Sicherheitswarnungen für Legacy Defender für IoT-Geräte
Hinweis
Der Legacy-Agent von Microsoft Defender für IoT wurde durch unsere neuere Micro-Agent-Benutzeroberfläche ersetzt. Weitere Informationen finden Sie im Tutorial: Untersuchen von Sicherheitswarnungen.
Ab dem 31. März 2022 ist der Legacy-Agent eingestellt, und es werden dafür keine neuen Features entwickelt. Der Legacy-Agent wird am 31. März 2023 vollständig eingestellt. An diesem Punkt stellen wir keine Fehlerbehebungen oder sonstige Unterstützung für den Legacy-Agent mehr bereit.
Defender für IoT analysiert Ihre IoT-Lösung ständig mithilfe von Advanced Analytics- und Threat Intelligence-Funktionen, um Sie vor schädlichen Aktivitäten zu warnen. Darüber hinaus können Sie – basierend auf Ihrer Kenntnis des erwarteten Geräteverhaltens – benutzerdefinierte Warnungen erstellen. Eine Warnung fungiert als Indikator für eine potenzielle Kompromittierung, die untersucht und behoben werden sollte.
In diesem Artikel finden Sie eine Liste von integrierten Warnungen, die für Ihre IoT-Geräte ausgelöst werden können. Neben integrierten Warnungen ermöglicht Ihnen Defender für IoT, benutzerdefinierte Warnungen zu erstellen, die auf dem erwarteten IoT Hub- und/oder Geräteverhalten basieren. Weitere Informationen finden Sie unter Konfigurierbare Warnungen.
Agent-basierte Sicherheitswarnungen
| Name | severity | Data source | BESCHREIBUNG | Vorschlag für Problemlösungsschritte |
|---|---|---|---|---|
| Hoher Schweregrad | ||||
| Binäre Befehlszeile | High | IoT-Micro-Agent von Legacy Defender | Eine Linux-Binärdatei wurde über die Befehlszeile aufgerufen oder ausgeführt. Dieser Vorgang kann eine legitime Aktivität sein oder darauf hindeuten, dass Ihr Gerät kompromittiert wurde. | Überprüfen Sie den Befehl und den Benutzer, der den Befehl ausgeführt hat, um festzustellen, ob die Aktivität auf dem Gerät legitim war. Eskalieren Sie die Warnung andernfalls an Ihr IT-Sicherheitsteam. |
| Firewall deaktivieren | High | IoT-Micro-Agent von Legacy Defender | Mögliche Manipulation der Hostfirewall erkannt. Böswillige Akteure deaktivieren häufig die Firewall auf dem Host, um die Daten herauszufiltern. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime, auf dem Gerät zu erwartende Aktivität ist. Eskalieren Sie die Warnung andernfalls an Ihr IT-Sicherheitsteam. |
| Portweiterleitung erkannt | High | IoT-Micro-Agent von Legacy Defender | Initiierung der Portweiterleitung an eine externe IP-Adresse erkannt. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. |
| Möglicher Versuch erkannt, Auditd-Protokollierung zu deaktivieren | High | IoT-Micro-Agent von Legacy Defender | Das Linux Auditd-System bietet eine Möglichkeit, sicherheitsrelevante Informationen zum System nachzuverfolgen. Das System zeichnet so viele Informationen wie möglich über die in Ihrem System auftretenden Ereignisse auf. Diese Informationen sind entscheidend für geschäftskritische Umgebungen, um diejenigen, die gegen die Sicherheitsrichtlinie verstoßen haben, und deren durchgeführte Aktionen zu ermitteln. Wird die Auditd-Protokollierung deaktiviert, können Verstöße gegen die auf dem System verwendeten Sicherheitsrichtlinien nicht mehr erkannt werden. | Überprüfen Sie mit dem Gerätebesitzer, ob es sich um eine legitime Aktivität mit geschäftlichem Hintergrund handelt. Wenn dies nicht der Fall ist, verbirgt dieses Ereignis möglicherweise Aktivitäten durch böswillige Akteure. Eskalieren Sie den Incident sofort an Ihr IT-Sicherheitsteam. |
| Reverse Shells | High | IoT-Micro-Agent von Legacy Defender | Die Analyse der Hostdaten auf einem Gerät weist auf die Verwendung einer potenziellen Reverse Shell hin. Reverse Shells werden häufig verwendet, um mit einem kompromittierten Computer einen Computer abzurufen, der von einem böswilligen Akteur gesteuert wird. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. |
| Erfolgreicher Brute-Force-Versuch | High | IoT-Micro-Agent von Legacy Defender | Mehrere nicht erfolgreiche Anmeldeversuche, gefolgt von einer erfolgreichen Anmeldung erkannt. Versuch eines Brute-Force-Angriffs auf das Gerät war möglicherweise erfolgreich. | Überprüfen Sie die Warnung zum SSH-Brute-Force-Angriff und die Aktivität auf den Geräten. Wenn die Aktivität böswillig war: Führen Sie eine Kennwortzurücksetzung der kompromittierten Konten durch. Untersuchen Sie die Geräte auf Schadsoftware, und beseitigen Sie diese (sofern gefunden). |
| Erfolgreiche lokale Anmeldung | High | IoT-Micro-Agent von Legacy Defender | Erfolgreiche lokale Anmeldung beim Gerät erkannt | Stellen Sie sicher, dass der angemeldete Benutzer autorisiert ist. |
| Webshell | High | IoT-Micro-Agent von Legacy Defender | Mögliche Webshell erkannt. Böswillige Akteure laden häufig eine Webshell auf einen kompromittierten Computer hoch, um Persistenz zu erzielen oder das Gerät weiter auszunutzen. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. |
| Mittlerer Schweregrad | ||||
| Verhalten ähnlich dem von häufigen Linux-Bots erkannt | Medium | IoT-Micro-Agent von Legacy Defender | Die Ausführung eines Prozesses wurde erkannt, der normalerweise mit häufigen Linux-Botnets in Verbindung steht. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. |
| Verhalten ähnlich dem von Fairware-Ransomware erkannt | Medium | IoT-Micro-Agent von Legacy Defender | Die Ausführung von „rm -rf“-Befehlen, die auf verdächtige Speicherorte angewandt wurden, wurde durch eine Analyse der Hostdaten erkannt. Der Befehl „rm -rf“ löscht Dateien rekursiv und wird normalerweise nur für Einzelordner verwendet. In diesem Fall wurde er auf einen Speicherort angewandt, über den eine große Datenmenge entfernt werden könnte. Fairware-Ransomware ist bekannt dafür, rm -rf-Befehle in diesem Ordner auszuführen. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime Aktivität handelt, die auf dem Gerät erwartbar ist. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. |
| Verhalten ähnlich dem von Ransomware erkannt | Medium | IoT-Micro-Agent von Legacy Defender | Ausführung von Dateien erkannt, die bekannter Ransomware ähneln und möglicherweise verhindern, dass Benutzer auf ihr System oder ihre persönlichen Dateien zugreifen können, und darüber hinaus ggf. eine Lösegeldforderung nach sich ziehen, um wieder Zugriff zu erhalten. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. |
| Crypto Coin Miner-Containerimage erkannt | Medium | IoT-Micro-Agent von Legacy Defender | Ein Container wurde erkannt, in dem bekannte Images für das Mining digitaler Währungen ausgeführt werden. | 1. Wenn dieses Verhalten nicht beabsichtigt ist, löschen Sie das entsprechende Containerimage. 2. Stellen Sie sicher, dass auf den Docker-Daemon nicht über einen unsicheren TCP-Socket zugegriffen werden kann. 3. Eskalieren Sie die Warnung an das IT-Sicherheitsteam. |
| Crypto Coin Miner-Image | Medium | IoT-Micro-Agent von Legacy Defender | Die Ausführung eines Prozesses wurde erkannt, der normalerweise mit digitalem Währungsmining in Verbindung steht. | Überprüfen Sie zusammen mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime Aktivität auf dem Gerät war. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. |
| Verdächtige Verwendung des nohup-Befehls erkannt | Medium | IoT-Micro-Agent von Legacy Defender | Verdächtige Verwendung des nohup-Befehls auf dem Host erkannt. Böswillige Akteure führen den nohup-Befehl in der Regel in einem temporären Verzeichnis aus, damit ihre ausführbaren Dateien im Hintergrund ausgeführt werden können. Die Ausführung dieses Befehls für Dateien in einem temporären Verzeichnis ist weder ein erwartbares noch ein normales Verhalten. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. |
| Verdächtige Verwendung des useradd-Befehls erkannt | Medium | IoT-Micro-Agent von Legacy Defender | Verdächtige Verwendung des useradd-Befehls auf dem Gerät erkannt. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. |
| Verfügbar gemachter Docker-Daemon von TCP-Socket | Medium | IoT-Micro-Agent von Legacy Defender | Computerprotokolle deuten darauf hin, dass Ihr Docker-Daemon (dockerd) einen TCP-Socket verfügbar macht. Standardmäßig verwendet die Docker-Konfiguration keine Verschlüsselung oder Authentifizierung, wenn ein TCP-Socket aktiviert ist. Die Standardkonfiguration von Docker ermöglicht jedem, der Zugriff auf den entsprechenden Port hat, Vollzugriff auf den Docker-Daemon. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. |
| Fehler bei der lokalen Anmeldung | Medium | IoT-Micro-Agent von Legacy Defender | Ein fehlgeschlagener Anmeldeversuch auf dem Gerät wurde erkannt. | Stellen Sie sicher, dass keine nicht autorisierte Partei physischen Zugriff auf das Gerät hat. |
| Download von Dateien von einer bekannten schädlichen Quelle erkannt | Medium | IoT-Micro-Agent von Legacy Defender | Der Download einer Datei von einer bekannten Quelle für Schadsoftware wurde erkannt. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. |
| Zugriff auf htaccess-Datei erkannt | Medium | IoT-Micro-Agent von Legacy Defender | Bei der Analyse von Hostdaten wurde eine mögliche Manipulation einer htaccess-Datei erkannt. Bei htaccess handelt es sich um eine leistungsstarke Konfigurationsdatei, mit der Sie mehrere Änderungen an einem Webserver mit der Apache Web-Software vornehmen können, beispielsweise grundlegende Umleitungsfunktionen oder erweiterte Funktionen wie den einfachen Kennwortschutz. Böswillige Akteure ändern häufig die htaccess-Dateien auf Computern, die sie kompromittiert haben, um dauerhaft Zugriff zu erhalten. | Vergewissern Sie sich, dass dies eine legitime erwartete Aktivität auf dem Host ist. Eskalieren Sie die Warnung andernfalls an Ihr IT-Sicherheitsteam. |
| Bekanntes Angriffstool | Medium | IoT-Micro-Agent von Legacy Defender | Ein Tool wurde erkannt, das häufig mit Angriffen auf andere Computer durch böswilliger Benutzer in Verbindung steht. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. |
| IoT-Agent hat erfolglos versucht, die Konfiguration des Modulzwillings zu analysieren | Medium | IoT-Micro-Agent von Legacy Defender | Der Sicherheits-Agent von Defender für IoT konnte die Konfiguration des Modulzwillings aufgrund von Typenkonflikten im Konfigurationsobjekt nicht analysieren. | Überprüfen Sie Ihre Konfiguration des Modulzwillings anhand des Konfigurationsschemas für den IoT-Agent, und beheben Sie alle Konflikte. |
| Local Host-Reconnaissance erkannt | Medium | IoT-Micro-Agent von Legacy Defender | Es wurde die Ausführung eines Befehls erkannt, der normalerweise häufig mit Linux-Bot-Reconnaissance in Verbindung steht. | Überprüfen Sie die verdächtige Befehlszeile, um zu bestätigen, dass sie von einem legitimen Benutzer ausgeführt wurde. Eskalieren Sie die Warnung andernfalls an Ihr IT-Sicherheitsteam. |
| Konflikt zwischen Skriptinterpreter und Dateierweiterung | Medium | IoT-Micro-Agent von Legacy Defender | Es wurde ein Konflikt zwischen dem Skriptinterpreter und der Erweiterung der als Eingabe bereitgestellten Skriptdatei erkannt. Diese Art von Abweichung ist häufig mit Skriptausführungen durch Angreifer verknüpft. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. |
| Mögliche Hintertür erkannt | Medium | IoT-Micro-Agent von Legacy Defender | Eine verdächtige Datei wurde heruntergeladen und dann auf einem Host in Ihrem Abonnement ausgeführt. Dieser Aktivitätstyp ist in der Regel mit der Installation einer Backdoor verknüpft. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. |
| Möglicher Datenverlust erkannt | Medium | IoT-Micro-Agent von Legacy Defender | Eine mögliche Datenausgangsbedingung wurde mithilfe der Analyse von Hostdaten erkannt. Böswillige Akteure übermitteln häufig Daten von kompromittierten Computern. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. |
| Potenzielles Überschreiben allgemeiner Dateien | Medium | IoT-Micro-Agent von Legacy Defender | Allgemeine ausführbare Datei auf dem Gerät wurde überschrieben. Böswillige Akteure überschreiben oftmals allgemeine Dateien, um ihre Aktionen zu verbergen oder um dauerhaften Zugriff auf die Umgebung zu erhalten. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. |
| Privilegierter Container erkannt | Medium | IoT-Micro-Agent von Legacy Defender | Computerprotokolle weisen darauf hin, dass ein privilegierter Docker-Container ausgeführt wird. Ein privilegierter Container hat Vollzugriff auf die Ressourcen des Hosts. Im Fall einer Kompromittierung kann ein böswilliger Akteur den privilegierten Container verwenden, um Zugriff auf den Hostcomputer zu erlangen. | Wenn der Container nicht im privilegierten Modus ausgeführt werden muss, entfernen Sie die Berechtigungen für den Container. |
| Entfernen von Systemprotokolldateien erkannt | Medium | IoT-Micro-Agent von Legacy Defender | Es wurde ein verdächtiges Entfernen von Protokolldateien auf dem Host erkannt. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. |
| Leerzeichen nach dem Dateinamen | Medium | IoT-Micro-Agent von Legacy Defender | Die Ausführung eines Prozesses mit einer verdächtigen Erweiterung wurde nach einer Analyse der Hostdaten erkannt. Verdächtige Erweiterungen können Benutzer dazu bringen, zu denken, dass Dateien sicher geöffnet werden können, und können somit ein Zeichen für das Vorhandensein von Schadsoftware auf dem System sein. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. |
| Vermutete Tools für böswilligen Zugriff auf Anmeldeinformationen erkannt | Medium | IoT-Micro-Agent von Legacy Defender | Die Verwendung eines Tools wurde erkannt, das üblicherweise mit böswilligen Versuchen des Zugriffs auf Anmeldeinformationen verknüpft ist. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. |
| Verdächtige Kompilierung erkannt | Medium | IoT-Micro-Agent von Legacy Defender | Verdächtige Kompilierung erkannt. Böswillige Akteure kompilieren häufig Exploits auf einem Computer, den sie kompromittiert haben, um die Berechtigungen zu erhöhen. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. |
| Verdächtiger Dateidownload gefolgt von der Aktivität „Datei ausführen“ | Medium | IoT-Micro-Agent von Legacy Defender | Bei der Analyse von Hostdaten wurde das Herunterladen und Ausführen einer Datei im gleichen Befehl erkannt. Diese Technik wird häufig von böswilligen Akteuren angewandt, um infizierte Dateien auf Zielcomputer zu übertragen. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. |
| Verdächtige IP-Adressenkommunikation | Medium | IoT-Micro-Agent von Legacy Defender | Kommunikation mit einer verdächtigen IP-Adresse erkannt. | Überprüfen Sie, ob die Verbindung legitim ist. Blockieren Sie ggf. die Kommunikation mit der verdächtigen IP-Adresse. |
| NIEDRIGER Schweregrad | ||||
| Bashverlauf gelöscht | Niedrig | IoT-Micro-Agent von Legacy Defender | Das Bash-Verlaufsprotokoll wurde gelöscht. Böswillige Akteure löschen den Bash-Verlauf in der Regel, um ihre eigenen Befehle aus den Protokollen zu entfernen. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob die Aktivität in dieser Warnung eine legitime administrative Aktivität ist. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. |
| Gerät inaktiv | Niedrig | IoT-Micro-Agent von Legacy Defender | Vom Gerät wurden in den letzten 72 Stunden keine Telemetriedaten gesendet. | Stellen Sie sicher, dass das Gerät online ist und Daten sendet. Überprüfen Sie, ob der Azure Security Agent auf dem Gerät ausgeführt wird. |
| Brute-Force-Versuch fehlgeschlagen | Niedrig | IoT-Micro-Agent von Legacy Defender | Mehrere nicht erfolgreiche Anmeldeversuche wurden identifiziert. Ein möglicher Brute-Force-Angriff auf dem Gerät war nicht erfolgreich. | Überprüfen Sie die Warnungen zu SSH-Brute-Force-Angriffen und die Aktivität auf dem Gerät. Es ist keine weitere Aktion erforderlich. |
| Lokaler Benutzer einer oder mehreren Gruppen hinzugefügt | Niedrig | IoT-Micro-Agent von Legacy Defender | Ein neuer lokaler Benutzer wurde einer Gruppe auf diesem Gerät hinzugefügt. Änderungen an Benutzergruppen sind ungewöhnlich und können darauf hinweisen, dass ein böswilliger Akteur möglicherweise zusätzliche Berechtigungen sammelt. | Überprüfen Sie, ob die Änderung mit den vom betroffenen Benutzer benötigten Berechtigungen übereinstimmt. Wenn die Änderung inkonsistent ist, eskalieren Sie sie an Ihr IT-Sicherheitsteam. |
| Lokaler Benutzer aus einer oder mehreren Gruppen gelöscht | Niedrig | IoT-Micro-Agent von Legacy Defender | Ein lokaler Benutzer wurde aus einer oder mehreren Gruppen gelöscht. Böswillige Akteure verwenden diese Methode bekanntermaßen in einem Versuch, den Zugriff auf berechtigte Benutzer zu verweigern oder den Verlauf von deren Aktionen zu löschen. | Überprüfen Sie, ob die Änderung mit den vom betroffenen Benutzer benötigten Berechtigungen übereinstimmt. Wenn die Änderung inkonsistent ist, eskalieren Sie sie an Ihr IT-Sicherheitsteam. |
| Löschen von lokalem Benutzer erkannt | Niedrig | IoT-Micro-Agent von Legacy Defender | Das Löschen eines lokalen Benutzers wurde erkannt. Weil das Löschen lokaler Benutzer ungewöhnlich ist, versucht ein böswilliger Akteur möglicherweise, den Zugriff auf berechtigte Benutzer zu verweigern oder den Verlauf von deren Aktionen zu löschen. | Überprüfen Sie, ob die Änderung mit den vom betroffenen Benutzer benötigten Berechtigungen übereinstimmt. Wenn die Änderung inkonsistent ist, eskalieren Sie sie an Ihr IT-Sicherheitsteam. |
Nächste Schritte
- Übersicht über den Defender für IoT-Dienst
- Erfahren Sie, wie Sie auf Ihre Sicherheitsdaten zugreifen.
- Erfahren Sie mehr über das Untersuchen eines Geräts.