Upozornění zabezpečení mikro agentů
Defender for IoT průběžně analyzuje vaše řešení IoT pomocí pokročilých analýz a analýzy hrozeb, aby vás upozornil na škodlivou aktivitu. Kromě toho můžete vytvářet vlastní výstrahy na základě vašich znalostí očekávaného chování zařízení. Výstraha funguje jako indikátor potenciálního ohrožení zabezpečení a měla by být vyšetřena a napravena.
V tomto článku najdete seznam předdefinovaných upozornění, která se dají aktivovat na vašich zařízeních IoT.
Výstrahy zabezpečení
Vysoká závažnost
| Name | Závažnost | Zdroj dat | Popis | Navrhované kroky nápravy | Typ upozornění |
|---|---|---|---|---|---|
| Binární příkazový řádek | Vysoká | Defender-IoT-micro-agent | Byl zjištěn binární soubor LA Linuxu, který se volá nebo spouští z příkazového řádku. Tento proces může být legitimní aktivitou nebo indikací, že došlo k ohrožení zabezpečení vašeho zařízení. | Zkontrolujte příkaz s uživatelem, který ho spustil, a zkontrolujte, jestli se jedná o něco, co se na zařízení oprávněně očekává. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_BinaryCommandLine |
| Zakázat bránu firewall | Vysoká | Defender-IoT-micro-agent | Byla zjištěna možná manipulace s bránou firewall na hostiteli. Aktéři se zlými úmysly často zakazují bránu firewall na hostiteli při pokusu o exfiltraci dat. | Zkontrolujte u uživatele, který spustil příkaz, a ověřte, jestli se jedná o legitimní očekávanou aktivitu na zařízení. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_DisableFirewall |
| Detekce přesměrování portů | Vysoká | Defender-IoT-micro-agent | Bylo zjištěno zahájení přesměrování portů na externí IP adresu. | Zkontrolujte u uživatele, který příkaz spustil, jestli se jedná o legitimní aktivitu, kterou očekáváte na zařízení. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_PortForwarding |
| Byl zjištěn možný pokus o zakázání auditovaného protokolování. | Vysoká | Defender-IoT-micro-agent | Auditovaný systém Linux poskytuje způsob, jak v systému sledovat informace týkající se zabezpečení. Systém zaznamenává co nejvíce informací o událostech, které se v systému dějí. Tyto informace jsou klíčové pro kritická prostředí, aby bylo možné určit, kdo porušil zásady zabezpečení a akce, které provedli. Zakázání protokolování auditovaného může zabránit tomu, abyste mohli zjistit porušení zásad zabezpečení používaných v systému. | Ověřte u vlastníka zařízení, jestli se jedná o legitimní aktivitu z obchodních důvodů. Pokud ne, může tato událost skrývat aktivitu škodlivých herců. Incident okamžitě eskaloval vašemu týmu pro zabezpečení informací. | IoT_DisableAuditdLogging |
| Reverzní prostředí | Vysoká | Defender-IoT-micro-agent | Analýza dat hostitele na zařízení zjistila potenciální reverzní prostředí. Reverzní prostředí se často používají k získání ohroženého počítače, který volá zpět do počítače řízeného objektem se zlými úmysly. | Zkontrolujte u uživatele, který příkaz spustil, jestli se jedná o legitimní aktivitu, kterou očekáváte na zařízení. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_ReverseShell |
| Úspěšné místní přihlášení | Vysoká | Defender-IoT-micro-agent | Zjistilo se úspěšné místní přihlášení k zařízení. | Ujistěte se, že přihlášený uživatel je autorizovaným účastníkem. | IoT_SucessfulLocalLogin |
| Webové prostředí | Vysoká | Defender-IoT-micro-agent | Zjistilo se možné webové prostředí. Aktéři se zlými úmysly obvykle nahrávají webové prostředí do napadeného počítače, aby získali trvalost nebo pro další zneužití. | Zkontrolujte u uživatele, který příkaz spustil, jestli se jedná o legitimní aktivitu, kterou očekáváte na zařízení. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_WebShell |
| Chování podobné zjištěnému ransomwaru | Vysoká | Defender-IoT-micro-agent | Spouštění souborů podobných známému ransomwaru, které může uživatelům bránit v přístupu k jejich systému nebo osobním souborům a může požadovat platbu výkupného, aby znovu získali přístup. | Zkontrolujte u uživatele, který příkaz spustil, jestli se jedná o legitimní aktivitu, kterou očekáváte na zařízení. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_Ransomware |
| Obrázek mince kryptografických mincí | Vysoká | Defender-IoT-micro-agent | Bylo zjištěno provedení procesu obvykle spojeného s dolováním digitální měny. | Ověřte u uživatele, který příkaz spustil, jestli se jedná o legitimní aktivitu na zařízení. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_CryptoMiner |
| Nové připojení USB | Vysoká | Defender-IoT-micro-agent | Bylo zjištěno připojení zařízení USB. To může znamenat škodlivou aktivitu. | Ověřte, že se jedná o legitimní očekávanou aktivitu na hostiteli. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_USBConnection |
| Odpojení USB | Vysoká | Defender-IoT-micro-agent | Bylo zjištěno odpojení zařízení USB. To může znamenat škodlivou aktivitu. | Ověřte, že se jedná o legitimní očekávanou aktivitu na hostiteli. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_UsbDisconnection |
| Nové ethernetové připojení | Vysoká | Defender-IoT-micro-agent | Bylo zjištěno nové připojení k síti Ethernet. To může znamenat škodlivou aktivitu. | Ověřte, že se jedná o legitimní očekávanou aktivitu na hostiteli. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_EthernetConnection |
| Odpojení sítě Ethernet | Vysoká | Defender-IoT-micro-agent | Bylo zjištěno nové odpojení sítě Ethernet. To může znamenat škodlivou aktivitu. | Ověřte, že se jedná o legitimní očekávanou aktivitu na hostiteli. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_EthernetDisconnection |
| Nový soubor byl vytvořen. | Vysoká | Defender-IoT-micro-agent | Byl zjištěn nový soubor. To může znamenat škodlivou aktivitu. | Ověřte, že se jedná o legitimní očekávanou aktivitu na hostiteli. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_FileCreated |
| Soubor se změnil | Vysoká | Defender-IoT-micro-agent | Byla zjištěna úprava souboru. To může znamenat škodlivou aktivitu. | Ověřte, že se jedná o legitimní očekávanou aktivitu na hostiteli. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_FileModified |
| Odstraněný soubor | Vysoká | Defender-IoT-micro-agent | Bylo zjištěno odstranění souboru. To může znamenat škodlivou aktivitu. | Ověřte, že se jedná o legitimní očekávanou aktivitu na hostiteli. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_FileDeleted |
Střední závažnost
| Name | Závažnost | Zdroj dat | Popis | Navrhované kroky nápravy | Typ upozornění |
|---|---|---|---|---|---|
| Chování podobné zjištěné běžným robotům s Linuxem | Střední | Defender-IoT-micro-agent | Spuštění procesu obvykle spojeného s běžnými zjištěnými linuxovými botnety. | Zkontrolujte u uživatele, který příkaz spustil, jestli se jedná o legitimní aktivitu, kterou očekáváte na zařízení. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_CommonBots |
| Chování podobné zjištěnému ransomwaru Fairware | Střední | Defender-IoT-micro-agent | Spuštění příkazů rm -rf použitých u podezřelých umístění zjištěných pomocí analýzy dat hostitele. Vzhledem k tomu, že rm -rf rekurzivně odstraňuje soubory, obvykle se používá pouze u samostatných složek. V tomto případě se používá v umístění, které by mohlo odebrat velké množství dat. Fairwarový ransomware je známý tím, že v této složce spouští příkazy rm -rf. | Zkontrolujte u uživatele, který spustil příkaz, že se jedná o legitimní aktivitu, kterou očekáváte na zařízení. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_FairwareMalware |
| Byl zjištěn obrázek kontejneru mineru kryptografických mincí | Střední | Defender-IoT-micro-agent | Kontejner detekující spuštění známých imagí pro dolování digitálních měn | 1. Pokud toto chování není zamýšleno, odstraňte příslušnou image kontejneru. 2. Ujistěte se, že démon Dockeru není přístupný prostřednictvím nebezpečného soketu TCP. 3. Eskalujte výstrahu týmu pro zabezpečení informací. |
IoT_CryptoMinerContainer |
| Zjistilo se podezřelé použití příkazu nohup | Střední | Defender-IoT-micro-agent | Bylo zjištěno podezřelé použití příkazu nohup na hostiteli. Aktéři se zlými úmysly obvykle spouštějí příkaz nohup z dočasného adresáře, což v podstatě umožňuje spouštění spustitelných souborů na pozadí. Spuštění tohoto příkazu u souborů umístěných v dočasném adresáři není očekávané nebo obvyklé chování. | Zkontrolujte u uživatele, který příkaz spustil, jestli se jedná o legitimní aktivitu, kterou očekáváte na zařízení. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_SuspiciousNohup |
| Zjistilo se podezřelé použití příkazu useradd. | Střední | Defender-IoT-micro-agent | Na zařízení bylo zjištěno podezřelé použití příkazu useradd. | Zkontrolujte u uživatele, který příkaz spustil, jestli se jedná o legitimní aktivitu, kterou očekáváte na zařízení. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_SuspiciousUseradd |
| Vystavený démon Dockeru pomocí soketu TCP | Střední | Defender-IoT-micro-agent | Protokoly počítačů indikují, že váš démon Dockeru (dockerd) zveřejňuje soket TCP. Konfigurace Dockeru ve výchozím nastavení nepoužívá šifrování ani ověřování, pokud je povolený soket TCP. Výchozí konfigurace Dockeru umožňuje úplný přístup k démonovi Dockeru komukoli, kdo má přístup k příslušnému portu. | Zkontrolujte u uživatele, který příkaz spustil, jestli se jedná o legitimní aktivitu, kterou očekáváte na zařízení. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_ExposedDocker |
| Neúspěšné místní přihlášení | Střední | Defender-IoT-micro-agent | Byl zjištěn neúspěšný pokus o místní přihlášení k zařízení. | Ujistěte se, že žádná neoprávněná strana nemá fyzický přístup k zařízení. | IoT_FailedLocalLogin |
| Zjistilo se stažení souboru ze škodlivého zdroje | Střední | Defender-IoT-micro-agent | Stažení souboru ze známého zjištěného zdroje malwaru | Zkontrolujte u uživatele, který příkaz spustil, jestli se jedná o legitimní aktivitu, kterou očekáváte na zařízení. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_PossibleMalware |
| Byl zjištěn přístup k souborům htaccess | Střední | Defender-IoT-micro-agent | Analýza dat hostitele zjistila možnou manipulaci se souborem htaccess. Htaccess je výkonný konfigurační soubor, který umožňuje provádět více změn na webovém serveru, na kterém běží webový software Apache, včetně základní funkce přesměrování a pokročilejších funkcí, jako je základní ochrana heslem. Aktéři se zlými úmysly často upravují soubory htaccess na ohrožených počítačích, aby získali trvalost. | Ověřte, že se jedná o legitimní očekávanou aktivitu na hostiteli. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_AccessingHtaccessFile |
| Známý nástroj pro útok | Střední | Defender-IoT-micro-agent | Byl zjištěn nástroj často spojený se zlými uživateli, kteří nějakým způsobem napadají jiné počítače. | Zkontrolujte u uživatele, který příkaz spustil, jestli se jedná o legitimní aktivitu, kterou očekáváte na zařízení. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_KnownAttackTools |
| Byla zjištěna rekognoskace místního hostitele. | Střední | Defender-IoT-micro-agent | Spuštění příkazu obvykle spojeného s běžnou rekognoskací linuxového robota. | Zkontrolujte podezřelý příkazový řádek a ověřte, že ho spustil legitimní uživatel. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_LinuxReconnaissance |
| Neshoda mezi interpretem skriptu a příponou souboru | Střední | Defender-IoT-micro-agent | Byla zjištěna neshoda mezi interpretem skriptu a příponou souboru skriptu poskytnutého jako vstup. Tento typ neshody je často spojen se spuštěním skriptů útočníka. | Zkontrolujte u uživatele, který příkaz spustil, jestli se jedná o legitimní aktivitu, kterou očekáváte na zařízení. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_ScriptInterpreterMismatch |
| Zjištěna možná zadní vrátka | Střední | Defender-IoT-micro-agent | Podezřelý soubor se stáhl a pak se spustil na hostiteli ve vašem předplatném. Tento typ aktivity je obvykle spojen s instalací zadních vrátek. | Zkontrolujte u uživatele, který příkaz spustil, jestli se jedná o legitimní aktivitu, kterou očekáváte na zařízení. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_LinuxBackdoor |
| Zjištěná možná ztráta dat | Střední | Defender-IoT-micro-agent | Možná podmínka výchozího přenosu dat zjištěná pomocí analýzy dat hostitele. Aktéři se zlými úmysly často využívají data z ohrožených počítačů. | Zkontrolujte u uživatele, který příkaz spustil, jestli se jedná o legitimní aktivitu, kterou očekáváte na zařízení. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_EgressData |
| Zjistil se privilegovaný kontejner. | Střední | Defender-IoT-micro-agent | Protokoly počítačů indikují, že je spuštěný privilegovaný kontejner Dockeru. Privilegovaný kontejner má úplný přístup k prostředkům hostitele. V případě ohrožení zabezpečení může objekt actor se zlými úmysly pomocí privilegovaného kontejneru získat přístup k hostitelskému počítači. | Pokud kontejner nemusí běžet v privilegovaném režimu, odeberte z kontejneru oprávnění. | IoT_PrivilegedContainer |
| Odebrání zjištěných souborů systémových protokolů | Střední | Defender-IoT-micro-agent | Zjistilo se podezřelé odebrání souborů protokolu na hostiteli. | Zkontrolujte u uživatele, který příkaz spustil, jestli se jedná o legitimní aktivitu, kterou očekáváte na zařízení. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_RemovelOfSystemLogs |
| Mezera za názvem souboru | Střední | Defender-IoT-micro-agent | Spuštění procesu s podezřelým rozšířením detekovaným pomocí analýzy dat hostitele Podezřelá rozšíření můžou uživatele přimět k tomu, aby si mysleli, že soubory je bezpečné otevřít, a mohou indikovat přítomnost malwaru v systému. | Zkontrolujte u uživatele, který příkaz spustil, jestli se jedná o legitimní aktivitu, kterou očekáváte na zařízení. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_ExecuteFileWithTrailingSpace |
| Nástroje běžně používané ke zjištění škodlivého přístupu k přihlašovacím údajům | Střední | Defender-IoT-micro-agent | Detekce použití nástroje, který je běžně spojený se škodlivými pokusy o přístup k přihlašovacím údajům. | Zkontrolujte u uživatele, který příkaz spustil, jestli se jedná o legitimní aktivitu, kterou očekáváte na zařízení. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_CredentialAccessTools |
| Zjistila se podezřelá kompilace. | Střední | Defender-IoT-micro-agent | Byla zjištěna podezřelá kompilace. Aktéři se zlými úmysly často kompilují zneužití na napadeném počítači za účelem zvýšení oprávnění. | Zkontrolujte u uživatele, který příkaz spustil, jestli se jedná o legitimní aktivitu, kterou očekáváte na zařízení. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_SuspiciousCompilation |
| Podezřelé stažení souboru následované aktivitou spuštění souboru | Střední | Defender-IoT-micro-agent | Analýza dat hostitele zjistila soubor, který byl stažen a spuštěn ve stejném příkazu. Tuto techniku běžně používají aktéři se zlými úmysly k získání napadených souborů na počítače s oběťmi. | Zkontrolujte u uživatele, který příkaz spustil, jestli se jedná o legitimní aktivitu, kterou očekáváte na zařízení. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_DownloadFileThenRun |
| Podezřelá komunikace s IP adresou | Střední | Defender-IoT-micro-agent | Byla zjištěna komunikace s podezřelou IP adresou. | Ověřte, jestli je připojení legitimní. Zvažte blokování komunikace s podezřelou IP adresou. | IoT_TiConnection |
| Škodlivý požadavek na název domény | Střední | Defender-IoT-micro-agent | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojená s útokem zneužívající metodu používanou známým malwarem. | Odpojte zdroj od sítě. Proveďte reakci na incident. | IoT_MaliciousNameQueriesDetection |
Nízká závažnost
| Name | Závažnost | Zdroj dat | Popis | Navrhované kroky nápravy | Typ upozornění |
|---|---|---|---|---|---|
| Historie Bash se vymaže. | Nízká | Defender-IoT-micro-agent | Vymazal se protokol historie Bash. Aktéři se zlými úmysly obvykle vymažou historii Bash, aby se v protokolech neobjevily jejich vlastní příkazy. | Zkontrolujte u uživatele, který spustil příkaz, že aktivita v této výstraze zjistíte, jestli tuto aktivitu rozpoznáváte jako legitimní aktivitu správy. Pokud ne, eskalujte výstrahu týmu pro zabezpečení informací. | IoT_ClearHistoryFile |
Další kroky
- Přehled služby Defender for IoT