Alertes de sécurité du micro-agent
Defender pour IoT analyse continuellement votre solution IoT à l’aide d’analyses avancées et d’informations sur les menaces pour vous alerter en cas d’activités malveillantes. En outre, vous pouvez créer des alertes personnalisées en fonction de votre connaissance du comportement attendu de l’appareil. Une alerte sert d’indicateur de compromission potentielles et doit être examinée et corrigée.
Dans cet article, vous trouverez une liste d’alertes intégrées qui peuvent être déclenchées sur vos appareils IoT.
Alertes de sécurité
Niveau de gravité Élevé
| Nom | severity | source de données | Description | Étapes de correction recommandées | Type d’alerte |
|---|---|---|---|---|---|
| Ligne de commande binaire | Élevé | Micro-agent Defender-IoT | Détection d’un binaire Linux appelé/exécuté à partir de la ligne de commande. Ce processus peut représenter une activité légitime, ou indiquer que votre appareil est compromis. | Évaluez la commande avec l’utilisateur qui l’a exécutée et vérifiez s’il s’agit d’une action qui devrait être exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_BinaryCommandLine |
| Désactiver le pare-feu | Élevé | Micro-agent Defender-IoT | Détection d’une manipulation possible du pare-feu sur l’hôte. Les acteurs malveillants désactivent généralement le pare-feu sur l’hôte pour tenter d’exfiltrer des données. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_DisableFirewall |
| Détection d’un réacheminement de port | Élevé | Micro-agent Defender-IoT | Détection du lancement d’un réacheminement de port vers une adresse IP externe. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_PortForwarding |
| Détection d’une tentative possible de désactivation de la journalisation Auditd | Élevé | Micro-agent Defender-IoT | Le système Linux Auditd permet d’effectuer le suivi des informations système relatives à la sécurité. Le système enregistre autant d’informations que possible sur les événements qui se produisent sur votre système. Ces informations sont essentielles pour les environnements stratégiques afin d’identifier la personne ayant violé la stratégie de sécurité, et de comprendre les actions qu’elle a exécutées. La désactivation de la journalisation Auditd risquerait de vous empêcher de détecter des violations des stratégies de sécurité utilisées sur le système. | Vérifiez auprès du propriétaire de l’appareil s’il s’agissait d’une activité légitime motivée par des raisons commerciales. Si ce n’est pas le cas, cet événement peut cacher les activités effectuées par des acteurs malveillants. Signalez immédiatement l’incident à votre équipe responsable de la sécurité des informations. | IoT_DisableAuditdLogging |
| Interpréteurs de commandes inversés | Élevé | Micro-agent Defender-IoT | L’analyse des données d’hôte sur un appareil a détecté la présence potentielle d’un interpréteur de commandes inverse. Les interpréteurs de commandes inversées sont généralement utilisés pour forcer un machine ayant été compromise à effectuer un rappel à partir d’une machine appartenant à l’attaquant. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_ReverseShell |
| Connexion locale réussie | Élevé | Micro-agent Defender-IoT | Détection d’une connexion locale réussie sur l’appareil. | Assurez-vous que l’utilisateur connecté est un tiers autorisé. | IoT_SucessfulLocalLogin |
| Interpréteur de commandes web | Élevé | Micro-agent Defender-IoT | Détection d’une utilisation possible d’un interpréteur de commandes web. Les acteurs malveillants chargent généralement un interpréteur de commandes web sur une machine compromise pour s’y installer ou l’exploiter de manière approfondie. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_WebShell |
| Détection d’un comportement similaire à un ransomware | Élevé | Micro-agent Defender-IoT | Exécution de fichiers similaires aux rançongiciel connus qui peuvent empêcher les utilisateurs d’accéder à leur système ou à leurs fichiers personnels et exiger le paiement d’une rançon pour obtenir l’accès. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_Ransomware |
| Image de mineur de cryptomonnaie | Élevé | Micro-agent Defender-IoT | Détection de l’exécution d’un processus normalement associé au minage de devises numériques. | Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_CryptoMiner |
| Nouvelle connexion USB | Élevé | Micro-agent Defender-IoT | Une connexion d’appareil USB a été détectée. Cela peut indiquer une activité malveillante. | Vérifiez qu’il s’agit bien d’une activité légitime prévue sur l’hôte. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_USBConnection |
| Déconnexion USB | Élevé | Micro-agent Defender-IoT | Une déconnexion d’appareil USB a été détectée. Cela peut indiquer une activité malveillante. | Vérifiez qu’il s’agit bien d’une activité légitime prévue sur l’hôte. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_UsbDisconnection |
| Nouvelle connexion Ethernet | Élevé | Micro-agent Defender-IoT | Une nouvelle connexion Ethernet a été détectée. Cela peut indiquer une activité malveillante. | Vérifiez qu’il s’agit bien d’une activité légitime prévue sur l’hôte. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_EthernetConnection |
| Déconnexion Ethernet | Élevé | Micro-agent Defender-IoT | Une nouvelle déconnexion Ethernet a été détectée. Cela peut indiquer une activité malveillante. | Vérifiez qu’il s’agit bien d’une activité légitime prévue sur l’hôte. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_EthernetDisconnection |
| Fichier créé | Élevé | Micro-agent Defender-IoT | Un nouveau fichier a été détecté. Cela peut indiquer une activité malveillante. | Vérifiez qu’il s’agit bien d’une activité légitime prévue sur l’hôte. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_FileCreated |
| Fichier modifié | Élevé | Micro-agent Defender-IoT | Une modification de fichier a été détectée. Cela peut indiquer une activité malveillante. | Vérifiez qu’il s’agit bien d’une activité légitime prévue sur l’hôte. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_FileModified |
| Fichier supprimé | Élevé | Micro-agent Defender-IoT | Une suppression de fichier a été détectée. Cela peut indiquer une activité malveillante. | Vérifiez qu’il s’agit bien d’une activité légitime prévue sur l’hôte. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_FileDeleted |
Niveau de gravité Moyen
| Nom | severity | source de données | Description | Étapes de correction recommandées | Type d’alerte |
|---|---|---|---|---|---|
| Détection d’un comportement similaire à aux bots Linux courants | Moyenne | Micro-agent Defender-IoT | Détection de l’exécution d’un processus normalement associé aux botnets Linux courants. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_CommonBots |
| Détection d’un comportement similaire au ransomware Fairware | Moyenne | Micro-agent Defender-IoT | L’analyse des données de l’hôte a permis de détecter l’exécution de commandes rm -rf appliquées à des emplacements suspects. La commande rm -rf supprime récursivement les fichiers et elle est normalement appliquée à des dossiers discrets. Dans ce cas, elle est utilisée dans un emplacement qui peut supprimer une grande quantité de données. Le ransomware Fairware est connu pour exécuter des commandes rm -rf dans ce dossier. | Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_FairwareMalware |
| Détection d’une image conteneur de mineur de cryptomonnaie | Moyenne | Micro-agent Defender-IoT | Conteneur détectant l’exécution d’images de minage de devises numériques connues. | 1. Si ce comportement n’est pas prévu, supprimez l’image de conteneur concernée. 2. Assurez-vous que le démon Docker n’est pas accessible par un socket TCP non sécurisé. 3. Signalez l’alerte à votre équipe responsable de la sécurité des informations. |
IoT_CryptoMinerContainer |
| Détection d’une utilisation suspecte de la commande nohup | Moyenne | Micro-agent Defender-IoT | Détection d’une utilisation suspecte de la commande nohup sur l’hôte. Les acteurs malveillants exécutent généralement la commande nohup à partir d’un répertoire temporaire, ce qui permet à leurs exécutables de s’exécuter en arrière-plan. L’exécution de cette commande sur des fichiers situés dans un répertoire temporaire n’est pas un comportement prévu ou habituel. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_SuspiciousNohup |
| Détection d’une utilisation suspecte de la commande useradd | Moyenne | Micro-agent Defender-IoT | Détection d’une utilisation suspecte de la commande useradd sur l’appareil. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_SuspiciousUseradd |
| Démon Docker exposé par le socket TCP | Moyenne | Micro-agent Defender-IoT | Les journaux de la machine indiquent que le démon Docker (dockerd) expose un socket TCP. Par défaut, la configuration Docker n’utilise pas le chiffrement ou l’authentification lorsqu’un socket TCP est activé. La configuration Docker par défaut permet à toute personne ayant accès au port concerné d’accéder intégralement au démon Docker. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_ExposedDocker |
| Échec de la connexion locale | Moyenne | Micro-agent Defender-IoT | Détection de l’échec d’une tentative de connexion locale à l’appareil. | Assurez-vous qu’aucune partie non autorisée ne dispose d’un accès physique à l’appareil. | IoT_FailedLocalLogin |
| Détection de téléchargements de fichiers à partir d’une source malveillante | Moyenne | Micro-agent Defender-IoT | Détection d’un téléchargement de fichier à partir d’une source de logiciels malveillants connue. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_PossibleMalware |
| Détection d’un accès au fichier htaccess | Moyenne | Micro-agent Defender-IoT | L’analyse des données de l’hôte a détecté une possible manipulation d’un fichier htaccess. Htaccess est un puissant fichier config qui vous permet d’apporter plusieurs modifications à un serveur web exécutant le logiciel Web Apache, notamment la fonctionnalité de redirection de base ou des fonctions plus avancées telles que la protection de mot de passe de base. Les acteurs malveillants modifient généralement les fichiers htaccess sur des machines qu’ils ont compromises pour s’y installer. | Vérifiez qu’il s’agisse bien d’une activité légitime prévue sur l’hôte. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_AccessingHtaccessFile |
| Outil d’attaque connu | Moyenne | Micro-agent Defender-IoT | Un outil souvent associé à des utilisateurs malveillants qui tentent d’attaquer d’autres machines d’une certaine façon a été détecté. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_KnownAttackTools |
| Détection d’une reconnaissance d’hôte local | Moyenne | Micro-agent Defender-IoT | Détection de l’exécution d’une commande généralement associée à la reconnaissance d’un bot Linux courant. | Examinez la ligne de commande suspecte pour confirmer qu’elle a été exécutée par un utilisateur légitime. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_LinuxReconnaissance |
| Incohérence entre l’interpréteur de script et l’extension de fichier | Moyenne | Micro-agent Defender-IoT | Détection d’une incohérence entre l’interpréteur de script et l’extension du fichier script fourni comme entrée. Ce type d’incohérence est couramment associé aux exécutions de scripts malveillants. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_ScriptInterpreterMismatch |
| Détection d’une possible porte dérobée | Moyenne | Micro-agent Defender-IoT | Un fichier suspect a été téléchargé et exécuté sur un hôte dans votre abonnement. Ce type d’activité est généralement associé à l’installation d’une porte dérobée. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_LinuxBackdoor |
| Possible détection d’une perte de données | Moyenne | Micro-agent Defender-IoT | Condition de sortie de données possible détectée grâce à l’analyse des données de l’hôte. Les acteurs malveillants sortent souvent les données des machines qu’ils ont compromises. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_EgressData |
| Détection d’un conteneur privilégié | Moyenne | Micro-agent Defender-IoT | Les journaux de la machine indiquent qu’un conteneur Docker privilégié est en cours d’exécution. Un conteneur privilégié a intégralement accès aux ressources de l’hôte. En cas de compromission, un acteur malveillant peut utiliser le conteneur privilégié pour accéder à la machine de l’hôte. | Si le conteneur n’a pas besoin d’être exécuté en mode privilégié, supprimez les privilèges du conteneur. | IoT_PrivilegedContainer |
| Détection d’une suppression des fichiers journaux système | Moyenne | Micro-agent Defender-IoT | Détection d’une suppression suspecte de fichiers journaux sur l’hôte. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_RemovelOfSystemLogs |
| Espace après le nom de fichier | Moyenne | Micro-agent Defender-IoT | L’analyse des données de l’hôte a permis de détecter l’exécution d’un processus avec une extension suspecte. Les extensions suspectes amènent les utilisateurs à penser que les fichiers peuvent être ouverts en toute sécurité, ce qui peut indiquer la présence de programmes malveillants dans le système. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_ExecuteFileWithTrailingSpace |
| Détection d’outils couramment utilisés pour des tentatives d’accès malveillants aux informations d’identification | Moyenne | Micro-agent Defender-IoT | Détection de l’utilisation d’un outil couramment associé à des tentatives malveillantes visant à accéder aux informations d’identification. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_CredentialAccessTools |
| Détection d’une compilation suspecte | Moyenne | Micro-agent Defender-IoT | Détection d’une compilation suspecte. Les acteurs malveillants compilent souvent des exploitations sur une machine qu’ils ont compromise pour élever les privilèges. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_SuspiciousCompilation |
| Activité de téléchargement puis d’exécution d’un fichier suspect | Moyenne | Micro-agent Defender-IoT | L’analyse des données de l’hôte a permis de détecter qu’un fichier a été téléchargé puis exécuté dans la même commande. Cette technique est couramment utilisée par les acteurs malveillants pour transférer des fichiers infectés sur les machines des victimes. | Déterminez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité ayant été exécutée de manière légitime sur l’appareil. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_DownloadFileThenRun |
| Communication avec adresse IP suspecte | Moyenne | Micro-agent Defender-IoT | Détection d’une communication avec une adresse IP suspecte. | Vérifiez si la connexion est légitime. Envisagez de bloquer la communication avec l’adresse IP suspecte. | IoT_TiConnection |
| Demande malveillante de nom de domaine | Moyenne | Micro-agent Defender-IoT | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque exploitant une méthode utilisée par un programme malveillant connu. | Déconnecter la source du réseau. Fournir une réponse aux incidents. | IoT_MaliciousNameQueriesDetection |
Gravité faible
| Nom | severity | source de données | Description | Étapes de correction recommandées | Type d’alerte |
|---|---|---|---|---|---|
| Historique de bash effacé | Faible | Micro-agent Defender-IoT | Le journal de l’historique de bash a été effacé. Les acteurs malveillants effacent généralement l’historique de bash pour masquer leurs propres commandes dans les journaux. | Vérifiez l’activité de cette alerte avec l’utilisateur ayant exécuté la commande pour déterminer s’il s’agit d’une activité administrative légitime. Si ce n’est pas le cas, signalez l’alerte à votre équipe responsable de la sécurité des informations. | IoT_ClearHistoryFile |
Étapes suivantes
- Vue d’ensemble du service Defender pour IoT