Prozkoumání předdefinovaných výstrah agenta zabezpečení
Microsoft Defender for IoT průběžně analyzuje vaše řešení IoT pomocí pokročilých analýz a analýzy hrozeb a upozorní vás na škodlivou aktivitu. Kromě toho můžete vytvářet vlastní výstrahy na základě vašich znalostí o očekávaném chování zařízení. Výstraha funguje jako indikátor potenciálního ohrožení zabezpečení a měla by být vyšetřována a odstraněna.
Instalace a konfigurace agenta zabezpečení na zařízení IoT přidá do vašeho řešení zabezpečení velký počet upozornění.
Název
Závažnost
Zdroj dat
Popis
Navrhované kroky nápravy
Vysoká závažnost
Binární příkazový řádek
Vysoká
Agent
Byl zjištěn binární soubor LA Linux, který se volá nebo spouští z příkazového řádku. Tento proces může být legitimní aktivitou nebo indikací, že je vaše zařízení ohroženo.
Zkontrolujte příkaz s uživatelem, který ho spustil. Ověřte, že je tento příkaz určený ke spuštění na zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Zakázání brány firewall
Vysoká
Agent
Možná manipulace s bránou firewall na hostiteli byla zjištěna. Aktéři se zlými úmysly často zakážou bránu firewall na hostiteli při pokusu o exfiltraci dat.
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jedná o očekávanou aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Detekce přesměrování portů
Vysoká
Agent
Byla zjištěna inicializace přesměrování portů na externí IP adresu.
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jedná o očekávanou aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Možné pokusy o zakázání zjištěného auditovaného protokolování
Vysoká
Agent
Systém Auditovaný linux poskytuje způsob, jak sledovat informace související se zabezpečením v systému. Systém zaznamenává co nejvíce informací o událostech, které se v systému děje. Tyto informace jsou zásadní pro klíčové prostředí k určení, kdo porušil zásady zabezpečení a akce, které provedly. Zakázání auditovaného protokolování může bránit vaší schopnosti zjišťovat porušení zásad zabezpečení používaných v systému.
Obraťte se na vlastníka zařízení a ujistěte se, že se jedná o očekávanou aktivitu z obchodních důvodů. Pokud ne, tato událost může skrýt aktivitu škodlivých herců. Okamžitě eskaloval incident týmu zabezpečení informací.
Obrácené prostředí
Vysoká
Agent
Analýza hostitelských dat na zařízení zjistila potenciální reverzní prostředí. Reverzní prostředí se často používají k získání ohroženého počítače pro volání zpět do počítače řízeného škodlivým aktérem.
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jedná o očekávanou aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Úspěšný pokus o hrubou silou
Vysoká
Agent
Bylo zjištěno více neúspěšných pokusů o přihlášení a úspěšné přihlášení. Pokus o útok hrubou silou mohl být na zařízení úspěšný.
Zkontrolujte upozornění hrubou silou SSH a aktivitu na zařízeních. Pokud byla aktivita škodlivá: Zavedení resetování hesla pro ohrožené účty Prozkoumejte a opravte (pokud se našlo) zařízení pro malware.
Úspěšné místní přihlášení
Vysoká
Agent
Bylo zjištěno úspěšné místní přihlášení k zařízení.
Ujistěte se, že přihlášený uživatel je autorizovanou stranou.
Webové prostředí
Vysoká
Agent
Zjistilo se možné webové prostředí. Aktéři se zlými úmysly obvykle nahrávají webové prostředí do ohroženého počítače, aby získali trvalost nebo další zneužití.
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jedná o očekávanou aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Střední závažnost
Chování podobné běžnému linuxovém robotovi se zjistilo
Střední
Agent
Spuštění procesu obvykle spojeného s běžnými zjištěnými linuxovými botnety.
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jedná o očekávanou aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Zjistilo se chování podobné ransomwaru Fairware
Střední
Agent
Provádění příkazů rm -rf použitých na podezřelá umístění zjištěná pomocí analýzy hostitelských dat. Vzhledem k tomu, že rm -rf rekurzivně odstraní soubory, obvykle se používá pouze u diskrétních složek. V tomto případě se používá v umístění, které by mohlo odebrat velké množství dat. Fairware ransomware je známo, že v této složce spouští příkazy rm -rf.
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jedná o očekávanou aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Chování podobné ransomwaru zjištěnému
Střední
Agent
Spuštění souborů podobných známému ransomwaru, které může uživatelům zabránit v přístupu ke svému systému nebo osobním souborům a může požadovat platbu výkupného, aby znovu získali přístup.
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jedná o očekávanou aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Zjistila se image kontejneru mineru kryptografických mincí
Střední
Agent
Kontejner rozpoznává spuštění známých obrázků dolování digitálních měn.
- Pokud toto chování není zamýšlené, odstraňte příslušnou image kontejneru. 2. Ujistěte se, že démon Dockeru není přístupný prostřednictvím nebezpečného soketu TCP. 3. Eskalujte výstrahu týmu zabezpečení informací.
Obrázek mineru kryptografických mincí
Střední
Agent
Bylo zjištěno provádění procesu spojeného s dolováním digitální měny.
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jedná o očekávanou aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Zjištění podezřelého použití příkazu nohup
Střední
Agent
Podezřelé použití příkazu nohup na zjištěném hostiteli. Aktéři se zlými úmysly obvykle spouští příkaz nohup z dočasného adresáře, což umožňuje jejich spustitelným souborům běžet na pozadí. Zobrazení tohoto příkazu spuštěného u souborů umístěných v dočasném adresáři není očekávané nebo obvyklé chování.
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jedná o očekávanou aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Zjištění podezřelého použití příkazu useradd
Střední
Agent
Podezřelé použití příkazu useradd zjištěného v zařízení.
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jedná o očekávanou aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Zveřejnění démona Dockeru pomocí soketu TCP
Střední
Agent
Protokoly počítačů označují, že proces démon Dockeru (dockerd) zveřejňuje soket TCP. Ve výchozím nastavení konfigurace Dockeru nepoužívá šifrování ani ověřování, pokud je povolený soket TCP. Výchozí konfigurace Dockeru umožňuje úplný přístup k procesu démona Dockeru, a to kýmkoli, kdo má přístup k příslušnému portu.
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jedná o očekávanou aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Místní přihlášení se nezdařilo.
Střední
Agent
Zjistil se neúspěšný místní pokus o přihlášení k zařízení.
Ujistěte se, že k zařízení nemá fyzický přístup žádná neoprávněná strana.
Zjistilo se stahování souborů ze známého škodlivého zdroje.
Střední
Agent
Stažení souboru ze známého zdroje malwaru bylo zjištěno.
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jedná o očekávanou aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Zjištěn přístup k souboru htaccess
Střední
Agent
Analýza hostitelských dat zjistila možnou manipulaci se souborem htaccess. Htaccess je výkonný konfigurační soubor, který umožňuje provádět více změn webového serveru se softwarem Apache Web, včetně základních funkcí přesměrování a pokročilejších funkcí, jako je základní ochrana heslem. Aktéři se zlými úmysly často upravují soubory htaccess na ohrožených počítačích, aby získali trvalost.
Ověřte, že se jedná o očekávanou aktivitu na hostiteli. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Známý nástroj pro útok
Střední
Agent
Byl zjištěn nástroj často spojený se zlými uživateli, kteří napadnou jiné počítače nějakým způsobem.
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jedná o očekávanou aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Agent IoT se pokusil analyzovat konfiguraci dvojčete modulu a nepodařilo se ho analyzovat.
Střední
Agent
Agent zabezpečení Microsoft Defenderu pro IoT se nepodařilo analyzovat konfiguraci dvojčete modulu kvůli neshodám typů v objektu konfigurace.
Ověřte konfiguraci dvojčete modulu ve schématu konfigurace agenta IoT a opravte všechny neshody.
Zjištění rekognoskace místního hostitele
Střední
Agent
Spuštění příkazu obvykle spojeného s běžnou rekognoskací linuxového robota se zjistilo.
Zkontrolujte podezřelý příkazový řádek a ověřte, že ho provedl legitimní uživatel. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Neshoda mezi interpretem skriptu a příponou souboru
Střední
Agent
Neshoda mezi interpretem skriptu a příponou souboru skriptu poskytnutého při zjištění vstupu. Tento typ neshody se běžně přidruží ke spouštění skriptů útočníka.
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jedná o očekávanou aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Možné zjištění zadního vrátka
Střední
Agent
Podezřelý soubor se stáhl a pak spustil na hostiteli ve vašem předplatném. Tento typ aktivity je běžně přidružený k instalaci zadního vrátka.
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jedná o očekávanou aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Potenciální ztráta zjištěných dat
Střední
Agent
Možná podmínka výchozího přenosu dat byla zjištěna pomocí analýzy hostitelských dat. Aktéři se zlými úmysly často odsunou data z ohrožených počítačů.
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jedná o očekávanou aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Potenciální přepsání běžných souborů
Střední
Agent
Běžný spustitelný soubor se přepíše na zařízení. Škodliví aktéři jsou známi tak, že přepíšou běžné soubory jako způsob, jak skrýt jejich akce nebo jako způsob, jak získat trvalost.
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jedná o očekávanou aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Zjištěný privilegovaný kontejner
Střední
Agent
Protokoly počítačů označují, že je spuštěný privilegovaný kontejner Dockeru. Privilegovaný kontejner má úplný přístup k hostitelským prostředkům. V případě ohrožení zabezpečení může objekt actor se zlými úmysly použít privilegovaný kontejner k získání přístupu k hostitelskému počítači.
Pokud kontejner nemusí běžet v privilegovaném režimu, odeberte z kontejneru oprávnění.
Odebrání zjištěných souborů systémových protokolů
Střední
Agent
Zjistilo se podezřelé odebrání souborů protokolu na hostiteli.
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jedná o očekávanou aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Mezera za názvem souboru
Střední
Agent
Spuštění procesu s podezřelým rozšířením detekovaným pomocí analýzy hostitelských dat Podezřelá rozšíření můžou uživatele oklamat, že soubory jsou bezpečné otevřít a mohou indikovat přítomnost malwaru v systému.
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jedná o očekávanou aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Zjistily se podezřelé škodlivé přístupové nástroje pro přístup k přihlašovacím údajům.
Střední
Agent
Detekce použití nástroje běžně spojeného se škodlivými pokusy o přístup k přihlašovacím údajům
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jedná o očekávanou aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Zjištěná podezřelá kompilace
Střední
Agent
Byla zjištěna podezřelá kompilace. Aktéři se zlými úmysly často kompilují zneužití na ohroženém počítači za účelem eskalace oprávnění.
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jedná o očekávanou aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Podezřelé stahování souborů následované aktivitou spuštění souboru
Střední
Agent
Analýza dat hostitele zjistila soubor, který byl stažen a spuštěn ve stejném příkazu. Tuto techniku běžně používají aktéři se zlými úmysly k získání napadených souborů na počítače obětí.
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jedná o očekávanou aktivitu v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Podezřelá komunikace s IP adresou
Střední
Agent
Byla zjištěna komunikace s podezřelou IP adresou.
Ověřte, jestli je připojení legitimní. Zvažte blokování komunikace s podezřelou IP adresou.
NÍZKÁ závažnost
Vymazání historie bashe
Nízká
Agent
Protokol historie Bash se vymaže. Aktéři se zlými úmysly obvykle vymažou historii Bash, aby se v protokolech zobrazovaly vlastní příkazy.
Zkontrolujte uživatele, který spustil příkaz. Ověřte, že se jednalo o očekávanou aktivitu správy v zařízení. Pokud ne, eskalujte výstrahu týmu zabezpečení informací.
Zařízení bezobslužné
Nízká
Agent
Zařízení za posledních 72 hodin neodeslalo žádná telemetrická data.
Ujistěte se, že je zařízení online a odesílá data. Zkontrolujte, jestli je na zařízení spuštěný agent zabezpečení Azure.
Neúspěšný pokus o hrubou silou
Nízká
Agent
Bylo zjištěno více neúspěšných pokusů o přihlášení. Potenciální pokus o útok hrubou silou na zařízení selhal.
Zkontrolujte upozornění hrubou silou SSH a aktivitu na zařízení. Nevyžaduje se žádná další akce.
Místní uživatel přidaný do jedné nebo více skupin
Nízká
Agent
Nový místní uživatel přidaný do skupiny na tomto zařízení Změny skupin uživatelů jsou neobvyklé a můžou značit, že aktér se zlými úmysly shromažďuje přístupová oprávnění.
Ověřte, že je změna konzistentní s oprávněními vyžadovanými ovlivněným uživatelem. Pokud je změna nekonzistentní, předejte týmu zabezpečení informací.
Místní uživatel byl odstraněn z jedné nebo více skupin.
Nízká
Agent
Místní uživatel byl odstraněn z jedné nebo více skupin. Je známo, že se pomocí této metody pokusíte odepřít přístup oprávněným uživatelům nebo odstranit historii jejich akcí.
Ověřte, že je změna konzistentní s oprávněními vyžadovanými ovlivněným uživatelem. Pokud je změna nekonzistentní, předejte týmu zabezpečení informací.
Zjistilo se odstranění místního uživatele.
Nízká
Agent
Odstranění místního uživatele bylo zjištěno. Odstranění místního uživatele je neobvyklé, že se herec se zlými úmysly snaží odepřít přístup legitimním uživatelům nebo odstranit historii svých akcí.
Ověřte, že je změna konzistentní s oprávněními vyžadovanými ovlivněným uživatelem. Pokud je změna nekonzistentní, předejte týmu zabezpečení informací.