Avvisi di sicurezza dei dispositivi Legacy Defender per IoT
Nota
L'agente legacy di Microsoft Defender per IoT è stato sostituito dall'esperienza più recente di micro-agente. Per altre informazioni, vedere Esercitazione: Analizzare gli avvisi di sicurezza.
A partire dal 31 marzo 2022, l'agente legacy è in fase di tramonto e non vengono sviluppate nuove funzionalità. L'agente legacy verrà ritirato completamente il 31 marzo 2023, a questo punto non verranno più fornite correzioni di bug o altro supporto per l'agente legacy.
Defender per IoT analizza continuamente la soluzione IoT usando funzionalità avanzate di analitica e intelligence per le minacce per avvisare l'utente di attività dannose. È anche possibile creare avvisi personalizzati in base alla conoscenza del comportamento previsto del dispositivo. Un avviso funge da indicatore di potenziale compromissione e deve dare il via a ulteriori operazioni di indagine e correzione.
In questo articolo è disponibile un elenco di avvisi predefiniti che possono essere attivati nei dispositivi IoT. Oltre agli avvisi predefiniti, Defender per IoT consente di definire avvisi personalizzati in base al comportamento previsto hub IoT e/o del dispositivo. Per altre informazioni, vedere Avvisi personalizzabili.
Avvisi di sicurezza basati sull'agente
| Nome | Gravità | Origine dati | Descrizione | Passaggi per la correzione consigliati |
|---|---|---|---|---|
| Gravità elevata | ||||
| Riga di comando per file binario | Alto | Legacy Defender-IoT-micro-agent | È stato rilevato un file binario Linux chiamato/eseguito dalla riga di comando. Questo processo può essere un'attività legittima o può indicare che il dispositivo è compromesso. | Esaminare il comando con l'utente che lo ha eseguito e verificare se si tratta di un'operazione prevista per l'esecuzione nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Disabilitare il firewall | Alto | Legacy Defender-IoT-micro-agent | È stata rilevata una possibile manipolazione nel firewall nell'host. Gli attori malintenzionati disabilitano spesso il firewall nell'host nel tentativo di esfiltrare dati. | Verificare con l'utente che ha eseguito il comando per confermare che si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Rilevamento di port forwarding | Alto | Legacy Defender-IoT-micro-agent | È stato rilevato l'avvio di port forwarding a un indirizzo IP esterno. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Possibile tentativo di disabilitare la registrazione auditd rilevata | Alto | Legacy Defender-IoT-micro-agent | Il sistema Auditd Linux consente di tenere traccia delle informazioni rilevanti per la sicurezza nel sistema. Il sistema registra la quantità massima possibile di informazioni sugli eventi che si verificano nel sistema. Queste informazioni sono essenziali per ambienti cruciali per determinare chi ha violato il criterio di sicurezza e quali azioni hanno eseguito. La disabilitazione della registrazione auditd può impedire la possibilità di individuare violazioni dei criteri di sicurezza usati nel sistema. | Verificare con il proprietario del dispositivo se si è trattato di un'attività legittima con finalità aziendali. In caso contrario, è possibile che questo evento nasconda attività da attori malintenzionati. È stata eseguita immediatamente l'escalation dell'evento imprevisto al team responsabile della sicurezza delle informazioni. |
| Shell inverso | Alto | Legacy Defender-IoT-micro-agent | L'analisi dei dati dell'host in un dispositivo ha rilevato una shell inversa. Le shell inverse vengono spesso usate per fare in modo che un computer compromesso contatti un computer controllato da un attore malintenzionato. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Tentativo di Bruteforce riuscito | Alto | Legacy Defender-IoT-micro-agent | Sono stati identificati più tentativi di accesso non riusciti, seguiti da un accesso riuscito. È possibile che sia stato eseguito un tentativo riuscito di attacco di forza bruta nel dispositivo. | Esaminare l'avviso relativo all'attacco di forza bruta SSH e l'attività nei dispositivi. Se l'attività è stata dannosa: Implementare la reimpostazione della password per gli account compromessi. Esaminare e correggere i dispositivi (se trovati) con malware. |
| Accesso locale riuscito | Alto | Legacy Defender-IoT-micro-agent | Accesso locale riuscito al dispositivo rilevato | Assicurarsi che l'utente connesso sia una parte autorizzata. |
| Shell Web | Alto | Legacy Defender-IoT-micro-agent | Possibile rilevamento di una web shell. Gli attori malintenzionati caricano comunemente una web shell in un computer compromesso per ottenere la persistenza o per altri tipi di sfruttamento. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Gravità media | ||||
| Rilevato comportamento simile a bot di Linux comuni | Medio | Legacy Defender-IoT-micro-agent | È stata rilevata l'esecuzione di un processo normalmente associato a botnet Linux comuni. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Rilevato comportamento simile al ransomware Fairware | Medio | Legacy Defender-IoT-micro-agent | È stata rilevata l'esecuzione di comandi rm -rf applicata a posizioni sospette mediante l'analisi dei dati dell'host. Poiché il comando rm -rf elimina in modo ricorsivo i file, viene in genere usato solo nelle cartelle discrete. In questo caso, viene usato in una posizione che potrebbe rimuovere una quantità elevata di dati. Il ransomware Fairware è noto per l'esecuzione di comandi rm -rf in questa cartella. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Rilevamento di un comportamento simile a ransomware | Medio | Legacy Defender-IoT-micro-agent | È stata rilevata l'esecuzione di file simili a un ransomware noto che potrebbe impedire agli utenti di accedere ai rispettivi sistemi o file personali e potrebbe richiedere il pagamento di un riscatto per recuperare l'accesso. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Rilevamento di immagine di contenitore che esegue mining di criptovaluta | Medio | Legacy Defender-IoT-micro-agent | È stato rilevato un contenitore che esegue immagini note di mining di valuta digitale. | 1. Se questo comportamento non è previsto, eliminare l'immagine del contenitore pertinente. 2. Assicurarsi che il daemon Docker non sia accessibile tramite un socket TCP non sicuro. 3. Inoltrare l'avviso al team di sicurezza delle informazioni. |
| Immagine di strumento che esegue mining di criptovaluta | Medio | Legacy Defender-IoT-micro-agent | È stata rilevata l'esecuzione di un processo normalmente associato al mining di valuta digitale. | Richiedere all'utente che ha eseguito il comando se si è trattato di un'attività legittima nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Rilevato uso sospetto del comando nohup | Medio | Legacy Defender-IoT-micro-agent | È stato rilevato un uso sospetto del comando nohup nell'host. Gli attori malintenzionati eseguono comunemente il comando nohup da una directory temporanea, consentendo l'esecuzione efficiente dei rispettivi file eseguibili in background. La visualizzazione dell'esecuzione di questo comando nei file che si trovano in una directory temporanea non è un comportamento previsto o consueto. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Rilevato uso sospetto del comando useradd | Medio | Legacy Defender-IoT-micro-agent | È stato rilevato un uso sospetto del comando useradd nel dispositivo. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Daemon Docker esposto dal socket TCP | Medio | Legacy Defender-IoT-micro-agent | I log del computer indicano che il daemon Docker (dockerd) espone un socket TCP. Per impostazione predefinita, la configurazione di Docker non usa la crittografia o l'autenticazione quando è abilitato un socket TCP. La configurazione predefinita di Docker consente l'accesso completo al daemon Docker da qualsiasi utente autorizzato ad accedere alla porta rilevante. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Accesso locale non riuscito | Medio | Legacy Defender-IoT-micro-agent | È stato rilevato un tentativo di accesso locale non riuscito nel dispositivo. | Assicurarsi che nessuna parte non autorizzata possa accedere fisicamente al dispositivo. |
| Rilevamento di download di file da un'origine dannosa nota | Medio | Legacy Defender-IoT-micro-agent | È stato rilevato il download di un file da un'origine nota di malware. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Accesso al file htaccess rilevato | Medio | Legacy Defender-IoT-micro-agent | L'analisi dei dati dell'host ha rilevato una possibile manipolazione di un file htaccess. Htaccess è un file di configurazione avanzato che consente di apportare più modifiche a un server Web che esegue software Web di Apache, che include la funzionalità di reindirizzamento di base e funzioni più avanzate, come la protezione di base della password. Gli attori malintenzionati modificano spesso i file htaccess nei computer compromessi per ottenere la persistenza. | Confermare che si tratta di un'attività prevista legittima nell'host. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Strumento di attacco noto | Medio | Legacy Defender-IoT-micro-agent | È stato rilevato uno strumento spesso associato a utenti malintenzionati che attaccano in qualche modo altri computer. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| L'agente di sicurezza di Azure IoT ha eseguito un tentativo non riuscito di analizzare la configurazione del modulo gemello IoT Edge | Medio | Legacy Defender-IoT-micro-agent | L'agente di sicurezza Defender per IoT non è riuscito ad analizzare la configurazione del modulo gemello a causa di mancate corrispondenze di tipo nell'oggetto di configurazione | Convalidare la configurazione del modulo gemello rispetto allo schema di configurazione dell'agente IoT e correggere tutte le mancate corrispondenze. |
| Rilevata ricognizione dell'host locale | Medio | Legacy Defender-IoT-micro-agent | È stata rilevata l'esecuzione di un comando normalmente associato a una ricognizione comune del bot Linux. | Esaminare la riga di comando sospetta per verificare che sia stata eseguita da un utente legittimo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Mancata corrispondenza tra l'interprete di script e l'estensione del file | Medio | Legacy Defender-IoT-micro-agent | L'analisi dei dati dell'host ha rilevato una mancata corrispondenza tra l'interprete di script e l'estensione del file di script fornito come input. Questo tipo di mancata corrispondenza è in genere associato a esecuzioni di script di attacco. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Rilevata possibile backdoor | Medio | Legacy Defender-IoT-micro-agent | Un file sospetto è stato scaricato e quindi eseguito in un host nella sottoscrizione. Questo tipo di attività è comunemente associato all'installazione di una backdoor. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Potenziale perdita di dati rilevati | Medio | Legacy Defender-IoT-micro-agent | È stata rilevata una possibile condizione di uscita di dati mediante l'analisi dei dati dell'host. Gli attori malintenzionati estraggono spesso dati in uscita dai computer danneggiati. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Potenziale override di file comuni | Medio | Legacy Defender-IoT-micro-agent | Un file eseguibile comune è stato sovrascritto nel dispositivo. Gli attori malintenzionati sovrascrivono spesso i file comuni per nascondere le proprie azioni o per ottenere la persistenza. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Rilevato contenitore con privilegi | Medio | Legacy Defender-IoT-micro-agent | I log del computer indicano che è in esecuzione un contenitore Docker con privilegi. Un contenitore con privilegi ha accesso completo alle risorse dell'host. Se viene compromesso, un attore malintenzionato può usare il contenitore con privilegi per ottenere l'accesso al computer host. | Se non è necessario eseguire il contenitore in una modalità con privilegi, rimuovere i privilegi dal contenitore. |
| Rilevamento di rimozione di file dei log di sistema | Medio | Legacy Defender-IoT-micro-agent | È stata rilevata una rimozione sospetta dei file di log nell'host. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Spazio dopo il nome del file | Medio | Legacy Defender-IoT-micro-agent | È stata rilevata l'esecuzione di un processo con un'estensione sospetta mediante l'analisi dei dati dell'host. Le estensioni sospette possono ingannare gli utenti convincendoli che i file possono essere aperti in tutta sicurezza e possono indicare la presenza di malware nel sistema. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Rilevati strumenti di accesso alle credenziali dannosi sospetti | Medio | Legacy Defender-IoT-micro-agent | È stato rilevato l'utilizzo di uno strumento comunemente associato a tentativi dannosi di accedere alle credenziali. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Rilevata compilazione sospetta | Medio | Legacy Defender-IoT-micro-agent | È stata rilevata una compilazione sospetta. Gli attori malintenzionati compilano spesso exploit in un computer compromesso per l'escalation dei privilegi. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Download di file sospetto seguito da un'attività di esecuzione file | Medio | Legacy Defender-IoT-micro-agent | L'analisi dei dati dell'host ha rilevato un file scaricato ed eseguito nello stesso comando. Questa tecnica viene usata comunemente dagli attori malintenzionati per inserire file infetti nei computer vittime dell'attacco. | Verificare con l'utente che ha eseguito il comando se si è trattato di un'attività legittima e prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Comunicazione con indirizzo IP sospetto | Medio | Legacy Defender-IoT-micro-agent | Sono state rilevate comunicazioni con un indirizzo IP sospetto. | Verificare se la connessione è legittima. Prendere in considerazione il blocco delle comunicazioni con l'IP sospetto. |
| Gravità BASSA | ||||
| Cronologia di Bash cancellata | Basso | Legacy Defender-IoT-micro-agent | Il log della cronologia di Bash è stato cancellato. Gli attori malintenzionati cancellano comunemente la cronologia di Bash per evitare che i rispettivi comandi vengano visualizzati nei log. | Verificare l'attività in questo avviso con l'utente che ha eseguito il comando per determinare se è riconosciuta come attività di amministrazione legittima. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Dispositivo invisibile | Basso | Legacy Defender-IoT-micro-agent | Il dispositivo non ha inviato dati di telemetria nelle ultime 72 ore. | Assicurarsi che il dispositivo sia online e che stia inviando dati. Verificare che l'agente di sicurezza di Azure sia in esecuzione nel dispositivo. |
| Tentativo di Bruteforce non riuscito | Basso | Legacy Defender-IoT-micro-agent | Sono stati identificati più tentativi di accesso non riusciti. Un tentativo di potenziale attacco di forza bruta non è riuscito nel dispositivo. | Esaminare gli avvisi relativi all'attacco di forza bruta SSH e l'attività nel dispositivo. Non è necessaria alcuna azione. |
| Utente locale aggiunto a uno o più gruppi | Basso | Legacy Defender-IoT-micro-agent | Un nuovo utente locale è stato aggiunto a un gruppo in questo dispositivo. Le modifiche ai gruppi di utenti non sono comuni e possono indicare che un attore malintenzionato potrebbe raccogliere autorizzazioni aggiuntive. | Verificare se la modifica è coerente con le autorizzazioni richieste dall'utente interessato. Se la modifica non è coerente, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Utente locale eliminato da uno o più gruppi | Basso | Legacy Defender-IoT-micro-agent | Un utente locale è stato eliminato da uno o più gruppi. È possibile che attori malintenzionati usino questo metodo nel tentativo di rifiutare l'accesso a utenti legittimi o di eliminare la cronologia delle proprie azioni. | Verificare se la modifica è coerente con le autorizzazioni richieste dall'utente interessato. Se la modifica non è coerente, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
| Eliminazione di utente locale rilevata | Basso | Legacy Defender-IoT-micro-agent | È stata rilevata l'eliminazione di un utente locale. L'eliminazione dell'utente locale non è comune. È possibile che un attore malintenzionato stia provando a rifiutare l'accesso a utenti legittimi o a eliminare la cronologia delle proprie azioni. | Verificare se la modifica è coerente con le autorizzazioni richieste dall'utente interessato. Se la modifica non è coerente, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni. |
Passaggi successivi
- Panoramica del servizio Defender per IoT
- Informazioni su come accedere ai dati di sicurezza
- Altre informazioni sull'analisi di un dispositivo