Sicherheitswarnungen des Micro-Agents
Defender für IoT analysiert Ihre IoT-Lösung ständig mithilfe von Advanced Analytics- und Threat Intelligence-Funktionen, um Sie vor schädlichen Aktivitäten zu warnen. Darüber hinaus können Sie – basierend auf Ihrer Kenntnis des erwarteten Geräteverhaltens – benutzerdefinierte Warnungen erstellen. Eine Warnung fungiert als Indikator für eine potenzielle Kompromittierung, die untersucht und behoben werden sollte.
In diesem Artikel finden Sie eine Liste von integrierten Warnungen, die für Ihre IoT-Geräte ausgelöst werden können.
Sicherheitswarnungen
Hoher Schweregrad
| Name | severity | Data source | BESCHREIBUNG | Vorschlag für Problemlösungsschritte | Warnungstyp |
|---|---|---|---|---|---|
| Binäre Befehlszeile | High | IoT-Micro-Agent von Defender | Eine Linux-Binärdatei wurde über die Befehlszeile aufgerufen oder ausgeführt. Dieser Vorgang kann eine legitime Aktivität sein oder darauf hindeuten, dass Ihr Gerät kompromittiert wurde. | Überprüfen Sie den Befehl und den Benutzer, der den Befehl ausgeführt hat, um festzustellen, ob die Aktivität auf dem Gerät legitim war. Eskalieren Sie die Warnung andernfalls an Ihr IT-Sicherheitsteam. | IoT_BinaryCommandLine |
| Firewall deaktivieren | High | IoT-Micro-Agent von Defender | Mögliche Manipulation der Hostfirewall erkannt. Böswillige Akteure deaktivieren häufig die Firewall auf dem Host, um die Daten herauszufiltern. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime, auf dem Gerät zu erwartende Aktivität ist. Eskalieren Sie die Warnung andernfalls an Ihr IT-Sicherheitsteam. | IoT_DisableFirewall |
| Portweiterleitung erkannt | High | IoT-Micro-Agent von Defender | Initiierung der Portweiterleitung an eine externe IP-Adresse erkannt. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. | IoT_PortForwarding |
| Möglicher Versuch erkannt, Auditd-Protokollierung zu deaktivieren | High | IoT-Micro-Agent von Defender | Das Linux Auditd-System bietet eine Möglichkeit, sicherheitsrelevante Informationen zum System nachzuverfolgen. Das System zeichnet so viele Informationen wie möglich über die in Ihrem System auftretenden Ereignisse auf. Diese Informationen sind entscheidend für geschäftskritische Umgebungen, um diejenigen, die gegen die Sicherheitsrichtlinie verstoßen haben, und deren durchgeführte Aktionen zu ermitteln. Wird die Auditd-Protokollierung deaktiviert, können Verstöße gegen die auf dem System verwendeten Sicherheitsrichtlinien nicht mehr erkannt werden. | Überprüfen Sie mit dem Gerätebesitzer, ob es sich um eine legitime Aktivität mit geschäftlichem Hintergrund handelt. Wenn dies nicht der Fall ist, verbirgt dieses Ereignis möglicherweise Aktivitäten durch böswillige Akteure. Eskalieren Sie den Incident sofort an Ihr IT-Sicherheitsteam. | IoT_DisableAuditdLogging |
| Reverse Shells | High | IoT-Micro-Agent von Defender | Die Analyse der Hostdaten auf einem Gerät weist auf die Verwendung einer potenziellen Reverse Shell hin. Reverse Shells werden häufig verwendet, um mit einem kompromittierten Computer einen Computer abzurufen, der von einem böswilligen Akteur gesteuert wird. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. | IoT_ReverseShell |
| Erfolgreiche lokale Anmeldung | High | IoT-Micro-Agent von Defender | Eine erfolgreiche lokale Anmeldung beim Gerät wurde erkannt. | Stellen Sie sicher, dass der angemeldete Benutzer autorisiert ist. | IoT_SucessfulLocalLogin |
| Webshell | High | IoT-Micro-Agent von Defender | Mögliche Webshell erkannt. Böswillige Akteure laden häufig eine Webshell auf einen kompromittierten Computer hoch, um Persistenz zu erzielen oder das Gerät weiter auszunutzen. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. | IoT_WebShell |
| Verhalten ähnlich dem von Ransomware erkannt | High | IoT-Micro-Agent von Defender | Ausführung von Dateien erkannt, die bekannter Ransomware ähneln und möglicherweise verhindern, dass Benutzer auf ihr System oder ihre persönlichen Dateien zugreifen können, und darüber hinaus ggf. eine Lösegeldforderung nach sich ziehen, um wieder Zugriff zu erhalten. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. | IoT_Ransomware |
| Crypto Coin Miner-Image | High | IoT-Micro-Agent von Defender | Die Ausführung eines Prozesses wurde erkannt, der normalerweise mit digitalem Währungsmining in Verbindung steht. | Überprüfen Sie zusammen mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime Aktivität auf dem Gerät war. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. | IoT_CryptoMiner |
| Neue USB-Verbindung | High | IoT-Micro-Agent von Defender | Es wurde eine USB-Geräteverbindung erkannt. Dies kann auf schädliche Aktivitäten hinweisen. | Vergewissern Sie sich, dass dies eine legitime erwartete Aktivität auf dem Host ist. Eskalieren Sie die Warnung andernfalls an Ihr IT-Sicherheitsteam. | IoT_USBConnection |
| USB-Verbindungstrennung | High | IoT-Micro-Agent von Defender | Es wurde eine USB-Geräteverbindungstrennung erkannt. Dies kann auf schädliche Aktivitäten hinweisen. | Vergewissern Sie sich, dass dies eine legitime erwartete Aktivität auf dem Host ist. Eskalieren Sie die Warnung andernfalls an Ihr IT-Sicherheitsteam. | IoT_UsbDisconnection |
| Neue Ethernet-Verbindung | High | IoT-Micro-Agent von Defender | Es wurde eine neue Ethernet-Verbindung erkannt. Dies kann auf schädliche Aktivitäten hinweisen. | Vergewissern Sie sich, dass dies eine legitime erwartete Aktivität auf dem Host ist. Eskalieren Sie die Warnung andernfalls an Ihr IT-Sicherheitsteam. | IoT_EthernetConnection |
| Ethernet-Verbindung | High | IoT-Micro-Agent von Defender | Es wurde eine neue Ethernet-Verbindungstrennung erkannt. Dies kann auf schädliche Aktivitäten hinweisen. | Vergewissern Sie sich, dass dies eine legitime erwartete Aktivität auf dem Host ist. Eskalieren Sie die Warnung andernfalls an Ihr IT-Sicherheitsteam. | IoT_EthernetDisconnection |
| Neue Datei erstellt | High | IoT-Micro-Agent von Defender | Eine neue Datei wurde erkannt. Dies kann auf schädliche Aktivitäten hinweisen. | Vergewissern Sie sich, dass dies eine legitime erwartete Aktivität auf dem Host ist. Eskalieren Sie die Warnung andernfalls an Ihr IT-Sicherheitsteam. | IoT_FileCreated |
| Datei geändert | High | IoT-Micro-Agent von Defender | Dateiänderung wurde erkannt. Dies kann auf schädliche Aktivitäten hinweisen. | Vergewissern Sie sich, dass dies eine legitime erwartete Aktivität auf dem Host ist. Eskalieren Sie die Warnung andernfalls an Ihr IT-Sicherheitsteam. | IoT_FileModified |
| Datei gelöscht | High | IoT-Micro-Agent von Defender | Dateilöschung wurde erkannt. Dies kann auf schädliche Aktivitäten hinweisen. | Vergewissern Sie sich, dass dies eine legitime erwartete Aktivität auf dem Host ist. Eskalieren Sie die Warnung andernfalls an Ihr IT-Sicherheitsteam. | IoT_FileDeleted |
Mittlerer Schweregrad
| Name | severity | Data source | BESCHREIBUNG | Vorschlag für Problemlösungsschritte | Warnungstyp |
|---|---|---|---|---|---|
| Verhalten ähnlich dem von häufigen Linux-Bots erkannt | Medium | IoT-Micro-Agent von Defender | Die Ausführung eines Prozesses wurde erkannt, der normalerweise mit häufigen Linux-Botnets in Verbindung steht. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. | IoT_CommonBots |
| Verhalten ähnlich dem von Fairware-Ransomware erkannt | Medium | IoT-Micro-Agent von Defender | Die Ausführung von „rm -rf“-Befehlen, die auf verdächtige Speicherorte angewandt wurden, wurde durch eine Analyse der Hostdaten erkannt. Der Befehl „rm -rf“ löscht Dateien rekursiv und wird normalerweise nur für Einzelordner verwendet. In diesem Fall wurde er auf einen Speicherort angewendet, über den eine große Datenmenge entfernt werden könnte. Fairware-Ransomware ist bekannt dafür, rm -rf-Befehle in diesem Ordner auszuführen. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime Aktivität handelt, die auf dem Gerät erwartbar ist. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. | IoT_FairwareMalware |
| Crypto Coin Miner-Containerimage erkannt | Medium | IoT-Micro-Agent von Defender | Ein Container wurde erkannt, in dem bekannte Images für das Mining digitaler Währungen ausgeführt werden. | 1. Wenn dieses Verhalten nicht beabsichtigt ist, löschen Sie das entsprechende Containerimage. 2. Stellen Sie sicher, dass auf den Docker-Daemon nicht über einen unsicheren TCP-Socket zugegriffen werden kann. 3. Eskalieren Sie die Warnung an das IT-Sicherheitsteam. |
IoT_CryptoMinerContainer |
| Verdächtige Verwendung des nohup-Befehls erkannt | Medium | IoT-Micro-Agent von Defender | Verdächtige Verwendung des nohup-Befehls auf dem Host erkannt. Böswillige Akteure führen den nohup-Befehl in der Regel in einem temporären Verzeichnis aus, damit ihre ausführbaren Dateien im Hintergrund ausgeführt werden können. Die Ausführung dieses Befehls für Dateien in einem temporären Verzeichnis ist weder ein erwartbares noch ein normales Verhalten. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. | IoT_SuspiciousNohup |
| Verdächtige Verwendung des useradd-Befehls erkannt | Medium | IoT-Micro-Agent von Defender | Verdächtige Verwendung des useradd-Befehls auf dem Gerät erkannt. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. | IoT_SuspiciousUseradd |
| Verfügbar gemachter Docker-Daemon von TCP-Socket | Medium | IoT-Micro-Agent von Defender | Computerprotokolle deuten darauf hin, dass Ihr Docker-Daemon (dockerd) einen TCP-Socket verfügbar macht. Standardmäßig verwendet die Docker-Konfiguration keine Verschlüsselung oder Authentifizierung, wenn ein TCP-Socket aktiviert ist. Die Standardkonfiguration von Docker ermöglicht jedem, der Zugriff auf den entsprechenden Port hat, Vollzugriff auf den Docker-Daemon. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. | IoT_ExposedDocker |
| Fehler bei der lokalen Anmeldung | Medium | IoT-Micro-Agent von Defender | Ein fehlgeschlagener Anmeldeversuch auf dem Gerät wurde erkannt. | Stellen Sie sicher, dass keine nicht autorisierte Partei physischen Zugriff auf das Gerät hat. | IoT_FailedLocalLogin |
| Erkannter Dateidownload von einer schädlichen Quelle | Medium | IoT-Micro-Agent von Defender | Der Download einer Datei von einer bekannten Quelle für Schadsoftware wurde erkannt. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. | IoT_PossibleMalware |
| Zugriff auf htaccess-Datei erkannt | Medium | IoT-Micro-Agent von Defender | Bei der Analyse von Hostdaten wurde eine mögliche Manipulation einer htaccess-Datei erkannt. Bei htaccess handelt es sich um eine leistungsstarke Konfigurationsdatei, mit der Sie mehrere Änderungen an einem Webserver mit der Apache Web-Software vornehmen können, beispielsweise grundlegende Umleitungsfunktionen oder erweiterte Funktionen wie den einfachen Kennwortschutz. Böswillige Akteure ändern häufig die htaccess-Dateien auf Computern, die sie kompromittiert haben, um dauerhaft Zugriff zu erhalten. | Vergewissern Sie sich, dass dies eine legitime erwartete Aktivität auf dem Host ist. Eskalieren Sie die Warnung andernfalls an Ihr IT-Sicherheitsteam. | IoT_AccessingHtaccessFile |
| Bekanntes Angriffstool | Medium | IoT-Micro-Agent von Defender | Ein Tool wurde erkannt, das häufig mit Angriffen auf andere Computer durch böswilliger Benutzer in Verbindung steht. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. | IoT_KnownAttackTools |
| Local Host-Reconnaissance erkannt | Medium | IoT-Micro-Agent von Defender | Es wurde die Ausführung eines Befehls erkannt, der normalerweise häufig mit Linux-Bot-Reconnaissance in Verbindung steht. | Überprüfen Sie die verdächtige Befehlszeile, um zu bestätigen, dass sie von einem legitimen Benutzer ausgeführt wurde. Eskalieren Sie die Warnung andernfalls an Ihr IT-Sicherheitsteam. | IoT_LinuxReconnaissance |
| Konflikt zwischen Skriptinterpreter und Dateierweiterung | Medium | IoT-Micro-Agent von Defender | Es wurde ein Konflikt zwischen dem Skriptinterpreter und der Erweiterung der als Eingabe bereitgestellten Skriptdatei erkannt. Diese Art von Abweichung ist häufig mit Skriptausführungen durch Angreifer verknüpft. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. | IoT_ScriptInterpreterMismatch |
| Mögliche Hintertür erkannt | Medium | IoT-Micro-Agent von Defender | Eine verdächtige Datei wurde heruntergeladen und dann auf einem Host in Ihrem Abonnement ausgeführt. Dieser Aktivitätstyp ist in der Regel mit der Installation einer Backdoor verknüpft. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. | IoT_LinuxBackdoor |
| Möglicher Datenverlust erkannt | Medium | IoT-Micro-Agent von Defender | Eine mögliche Datenausgangsbedingung wurde mithilfe der Analyse von Hostdaten erkannt. Böswillige Akteure übermitteln häufig Daten von kompromittierten Computern. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. | IoT_EgressData |
| Privilegierter Container erkannt | Medium | IoT-Micro-Agent von Defender | Computerprotokolle weisen darauf hin, dass ein privilegierter Docker-Container ausgeführt wird. Ein privilegierter Container hat Vollzugriff auf die Ressourcen des Hosts. Im Fall einer Kompromittierung kann ein böswilliger Akteur den privilegierten Container verwenden, um Zugriff auf den Hostcomputer zu erlangen. | Wenn der Container nicht im privilegierten Modus ausgeführt werden muss, entfernen Sie die Berechtigungen für den Container. | IoT_PrivilegedContainer |
| Entfernen von Systemprotokolldateien erkannt | Medium | IoT-Micro-Agent von Defender | Es wurde ein verdächtiges Entfernen von Protokolldateien auf dem Host erkannt. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. | IoT_RemovelOfSystemLogs |
| Leerzeichen nach dem Dateinamen | Medium | IoT-Micro-Agent von Defender | Die Ausführung eines Prozesses mit einer verdächtigen Erweiterung wurde nach einer Analyse der Hostdaten erkannt. Verdächtige Erweiterungen können Benutzer dazu bringen, zu denken, dass Dateien sicher geöffnet werden können, und können somit ein Zeichen für das Vorhandensein von Schadsoftware auf dem System sein. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. | IoT_ExecuteFileWithTrailingSpace |
| Häufig verwendete Tools für den böswilligen Zugriff auf Anmeldeinformationen erkannt | Medium | IoT-Micro-Agent von Defender | Die Verwendung eines Tools wurde erkannt, das üblicherweise mit böswilligen Versuchen des Zugriffs auf Anmeldeinformationen verknüpft ist. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. | IoT_CredentialAccessTools |
| Verdächtige Kompilierung erkannt | Medium | IoT-Micro-Agent von Defender | Verdächtige Kompilierung erkannt. Böswillige Akteure kompilieren häufig Exploits auf einem Computer, den sie kompromittiert haben, um die Berechtigungen zu erhöhen. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. | IoT_SuspiciousCompilation |
| Verdächtiger Dateidownload gefolgt von der Aktivität „Datei ausführen“ | Medium | IoT-Micro-Agent von Defender | Bei der Analyse von Hostdaten wurde das Herunterladen und Ausführen einer Datei im gleichen Befehl erkannt. Diese Technik wird häufig von böswilligen Akteuren angewandt, um infizierte Dateien auf Zielcomputer zu übertragen. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob es sich um eine legitime, auf dem Gerät zu erwartende Aktivität handelt. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. | IoT_DownloadFileThenRun |
| Verdächtige IP-Adressenkommunikation | Medium | IoT-Micro-Agent von Defender | Kommunikation mit einer verdächtigen IP-Adresse erkannt. | Überprüfen Sie, ob die Verbindung legitim ist. Blockieren Sie ggf. die Kommunikation mit der verdächtigen IP-Adresse. | IoT_TiConnection |
| Schädliche Domänennamenanforderung | Medium | IoT-Micro-Agent von Defender | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann einem Angriff zugeordnet werden, bei dem eine Methode verwendet wird, für die eine bestimmte Malware bekannt ist. | Trennen Sie die Quelle vom Netzwerk. Führen Sie die Reaktion auf Vorfälle aus. | IoT_MaliciousNameQueriesDetection |
Niedriger Schweregrad
| Name | severity | Data source | BESCHREIBUNG | Vorschlag für Problemlösungsschritte | Warnungstyp |
|---|---|---|---|---|---|
| Bashverlauf gelöscht | Niedrig | IoT-Micro-Agent von Defender | Das Bash-Verlaufsprotokoll wurde gelöscht. Böswillige Akteure löschen den Bash-Verlauf in der Regel, um ihre eigenen Befehle aus den Protokollen zu entfernen. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob die Aktivität in dieser Warnung eine legitime administrative Aktivität ist. Eskalieren Sie die Warnung andernfalls an das IT-Sicherheitsteam. | IoT_ClearHistoryFile |
Nächste Schritte
- Übersicht über den Defender für IoT-Dienst