Alertes de sécurité d’appareil Defender pour IoT hérité
Notes
L’agent hérité Microsoft Defender for IoT a été remplacé par notre expérience de micro-agent plus récente. Pour plus d’informations, consultez Tutoriel : examiner des alertes de sécurité.
Depuis le 31 mars 2022, l’agent hérité est devenu obsolète et aucune nouvelle fonctionnalité n’est en cours de développement. L’agent hérité sera entièrement retiré le 31 mars 2023. À cette date, nous ne fournirons plus de correctifs de bogues ou autre type de prise en charge de l’agent hérité.
Defender pour IoT analyse continuellement votre solution IoT à l’aide d’analyses avancées et d’informations sur les menaces pour vous alerter en cas d’activités malveillantes. En outre, vous pouvez créer des alertes personnalisées en fonction de votre connaissance du comportement attendu de l’appareil. Une alerte sert d’indicateur de compromission potentielles et doit être examinée et corrigée.
Dans cet article, vous trouverez une liste d’alertes intégrées qui peuvent être déclenchées sur vos appareils IoT. Outre les alertes intégrées, Defender pour IoT vous permet de définir des alertes personnalisées basées sur le comportement attendu d’un IoT Hub et/ou d’un appareil. Pour plus d’informations, consultez Alertes personnalisables.
Alertes de sécurité basées sur des agents
| Nom | severity | source de données | Description | Étapes de correction recommandées |
|---|---|---|---|---|
| Niveau de gravité Élevé | ||||
| Ligne de commande binaire | Élevé | Micro-agent Defender-IoT hérité | Détection d’un binaire Linux appelé/exécuté à partir de la ligne de commande. Ce processus peut représenter une activité légitime, ou indiquer que votre appareil est compromis. | Évaluez la commande avec l’utilisateur qui l’a exécutée et vérifiez s’il s’agit d’une action qui devrait être exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Désactiver le pare-feu | Élevé | Micro-agent Defender-IoT hérité | Détection d’une manipulation possible du pare-feu sur l’hôte. Les acteurs malveillants désactivent généralement le pare-feu sur l’hôte pour tenter d’exfiltrer des données. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Détection d’un réacheminement de port | Élevé | Micro-agent Defender-IoT hérité | Détection du lancement d’un réacheminement de port vers une adresse IP externe. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Détection d’une tentative possible de désactivation de la journalisation Auditd | Élevé | Micro-agent Defender-IoT hérité | Le système Linux Auditd permet d’effectuer le suivi des informations système relatives à la sécurité. Le système enregistre autant d’informations que possible sur les événements qui se produisent sur votre système. Ces informations sont essentielles pour les environnements stratégiques afin d’identifier la personne ayant violé la stratégie de sécurité, et de comprendre les actions qu’elle a exécutées. La désactivation de la journalisation Auditd risquerait de vous empêcher de détecter des violations des stratégies de sécurité utilisées sur le système. | Vérifiez auprès du propriétaire de l’appareil s’il s’agissait d’une activité légitime motivée par des raisons commerciales. Si ce n’est pas le cas, cet événement peut cacher les activités effectuées par des acteurs malveillants. Signalez immédiatement l’incident à votre équipe responsable de la sécurité des informations. |
| Interpréteurs de commandes inversés | Élevé | Micro-agent Defender-IoT hérité | L’analyse des données d’hôte sur un appareil a détecté la présence potentielle d’un interpréteur de commandes inverse. Les interpréteurs de commandes inversées sont généralement utilisés pour forcer un machine ayant été compromise à effectuer un rappel à partir d’une machine appartenant à l’attaquant. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Tentative par force brute réussie | Élevé | Micro-agent Defender-IoT hérité | Plusieurs tentatives de connexion ayant échoué ont été détectées, suivies d’une connexion réussie. Une tentative d’attaque par force brute sur l’appareil peut avoir réussi sur l’appareil. | Examinez l’alerte d’attaque par force brute SSH et l’activité sur les appareils. En cas d’activité malveillante : Réinitialisez le mot de passe pour les comptes compromis. Recherchez et corrigez (si besoin) les appareils sur lesquels figurent des logiciels malveillants. |
| Connexion locale réussie | Élevé | Micro-agent Defender-IoT hérité | Une connexion locale réussie à l’appareil a été détectée | Assurez-vous que l’utilisateur connecté est un tiers autorisé. |
| Interpréteur de commandes web | Élevé | Micro-agent Defender-IoT hérité | Détection d’une utilisation possible d’un interpréteur de commandes web. Les acteurs malveillants chargent généralement un interpréteur de commandes web sur une machine compromise pour s’y installer ou l’exploiter de manière approfondie. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Niveau de gravité Moyen | ||||
| Détection d’un comportement similaire à aux bots Linux courants | Moyenne | Micro-agent Defender-IoT hérité | Détection de l’exécution d’un processus normalement associé aux botnets Linux courants. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Détection d’un comportement similaire au ransomware Fairware | Moyenne | Micro-agent Defender-IoT hérité | L’analyse des données de l’hôte a permis de détecter l’exécution de commandes rm -rf appliquées à des emplacements suspects. La commande rm -rf supprime récursivement les fichiers et elle est normalement appliquée à des dossiers discrets. Dans ce cas, elle est utilisée dans un emplacement qui peut supprimer une grande quantité de données. Le ransomware Fairware est connu pour exécuter des commandes rm -rf dans ce dossier. | Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Détection d’un comportement similaire à un ransomware | Moyenne | Micro-agent Defender-IoT hérité | Exécution de fichiers similaires aux rançongiciel connus qui peuvent empêcher les utilisateurs d’accéder à leur système ou à leurs fichiers personnels et exiger le paiement d’une rançon pour obtenir l’accès. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Détection d’une image conteneur de mineur de cryptomonnaie | Moyenne | Micro-agent Defender-IoT hérité | Conteneur détectant l’exécution d’images de minage de devises numériques connues. | 1. Si ce comportement n’est pas prévu, supprimez l’image de conteneur concernée. 2. Assurez-vous que le démon Docker n’est pas accessible par un socket TCP non sécurisé. 3. Signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Image de mineur de cryptomonnaie | Moyenne | Micro-agent Defender-IoT hérité | Détection de l’exécution d’un processus normalement associé au minage de devises numériques. | Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Détection d’une utilisation suspecte de la commande nohup | Moyenne | Micro-agent Defender-IoT hérité | Détection d’une utilisation suspecte de la commande nohup sur l’hôte. Les acteurs malveillants exécutent généralement la commande nohup à partir d’un répertoire temporaire, ce qui permet à leurs exécutables de s’exécuter en arrière-plan. L’exécution de cette commande sur des fichiers situés dans un répertoire temporaire n’est pas un comportement prévu ou habituel. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Détection d’une utilisation suspecte de la commande useradd | Moyenne | Micro-agent Defender-IoT hérité | Détection d’une utilisation suspecte de la commande useradd sur l’appareil. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Démon Docker exposé par le socket TCP | Moyenne | Micro-agent Defender-IoT hérité | Les journaux de la machine indiquent que le démon Docker (dockerd) expose un socket TCP. Par défaut, la configuration Docker n’utilise pas le chiffrement ou l’authentification lorsqu’un socket TCP est activé. La configuration Docker par défaut permet à toute personne ayant accès au port concerné d’accéder intégralement au démon Docker. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Échec de la connexion locale | Moyenne | Micro-agent Defender-IoT hérité | Détection de l’échec d’une tentative de connexion locale à l’appareil. | Assurez-vous qu’aucune partie non autorisée ne dispose d’un accès physique à l’appareil. |
| Détection de téléchargements de fichiers à partir d’une source malveillante connue | Moyenne | Micro-agent Defender-IoT hérité | Détection d’un téléchargement de fichier à partir d’une source de logiciels malveillants connue. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Détection d’un accès au fichier htaccess | Moyenne | Micro-agent Defender-IoT hérité | L’analyse des données de l’hôte a détecté une possible manipulation d’un fichier htaccess. Htaccess est un puissant fichier config qui vous permet d’apporter plusieurs modifications à un serveur web exécutant le logiciel Web Apache, notamment la fonctionnalité de redirection de base ou des fonctions plus avancées telles que la protection de mot de passe de base. Les acteurs malveillants modifient généralement les fichiers htaccess sur des machines qu’ils ont compromises pour s’y installer. | Vérifiez qu’il s’agisse bien d’une activité légitime prévue sur l’hôte. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Outil d’attaque connu | Moyenne | Micro-agent Defender-IoT hérité | Un outil souvent associé à des utilisateurs malveillants qui tentent d’attaquer d’autres machines d’une certaine façon a été détecté. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| L’agent IoT a tenté en vain d’analyser la configuration de jumeau de module | Moyenne | Micro-agent Defender-IoT hérité | L’agent de sécurité Defender pour IoT n’a pas pu analyser la configuration de jumeau de module en raison d’incompatibilités de type dans l’objet de configuration | Validez la configuration de votre jumeau de module par rapport au schéma de configuration de l’agent IoT, corrigez toutes les incompatibilités. |
| Détection d’une reconnaissance d’hôte local | Moyenne | Micro-agent Defender-IoT hérité | Détection de l’exécution d’une commande généralement associée à la reconnaissance d’un bot Linux courant. | Examinez la ligne de commande suspecte pour confirmer qu’elle a été exécutée par un utilisateur légitime. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Incohérence entre l’interpréteur de script et l’extension de fichier | Moyenne | Micro-agent Defender-IoT hérité | Détection d’une incohérence entre l’interpréteur de script et l’extension du fichier script fourni comme entrée. Ce type d’incohérence est couramment associé aux exécutions de scripts malveillants. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Détection d’une possible porte dérobée | Moyenne | Micro-agent Defender-IoT hérité | Un fichier suspect a été téléchargé et exécuté sur un hôte dans votre abonnement. Ce type d’activité est généralement associé à l’installation d’une porte dérobée. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Détection d’une perte potentielle de données | Moyenne | Micro-agent Defender-IoT hérité | Condition de sortie de données possible détectée grâce à l’analyse des données de l’hôte. Les acteurs malveillants sortent souvent les données des machines qu’ils ont compromises. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Remplacement potentiel de fichiers courants | Moyenne | Micro-agent Defender-IoT hérité | Un exécutable courant a été remplacé sur l’appareil. Les acteurs malveillants sont connus pour remplacer des fichiers courants pour masquer leurs actions ou s’installer dans l’environnement. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Détection d’un conteneur privilégié | Moyenne | Micro-agent Defender-IoT hérité | Les journaux de la machine indiquent qu’un conteneur Docker privilégié est en cours d’exécution. Un conteneur privilégié a intégralement accès aux ressources de l’hôte. En cas de compromission, un acteur malveillant peut utiliser le conteneur privilégié pour accéder à la machine de l’hôte. | Si le conteneur n’a pas besoin d’être exécuté en mode privilégié, supprimez les privilèges du conteneur. |
| Détection d’une suppression des fichiers journaux système | Moyenne | Micro-agent Defender-IoT hérité | Détection d’une suppression suspecte de fichiers journaux sur l’hôte. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Espace après le nom de fichier | Moyenne | Micro-agent Defender-IoT hérité | L’analyse des données de l’hôte a permis de détecter l’exécution d’un processus avec une extension suspecte. Les extensions suspectes amènent les utilisateurs à penser que les fichiers peuvent être ouverts en toute sécurité, ce qui peut indiquer la présence de programmes malveillants dans le système. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Détention d’outils d’accès aux informations d’identification malveillants et suspects | Moyenne | Micro-agent Defender-IoT hérité | Détection de l’utilisation d’un outil couramment associé à des tentatives malveillantes visant à accéder aux informations d’identification. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Détection d’une compilation suspecte | Moyenne | Micro-agent Defender-IoT hérité | Détection d’une compilation suspecte. Les acteurs malveillants compilent souvent des exploitations sur une machine qu’ils ont compromise pour élever les privilèges. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Activité de téléchargement puis d’exécution d’un fichier suspect | Moyenne | Micro-agent Defender-IoT hérité | L’analyse des données de l’hôte a permis de détecter qu’un fichier a été téléchargé puis exécuté dans la même commande. Cette technique est couramment utilisée par les acteurs malveillants pour transférer des fichiers infectés sur les machines des victimes. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Communication avec adresse IP suspecte | Moyenne | Micro-agent Defender-IoT hérité | Détection d’une communication avec une adresse IP suspecte. | Vérifiez si la connexion est légitime. Envisagez de bloquer la communication avec l’adresse IP suspecte. |
| Niveau de gravité BAS | ||||
| Historique de bash effacé | Faible | Micro-agent Defender-IoT hérité | Le journal de l’historique de bash a été effacé. Les acteurs malveillants effacent généralement l’historique de bash pour masquer leurs propres commandes dans les journaux. | Vérifiez l’activité de cette alerte avec l’utilisateur ayant exécuté la commande pour déterminer s’il s’agit d’une activité administrative légitime. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. |
| Appareil silencieux | Faible | Micro-agent Defender-IoT hérité | L’appareil n’a pas envoyé de données de télémétrie au cours des 72 dernières heures. | Assurez-vous que l’appareil est en ligne et envoie les données. Vérifiez que l’agent de sécurité Azure est en cours d’exécution sur l’appareil. |
| Échec de la tentative par force brute | Faible | Micro-agent Defender-IoT hérité | Identification de plusieurs tentatives de connexion ayant échoué. Une tentative d’attaque par force brute potentielle sur l’appareil a échoué. | Examinez les alertes d’attaque par force brute SSH et l’activité sur l’appareil. Aucune action supplémentaire n’est requise. |
| Utilisateur local ajouté à un ou plusieurs groupes | Faible | Micro-agent Defender-IoT hérité | Nouvel utilisateur local ajouté à un groupe sur cet appareil. Les modifications apportées aux groupes d’utilisateurs sont rares et peuvent indiquer qu’un acteur malveillant peut collecter des autorisations supplémentaires. | Vérifiez si la modification est cohérente par rapport aux autorisations demandées par l’utilisateur concerné. Si la modification n’est pas cohérente, faites-la remonter à votre équipe responsable de la sécurité des informations. |
| Utilisateur local supprimé d’un ou de plusieurs groupes | Faible | Micro-agent Defender-IoT hérité | Un utilisateur local a été supprimé d’un ou de plusieurs groupes. Les acteurs malveillants sont connus pour utiliser cette méthode dans le but de refuser l’accès à des utilisateurs légitimes, ou de supprimer l’historique de leurs propres actions. | Vérifiez si la modification est cohérente par rapport aux autorisations demandées par l’utilisateur concerné. Si la modification n’est pas cohérente, faites-la remonter à votre équipe responsable de la sécurité des informations. |
| Suppression de l’utilisateur local détectée | Faible | Micro-agent Defender-IoT hérité | La suppression d’un utilisateur local a été détectée. La suppression de l’utilisateur local n’est pas courante ; un acteur malveillant tente peut-être de refuser l’accès à des utilisateurs légitimes, ou de supprimer l’historique de ses actions. | Vérifiez si la modification est cohérente par rapport aux autorisations demandées par l’utilisateur concerné. Si la modification n’est pas cohérente, faites-la remonter à votre équipe responsable de la sécurité des informations. |
Étapes suivantes
- Vue d’ensemble du service Defender pour IoT
- Découvrez comment accéder à vos données de sécurité
- En savoir plus sur l’examen d’un appareil
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour