Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Agen keamanan Defender for IoT mengumpulkan data dan peristiwa sistem dari perangkat lokal Anda, lalu mengirimkan data ke cloud Azure untuk diproses.
Catatan
Defender untuk IoT berencana untuk menghentikan agen mikro pada 1 Agustus 2025.
Jika Anda telah mengonfigurasi dan menyambungkan ruang kerja Analitik Log, Anda akan melihat peristiwa ini di Analitik Log. Untuk informasi selengkapnya, lihat Tutorial: Menyelidiki peringatan keamanan.
Agen mikro Defender untuk IoT mengumpulkan banyak jenis peristiwa perangkat termasuk proses baru, dan semua peristiwa koneksi baru. Baik proses baru maupun peristiwa koneksi baru mungkin sering terjadi pada perangkat. Kemampuan ini penting untuk keamanan komprehensif, namun jumlah pesan yang dikirim oleh agen keamanan dapat dengan cepat memenuhi, atau melebihi kuota dan batas biaya IoT Hub Anda. Pesan dan peristiwa ini berisi informasi keamanan yang sangat berharga dan sangat penting untuk melindungi perangkat Anda.
Untuk mengurangi jumlah pesan dan biaya sambil menjaga keamanan perangkat Anda, agen Defender for IoT mengumpulkan jenis peristiwa berikut:
Peristiwa proses (khusus Linux)
Peristiwa aktivitas jaringan
Peristiwa sistem file
Peristiwa statistik
Untuk informasi selengkapnya, lihat agregasi peristiwa untuk proses dan pengumpul jaringan.
Kolektor berbasis peristiwa adalah kolektor yang dipicu berdasarkan aktivitas terkait dari dalam perangkat. Contohnya,a process was started in the device.
Kolektor berbasis pemicu adalah kolektor yang dipicu secara terjadwal berdasarkan konfigurasi pelanggan.
Peristiwa proses (berbasis peristiwa)
Peristiwa proses didukung pada sistem operasi Linux.
Peristiwa proses dianggap identik ketika baris perintah dan userid sama.
Buffer default untuk peristiwa proses adalah 256 proses. Ketika batas ini terpenuhi, buffer akan berputar, dan peristiwa proses terlama dibuang untuk memberi ruang bagi peristiwa proses terbaru. Peringatan untuk meningkatkan ukuran cache akan dicatat.
Data yang dikumpulkan untuk setiap peristiwa adalah:
| Parameter | Deskripsi |
|---|---|
| Stempel waktu | Kali pertama proses tersebut diamati. |
| process_id | Linux PID. |
| parent_process_id | Linux parent PID, jika tersedia. |
| Commandline | Baris perintah. |
| Jenis | Dapat berupa fork, atau exec. |
| hit_count | Jumlah agregat. Jumlah eksekusi dari proses yang sama, selama jangka waktu yang sama, sampai peristiwa dikirim ke cloud. |
Peristiwa Aktivitas Jaringan (kolektor berbasis peristiwa)
Peristiwa aktivitas jaringan dianggap identik ketika port lokal, port jarak jauh, protokol transportasi, alamat lokal, dan alamat jarak jauh identik.
Buffer default untuk peristiwa aktivitas koneksi adalah 256. Untuk situasi ketika cache dalam kondisi penuh:
Perangkat Eclipse ThreadX: Tidak ada peristiwa jaringan baru yang akan di-cache hingga siklus pengumpulan berikutnya dimulai.
Perangkat Linux: Peristiwa tertua akan digantikan oleh setiap peristiwa baru. Peringatan untuk meningkatkan ukuran cache akan dicatat.
Hanya IPv4 pada perangkat Linux yang didukung.
Data yang dikumpulkan untuk setiap peristiwa adalah:
| Parameter | Deskripsi |
|---|---|
| Alamat lokal | Alamat sumber koneksi. |
| Alamat jarak jauh | Alamat tujuan koneksi. |
| Port lokal | Port sumber koneksi. |
| Port jarak jauh | Port tujuan koneksi. |
| Bytes_in | Total byte RX agregat dari koneksi. |
| Bytes_out | Total byte TX agregat dari koneksi. |
| Transport_protocol | Dapat berupa TCP, UDP, atau ICMP. |
| Protokol aplikasi | Protokol aplikasi yang terkait dengan koneksi. |
| Properti yang diperluas | Detail tambahan dari koneksi. Contohnya,host name. |
| Hit count | Jumlah paket yang diamati |
Kolektor login (kolektor berbasis peristiwa)
Kolektor Login mengumpulkan kredensial masuk pengguna, kredensial keluar, dan upaya masuk yang gagal.
Kolektor Login mendukung jenis metode pengumpulan berikut:
UTMP dan SYSLOG. UTMP menangkap peristiwa interaktif SSH, peristiwa telnet, dan login terminal, serta semua peristiwa login yang gagal dari SSH, telnet, dan terminal. Jika SYSLOG diaktifkan di perangkat, kolektor Login juga mengumpulkan peristiwa masuk SSH melalui file SYSLOG bernama auth.log.
Modul Autentikasi yang Dapat di-plug (PAM). Mengumpulkan peristiwa masuk SSH, telnet, dan lokal. Untuk informasi selengkapnya, lihat Mengonfigurasi Modul Autentikasi yang Dapat di-plug (PAM) untuk mengaudit peristiwa masuk.
Data berikut dikumpulkan:
| Parameter | Deskripsi |
|---|---|
| operasi | Salah satu dari berikut ini: Login, Logout, LoginFailed |
| process_id | Linux PID. |
| user_name | Pengguna Linux. |
| dapat dieksekusi | Perangkat terminal. Misalnya, tty1..6 atau pts/n. |
| remote_address | Sumber koneksi, baik alamat IP jarak jauh dalam format IPv6 atau IPv4, atau 127.0.0.1/0.0.0.0 untuk menunjukkan koneksi lokal. |
Informasi Sistem (kolektor berbasis pemicu)
Data yang dikumpulkan untuk setiap peristiwa adalah:
| Parameter | Deskripsi |
|---|---|
| hardware_vendor | Nama vendor perangkat. |
| hardware_model | Nomor model perangkat. |
| os_dist | Distribusi sistem operasi. Contohnya,Linux. |
| os_version | Versi sistem operasi. Misalnya, Windows 10 atau Ubuntu 20.04.1. |
| os_platform | OS perangkat. |
| os_arch | Arsitektur OS. Contohnya,x86_64. |
| agent_type | Jenis agen (Edge/Standalone). |
| agent_version | Versi agen. |
| nics | Pengontrol antarmuka jaringan. Daftar lengkap properti tercantum di bawah ini. |
Properti nics terdiri atas hal-hal berikut;
| Parameter | Deskripsi |
|---|---|
| jenis | Salah satu dari nilai berikut: UNKNOWN, ETH, WIFI, MOBILE, atau SATELLITE. |
| vlans | Lan virtual yang terkait dengan antarmuka jaringan. |
| penjual | Vendor pengontrol jaringan. |
| info | IPS, dan MAC yang terkait dengan pengontrol jaringan. Ini termasuk bidang berikut; - ipv4_address: Alamat IPv4. - ipv6_address: Alamat IPv6. - mac: Alamat MAC. |
Garis besar (kolektor berbasis pemicu)
Kolektor garis besar melakukan pemeriksaan CIS berkala serta gagal, lulus, dan lewati hasil pemeriksaan dikirim ke layanan cloud Defender for IoT. Defender for IoT mengagregasi hasil dan memberikan rekomendasi berdasarkan kegagalan apa pun.
Data yang dikumpulkan untuk setiap peristiwa adalah:
| Parameter | Deskripsi |
|---|---|
| Periksa ID | Dalam format CIS. Contohnya,CIS-debian-9-Filesystem-1.1.2. |
| Periksa hasil | Dapat berupa Fail, Pass, Skip, atau Error. Misalnya, Error dalam situasi di mana pemeriksaan tidak dapat dijalankan. |
| Kesalahan | Informasi dan deskripsi dari kesalahan. |
| Keterangan | Deskripsi periksa dari CIS. |
| Perbaikan | Rekomendasi untuk remediasi dari CIS. |
| Keparahan | Tingkat keparahan. |
SBoM (kolektor berbasis pemicu)
Kolektor SBoM (Software Bill of Materials) mengumpulkan paket yang dipasang pada perangkat secara berkala.
Data yang dikumpulkan pada setiap paket meliputi:
| Parameter | Deskripsi |
|---|---|
| Nama | Nama paket. |
| Versi | Versi paket. |
| Vendor | Vendor paket, yang merupakan bidang Maintainer dalam paket deb. |
Peristiwa periferal (pengumpul berbasis peristiwa)
Kolektor peristiwa Periferal mengumpulkan koneksi dan pemutusan koneksi peristiwa USB dan Ethernet.
Bidang yang dikumpulkan bergantung pada jenis peristiwa:
Peristiwa USB
| Parameter | Deskripsi |
|---|---|
| Stempel waktu | Waktu peristiwa terjadi. |
| ActionType | Apakah peristiwa tersebut merupakan peristiwa koneksi atau pemutusan sambungan. |
| bus_number | Pengidentifikasi pengontrol tertentu, setiap perangkat USB dapat memiliki beberapa. |
| kernel_device_number | Representasi dalam kernel perangkat, tidak unik dan dapat setiap kali perangkat terhubung. |
| device_class | Pengidentifikasi yang menentukan kelas perangkat. |
| device_subclass | Pengidentifikasi yang menentukan jenis perangkat. |
| device_protocol | Pengidentifikasi yang menentukan protokol perangkat. |
| interface_class | Jika kelas perangkat adalah 0, tunjukkan jenis perangkat. |
| interface_subclass | Jika kelas perangkat adalah 0, tunjukkan jenis perangkat. |
| interface_protocol | Jika kelas perangkat adalah 0, tunjukkan jenis perangkat. |
Peristiwa Ethernet
| Parameter | Deskripsi |
|---|---|
| Stempel waktu | Waktu peristiwa terjadi. |
| ActionType | Apakah peristiwa tersebut merupakan peristiwa koneksi atau pemutusan sambungan. |
| bus_number | Pengidentifikasi pengontrol tertentu, setiap perangkat USB dapat memiliki beberapa. |
| Nama antarmuka | Nama antarmuka. |
Peristiwa sistem file (pengumpul berbasis peristiwa)
Pengumpul peristiwa sistem file mengumpulkan peristiwa setiap kali ada perubahan di bawah direktori pengawasan untuk: pembuatan, penghapusan, pemindahan, dan modifikasi direktori dan file. Untuk menentukan direktori dan file mana yang ingin Anda pantau, lihat Pengaturan spesifik pengumpul informasi sistem.
Data berikut dikumpulkan:
| Parameter | Deskripsi |
|---|---|
| Stempel waktu | Waktu peristiwa terjadi. |
| Masker | Linux menginotasikan masker yang terkait dengan peristiwa sistem file, masker mengidentifikasi jenis tindakan dan dapat menjadi salah satu dari yang berikut: Access/Modified/Metadata changed/Closed/Opened/Moved/Created/Deleted. |
| Jalur | Jalur direktori/file tempat peristiwa dibuat. |
| Hitcount | Berapa kali peristiwa ini diagregasi. |
Data statistik (pengumpul berbasis pemicu)
Kolektor Statistik menghasilkan berbagai statistik pada pengumpul agen mikro yang berbeda. Statistik ini memberikan informasi tentang performa kolektor dalam siklus pengumpulan sebelumnya. Contoh statistik yang mungkin termasuk jumlah peristiwa yang berhasil dikirim, dan jumlah peristiwa yang dihilangkan, bersama dengan alasan kegagalan.
Bidang yang dikumpulkan:
| Parameter | Deskripsi |
|---|---|
| Stempel waktu | Waktu peristiwa terjadi. |
| Nama | Nama kolektor. |
| Peristiwa | Array pasangan yang diformat sebagai JSON dengan deskripsi dan hit count. |
| Keterangan | Apakah pesan dikirim/dihilangkan dan alasan untuk menjatuhkan. |
| Hitcount | Jumlah pesan masing-masing. |
Agregasi peristiwa untuk pengumpul Proses dan Jaringan
Cara kerja agregasi peristiwa untuk peristiwa Proses dan peristiwa Aktivitas Jaringan:
Agen Defender for IoT mengagregasi peristiwa selama interval pengiriman yang ditentukan dalam konfigurasi frekuensi pesan untuk setiap kolektor, seperti Process_MessageFrequency atau NetworkActivity_MessageFrequency. Setelah periode interval pengiriman berlalu, agen mengirimkan peristiwa agregat ke cloud Azure untuk analisis lebih lanjut. Peristiwa agregat disimpan dalam memori hingga dikirim ke cloud Microsoft Azure.
Ketika agen mengumpulkan peristiwa serupa dengan yang sudah disimpan dalam memori, agen akan meningkatkan jumlah hit peristiwa khusus ini untuk mengurangi jejak memori agen. Ketika jendela waktu agregasi berlalu, agen mengirimkan jumlah klik dari setiap jenis peristiwa yang terjadi. Agregasi peristiwa adalah agregasi dari jumlah hit peristiwa serupa. Misalnya, aktivitas jaringan dengan host jarak jauh yang sama dan pada port yang sama, dikumpulkan sebagai satu peristiwa, alih-alih sebagai peristiwa terpisah untuk setiap paket.
Catatan
Secara default, agen mikro mengirim log dan telemetri ke cloud untuk tujuan pemecahan masalah dan pemantauan. Perilaku ini dapat dikonfigurasikan atau dinonaktifkan melalui kembaran.
Langkah berikutnya
Untuk informasi selengkapnya, lihat: