Lire en anglais

Partager via


Alertes de sécurité du micro-agent

Defender pour IoT analyse continuellement votre solution IoT à l’aide d’analyses avancées et d’informations sur les menaces pour vous alerter en cas d’activités malveillantes. En outre, vous pouvez créer des alertes personnalisées en fonction de votre connaissance du comportement attendu de l’appareil. Une alerte sert d’indicateur de compromission potentielles et doit être examinée et corrigée.

Notes

Defender pour IoT prévoit de mettre hors service le micro agent le 1er août 2025.

Dans cet article, vous trouverez une liste d’alertes intégrées qui peuvent être déclenchées sur vos appareils IoT.

Alertes de sécurité

Niveau de gravité Élevé

Nom Gravité Source de données Description Étapes de correction recommandées Type d’alerte
Ligne de commande binaire Élevé Micro-agent Defender-IoT Détection d’un binaire Linux appelé/exécuté à partir de la ligne de commande. Ce processus peut représenter une activité légitime, ou indiquer que votre appareil est compromis. Évaluez la commande avec l’utilisateur qui l’a exécutée et vérifiez s’il s’agit d’une action qui devrait être exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_BinaryCommandLine
Désactiver le pare-feu Élevé Micro-agent Defender-IoT Détection d’une manipulation possible du pare-feu sur l’hôte. Les acteurs malveillants désactivent généralement le pare-feu sur l’hôte pour tenter d’exfiltrer des données. Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_DisableFirewall
Détection d’un réacheminement de port Élevé Micro-agent Defender-IoT Détection du lancement d’un réacheminement de port vers une adresse IP externe. Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_PortForwarding
Détection d’une tentative possible de désactivation de la journalisation Auditd Élevé Micro-agent Defender-IoT Le système Linux Auditd permet d’effectuer le suivi des informations système relatives à la sécurité. Le système enregistre autant d’informations que possible sur les événements qui se produisent sur votre système. Ces informations sont essentielles pour les environnements stratégiques afin d’identifier la personne ayant violé la stratégie de sécurité, et de comprendre les actions qu’elle a exécutées. La désactivation de la journalisation Auditd risquerait de vous empêcher de détecter des violations des stratégies de sécurité utilisées sur le système. Vérifiez auprès du propriétaire de l’appareil s’il s’agissait d’une activité légitime motivée par des raisons commerciales. Si ce n’est pas le cas, cet événement peut cacher les activités effectuées par des acteurs malveillants. Signalez immédiatement l’incident à votre équipe responsable de la sécurité des informations. IoT_DisableAuditdLogging
Interpréteurs de commandes inversés Élevé Micro-agent Defender-IoT L’analyse des données d’hôte sur un appareil a détecté la présence potentielle d’un interpréteur de commandes inverse. Les interpréteurs de commandes inversées sont généralement utilisés pour forcer un machine ayant été compromise à effectuer un rappel à partir d’une machine appartenant à l’attaquant. Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_ReverseShell
Connexion locale réussie Élevé Micro-agent Defender-IoT Détection d’une connexion locale réussie sur l’appareil. Assurez-vous que l’utilisateur connecté est un tiers autorisé. IoT_SuccessfulLocalLogin
Interpréteur de commandes web Élevé Micro-agent Defender-IoT Détection d’une utilisation possible d’un interpréteur de commandes web. Les acteurs malveillants chargent généralement un interpréteur de commandes web sur une machine compromise pour s’y installer ou l’exploiter de manière approfondie. Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_WebShell
Détection d’un comportement similaire à un ransomware Élevé Micro-agent Defender-IoT Exécution de fichiers similaires aux rançongiciel connus qui peuvent empêcher les utilisateurs d’accéder à leur système ou à leurs fichiers personnels et exiger le paiement d’une rançon pour obtenir l’accès. Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_Ransomware
Image de mineur de cryptomonnaie Élevé Micro-agent Defender-IoT Détection de l’exécution d’un processus normalement associé au minage de devises numériques. Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_CryptoMiner
Nouvelle connexion USB Élevé Micro-agent Defender-IoT Une connexion d’appareil USB a été détectée. Cela peut indiquer une activité malveillante. Vérifiez qu’il s’agit bien d’une activité légitime prévue sur l’hôte. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_USBConnection
Déconnexion USB Élevé Micro-agent Defender-IoT Une déconnexion d’appareil USB a été détectée. Cela peut indiquer une activité malveillante. Vérifiez qu’il s’agit bien d’une activité légitime prévue sur l’hôte. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_UsbDisconnection
Nouvelle connexion Ethernet Élevé Micro-agent Defender-IoT Une nouvelle connexion Ethernet a été détectée. Cela peut indiquer une activité malveillante. Vérifiez qu’il s’agit bien d’une activité légitime prévue sur l’hôte. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_EthernetConnection
Déconnexion Ethernet Élevé Micro-agent Defender-IoT Une nouvelle déconnexion Ethernet a été détectée. Cela peut indiquer une activité malveillante. Vérifiez qu’il s’agit bien d’une activité légitime prévue sur l’hôte. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_EthernetDisconnection
Fichier créé Élevé Micro-agent Defender-IoT Un nouveau fichier a été détecté. Cela peut indiquer une activité malveillante. Vérifiez qu’il s’agit bien d’une activité légitime prévue sur l’hôte. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_FileCreated
Fichier modifié Élevé Micro-agent Defender-IoT Une modification de fichier a été détectée. Cela peut indiquer une activité malveillante. Vérifiez qu’il s’agit bien d’une activité légitime prévue sur l’hôte. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_FileModified
Fichier supprimé Élevé Micro-agent Defender-IoT Une suppression de fichier a été détectée. Cela peut indiquer une activité malveillante. Vérifiez qu’il s’agit bien d’une activité légitime prévue sur l’hôte. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_FileDeleted

Niveau de gravité Moyen

Nom Gravité Source de données Description Étapes de correction recommandées Type d’alerte
Détection d’un comportement similaire à aux bots Linux courants Moyenne Micro-agent Defender-IoT Détection de l’exécution d’un processus normalement associé aux botnets Linux courants. Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_CommonBots
Détection d’un comportement similaire au ransomware Fairware Moyenne Micro-agent Defender-IoT L’analyse des données de l’hôte a permis de détecter l’exécution de commandes rm -rf appliquées à des emplacements suspects. La commande rm -rf supprime récursivement les fichiers et elle est normalement appliquée à des dossiers discrets. Dans ce cas, elle est utilisée dans un emplacement qui peut supprimer une grande quantité de données. Le ransomware Fairware est connu pour exécuter des commandes rm -rf dans ce dossier. Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_FairwareMalware
Détection d’une image conteneur de mineur de cryptomonnaie Moyenne Micro-agent Defender-IoT Conteneur détectant l’exécution d’images de minage de devises numériques connues. 1. Si ce comportement n’est pas prévu, supprimez l’image de conteneur concernée.
2. Assurez-vous que le démon Docker n’est pas accessible par un socket TCP non sécurisé.
3. Signalez l’alerte à votre équipe responsable de la sécurité des informations.
IoT_CryptoMinerContainer
Détection d’une utilisation suspecte de la commande nohup Moyenne Micro-agent Defender-IoT Détection d’une utilisation suspecte de la commande nohup sur l’hôte. Les acteurs malveillants exécutent généralement la commande nohup à partir d’un répertoire temporaire, ce qui permet à leurs exécutables de s’exécuter en arrière-plan. L’exécution de cette commande sur des fichiers situés dans un répertoire temporaire n’est pas un comportement prévu ou habituel. Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_SuspiciousNohup
Détection d’une utilisation suspecte de la commande useradd Moyenne Micro-agent Defender-IoT Détection d’une utilisation suspecte de la commande useradd sur l’appareil. Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_SuspiciousUseradd
Démon Docker exposé par le socket TCP Moyenne Micro-agent Defender-IoT Les journaux de la machine indiquent que le démon Docker (dockerd) expose un socket TCP. Par défaut, la configuration Docker n’utilise pas le chiffrement ou l’authentification lorsqu’un socket TCP est activé. La configuration Docker par défaut permet à toute personne ayant accès au port concerné d’accéder intégralement au démon Docker. Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_ExposedDocker
Échec de la connexion locale Moyenne Micro-agent Defender-IoT Détection de l’échec d’une tentative de connexion locale à l’appareil. Assurez-vous qu’aucune partie non autorisée ne dispose d’un accès physique à l’appareil. IoT_FailedLocalLogin
Détection de téléchargements de fichiers à partir d’une source malveillante Moyenne Micro-agent Defender-IoT Détection d’un téléchargement de fichier à partir d’une source de logiciels malveillants connue. Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_PossibleMalware
Détection d’un accès au fichier htaccess Moyenne Micro-agent Defender-IoT L’analyse des données de l’hôte a détecté une possible manipulation d’un fichier htaccess. Htaccess est un puissant fichier config qui vous permet d’apporter plusieurs modifications à un serveur web exécutant le logiciel Web Apache, notamment la fonctionnalité de redirection de base ou des fonctions plus avancées telles que la protection de mot de passe de base. Les acteurs malveillants modifient généralement les fichiers htaccess sur des machines qu’ils ont compromises pour s’y installer. Vérifiez qu’il s’agisse bien d’une activité légitime prévue sur l’hôte. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_AccessingHtaccessFile
Outil d’attaque connu Moyenne Micro-agent Defender-IoT Un outil souvent associé à des utilisateurs malveillants qui tentent d’attaquer d’autres machines d’une certaine façon a été détecté. Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_KnownAttackTools
Détection d’une reconnaissance d’hôte local Moyenne Micro-agent Defender-IoT Détection de l’exécution d’une commande généralement associée à la reconnaissance d’un bot Linux courant. Examinez la ligne de commande suspecte pour confirmer qu’elle a été exécutée par un utilisateur légitime. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_LinuxReconnaissance
Incohérence entre l’interpréteur de script et l’extension de fichier Moyenne Micro-agent Defender-IoT Détection d’une incohérence entre l’interpréteur de script et l’extension du fichier script fourni comme entrée. Ce type d’incohérence est couramment associé aux exécutions de scripts malveillants. Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_ScriptInterpreterMismatch
Détection d’une possible porte dérobée Moyenne Micro-agent Defender-IoT Un fichier suspect a été téléchargé et exécuté sur un hôte dans votre abonnement. Ce type d’activité est généralement associé à l’installation d’une porte dérobée. Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_LinuxBackdoor
Possible détection d’une perte de données Moyenne Micro-agent Defender-IoT Condition de sortie de données possible détectée grâce à l’analyse des données de l’hôte. Les acteurs malveillants sortent souvent les données des machines qu’ils ont compromises. Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_EgressData
Détection d’un conteneur privilégié Moyenne Micro-agent Defender-IoT Les journaux de la machine indiquent qu’un conteneur Docker privilégié est en cours d’exécution. Un conteneur privilégié a intégralement accès aux ressources de l’hôte. En cas de compromission, un acteur malveillant peut utiliser le conteneur privilégié pour accéder à la machine de l’hôte. Si le conteneur n’a pas besoin d’être exécuté en mode privilégié, supprimez les privilèges du conteneur. IoT_PrivilegedContainer
Détection d’une suppression des fichiers journaux système Moyenne Micro-agent Defender-IoT Détection d’une suppression suspecte de fichiers journaux sur l’hôte. Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_RemovalOfSystemLogs
Espace après le nom de fichier Moyenne Micro-agent Defender-IoT L’analyse des données de l’hôte a permis de détecter l’exécution d’un processus avec une extension suspecte. Les extensions suspectes amènent les utilisateurs à penser que les fichiers peuvent être ouverts en toute sécurité, ce qui peut indiquer la présence de programmes malveillants dans le système. Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_ExecuteFileWithTrailingSpace
Détection d’outils couramment utilisés pour des tentatives d’accès malveillants aux informations d’identification Moyenne Micro-agent Defender-IoT Détection de l’utilisation d’un outil couramment associé à des tentatives malveillantes visant à accéder aux informations d’identification. Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_CredentialAccessTools
Détection d’une compilation suspecte Moyenne Micro-agent Defender-IoT Détection d’une compilation suspecte. Les acteurs malveillants compilent souvent des exploitations sur une machine qu’ils ont compromise pour élever les privilèges. Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_SuspiciousCompilation
Activité de téléchargement puis d’exécution d’un fichier suspect Moyenne Micro-agent Defender-IoT L’analyse des données de l’hôte a permis de détecter qu’un fichier a été téléchargé puis exécuté dans la même commande. Cette technique est couramment utilisée par les acteurs malveillants pour transférer des fichiers infectés sur les machines des victimes. Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_DownloadFileThenRun
Communication avec adresse IP suspecte Moyenne Micro-agent Defender-IoT Détection d’une communication avec une adresse IP suspecte. Vérifiez si la connexion est légitime. Envisagez de bloquer la communication avec l’adresse IP suspecte. IoT_TiConnection
Demande malveillante de nom de domaine Moyenne Micro-agent Defender-IoT Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque exploitant une méthode utilisée par un programme malveillant connu. Déconnecter la source du réseau. Fournir une réponse aux incidents. IoT_MaliciousNameQueriesDetection

Gravité faible

Nom Gravité Source de données Description Étapes de correction recommandées Type d’alerte
Historique de bash effacé Faible Micro-agent Defender-IoT Le journal de l’historique de bash a été effacé. Les acteurs malveillants effacent généralement l’historique de bash pour masquer leurs propres commandes dans les journaux. Vérifiez l’activité de cette alerte avec l’utilisateur ayant exécuté la commande pour déterminer s’il s’agit d’une activité administrative légitime. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. IoT_ClearHistoryFile

Étapes suivantes