Peringatan keamanan perangkat Defender for IoT lama
Catatan
Agen lama Microsoft Defender for IoT telah digantikan oleh pengalaman agen mikro kami yang lebih baru. Untuk informasi selengkapnya, lihat Tutorial: Menyelidiki peringatan keamanan.
Mulai 31 Maret 2022, agen lama dihentikan dan tidak ada fitur baru yang dikembangkan. Agen lama akan dihentikan sepenuhnya pada 31 Maret 2023, dan pada saat itu kami tidak akan lagi menyediakan perbaikan bug atau dukungan lain untuk agen lama.
Pertahanan untuk IoT terus menganalisis solusi IoT Anda menggunakan analitik tingkat lanjut dan inteligensi ancaman untuk memperingatkan Anda tentang aktivitas berbahaya. Selain itu, Anda dapat membuat peringatan kustom berdasarkan pengetahuan Anda tentang perilaku perangkat yang diharapkan. Peringatan berperan sebagai indikator potensi penyusupan, dan harus diselidiki dan diremediasi.
Dalam artikel ini, Anda akan menemukan daftar peringatan bawaan, yang dapat dipicu di perangkat IoT Anda. Selain peringatan bawaan, Pertahanan untuk IoT memungkinkan Anda menentukan peringatan kustom berdasarkan perilaku IoT Hub dan/atau perangkat yang diharapkan. Untuk informasi selengkapnya, lihat peringatan yang dapat disesuaikan.
Peringatan keamanan berbasis agen
| Nama | Keparahan | Sumber Data | Deskripsi | Langkah-langkah remediasi yang disarankan |
|---|---|---|---|---|
| Keparahan Tinggi | ||||
| Baris Perintah Biner | Tinggi | Defender-IoT-micro-agent lama | Biner LA Linux yang dipanggil/dieksekusi dari baris perintah terdeteksi. Proses ini mungkin merupakan aktivitas yang sah, atau memberikan indikasi bahwa perangkat Anda disusupi. | Tinjau perintah pada pengguna yang menjalankannya dan periksa apakah perintah ini diharapkan untuk berjalan pada perangkat secara sah. Jika tidak, tingkatkan peringatan ke tim keamanan informasi Anda. |
| Nonaktifkan firewall | Tinggi | Defender-IoT-micro-agent lama | Kemungkinan manipulasi firewall on-host terdeteksi. Aktor jahat sering menonaktifkan firewall on-host dalam upaya untuk mendapatkan data. | Tinjau pada pengguna yang menjalankan perintah untuk mengonfirmasi apakah aktivitas ini yang diharapkan sah pada perangkat. Jika tidak, tingkatkan peringatan ke tim keamanan informasi Anda. |
| Deteksi penerusan port | Tinggi | Defender-IoT-micro-agent lama | Inisiasi penerusan port ke alamat IP eksternal terdeteksi. | Tinjau pada pengguna yang menjalankan perintah jika aktivitas ini sah dan sesuai dengan yang ingin Anda lihat di perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi. |
| Upaya yang mungkin dilakukan untuk menonaktifkan pencatatan Auditd terdeteksi | Tinggi | Defender-IoT-micro-agent lama | Sistem Auditd Linux menyediakan cara untuk melacak informasi yang relevan dengan keamanan pada sistem. Sistem mencatat sebanyak mungkin informasi tentang peristiwa yang terjadi pada sistem Anda. Informasi ini sangat penting bagi lingkungan yang rentan terhadap misi untuk menentukan siapa yang melanggar kebijakan keamanan dan tindakan apa yang mereka lakukan. Menonaktifkan pencatatan Auditd dapat mencegah kemampuan Anda untuk menemukan pelanggaran kebijakan keamanan yang digunakan pada sistem. | Tanyakan kepada pemilik perangkat jika aktivitas ini sah dengan alasan bisnis. Jika tidak, peristiwa ini mungkin menyembunyikan aktivitas yang dilakukan aktor jahat. Segera kirimkan insiden ke tim keamanan informasi Anda. |
| Shell terbalik | Tinggi | Defender-IoT-micro-agent lama | Analisis data host pada perangkat mendeteksi potensi shell terbalik. Shell terbalik sering digunakan untuk mendapatkan komputer yang disusupi untuk memanggil kembali ke komputer yang dikendalikan oleh aktor jahat. | Tinjau pada pengguna yang menjalankan perintah jika aktivitas ini sah dan sesuai dengan yang ingin Anda lihat di perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi. |
| Upaya Bruteforce yang berhasil | Tinggi | Defender-IoT-micro-agent lama | Beberapa upaya masuk yang gagal diidentifikasi, diikuti oleh upaya masuk yang berhasil. Percobaan serangan Brute force mungkin berhasil pada perangkat. | Tinjau peringatan SSH Brute force dan aktivitas di perangkat. Jika aktivitas tersebut berbahaya: Meluncurkan reset kata sandi untuk akun yang disusupi. Selidiki dan remediasi (jika ditemukan) malware pada perangkat. |
| Upaya masuk lokal yang berhasil | Tinggi | Defender-IoT-micro-agent lama | Upaya masuk lokal yang berhasil ke perangkat terdeteksi | Pastikan pengguna yang masuk adalah pihak yang berwenang. |
| Shell web | Tinggi | Defender-IoT-micro-agent lama | Kemungkinan shell web terdeteksi. Aktor jahat biasanya mengunggah shell web ke komputer yang disusupi untuk mendapatkan persistensi atau untuk eksploitasi lebih jauh. | Tinjau pada pengguna yang menjalankan perintah jika aktivitas ini sah dan sesuai dengan yang ingin Anda lihat di perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi. |
| Keparahan Sedang | ||||
| Perilaku yang mirip dengan bot Linux umum terdeteksi | Medium | Defender-IoT-micro-agent lama | Eksekusi proses yang biasanya dikaitkan dengan botnet Linux umum terdeteksi. | Tinjau pada pengguna yang menjalankan perintah jika aktivitas ini sah dan sesuai dengan yang ingin Anda lihat di perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi. |
| Perilaku yang mirip dengan ransomware Fairware terdeteksi | Medium | Defender-IoT-micro-agent lama | Eksekusi perintah rm -rf diterapkan ke lokasi mencurigakan yang terdeteksi menggunakan analisis data host. Karena rm -rf menghapus file secara rekursif, biasanya hanya digunakan pada folder diskret. Dalam hal ini, perintah itu sedang digunakan di lokasi yang dapat menghapus sejumlah besar data. Fairware ransomware diketahui menjalankan perintah rm -rf di folder ini. | Tinjau pada pengguna yang menjalankan perintah jika aktivitas ini sah dan sesuai dengan yang ingin Anda lihat di perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi. |
| Perilaku yang serupa dengan ransomware terdeteksi | Medium | Defender-IoT-micro-agent lama | Eksekusi file mirip ransomware yang diketahui dapat mencegah pengguna mengakses sistem mereka, atau file pribadi, dan dapat menuntut pembayaran tebusan untuk mendapatkan akses kembali. | Tinjau pada pengguna yang menjalankan perintah jika aktivitas ini sah dan sesuai dengan yang ingin Anda lihat di perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi. |
| Gambar kontainer penambang koin crypto terdeteksi | Medium | Defender-IoT-micro-agent lama | Kontainer mendeteksi adanya gambar penambangan mata uang digital yang diketahui sedang berjalan. | 1. Jika perilaku ini tidak diizinkan, hapus gambar kontainer yang relevan. 2. Pastikan daemon Docker tidak dapat diakses melalui soket TCP yang tidak aman. 3. Kirimkan peringatan kepada tim keamanan informasi. |
| Gambar penambang koin crypto | Medium | Defender-IoT-micro-agent lama | Eksekusi proses yang biasanya dikaitkan dengan penambangan mata uang digital terdeteksi. | Verifikasi pada pengguna yang menjalankan perintah jika aktivitas ini sah pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi. |
| Terdeteksi penggunaan mencurigakan dari perintah nohup | Medium | Defender-IoT-micro-agent lama | Penggunaan mencurigakan dari perintah nohup pada host terdeteksi. Aktor jahat biasanya menjalankan perintah nohup dari direktori sementara, efektif untuk memungkinkan executable mereka berjalan di latar belakang. Perintah ini tidak diharapkan berjalan pada berkas yang terletak di direktori atau bukan perilaku biasa. | Tinjau pada pengguna yang menjalankan perintah jika aktivitas ini sah dan sesuai dengan yang ingin Anda lihat di perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi. |
| Terdeteksi penggunaan mencurigakan dari perintah useradd | Medium | Defender-IoT-micro-agent lama | Penggunaan perintah useradd yang mencurigakan terdeteksi pada perangkat. | Tinjau pada pengguna yang menjalankan perintah jika aktivitas ini sah dan sesuai dengan yang ingin Anda lihat di perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi. |
| Daemon Docker yang disusupi melalui soket TCP | Medium | Defender-IoT-micro-agent lama | Log komputer menunjukkan bahwa daemon Docker (dockerd) Anda mengekspos soket TCP. Secara default, konfigurasi Docker, tidak menggunakan enkripsi atau autentikasi saat soket TCP diaktifkan. Konfigurasi Docker default memungkinkan akses penuh ke daemon Docker, oleh siapa pun yang memiliki akses ke port yang relevan. | Tinjau pada pengguna yang menjalankan perintah jika aktivitas ini sah dan sesuai dengan yang ingin Anda lihat di perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi. |
| Upaya masuk lokal yang gagal | Medium | Defender-IoT-micro-agent lama | Upaya masuk lokal yang gagal ke perangkat terdeteksi. | Pastikan tidak ada pihak yang tidak berwenang memiliki akses fisik ke perangkat. |
| Pengunduhan file dari sumber yang diketahui berbahaya terdeteksi | Medium | Defender-IoT-micro-agent lama | Pengunduhan file dari sumber yang diketahui berbahaya terdeteksi. | Tinjau pada pengguna yang menjalankan perintah jika aktivitas ini sah dan sesuai dengan yang ingin Anda lihat di perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi. |
| Akses file htaccess terdeteksi | Medium | Defender-IoT-micro-agent lama | Analisis data host mendeteksi kemungkinan manipulasi file htaccess. Htaccess adalah file konfigurasi canggih yang memungkinkan Anda membuat beberapa perubahan pada server web yang menjalankan perangkat lunak Apache Web, termasuk fungsionalitas pengalihan dasar, dan fungsi yang lebih canggih, seperti perlindungan kata sandi dasar. Aktor jahat sering memodifikasi file htaccess pada komputer yang disusupi untuk mendapatkan persistensi. | Konfirmasikan aktivitas ini sah pada host. Jika tidak, tingkatkan peringatan ke tim keamanan informasi Anda. |
| Alat serangan yang dikenal | Medium | Defender-IoT-micro-agent lama | Alat yang sering dikaitkan dengan pengguna berbahaya yang menyerang komputer lain dalam beberapa cara terdeteksi. | Tinjau pada pengguna yang menjalankan perintah jika aktivitas ini sah dan sesuai dengan yang ingin Anda lihat di perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi. |
| Agen IoT mencoba dan gagal mengurai konfigurasi kembar modul | Medium | Defender-IoT-micro-agent lama | Agen keamanan Pertahanan untuk IoT gagal mengurai konfigurasi kembar modul karena ketidakcocokan tipe pada objek konfigurasi | Validasi konfigurasi kembar modul Anda pada skema konfigurasi agen IoT, perbaiki semua ketidakcocokan. |
| Pengintaian host lokal terdeteksi | Medium | Defender-IoT-micro-agent lama | Eksekusi perintah yang biasanya dikaitkan dengan pengintaian bot Linux umum terdeteksi. | Tinjau baris perintah yang mencurigakan untuk mengonfirmasi bahwa baris perintah tersebut dijalankan oleh pengguna yang sah. Jika tidak, tingkatkan peringatan ke tim keamanan informasi Anda. |
| Ketidakcocokan antara penerjemah skrip dan ekstensi file | Medium | Defender-IoT-micro-agent lama | Ketidakcocokan antara penerjemah skrip dan ekstensi file skrip yang disediakan sebagai input terdeteksi. Jenis ketidakcocokan ini umumnya dikaitkan dengan eksekusi skrip penyerang. | Tinjau pada pengguna yang menjalankan perintah jika aktivitas ini sah dan sesuai dengan yang ingin Anda lihat di perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi. |
| Kemungkinan backdoor terdeteksi | Medium | Defender-IoT-micro-agent lama | File mencurigakan diunduh lalu dijalankan pada host di langganan Anda. Jenis aktivitas ini biasanya dikaitkan dengan penginstalan backdoor. | Tinjau pada pengguna yang menjalankan perintah jika aktivitas ini sah dan sesuai dengan yang ingin Anda lihat di perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi. |
| Potensi data hilang terdeteksi | Medium | Defender-IoT-micro-agent lama | Kemungkinan kondisi data keluar terdeteksi menggunakan analisis data host. Aktor jahat sering mengambil data keluar dari komputer yang disusupi. | Tinjau pada pengguna yang menjalankan perintah jika aktivitas ini sah dan sesuai dengan yang ingin Anda lihat di perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi. |
| Potensi penggantian file umum | Medium | Defender-IoT-micro-agent lama | Executable umum ditimpa pada perangkat. Aktor jahat diketahui menimpa file umum sebagai cara untuk menyembunyikan tindakan mereka atau sebagai cara untuk mendapatkan persistensi. | Tinjau pada pengguna yang menjalankan perintah jika aktivitas ini sah dan sesuai dengan yang ingin Anda lihat di perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi. |
| Kontainer istimewa terdeteksi | Medium | Defender-IoT-micro-agent lama | Log komputer menunjukkan bahwa hak istimewakontainer Docker sedang berjalan. Kontainer dengan hak istimewa memiliki akses penuh ke sumber daya host. Jika disusupi, aktor jahat dapat menggunakan kontainer istimewa untuk mendapatkan akses ke komputer host. | Jika kontainer tidak perlu berjalan dalam mode hak istimewa, hapus hak istimewa dari kontainer. |
| Penghapusan log file sistem terdeteksi | Medium | Defender-IoT-micro-agent lama | Penghapusan file log yang mencurigakan pada host terdeteksi. | Tinjau pada pengguna yang menjalankan perintah jika aktivitas ini sah dan sesuai dengan yang ingin Anda lihat di perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi. |
| Spasi setelah nama file | Medium | Defender-IoT-micro-agent lama | Eksekusi proses dengan ekstensi mencurigakan terdeteksi menggunakan analisis data host. Ekstensi yang mencurigakan dapat mengelabui pengguna agar berpikir bahwa file aman untuk dibuka dan dapat menunjukkan adanya malware pada sistem. | Tinjau pada pengguna yang menjalankan perintah jika aktivitas ini sah dan sesuai dengan yang ingin Anda lihat di perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi. |
| Alat akses info masuk yang dicurigai berbahaya terdeteksi | Medium | Defender-IoT-micro-agent lama | Deteksi penggunaan alat yang umumnya terkait dengan upaya jahat untuk mengakses info masuk. | Tinjau pada pengguna yang menjalankan perintah jika aktivitas ini sah dan sesuai dengan yang ingin Anda lihat di perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi. |
| Kompilasi mencurigakan terdeteksi | Medium | Defender-IoT-micro-agent lama | Kompilasi mencurigakan terdeteksi. Aktor jahat sering mengkompilasi eksploitasi pada komputer yang disusupi untuk meningkatkan hak istimewa. | Tinjau pada pengguna yang menjalankan perintah jika aktivitas ini sah dan sesuai dengan yang ingin Anda lihat di perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi. |
| Pengunduhan file yang mencurigakan diikuti dengan aktivitas menjalankan file | Medium | Defender-IoT-micro-agent lama | Analisis data host mendeteksi file yang diunduh dan dijalankan dalam perintah yang sama. Teknik ini umumnya digunakan oleh aktor jahat untuk memasukkan file yang terinfeksi ke komputer korban. | Tinjau pada pengguna yang menjalankan perintah jika aktivitas ini sah dan sesuai dengan yang ingin Anda lihat di perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi. |
| Komunikasi dengan alamat IP yang mencurigakan | Medium | Defender-IoT-micro-agent lama | Komunikasi dengan alamat IP mencurigakan terdeteksi. | Verifikasi apakah koneksi tersebut sah. Pertimbangkan untuk memblokir komunikasi dengan IP yang mencurigakan. |
| Keparahan RENDAH | ||||
| Riwayat bash dihapus | Rendah | Defender-IoT-micro-agent lama | Catatan riwayat Bash dibersihkan. Aktor jahat biasanya menghapus riwayat bash untuk menyembunyikan perintah mereka sendiri agar tidak muncul di log. | Tinjau pada pengguna yang menjalankan perintah tentang aktivitas dalam peringatan ini untuk melihat apakah Anda mengenali aktivitas ini sah secara administratif. Jika tidak, kirimkan peringatan kepada tim keamanan informasi. |
| Perangkat diam | Rendah | Defender-IoT-micro-agent lama | Perangkat tidak mengirim data telemetri apa pun dalam 72 jam terakhir. | Pastikan perangkat sedang online dan mengirim data. Periksa apakah Agen Keamanan Azure berjalan di perangkat. |
| Upaya Bruteforce yang gagal | Rendah | Defender-IoT-micro-agent lama | Beberapa upaya masuk yang gagal diidentifikasi. Potensi upaya serangan brute force gagal pada perangkat. | Tinjau peringatan SSH Brute force dan aktivitas di perangkat. Tidak perlu tindakan lebih lanjut. |
| Pengguna lokal ditambahkan ke satu atau beberapa grup | Rendah | Defender-IoT-micro-agent lama | Pengguna lokal baru ditambahkan ke grup pada perangkat ini. Perubahan pada grup pengguna tidak biasa, dan dapat mengindikasikan mungkin aktor jahat mengumpulkan izin tambahan. | Verifikasi apakah perubahan ini selaras dengan izin yang diperlukan oleh pengguna yang terpengaruh. Jika perubahan ini tidak selaras, laporkan ke tim Keamanan Informasi Anda. |
| Pengguna lokal dihapus dari satu atau beberapa grup | Rendah | Defender-IoT-micro-agent lama | Pengguna lokal telah dihapus dari satu atau beberapa grup. Aktor jahat diketahui menggunakan metode ini dalam upaya menolak akses ke pengguna yang sah atau untuk menghapus riwayat tindakan mereka. | Verifikasi apakah perubahan ini selaras dengan izin yang diperlukan oleh pengguna yang terpengaruh. Jika perubahan ini tidak selaras, laporkan ke tim Keamanan Informasi Anda. |
| Penghapusan pengguna lokal terdeteksi | Rendah | Defender-IoT-micro-agent lama | Penghapusan pengguna lokal terdeteksi. Penghapusan pengguna lokal jarang terjadi, aktor jahat mungkin mencoba menolak akses yang dilakukan pengguna yang sah atau untuk menghapus riwayat tindakan mereka. | Verifikasi apakah perubahan ini selaras dengan izin yang diperlukan oleh pengguna yang terpengaruh. Jika perubahan ini tidak selaras, laporkan ke tim Keamanan Informasi Anda. |
Langkah berikutnya
- Gambaran Umum layanan Defender for IoT
- Pelajari cara Mengakses data keamanan Anda
- Pelajari lebih lanjut tentang Menyelidiki perangkat