Shromažďování událostí mikro agenta
Agenti zabezpečení Defender for IoT shromažďují data a systémové události z místního zařízení a odesílají data do cloudu Azure ke zpracování.
Poznámka:
Defender for IoT plánuje vyřadit mikro agenta 1. srpna 2025.
Pokud jste nakonfigurovali a připojili pracovní prostor služby Log Analytics, uvidíte tyto události v Log Analytics. Další informace najdete v tématu Kurz: Zkoumání výstrah zabezpečení.
Mikro agent Defenderu pro IoT shromažďuje mnoho typů událostí zařízení, včetně nových procesů a všech nových událostí připojení. Nový proces i nové události připojení se můžou na zařízení vyskytovat často. Tato funkce je důležitá pro komplexní zabezpečení, ale počet zpráv, které agenti zabezpečení odesílají, můžou rychle splnit nebo překročit kvótu služby IoT Hub a limity nákladů. Tyto zprávy a události obsahují vysoce cenné informace o zabezpečení, které jsou pro ochranu vašeho zařízení zásadní.
Pokud chcete snížit počet zpráv a nákladů při zachování zabezpečení zařízení, defender pro agenty IoT agreguje následující typy událostí:
Zpracování událostí (pouze Linux)
Události síťové aktivity
Události systému souborů
Statistické události
Další informace najdete v tématu Agregace událostí pro procesy a síťové kolektory.
Kolektory založené na událostech jsou kolektory, které se aktivují na základě odpovídající aktivity v zařízení. Například a process was started in the device.
Kolektory založené na triggerech jsou kolektory, které se aktivují naplánovaným způsobem na základě konfigurací zákazníka.
Zpracování událostí (kolektor založený na událostech)
Události zpracování jsou podporovány v operačních systémech Linux.
Události procesu se považují za identické, pokud je příkazový řádek a id uživatele identické.
Výchozí vyrovnávací paměť pro události procesu je 256 procesů. Po dosažení tohoto limitu se vyrovnávací paměť zahodí a nejstarší událost procesu se zahodí, aby se uvolnilo místo pro nejnovější zpracovávanou událost. Zaprotokoluje se upozornění na zvětšení velikosti mezipaměti.
Data shromážděná pro každou událost jsou:
| Parametr | Popis |
|---|---|
| Timestamp | Při prvním pozorování procesu. |
| process_id | Id pid Pro Linux. |
| parent_process_id | Nadřazený kód PID linuxu, pokud existuje. |
| Příkazový řádek | Příkazový řádek. |
| Typ | Může být buď fork, nebo exec. |
| hit_count | Agregovaný počet. Počet spuštění stejného procesu během stejného časového rámce, dokud se události posílají do cloudu. |
Události síťové aktivity (kolektor založené na událostech)
Události síťové aktivity se považují za identické, pokud jsou místní port, vzdálený port, přenosový protokol, místní adresa a vzdálená adresa identické.
Výchozí vyrovnávací paměť pro událost síťové aktivity je 256. V situacích, kdy je mezipaměť plná:
Zařízení Eclipse ThreadX: Do dalšího cyklu kolekce se nebudou ukládat žádné nové síťové události do mezipaměti.
Zařízení s Linuxem: Nejstarší událost se nahradí každou novou událostí. Zaprotokoluje se upozornění na zvětšení velikosti mezipaměti.
Pro zařízení s Linuxem se podporuje jenom protokol IPv4.
Data shromážděná pro každou událost jsou:
| Parametr | Popis |
|---|---|
| Místní adresa | Zdrojová adresa připojení. |
| Vzdálená adresa | Cílová adresa připojení. |
| Místní port | Zdrojový port připojení. |
| Vzdálený port | Cílový port připojení. |
| Bytes_in | Celkový počet agregovaných bajtů RX připojení. |
| Bytes_out | Celkový počet agregovaných bajtů TX připojení. |
| Transport_protocol | Může to být TCP, UDP nebo ICMP. |
| Aplikační protokol | Aplikační protokol přidružený k připojení. |
| Rozšířené vlastnosti | Další podrobnosti o připojení. Například host name. |
| Počet přístupů | Počet pozorovaných paketů |
Kolektor přihlášení (kolektor založený na událostech)
Kolektor přihlášení shromažďuje přihlášení uživatelů, odhlášení a neúspěšné pokusy o přihlášení.
Kolektor přihlášení podporuje následující typy metod shromažďování:
UTMP a SYSLOG. UTMP zachytává interaktivní události SSH, události telnetu a přihlášení terminálu a také všechny neúspěšné události přihlášení z SSH, telnetu a terminálu. Pokud je na zařízení povolený sysLOG, kolektor přihlášení také shromažďuje události přihlášení SSH prostřednictvím souboru SYSLOG s názvem auth.log.
Pluggable Authentication Modules (PAM). Shromažďuje události SSH, telnet a místního přihlašování. Další informace najdete v tématu Konfigurace modulů pluggable authentication (PAM) pro audit událostí přihlášení.
Shromažďují se následující data:
| Parametr | Popis |
|---|---|
| operace | Jedna z následujících možností: Login, LogoutLoginFailed |
| process_id | Id pid Pro Linux. |
| user_name | Uživatel s Linuxem. |
| spustitelný | Terminálové zařízení. Například tty1..6 nebo pts/n. |
| remote_address | Zdroj připojení, buď vzdálená IP adresa ve formátu IPv6 nebo IPv4, nebo 127.0.0.1/0.0.0.0 označuje místní připojení. |
Informace o systému (kolektor založený na triggerech)
Data shromážděná pro každou událost jsou:
| Parametr | Popis |
|---|---|
| hardware_vendor | Název dodavatele zařízení. |
| hardware_model | Číslo modelu zařízení. |
| os_dist | Distribuce operačního systému. Například Linux. |
| os_version | Verze operačního systému. Například , Windows 10nebo Ubuntu 20.04.1. |
| os_platform | Operační systém zařízení. |
| os_arch | Architektura operačního systému. Například x86_64. |
| agent_type | Typ agenta (Edge/Standalone). |
| agent_version | Verze agenta. |
| nics | Síťový adaptér. Úplný seznam vlastností je uvedený níže. |
Vlastnosti nics se skládají z následujících;
| Parametr | Popis |
|---|---|
| type | Jedna z následujících hodnot: UNKNOWN, ETH, WIFI, MOBILE, nebo SATELLITE. |
| sítě vlan | Virtuální síť LAN přidružená k síťovému rozhraní. |
| prodejce | Dodavatel síťového adaptéru. |
| informace | IPS a řadiče macs přidružené k síťovému adaptéru. To zahrnuje následující pole; - ipv4_address: Adresa IPv4. - ipv6_address: Adresa IPv6. - mac: Adresa MAC. |
Směrný plán (kolektor založený na triggerech)
Kolektor směrného plánu provádí pravidelné kontroly CIS a neúspěšné, předávat a přeskočit výsledky kontroly se posílají do cloudové služby Defender for IoT. Defender pro IoT agreguje výsledky a poskytuje doporučení na základě jakýchkoli selhání.
Data shromážděná pro každou událost jsou:
| Parametr | Popis |
|---|---|
| Kontrola ID | Ve formátu CIS. Například CIS-debian-9-Filesystem-1.1.2. |
| Kontrola výsledku | Může to být Fail, Pass, Skipnebo Error. Například v situaci, Error kdy se kontrola nedá spustit. |
| Chyba | Informace o chybě a popis. |
| Popis | Popis kontroly od CIS. |
| Nápravy | Doporučení pro nápravu ze cis. |
| Závažnost | Úroveň závažnosti. |
SBoM (kolektor založený na triggerech)
Kolektor SBoM (Software Bill of Materials) pravidelně shromažďuje balíčky nainstalované v zařízení.
Mezi data shromážděná v každém balíčku patří:
| Parametr | Description |
|---|---|
| Jméno | Název balíčku. |
| Verze | Verze balíčku. |
| Dodavatel | Dodavatel balíčku, což je pole Správce v balíčcích deb. |
Periferní události (kolektor založené na událostech)
Kolektor událostí periferních zařízení shromažďuje připojení a odpojení událostí USB a Ethernet.
Shromážděná pole závisí na typu události:
Události USB
| Parametr | Popis |
|---|---|
| Timestamp | Čas výskytu události. |
| ActionType | Bez ohledu na to, jestli byla událost připojení nebo odpojení. |
| bus_number | Konkrétní identifikátor řadiče, každé zařízení USB může mít několik. |
| kernel_device_number | Reprezentace v jádru zařízení, není jedinečná a může pokaždé, když je zařízení připojené. |
| device_class | Identifikátor určující třídu zařízení. |
| device_subclass | Identifikátor určující typ zařízení. |
| device_protocol | Identifikátor určující protokol zařízení. |
| interface_class | V případě, že je třída zařízení 0, uveďte typ zařízení. |
| interface_subclass | V případě, že je třída zařízení 0, uveďte typ zařízení. |
| interface_protocol | V případě, že je třída zařízení 0, uveďte typ zařízení. |
Ethernetové události
| Parametr | Popis |
|---|---|
| Timestamp | Čas výskytu události. |
| ActionType | Bez ohledu na to, jestli byla událost připojení nebo odpojení. |
| bus_number | Konkrétní identifikátor řadiče, každé zařízení USB může mít několik. |
| Název rozhraní | Název rozhraní. |
Události systému souborů (kolektor založené na událostech)
Kolektor událostí systému souborů shromažďuje události vždy, když jsou v adresářích sledování změny: vytváření, odstraňování, přesouvání a úpravy adresářů a souborů. Pokud chcete definovat, které adresáře a soubory chcete monitorovat, podívejte se na konkrétní nastavení kolektoru systémových informací.
Shromažďují se následující data:
| Parametr | Popis |
|---|---|
| Timestamp | Čas výskytu události. |
| Maska | Linuxová inotify maska související s událostí systému souborů, maska identifikuje typ akce a může být jedním z následujících: Access/Modified/Metadata changed/Closed/Opened/Moved/Created/Deleted. |
| Cesta | Cesta k adresáři nebo souboru, do které byla událost vygenerována. |
| Hitcount | Kolikrát byla tato událost agregována. |
Data statistiky (kolektor založený na triggerech)
Kolektor statistiky generuje různé statistiky o různých kolekcích mikro agentů. Tyto statistiky poskytují informace o výkonu kolekcí v předchozím cyklu kolekce. Příklady možných statistik zahrnují počet událostí, které byly úspěšně odeslány, a počet událostí, které byly vyřazeny, spolu s důvody selhání.
Shromážděná pole:
| Parametr | Popis |
|---|---|
| Timestamp | Čas výskytu události. |
| Název | Název kolektoru. |
| Události | Pole párů formátovaných jako JSON s popisem a počtem přístupů |
| Popis | Zda byla zpráva odeslána nebo vyřazena, a důvod pro vyřazení. |
| Hitcount | Počet odpovídajících zpráv |
Agregace událostí pro kolekce procesů a sítí
Jak agregace událostí funguje pro události procesu a události síťové aktivity:
Defender pro agenty IoT agreguje události během intervalu odesílání definovaného v konfiguraci četnosti zpráv pro jednotlivé kolektory, například Process_MessageFrequency nebo NetworkActivity_MessageFrequency. Po uplynutí období intervalu odesílání agent odešle agregované události do cloudu Azure pro další analýzu. Agregované události se ukládají do paměti, dokud se nesílají do cloudu Azure.
Když agent shromažďuje podobné události jako události, které jsou již uloženy v paměti, agent zvýší počet přístupů této konkrétní události, aby snížil nároky na paměť agenta. Po uplynutí časového intervalu agregace agent odešle počet přístupů každého typu události, ke které došlo. Agregace událostí je agregace počtu výskytů podobných událostí. Například síťová aktivita se stejným vzdáleným hostitelem a na stejném portu se agreguje jako jedna událost místo jako samostatná událost pro každý paket.
Poznámka:
Ve výchozím nastavení mikro agent odesílá do cloudu protokoly a telemetrii pro účely řešení potíží a monitorování. Toto chování je možné nakonfigurovat nebo vypnout prostřednictvím dvojčete.
Další kroky
Další informace naleznete v tématu:
- Konfigurace mikro agentů
- Zkontrolujte výstrahy zabezpečení v programu Defender for IoT.