Beépített biztonságiügynök-riasztások vizsgálata
A Microsoft Defender for IoT folyamatosan elemzi az IoT-megoldást fejlett elemzések és fenyegetésintelligencia használatával, hogy riasztást küldjön a rosszindulatú tevékenységekre. Emellett egyéni riasztásokat is létrehozhat az eszköz várható viselkedésének ismerete alapján. A riasztások a potenciális kompromisszum jelzéseként szolgálnak, ezért meg kell vizsgálni és orvosolni kell.
A biztonsági ügynök telepítése és konfigurálása az IoT-eszközökre számos riasztást ad hozzá a biztonsági megoldáshoz.
Név
Súlyosság
Adatforrás
Leírás
Javasolt szervizelési lépések
Súlyosság – magas
Bináris parancssor
Magas
Ügynök
A rendszer a parancssorból meghívott/végrehajtott LA Linux-binárisokat észlelte. Ez a folyamat lehet jogszerű tevékenység, vagy azt jelzi, hogy az eszköz biztonsága sérült.
Tekintse át a parancsot az azt futtató felhasználóval. Ellenőrizze, hogy ez a parancs az eszközön való futtatásra szolgál-e. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
Tűzfal letiltása
Magas
Ügynök
A gazda tűzfal lehetséges manipulálása észlelhető. A rosszindulatú szereplők gyakran letiltják a gazdagép tűzfalát az adatok kiszűrésére tett kísérlet során.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
Porttovábbítás észlelése
Magas
Ügynök
Porttovábbítás kezdeményezése egy külső IP-címre.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
Lehetséges kísérlet a naplózott naplózás letiltására
Magas
Ügynök
A Linux auditált rendszer lehetővé teszi a rendszer biztonsági szempontból releváns információinak nyomon követését. A rendszer a lehető legtöbb információt rögzíti a rendszeren zajló eseményekről. Ezek az információk kulcsfontosságúak a kritikus fontosságú környezetek számára annak megállapításához, hogy ki szegte meg a biztonsági szabályzatot és az általuk végrehajtott műveleteket. A naplózott naplózás letiltásával megakadályozhatja a rendszeren használt biztonsági szabályzatok megsértésének felderítését.
Kérdezze meg az eszköz tulajdonosát, hogy ez üzleti okokból várt tevékenység volt-e. Ha nem, akkor ez az esemény lehet, hogy rosszindulatú szereplők elrejtik a tevékenységeket. Az incidenst azonnal eszkalálta az informatikai biztonsági csapat.
Fordított rendszerhéjak
Magas
Ügynök
Az eszköz gazdagépadatainak elemzése potenciális fordított rendszerhéjat észlelt. A fordított rendszerhéjakat gyakran használják arra, hogy feltört gépet kérjenek vissza egy rosszindulatú szereplő által felügyelt gépre.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
Sikeres találgatásos kísérlet
Magas
Ügynök
A rendszer több sikertelen bejelentkezési kísérletet azonosított, majd egy sikeres bejelentkezést. Lehetséges, hogy a találgatásos támadás sikeres volt az eszközön.
Tekintse át az SSH találgatásos riasztását és az eszközökön végzett tevékenységet. Ha a tevékenység kártékony volt: A feltört fiókok jelszó-alaphelyzetbe állításának bevezetése. Kártevő-eszközök vizsgálata és szervizelése (ha találhatók).
Sikeres helyi bejelentkezés
Magas
Ügynök
Sikeres helyi bejelentkezés az eszközre.
Győződjön meg arról, hogy a bejelentkezett felhasználó jogosult fél.
Webes rendszerhéj
Magas
Ügynök
Lehetséges webes rendszerhéj észlelhető. A rosszindulatú szereplők gyakran feltöltenek egy webes rendszerhéjat egy sérült gépre a megőrzés vagy a további kihasználás érdekében.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
Súlyosság – közepes
Az észlelt gyakori Linux-robotokhoz hasonló viselkedés
Közepes
Ügynök
A gyakran észlelt Linux-botnetekhez általában társított folyamat végrehajtása.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
Az észlelt Fairware ransomware-hez hasonló viselkedés
Közepes
Ügynök
A gazdagépadatok elemzésével észlelt gyanús helyekre alkalmazott rm -rf parancsok végrehajtása. Mivel az rm -rf rekurzív módon törli a fájlokat, általában csak különálló mappákban használják. Ebben az esetben olyan helyen használják, amely nagy mennyiségű adatot távolíthat el. A Fairware ransomware ismert, hogy rm -rf parancsokat hajt végre ebben a mappában.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
Az észlelt zsarolóprogramokhoz hasonló viselkedés
Közepes
Ügynök
Az ismert zsarolóprogramokhoz hasonló fájlok végrehajtása, amelyek megakadályozhatják, hogy a felhasználók hozzáférjenek a rendszerükhöz vagy személyes fájljaikhoz, és váltságdíjfizetést követelhetnek a hozzáférés visszanyerése érdekében.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
Crypto coin miner container image detected
Közepes
Ügynök
Ismert digitális pénznembányászati rendszerképek futtatását észlelő tároló.
- Ha ez a viselkedés nem célja, törölje a megfelelő tárolórendszerképet. 2. Győződjön meg arról, hogy a Docker-démon nem érhető el nem biztonságos TCP-szoftvercsatornán keresztül. 3. Eszkalálja a riasztást az információs biztonsági csapatnak.
Kriptopénz bányász képe
Közepes
Ügynök
A digitális pénznembányászathoz általában kapcsolódó folyamat végrehajtása.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
A nohup parancs gyanús használatát észlelte
Közepes
Ügynök
Gyanúsan használják a nohup parancsot a gazdagépen. A rosszindulatú szereplők általában ideiglenes címtárból futtatják a nohup parancsot, így gyakorlatilag lehetővé teszik a végrehajtható fájlok futtatását a háttérben. Ha ezt a parancsot ideiglenes könyvtárban található fájlokon futtatja, nem várható vagy szokásos viselkedés.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
A useradd parancs gyanús használatát észlelte
Közepes
Ügynök
Az eszközön észlelt useradd parancs gyanús használata.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
Közzétett Docker-démon TCP-szoftvercsatornával
Közepes
Ügynök
A gépnaplók azt jelzik, hogy a Docker-démon (dockerd) egy TCP-szoftvercsatornát tesz elérhetővé. A Docker-konfiguráció alapértelmezés szerint nem használ titkosítást vagy hitelesítést, ha engedélyezve van a TCP-szoftvercsatornák használata. Az alapértelmezett Docker-konfiguráció lehetővé teszi a Docker-démon teljes elérését, bárki számára, aki hozzáfér a megfelelő porthoz.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
Sikertelen helyi bejelentkezés
Közepes
Ügynök
A rendszer sikertelen helyi bejelentkezési kísérletet észlelt az eszközre.
Győződjön meg arról, hogy egyetlen jogosulatlan fél sem rendelkezik fizikai hozzáféréssel az eszközhöz.
Fájlletöltések egy ismert rosszindulatú forrásból
Közepes
Ügynök
Fájl letöltése egy ismert kártevőforrásból.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
htaccess fájlhozzáférés észlelhető
Közepes
Ügynök
A gazdagépadatok elemzése egy htaccess-fájl lehetséges manipulálását észlelte. A Htaccess egy hatékony konfigurációs fájl, amellyel több módosítást hajthat végre egy Apache webszoftvert futtató webkiszolgálón, beleértve az alapvető átirányítási funkciókat és a speciálisabb funkciókat, például az alapszintű jelszóvédelmet. A rosszindulatú szereplők gyakran módosítják a htaccess-fájlokat a feltört gépeken, hogy megőrizze a megőrzést.
Győződjön meg arról, hogy ez egy várt tevékenység a gazdagépen. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
Ismert támadási eszköz
Közepes
Ügynök
A rendszer gyakran más gépeket támadó rosszindulatú felhasználókkal társított eszközt észlelt.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
Az IoT-ügynök megkísérelte és nem tudta elemezni a modul ikerkonfigurációját
Közepes
Ügynök
A Microsoft Defender for IoT biztonsági ügynök nem tudta elemezni a modul ikerkonfigurációját a konfigurációs objektum típuseltérései miatt.
Ellenőrizze a modul ikerkonfigurációját az IoT-ügynök konfigurációs sémája alapján, és javítsa ki az összes eltérést.
Helyi gazdagép felderítése észlelhető
Közepes
Ügynök
A gyakran észlelt Linux-robotfelderítéshez általában társított parancs végrehajtása.
Tekintse át a gyanús parancssort annak ellenőrzéséhez, hogy egy megbízható felhasználó hajtotta-e végre. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
A parancsfájl-értelmező és a fájlkiterjesztés közötti eltérés
Közepes
Ügynök
A szkript-értelmező és a bemeneti észlelésként megadott szkriptfájl kiterjesztése közötti eltérés. Az ilyen típusú eltérés általában támadószkript-végrehajtásokhoz van társítva.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
Lehetséges backdoor észlelve
Közepes
Ügynök
A rendszer letöltött egy gyanús fájlt, majd futtatott egy gazdagépet az előfizetésében. Ez a tevékenységtípus általában egy háttérrendszer telepítésével van társítva.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
Lehetséges adatvesztés észlelhető
Közepes
Ügynök
A gazdaadatok elemzésével észlelt lehetséges adatforgalom-feltétel. A rosszindulatú szereplők gyakran kibocsátják az adatokat a feltört gépekről.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
Gyakori fájlok lehetséges felülírása
Közepes
Ügynök
Gyakori végrehajtható felülírás az eszközön. A rosszindulatú szereplőkről ismert, hogy felülírják a gyakori fájlokat, hogy elrejtsék a műveleteiket, vagy hogy megőrizzék azokat.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
Emelt szintű tároló észlelhető
Közepes
Ügynök
A gépnaplók azt jelzik, hogy egy kiemelt Docker-tároló fut. A kiemelt tároló teljes hozzáféréssel rendelkezik a gazdagép erőforrásaihoz. Ha sérült, a rosszindulatú szereplők a kiemelt tárolóval férhetnek hozzá a gazdagéphez.
Ha a tárolónak nem kell kiemelt módban futnia, távolítsa el a jogosultságokat a tárolóból.
Az észlelt rendszernapló-fájlok eltávolítása
Közepes
Ügynök
A naplófájlok gyanús eltávolítása a gazdagépen.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
Szóköz a fájlnév után
Közepes
Ügynök
A gazdaadatok elemzésével észlelt gyanús kiterjesztésű folyamat végrehajtása. A gyanús bővítmények rávethetik a felhasználókat arra, hogy a fájlok biztonságosan megnyithatók legyenek, és jelezhetik a kártevők jelenlétét a rendszeren.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
Rosszindulatú hitelesítő adatokkal való gyanús hozzáférési eszközök észlelhetők
Közepes
Ügynök
A hitelesítő adatok elérésére tett rosszindulatú kísérletekhez gyakran társított eszköz észlelése.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
Gyanús fordítás észlelhető
Közepes
Ügynök
Gyanús fordítás észlelhető. A rosszindulatú szereplők gyakran biztonsági réseket fordítanak le egy feltört gépen a jogosultságok eszkalálása érdekében.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
Gyanús fájlletöltés, majd fájlfuttatási tevékenység
Közepes
Ügynök
A gazdagépadatok elemzése olyan fájlt észlelt, amely ugyanabban a parancsban lett letöltve és futtatva. Ezt a technikát gyakran használják rosszindulatú szereplők a fertőzött fájlok áldozati gépekre való lekérésére.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
Gyanús IP-cím kommunikációja
Közepes
Ügynök
Gyanús IP-címmel folytatott kommunikáció.
Ellenőrizze, hogy a kapcsolat jogszerű-e. Fontolja meg a gyanús IP-címmel való kommunikáció blokkolását.
ALACSONY súlyosság
Bash-előzmények törlése
Alacsony
Ügynök
A Bash-előzmények naplója törölve. A rosszindulatú szereplők gyakran törlik a bash-előzményeket, hogy elrejtsék a saját parancsaikat a naplókban való megjelenésük elől.
Tekintse át a parancsot futtató felhasználót. Ellenőrizze, hogy ez egy várt felügyeleti tevékenység volt-e az eszközön. Ha nem, eszkalálja a riasztást az információs biztonsági csapatnak.
Eszköz csendes
Alacsony
Ügynök
Az eszköz nem küldött telemetriai adatokat az elmúlt 72 órában.
Győződjön meg arról, hogy az eszköz online állapotban van, és adatokat küld. Ellenőrizze, hogy az Azure Security Agent fut-e az eszközön.
Sikertelen találgatásos kísérlet
Alacsony
Ügynök
Több sikertelen bejelentkezési kísérlet van azonosítva. A lehetséges találgatásos támadási kísérlet meghiúsult az eszközön.
Tekintse át az SSH brute-riasztásokat és az eszközön végzett tevékenységet. Nincs szükség további műveletre.
Egy vagy több csoporthoz hozzáadott helyi felhasználó
Alacsony
Ügynök
Új helyi felhasználót adott hozzá egy csoporthoz ezen az eszközön. A felhasználói csoportok módosítása nem gyakori, és azt jelezheti, hogy egy rosszindulatú szereplő hozzáférési engedélyeket gyűjt.
Ellenőrizze, hogy a módosítás összhangban van-e az érintett felhasználó által megkövetelt engedélyekkel. Ha a módosítás inkonzisztens, eszkaláljon az informatikai biztonsági csapatra.
Egy vagy több csoportból törölt helyi felhasználó
Alacsony
Ügynök
A rendszer törölt egy helyi felhasználót egy vagy több csoportból. A rosszindulatú szereplőkről ismert, hogy ezt a módszert arra használják, hogy megtagadják a hozzáférést a jogos felhasználókhoz, vagy töröljék a műveletük előzményeit.
Ellenőrizze, hogy a módosítás összhangban van-e az érintett felhasználó által megkövetelt engedélyekkel. Ha a módosítás inkonzisztens, eszkaláljon az informatikai biztonsági csapatra.
Helyi felhasználó törlése észlelhető
Alacsony
Ügynök
Egy helyi felhasználó törlése észlelhető. A helyi felhasználók törlése nem gyakori, előfordulhat, hogy egy rosszindulatú szereplő megpróbálja megtagadni a hozzáférést a jogos felhasználókhoz, vagy törölni a műveleteik előzményeit.
Ellenőrizze, hogy a módosítás összhangban van-e az érintett felhasználó által megkövetelt engedélyekkel. Ha a módosítás inkonzisztens, eszkaláljon az informatikai biztonsági csapatra.