Mikroügynök eseménygyűjteménye
Az IoT-alapú Defender biztonsági ügynökök adatokat és rendszereseményeket gyűjtenek a helyi eszközről, és feldolgozás céljából elküldik az adatokat az Azure-felhőbe.
Ha konfigurált és csatlakoztatott egy Log Analytics-munkaterületet, ezeket az eseményeket a Log Analyticsben fogja látni. További információ: Oktatóanyag: Biztonsági riasztások vizsgálata.
Az IoT-hez készült Defender mikroügynök számos eszközeseményt gyűjt, beleértve az új folyamatokat és az összes új kapcsolati eseményt. Az új folyamat és az új kapcsolati események gyakran előfordulhatnak az eszközön. Ez a képesség fontos az átfogó biztonság szempontjából, azonban a biztonsági ügynökök által küldött üzenetek száma gyorsan megfelelhet, vagy meghaladhatja az IoT Hub kvótáját és a költségkorlátokat. Ezek az üzenetek és események rendkívül értékes biztonsági információkat tartalmaznak, amelyek elengedhetetlenek az eszköz védelméhez.
Az üzenetek és költségek számának csökkentése az eszköz biztonságának fenntartása mellett az IoT-ügynökökhöz készült Defender összesíti az alábbi típusú eseményeket:
Események feldolgozása (csak Linuxon)
Hálózati tevékenység eseményei
Fájlrendszeresemények
Statisztikai események
További információkért tekintse meg a folyamat- és hálózatgyűjtők esemény-összesítését.
Az eseményalapú gyűjtők olyan gyűjtők, amelyek az eszközön belüli megfelelő tevékenység alapján aktiválódnak. Például: a process was started in the device.
Az eseményindító-alapú gyűjtők olyan gyűjtők, amelyek ütemezett módon aktiválódnak az ügyfél konfigurációi alapján.
Események feldolgozása (eseményalapú gyűjtő)
A folyamatesemények linuxos operációs rendszereken támogatottak.
A folyamatesemények akkor tekinthetők azonosnak, ha a parancssor és a userid azonos.
A folyamatesemények alapértelmezett puffere 256 folyamat. Ha ez a korlát teljesül, a puffer ciklusba lép, és a rendszer elveti a legrégebbi folyamateseményt, hogy helyet biztosíthasson a legújabb feldolgozott eseménynek. A rendszer figyelmeztetést küld a gyorsítótár méretének növelésére.
Az egyes eseményekhez gyűjtött adatok a következőek:
| Paraméter | Leírás |
|---|---|
| Időbélyeg | A folyamat első megfigyelése. |
| process_id | A Linux PID. |
| parent_process_id | Ha létezik, a Linux szülő PID-je. |
| Commandline | A parancssor. |
| Típus | Lehet , forkvagy exec. |
| hit_count | Az összesítések száma. Az ugyanazon folyamat végrehajtásainak száma ugyanabban az időkeretben, amíg az eseményeket el nem küldi a felhőbe. |
Hálózati tevékenység eseményei (eseményalapú gyűjtő)
A hálózati tevékenység eseményei akkor tekinthetők azonosnak, ha a helyi port, a távoli port, a átviteli protokoll, a helyi cím és a távoli cím azonos.
A hálózati tevékenység eseményeinek alapértelmezett puffere 256. Olyan helyzetekben, amikor a gyorsítótár megtelt:
Eclipse ThreadX-eszközök: A rendszer csak a következő gyűjtési ciklus kezdetéig gyorsítótárazza az új hálózati eseményeket.
Linux-eszközök: A legrégebbi eseményt minden új esemény lecseréli. A rendszer figyelmeztetést küld a gyorsítótár méretének növelésére.
Linux-eszközök esetén csak az IPv4 támogatott.
Az egyes eseményekhez gyűjtött adatok a következőek:
| Paraméter | Leírás |
|---|---|
| Helyi cím | A kapcsolat forráscíme. |
| Távoli cím | A kapcsolat célcíme. |
| Helyi port | A kapcsolat forrásportja. |
| Távoli port | A kapcsolat célportja. |
| Bytes_in | A kapcsolat összes összesített RX bájtja. |
| Bytes_out | A kapcsolat összes összesített TX bájtja. |
| Transport_protocol | Lehet TCP, UDP vagy ICMP. |
| Alkalmazásprotokoll | A kapcsolathoz társított alkalmazásprotokoll. |
| Kiterjesztett tulajdonságok | A kapcsolat további részletei. Például: host name. |
| Találatok száma | A megfigyelt csomagok száma |
Bejelentkezési gyűjtő (eseményalapú gyűjtő)
A bejelentkezési gyűjtő összegyűjti a felhasználói bejelentkezéseket, a kijelentkezéseket és a sikertelen bejelentkezési kísérleteket.
A bejelentkezési gyűjtő a következő gyűjtési módszereket támogatja:
UTMP és SYSLOG. Az UTMP az SSH interaktív eseményeit, telnetes eseményeit és terminálos bejelentkezéseit, valamint az SSH-ból, telnetről és terminálról érkező összes sikertelen bejelentkezési eseményt elfogja. Ha a SYSLOG engedélyezve van az eszközön, a bejelentkezési gyűjtő SSH-bejelentkezési eseményeket is gyűjt a auth.log nevű SYSLOG-fájlon keresztül.
Csatlakoztatható hitelesítési modulok (PAM). SSH-, telnet- és helyi bejelentkezési eseményeket gyűjt. További információ: Pluggable Authentication Modules (PAM) konfigurálása bejelentkezési események naplózásához.
A következő adatokat gyűjtjük:
| Paraméter | Leírás |
|---|---|
| Művelet | Az alábbiak egyike: Login, , LogoutLoginFailed |
| process_id | A Linux PID. |
| user_name | A Linux-felhasználó. |
| Kivihető | A termináleszköz. Például, tty1..6 vagy pts/n. |
| remote_address | A kapcsolat forrása, IPv6 vagy IPv4 formátumú távoli IP-cím, vagy 127.0.0.1/0.0.0.0 helyi kapcsolat jelzése. |
Rendszerinformáció (triggeralapú gyűjtő)
Az egyes eseményekhez gyűjtött adatok a következőek:
| Paraméter | Leírás |
|---|---|
| hardware_vendor | Az eszköz szállítójának neve. |
| hardware_model | Az eszköz modellszáma. |
| os_dist | Az operációs rendszer eloszlása. Például: Linux. |
| os_version | Az operációs rendszer verziója. Például, Windows 10vagy Ubuntu 20.04.1. |
| os_platform | Az eszköz operációs rendszere. |
| os_arch | Az operációs rendszer architektúrája. Például: x86_64. |
| agent_type | Az ügynök típusa (Edge/Önálló). |
| agent_version | Az ügynök verziója. |
| Nic | A hálózati adapter vezérlője. A tulajdonságok teljes listája alább látható. |
A NICS-tulajdonságok a következőkből állnak;
| Paraméter | Leírás |
|---|---|
| type | Az alábbi értékek egyike: UNKNOWN, ETH, WIFI, MOBILEvagy SATELLITE. |
| Vlan | A hálózati adapterhez társított virtuális lan. |
| Szállító | A hálózati vezérlő szállítója. |
| Info | A hálózati vezérlőhöz társított IPS és MAC-k. Ez a következő mezőket foglalja magában; - ipv4_address: Az IPv4-cím. - ipv6_address: Az IPv6-cím. - mac: A MAC-cím. |
Alapkonfiguráció (triggeralapú gyűjtő)
Az alapkonfiguráció-gyűjtő rendszeres CIS-ellenőrzéseket végez, és sikertelen, átmenő és kihagyott ellenőrzési eredményeket küld a Defender for IoT felhőszolgáltatásnak. Az IoT Defender összesíti az eredményeket, és javaslatokat tesz a hibák alapján.
Az egyes eseményekhez gyűjtött adatok a következőek:
| Paraméter | Leírás |
|---|---|
| Azonosító ellenőrzése | CIS formátumban. Például: CIS-debian-9-Filesystem-1.1.2. |
| Eredmény ellenőrzése | FailLehet , Pass, Skipvagy Error. Például olyan helyzetben, Error amikor az ellenőrzés nem futtatható. |
| Hiba | A hiba adatai és leírása. |
| Leírás | Az ellenőrzés leírása a CIS-ből. |
| Kijavítás | A CIS-ből történő szervizelésre vonatkozó javaslat. |
| Súlyosság | A súlyossági szint. |
SBoM (triggeralapú gyűjtő)
Az SBoM (Software Bill of Materials) gyűjtő rendszeresen gyűjti az eszközön telepített csomagokat.
Az egyes csomagokon gyűjtött adatok a következők:
| Paraméter | Leírás |
|---|---|
| Név | A csomag neve. |
| Verzió | A csomag verziója. |
| Szállító | A csomag szállítója, amely a Deb-csomagok Karbantartó mezője. |
Perifériaesemények (eseményalapú gyűjtő)
A perifériaesemények gyűjtője összegyűjti az USB- és Ethernet-események kapcsolatait és leválasztását.
Az összegyűjtött mezők az esemény típusától függenek:
USB-események
| Paraméter | Leírás |
|---|---|
| Időbélyeg | Az esemény bekövetkezésének időpontja. |
| ActionType | Függetlenül attól, hogy az esemény kapcsolati vagy leválasztási esemény volt-e. |
| bus_number | Adott vezérlőazonosító, minden USB-eszköz több eszközzel is rendelkezhet. |
| kernel_device_number | Az eszköz kernelében lévő ábrázolás nem egyedi, és minden alkalommal, amikor az eszköz csatlakoztatva van. |
| device_class | Az eszközosztályt meghatározó azonosító. |
| device_subclass | Az eszköz típusát meghatározó azonosító. |
| device_protocol | Az eszközprotokollt meghatározó azonosító. |
| interface_class | Ha az eszközosztály 0, adja meg az eszköz típusát. |
| interface_subclass | Ha az eszközosztály 0, adja meg az eszköz típusát. |
| interface_protocol | Ha az eszközosztály 0, adja meg az eszköz típusát. |
Ethernet-események
| Paraméter | Leírás |
|---|---|
| Időbélyeg | Az esemény bekövetkezésének időpontja. |
| ActionType | Függetlenül attól, hogy az esemény kapcsolati vagy leválasztási esemény volt-e. |
| bus_number | Adott vezérlőazonosító, minden USB-eszköz több eszközzel is rendelkezhet. |
| Interfész neve | A felület neve. |
Fájlrendszeresemények (eseményalapú gyűjtő)
A fájlrendszer eseménygyűjtője minden alkalommal összegyűjti az eseményeket, amikor a könyvtárban változások történnek: könyvtárak és fájlok létrehozása, törlése, áthelyezése és módosítása. Annak meghatározásához, hogy mely könyvtárakat és fájlokat szeretné figyelni, tekintse meg a rendszerinformáció-gyűjtő konkrét beállításait.
A következő adatokat gyűjtjük:
| Paraméter | Leírás |
|---|---|
| Időbélyeg | Az esemény bekövetkezésének időpontja. |
| Maszk | A Linux inotify maszkot a fájlrendszer eseményéhez kapcsolódóan, a maszk azonosítja a művelet típusát, és a következők egyike lehet: Access/Modified/Metadata changed/Closed/Opened/Moved/Created/Deleted. |
| Elérési út | Könyvtár/fájl elérési útja, amelybe az eseményt létrehozták. |
| Hitcount | Az esemény összesítésének száma. |
Statisztikai adatok (triggeralapú gyűjtő)
A Statisztikagyűjtő különböző statisztikákat hoz létre a különböző mikroügynök-gyűjtőkről. Ezek a statisztikák az előző gyűjtési ciklus gyűjtőinek teljesítményével kapcsolatos információkat tartalmaznak. A lehetséges statisztikák közé tartozik például a sikeresen elküldött események száma és az elvetett események száma, valamint a hibák okai.
Összegyűjtött mezők:
| Paraméter | Leírás |
|---|---|
| Időbélyeg | Az esemény bekövetkezésének időpontja. |
| Név | A gyűjtő neve. |
| Események | JSON formátumú párok tömbje leírással és találatszámmal. |
| Leírás | Az üzenet elküldése/elvetése, valamint az elvetés oka. |
| Hitcount | A megfelelő üzenetek száma. |
Folyamat- és hálózatgyűjtők eseményösszesítése
Az eseményösszesítés működése a folyamateseményekhez és a hálózati tevékenység eseményeihez:
Az IoT-ügynökök defendere az egyes gyűjtők üzenetfrekvenciás konfigurációjában meghatározott küldési időköz során összesíti az eseményeket, például Process_MessageFrequency vagy NetworkActivity_MessageFrequency. A küldési időköz letelte után az ügynök további elemzés céljából elküldi az összesített eseményeket az Azure-felhőnek. Az összesített eseményeket a rendszer a memóriában tárolja, amíg el nem küldi őket az Azure-felhőbe.
Ha az ügynök a memóriában tárolt eseményekhez hasonló eseményeket gyűjt, az ügynök növeli az adott esemény találatainak számát, hogy csökkentse az ügynök memóriaigényét. Amikor az összesítési időablak áthalad, az ügynök elküldi az egyes eseménytípusok találatainak számát. Az eseményösszesítés a hasonló események találatainak összesítése. Az azonos távoli gazdagéppel és ugyanazon a porton végzett hálózati tevékenység például egyetlen eseményként van összesítve, nem pedig minden csomaghoz külön eseményként.
Feljegyzés
Alapértelmezés szerint a mikroügynök naplókat és telemetriákat küld a felhőbe hibaelhárítási és monitorozási célokra. Ez a viselkedés konfigurálható vagy kikapcsolható az ikerpéldányon keresztül.
Következő lépések
További információkért lásd: