezřelé použití příkazu nohup na zjištěném hostiteli. Aktéři se zlými úmysly obvykle spouští příkaz nohup z dočasného adresáře, což umožňuje jejich spustitelným souborům běžet na pozadí. Zobrazení tohoto příkazu spuštěného u souborů umístěných v dočasném adresáři není očekávané nebo obvyklé chování. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_SuspiciousNohup |
| Zjištění podezřelého použití příkazu useradd | Střední | Defender-IoT-micro-agent | Podezřelé použití příkazu useradd zjištěného v zařízení. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_SuspiciousUseradd |
| Zveřejnění démona Dockeru pomocí soketu TCP | Střední | Defender-IoT-micro-agent | Protokoly počítačů označují, že proces démon Dockeru (dockerd) zveřejňuje soket TCP. Ve výchozím nastavení konfigurace Dockeru nepoužívá šifrování ani ověřování, pokud je povolený soket TCP. Výchozí konfigurace Dockeru umožňuje úplný přístup k procesu démona Dockeru, a to kýmkoli, kdo má přístup k příslušnému portu. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_ExposedDocker |
| Místní přihlášení se nezdařilo. | Střední | Defender-IoT-micro-agent | Zjistil se neúspěšný místní pokus o přihlášení k zařízení. | Ujistěte se, že k zařízení nemá fyzický přístup žádná neoprávněná strana. | IoT_FailedLocalLogin |
| Zjištěný soubor ke stažení ze škodlivého zdroje | Střední | Defender-IoT-micro-agent | Stažení souboru ze známého zdroje malwaru bylo zjištěno. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_PossibleMalware |
| Zjištěn přístup k souboru htaccess | Střední | Defender-IoT-micro-agent | Analýza hostitelských dat zjistila možnou manipulaci se souborem htaccess. Htaccess je výkonný konfigurační soubor, který umožňuje provádět více změn webového serveru se softwarem Apache Web, včetně základních funkcí přesměrování a pokročilejších funkcí, jako je základní ochrana heslem. Aktéři se zlými úmysly často upravují soubory htaccess na ohrožených počítačích, aby získali trvalost. | Ověřte, že se jedná o legitimní očekávanou aktivitu na hostiteli. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_AccessingHtaccessFile |
| Známý nástroj pro útok | Střední | Defender-IoT-micro-agent | Byl zjištěn nástroj často spojený se zlými uživateli, kteří napadnou jiné počítače nějakým způsobem. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_KnownAttackTools |
| Zjištění rekognoskace místního hostitele | Střední | Defender-IoT-micro-agent | Spuštění příkazu obvykle spojeného s běžnou rekognoskací linuxového robota se zjistilo. | Zkontrolujte podezřelý příkazový řádek a ověřte, že ho provedl legitimní uživatel. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_LinuxReconnaissance |
| Neshoda mezi interpretem skriptu a příponou souboru | Střední | Defender-IoT-micro-agent | Neshoda mezi interpretem skriptu a příponou souboru skriptu poskytnutého při zjištění vstupu. Tento typ neshody se běžně přidruží ke spouštění skriptů útočníka. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_ScriptInterpreterMismatch |
| Možné zjištění zadního vrátka | Střední | Defender-IoT-micro-agent | Podezřelý soubor se stáhl a pak spustil na hostiteli ve vašem předplatném. Tento typ aktivity je běžně přidružený k instalaci zadního vrátka. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_LinuxBackdoor |
| Možná ztráta zjištěných dat | Střední | Defender-IoT-micro-agent | Možná podmínka výchozího přenosu dat byla zjištěna pomocí analýzy hostitelských dat. Aktéři se zlými úmysly často odsunou data z ohrožených počítačů. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_EgressData |
| Zjištěný privilegovaný kontejner | Střední | Defender-IoT-micro-agent | Protokoly počítačů označují, že je spuštěný privilegovaný kontejner Dockeru. Privilegovaný kontejner má úplný přístup k hostitelským prostředkům. V případě ohrožení zabezpečení může objekt actor se zlými úmysly použít privilegovaný kontejner k získání přístupu k hostitelskému počítači. | Pokud kontejner nemusí běžet v privilegovaném režimu, odeberte z kontejneru oprávnění. | IoT_PrivilegedContainer |
| Odebrání zjištěných souborů systémových protokolů | Střední | Defender-IoT-micro-agent | Zjistilo se podezřelé odebrání souborů protokolu na hostiteli. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_RemovelOfSystemLogs |
| Mezera za názvem souboru | Střední | Defender-IoT-micro-agent | Spuštění procesu s podezřelým rozšířením detekovaným pomocí analýzy hostitelských dat Podezřelá rozšíření můžou uživatele oklamat, že soubory jsou bezpečné otevřít a mohou indikovat přítomnost malwaru v systému. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_ExecuteFileWithTrailingSpace |
| Zjištěné nástroje běžně používané pro přístup ke škodlivým přihlašovacím údajům | Střední | Defender-IoT-micro-agent | Detekce použití nástroje běžně spojeného se škodlivými pokusy o přístup k přihlašovacím údajům | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_CredentialAccessTools |
| Zjištěná podezřelá kompilace | Střední | Defender-IoT-micro-agent | Byla zjištěna podezřelá kompilace. Aktéři se zlými úmysly často kompilují zneužití na ohroženém počítači za účelem eskalace oprávnění. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_SuspiciousCompilation |
| Podezřelé stahování souborů následované aktivitou spuštění souboru | Střední | Defender-IoT-micro-agent | Analýza dat hostitele zjistila soubor, který byl stažen a spuštěn ve stejném příkazu. Tuto techniku běžně používají aktéři se zlými úmysly k získání napadených souborů na počítače obětí. | Zkontrolujte uživatele, který spustil příkaz, pokud se jedná o legitimní aktivitu, kterou očekáváte, že se na zařízení zobrazí. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_DownloadFileThenRun |
| Podezřelá komunikace s IP adresou | Střední | Defender-IoT-micro-agent | Byla zjištěna komunikace s podezřelou IP adresou. | Ověřte, jestli je připojení legitimní. Zvažte blokování komunikace s podezřelou IP adresou. | IoT_TiConnection |
| Žádost o název škodlivé domény | Střední | Defender-IoT-micro-agent | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojena s útokem, který využívá metodu používanou známým malwarem. | Odpojte zdroj od sítě. Provedení reakce na incidenty | IoT_MaliciousNameQueriesDetection |
Nízká závažnost
| Název | Závažnost | Zdroj dat | Popis | Navrhované kroky nápravy | Typ upozornění |
|---|---|---|---|---|---|
| Vymazání historie bashe | Nízká | Defender-IoT-micro-agent | Protokol historie Bash se vymaže. Aktéři se zlými úmysly obvykle vymažou historii Bash, aby se v protokolech zobrazovaly vlastní příkazy. | Zkontrolujte uživatele, který spustil příkaz, který aktivita v této výstraze spustil, a zjistěte, jestli ji rozpoznáte jako legitimní aktivitu správy. Pokud ne, eskalujte výstrahu týmu zabezpečení informací. | IoT_ClearHistoryFile |
Další kroky
- Přehled služby Defender for IoT