Memeriksa peringatan agen keamanan bawaan
Microsoft Defender untuk IoT terus menganalisis solusi IoT Anda menggunakan analitik dan inteligensi ancaman yang canggih untuk memperingatkan Anda tentang aktivitas berbahaya. Selain itu, Anda dapat membuat peringatan kustom berdasarkan pengetahuan Anda tentang perilaku perangkat yang diharapkan. Peringatan berperan sebagai indikator potensi penyusupan, dan harus diselidiki dan diremediasi.
Menginstal dan mengonfigurasi Agen Keamanan ke perangkat IoT Anda menambahkan sejumlah besar peringatan ke solusi keamanan Anda.
Nama
Keparahan
Sumber data
Keterangan
Langkah-langkah remediasi yang disarankan
Keparahan tinggi
Baris Perintah Biner
Sangat Penting
Agen
Biner LA Linux yang dipanggil/dieksekusi dari baris perintah terdeteksi. Proses ini mungkin merupakan aktivitas yang sah, atau memberikan indikasi bahwa perangkat Anda disusupi.
Tinjau perintah dengan pengguna yang menjalankannya. Verifikasi apakah perintah ini dimaksudkan untuk dijalankan pada perangkat. Jika tidak, tingkatkan peringatan ke tim keamanan informasi Anda.
Nonaktifkan firewall
Sangat Penting
Agen
Kemungkinan manipulasi firewall on-host terdeteksi. Aktor jahat sering menonaktifkan firewall on-host dalam upaya untuk mendapatkan data.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi apakah ini adalah aktivitas yang diharapkan pada perangkat. Jika tidak, tingkatkan peringatan ke tim keamanan informasi Anda.
Deteksi penerusan port
Sangat Penting
Agen
Inisiasi penerusan port ke alamat IP eksternal terdeteksi.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi apakah ini adalah aktivitas yang diharapkan pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi.
Kemungkinan upaya untuk menonaktifkan log yang diaudit terdeteksi
Sangat Penting
Agen
Sistem yang diaudit Linux menyediakan cara untuk melacak informasi yang relevan dengan keamanan pada sistem. Sistem mencatat sebanyak mungkin informasi tentang peristiwa yang terjadi pada sistem Anda. Informasi ini sangat penting bagi lingkungan yang rentan terhadap misi untuk menentukan siapa yang melanggar kebijakan keamanan dan tindakan apa yang mereka lakukan. Menonaktifkan log yang diaudit dapat mencegah kemampuan Anda untuk menemukan pelanggaran kebijakan keamanan yang digunakan pada sistem.
Hubungi pemilik perangkat untuk memastikan apakah ini adalah aktivitas yang diharapkan dengan alasan bisnis. Jika tidak, peristiwa ini mungkin menyembunyikan aktivitas yang dilakukan aktor jahat. Segera kirimkan insiden ke tim keamanan informasi Anda.
Shell terbalik
Sangat Penting
Agen
Analisis data host pada perangkat mendeteksi potensi shell terbalik. Shell terbalik sering digunakan untuk mendapatkan komputer yang disusupi untuk memanggil kembali ke komputer yang dikendalikan oleh aktor jahat.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi apakah ini adalah aktivitas yang diharapkan pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi.
Upaya Brute force yang berhasil
Sangat Penting
Agen
Beberapa upaya masuk yang gagal diidentifikasi, diikuti oleh upaya masuk yang berhasil. Percobaan serangan Brute force mungkin berhasil pada perangkat.
Tinjau peringatan SSH Brute force dan aktivitas di perangkat. Jika aktivitasnya berbahaya: Luncurkan pengaturan ulang kata sandi untuk akun yang disusupi. Selidiki dan remediasi (jika ditemukan) malware pada perangkat.
Upaya masuk lokal yang berhasil
Sangat Penting
Agen
Masuk lokal yang berhasil ke perangkat terdeteksi.
Pastikan pengguna yang masuk adalah pihak yang berwenang.
Shell web
Sangat Penting
Agen
Kemungkinan shell web terdeteksi. Aktor jahat biasanya mengunggah shell web ke komputer yang disusupi untuk mendapatkan persistensi atau untuk eksploitasi lebih jauh.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi apakah ini adalah aktivitas yang diharapkan pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi.
Keparahan sedang
Perilaku yang mirip dengan bot Linux umum terdeteksi
Medium
Agen
Eksekusi proses yang biasanya dikaitkan dengan botnet Linux umum terdeteksi.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi apakah ini adalah aktivitas yang diharapkan pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi.
Perilaku yang mirip dengan ransomware Fairware terdeteksi
Medium
Agen
Eksekusi perintah rm -rf diterapkan ke lokasi mencurigakan yang terdeteksi menggunakan analisis data host. Karena rm -rf menghapus file secara rekursif, biasanya hanya digunakan pada folder diskret. Dalam hal ini, perintah itu sedang digunakan di lokasi yang dapat menghapus sejumlah besar data. Fairware ransomware diketahui menjalankan perintah rm -rf di folder ini.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi apakah ini adalah aktivitas yang diharapkan pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi.
Perilaku yang serupa dengan ransomware terdeteksi
Medium
Agen
Eksekusi file mirip ransomware yang diketahui dapat mencegah pengguna mengakses sistem mereka, atau file pribadi, dan dapat menuntut pembayaran tebusan untuk mendapatkan akses kembali.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi apakah ini adalah aktivitas yang diharapkan pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi.
Gambar kontainer penambang koin crypto terdeteksi
Medium
Agen
Kontainer mendeteksi adanya gambar penambangan mata uang digital yang diketahui sedang berjalan.
- Jika perilaku ini tidak dimaksudkan, hapus gambar kontainer yang relevan. 2. Pastikan daemon Docker tidak dapat diakses melalui soket TCP yang tidak aman. 3. Tingkatkan peringatan ke tim keamanan informasi.
Gambar penambang koin crypto
Medium
Agen
Eksekusi proses yang biasanya dikaitkan dengan penambangan mata uang digital terdeteksi.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi apakah ini adalah aktivitas yang diharapkan pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi.
Terdeteksi penggunaan mencurigakan dari perintah nohup
Medium
Agen
Penggunaan mencurigakan dari perintah nohup pada host terdeteksi. Aktor jahat biasanya menjalankan perintah nohup dari direktori sementara, efektif untuk memungkinkan executable mereka berjalan di latar belakang. Perintah ini tidak diharapkan berjalan pada berkas yang terletak di direktori atau bukan perilaku biasa.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi apakah ini adalah aktivitas yang diharapkan pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi.
Terdeteksi penggunaan mencurigakan dari perintah useradd
Medium
Agen
Penggunaan perintah useradd yang mencurigakan terdeteksi pada perangkat.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi apakah ini adalah aktivitas yang diharapkan pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi.
Daemon Docker yang disusupi melalui soket TCP
Medium
Agen
Log komputer menunjukkan bahwa daemon Docker (dockerd) Anda mengekspos soket TCP. Secara default, konfigurasi Docker, tidak menggunakan enkripsi atau autentikasi saat soket TCP diaktifkan. Konfigurasi Docker default memungkinkan akses penuh ke daemon Docker, oleh siapa pun yang memiliki akses ke port yang relevan.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi apakah ini adalah aktivitas yang diharapkan pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi.
Upaya masuk lokal yang gagal
Medium
Agen
Upaya masuk lokal yang gagal ke perangkat terdeteksi.
Pastikan tidak ada pihak yang tidak berwenang memiliki akses fisik ke perangkat.
Pengunduhan file dari sumber yang diketahui berbahaya terdeteksi
Medium
Agen
Pengunduhan file dari sumber yang diketahui berbahaya terdeteksi.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi apakah ini adalah aktivitas yang diharapkan pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi.
Akses file htaccess terdeteksi
Medium
Agen
Analisis data host mendeteksi kemungkinan manipulasi file htaccess. Htaccess adalah file konfigurasi canggih yang memungkinkan Anda membuat beberapa perubahan pada server web yang menjalankan perangkat lunak Apache Web, termasuk fungsionalitas pengalihan dasar, dan fungsi yang lebih canggih, seperti perlindungan kata sandi dasar. Aktor jahat sering memodifikasi file htaccess pada komputer yang disusupi untuk mendapatkan persistensi.
Konfirmasikan bahwa ini adalah aktivitas yang diharapkan pada host. Jika tidak, tingkatkan peringatan ke tim keamanan informasi Anda.
Alat serangan yang dikenal
Medium
Agen
Alat yang sering dikaitkan dengan pengguna berbahaya yang menyerang komputer lain dalam beberapa cara terdeteksi.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi apakah ini adalah aktivitas yang diharapkan pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi.
Agen IoT mencoba dan gagal mengurai konfigurasi kembar modul
Medium
Agen
Agen keamanan Microsoft Defender untuk IoT gagal mengurai konfigurasi modul ganda karena ketidakcocokan jenis di objek konfigurasi.
Validasi konfigurasi kembar modul Anda pada skema konfigurasi agen IoT, perbaiki semua ketidakcocokan.
Pengintaian host lokal terdeteksi
Medium
Agen
Eksekusi perintah yang biasanya dikaitkan dengan pengintaian bot Linux umum terdeteksi.
Tinjau baris perintah yang mencurigakan untuk mengonfirmasi bahwa baris perintah tersebut dijalankan oleh pengguna yang sah. Jika tidak, tingkatkan peringatan ke tim keamanan informasi Anda.
Ketidakcocokan antara penerjemah skrip dan ekstensi file
Medium
Agen
Ketidakcocokan antara penerjemah skrip dan ekstensi file skrip yang disediakan sebagai input terdeteksi. Jenis ketidakcocokan ini umumnya dikaitkan dengan eksekusi skrip penyerang.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi apakah ini adalah aktivitas yang diharapkan pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi.
Kemungkinan backdoor terdeteksi
Medium
Agen
File mencurigakan diunduh lalu dijalankan pada host di langganan Anda. Jenis aktivitas ini biasanya dikaitkan dengan penginstalan backdoor.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi apakah ini adalah aktivitas yang diharapkan pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi.
Potensi data hilang terdeteksi
Medium
Agen
Kemungkinan kondisi data keluar terdeteksi menggunakan analisis data host. Aktor jahat sering mengambil data keluar dari komputer yang disusupi.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi apakah ini adalah aktivitas yang diharapkan pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi.
Potensi penggantian file umum
Medium
Agen
Executable umum ditimpa pada perangkat. Aktor jahat diketahui menimpa file umum sebagai cara untuk menyembunyikan tindakan mereka atau sebagai cara untuk mendapatkan persistensi.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi apakah ini adalah aktivitas yang diharapkan pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi.
Kontainer istimewa terdeteksi
Medium
Agen
Log komputer menunjukkan bahwa kontainer istimewa Docker sedang berjalan. Kontainer dengan hak istimewa memiliki akses penuh ke sumber daya host. Jika disusupi, aktor jahat dapat menggunakan kontainer istimewa untuk mendapatkan akses ke komputer host.
Jika kontainer tidak perlu berjalan dalam mode hak istimewa, hapus hak istimewa dari kontainer.
Penghapusan log file sistem terdeteksi
Medium
Agen
Penghapusan file log yang mencurigakan pada host terdeteksi.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi apakah ini adalah aktivitas yang diharapkan pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi.
Spasi setelah nama file
Medium
Agen
Eksekusi proses dengan ekstensi mencurigakan terdeteksi menggunakan analisis data host. Ekstensi yang mencurigakan dapat mengelabui pengguna agar berpikir bahwa file aman untuk dibuka dan dapat menunjukkan adanya malware pada sistem.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi apakah ini adalah aktivitas yang diharapkan pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi.
Alat akses info masuk yang dicurigai berbahaya terdeteksi
Medium
Agen
Deteksi penggunaan alat yang umumnya terkait dengan upaya jahat untuk mengakses info masuk.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi apakah ini adalah aktivitas yang diharapkan pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi.
Kompilasi mencurigakan terdeteksi
Medium
Agen
Kompilasi mencurigakan terdeteksi. Aktor jahat sering mengkompilasi eksploitasi pada komputer yang disusupi untuk meningkatkan hak istimewa.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi apakah ini adalah aktivitas yang diharapkan pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi.
Pengunduhan file yang mencurigakan diikuti dengan aktivitas menjalankan file
Medium
Agen
Analisis data host mendeteksi file yang diunduh dan dijalankan dalam perintah yang sama. Teknik ini umumnya digunakan oleh aktor jahat untuk memasukkan file yang terinfeksi ke komputer korban.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi apakah ini adalah aktivitas yang diharapkan pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi.
Komunikasi dengan alamat IP yang mencurigakan
Medium
Agen
Komunikasi dengan alamat IP mencurigakan terdeteksi.
Verifikasi apakah koneksi tersebut sah. Pertimbangkan untuk memblokir komunikasi dengan IP yang mencurigakan.
Keparahan RENDAH
Riwayat bash dihapus
Kurang Penting
Agen
Catatan riwayat Bash dibersihkan. Aktor jahat biasanya menghapus riwayat bash untuk menyembunyikan perintah mereka sendiri agar tidak muncul di log.
Tinjau dengan pengguna yang menjalankan perintah. Verifikasi bahwa ini adalah aktivitas administratif yang diharapkan pada perangkat. Jika tidak, kirimkan peringatan kepada tim keamanan informasi.
Perangkat diam
Kurang Penting
Agen
Perangkat tidak mengirim data telemetri apa pun dalam 72 jam terakhir.
Pastikan perangkat sedang online dan mengirim data. Periksa apakah Agen Keamanan Azure berjalan di perangkat.
Upaya Brute force yang gagal
Kurang Penting
Agen
Beberapa upaya masuk yang gagal diidentifikasi. Potensi upaya serangan brute force gagal pada perangkat.
Tinjau peringatan SSH Brute force dan aktivitas di perangkat. Tindakan lebih lanjut tidak diperlukan.
Pengguna lokal ditambahkan ke satu atau beberapa grup
Kurang Penting
Agen
Pengguna lokal baru ditambahkan ke grup pada perangkat ini. Perubahan pada grup pengguna jarang terjadi, dan dapat mengindikasikan aktor berbahaya mungkin mengumpulkan izin akses.
Verifikasi apakah perubahan tersebut selaras dengan izin yang diperlukan oleh pengguna yang terpengaruh. Jika perubahan ini tidak selaras, laporkan ke tim Keamanan Informasi Anda.
Pengguna lokal dihapus dari satu atau beberapa grup
Kurang Penting
Agen
Pengguna lokal telah dihapus dari satu atau beberapa grup. Aktor jahat diketahui menggunakan metode ini dalam upaya menolak akses ke pengguna yang sah atau untuk menghapus riwayat tindakan mereka.
Verifikasi apakah perubahan tersebut selaras dengan izin yang diperlukan oleh pengguna yang terpengaruh. Jika perubahan ini tidak selaras, laporkan ke tim Keamanan Informasi Anda.
Penghapusan pengguna lokal terdeteksi
Kurang Penting
Agen
Penghapusan pengguna lokal terdeteksi. Penghapusan pengguna lokal jarang terjadi, aktor jahat mungkin mencoba menolak akses yang dilakukan pengguna yang sah atau untuk menghapus riwayat tindakan mereka.
Verifikasi apakah perubahan tersebut selaras dengan izin yang diperlukan oleh pengguna yang terpengaruh. Jika perubahan ini tidak selaras, laporkan ke tim Keamanan Informasi Anda.