Esaminare gli avvisi predefiniti degli agenti di sicurezza

5 minuti

Microsoft Defender per IoT analizza continuamente la soluzione IoT usando funzionalità avanzate di analisi e intelligence sulle minacce per generare avvisi per attività dannose. È anche possibile creare avvisi personalizzati in base alla conoscenza del comportamento previsto del dispositivo. Un avviso funge da indicatore di potenziale compromissione e deve dare il via a ulteriori operazioni di indagine e correzione.

L'installazione e la configurazione di un agente di sicurezza nei dispositivi IoT aggiunge un numero elevato di avvisi alla soluzione di sicurezza.

Nome

Gravità

Origine dati

Descrizione

Passaggi per la correzione consigliati

Gravità alta

Riga di comando per file binario

Alta

Agente

È stato rilevato un file binario Linux chiamato/eseguito dalla riga di comando. Questo processo può essere un'attività legittima o può indicare che il dispositivo è compromesso.

Esaminare il comando con l'utente che l'ha eseguita. Verificare che questo comando sia destinato all'esecuzione nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni.

Disabilitare il firewall

Alta

Agente

È stata rilevata una possibile manipolazione nel firewall nell'host. Gli attori malintenzionati disabilitano spesso il firewall nell'host nel tentativo di esfiltrare dati.

Esaminare con l'utente che ha eseguito il comando. Verificare che si tratti di un'attività prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni.

Rilevamento di port forwarding

Alta

Agente

È stato rilevato l'avvio di port forwarding a un indirizzo IP esterno.

Rilevamento di un possibile tentativo di disabilitare la registrazione Auditd

Alta

Agente

Il sistema Linux Auditd fornisce una modalità per monitorare le informazioni rilevanti per la sicurezza nel sistema. Il sistema registra la quantità massima possibile di informazioni sugli eventi che si verificano nel sistema. Queste informazioni sono essenziali per ambienti cruciali per determinare chi ha violato il criterio di sicurezza e quali azioni hanno eseguito. La disabilitazione della registrazione di Auditd potrebbe impedire di individuare violazioni dei criteri di sicurezza usati nel sistema.

Controllare con il proprietario del dispositivo che si tratti di un'attività prevista con motivi aziendali. In caso contrario, è possibile che questo evento nasconda attività da attori malintenzionati. È stata eseguita immediatamente l'escalation dell'evento imprevisto al team responsabile della sicurezza delle informazioni.

Shell inverso

Alta

Agente

L'analisi dei dati dell'host in un dispositivo ha rilevato una shell inversa. Le shell inverse vengono spesso usate per fare in modo che un computer compromesso contatti un computer controllato da un attore malintenzionato.

Tentativo riuscito di forza bruta

Alta

Agente

Sono stati identificati più tentativi di accesso non riusciti, seguiti da un accesso riuscito. È possibile che sia stato eseguito un tentativo riuscito di attacco di forza bruta nel dispositivo.

Esaminare l'avviso relativo all'attacco di forza bruta SSH e l'attività nei dispositivi. Se l'attività era dannosa: Implementare la reimpostazione della password per gli account compromessi. Esaminare e correggere i dispositivi (se trovati) con malware.

Accesso locale riuscito

Alta

Agente

È stato rilevato un accesso locale riuscito al dispositivo.

Assicurarsi che l'utente connesso sia una parte autorizzata.

Shell Web

Alta

Agente

Possibile rilevamento di una web shell. Gli attori malintenzionati caricano comunemente una web shell in un computer compromesso per ottenere la persistenza o per altri tipi di sfruttamento.

Gravità media

Rilevato comportamento simile a bot di Linux comuni

Medio

Agente

È stata rilevata l'esecuzione di un processo normalmente associato a botnet Linux comuni.

Rilevato comportamento simile al ransomware Fairware

Medio

Agente

È stata rilevata l'esecuzione di comandi rm -rf applicata a posizioni sospette mediante l'analisi dei dati dell'host. Poiché il comando rm -rf elimina in modo ricorsivo i file, viene in genere usato solo nelle cartelle discrete. In questo caso, viene usato in una posizione che potrebbe rimuovere una quantità elevata di dati. Il ransomware Fairware è noto per l'esecuzione di comandi rm -rf in questa cartella.

Rilevamento di un comportamento simile a ransomware

Medio

Agente

È stata rilevata l'esecuzione di file simili a un ransomware noto che potrebbe impedire agli utenti di accedere ai rispettivi sistemi o file personali e potrebbe richiedere il pagamento di un riscatto per recuperare l'accesso.

Rilevamento di immagine di contenitore che esegue mining di criptovaluta

Medio

Agente

È stato rilevato un contenitore che esegue immagini note di mining di valuta digitale.

Se questo comportamento non è intenzionale, eliminare l'elemento rilevante. 2. Assicurarsi che il daemon Docker non sia accessibile tramite un socket TCP non sicuro. 3. Eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni.

Immagine di strumento che esegue mining di criptovaluta

Medio

Agente

È stata rilevata l'esecuzione di un processo normalmente associato al mining di valuta digitale.

Rilevato uso sospetto del comando nohup

Medio

Agente

È stato rilevato un uso sospetto del comando nohup nell'host. Gli attori malintenzionati eseguono comunemente il comando nohup da una directory temporanea, consentendo l'esecuzione efficiente dei rispettivi file eseguibili in background. La visualizzazione dell'esecuzione di questo comando nei file che si trovano in una directory temporanea non è un comportamento previsto o consueto.

Rilevato uso sospetto del comando useradd

Medio

Agente

È stato rilevato un uso sospetto del comando useradd nel dispositivo.

Daemon Docker esposto dal socket TCP

Medio

Agente

I log del computer indicano che il daemon Docker (dockerd) espone un socket TCP. Per impostazione predefinita, la configurazione di Docker non usa la crittografia o l'autenticazione quando è abilitato un socket TCP. La configurazione predefinita di Docker consente l'accesso completo al daemon Docker da qualsiasi utente autorizzato ad accedere alla porta rilevante.

Accesso locale non riuscito

Medio

Agente

È stato rilevato un tentativo di accesso locale non riuscito nel dispositivo.

Assicurarsi che nessuna parte non autorizzata possa accedere fisicamente al dispositivo.

Rilevamento di download di file da un'origine dannosa nota

Medio

Agente

È stato rilevato il download di un file da un'origine nota di malware.

Accesso al file htaccess rilevato

Medio

Agente

L'analisi dei dati dell'host ha rilevato una possibile manipolazione di un file htaccess. Htaccess è un file di configurazione avanzato che consente di apportare più modifiche a un server Web che esegue software Web di Apache, che include la funzionalità di reindirizzamento di base e funzioni più avanzate, come la protezione di base della password. Gli attori malintenzionati modificano spesso i file htaccess nei computer compromessi per ottenere la persistenza.

Verificare che si tratti di un'attività prevista nell'host. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni.

Strumento di attacco noto

Medio

Agente

È stato rilevato uno strumento spesso associato a utenti malintenzionati che attaccano in qualche modo altri computer.

L'agente di sicurezza di Azure IoT ha eseguito un tentativo non riuscito di analizzare la configurazione del modulo gemello IoT Edge

Medio

Agente

L'agente di sicurezza di Microsoft Defender per IoT non è riuscito ad analizzare la configurazione del modulo gemello a causa di mancate corrispondenze dei tipi nell'oggetto di configurazione.

Convalidare la configurazione del modulo gemello rispetto allo schema di configurazione dell'agente IoT e correggere tutte le mancate corrispondenze.

Rilevata ricognizione dell'host locale

Medio

Agente

È stata rilevata l'esecuzione di un comando normalmente associato a una ricognizione comune del bot Linux.

Esaminare la riga di comando sospetta per verificare che sia stata eseguita da un utente legittimo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni.

Mancata corrispondenza tra l'interprete di script e l'estensione del file

Medio

Agente

L'analisi dei dati dell'host ha rilevato una mancata corrispondenza tra l'interprete di script e l'estensione del file di script fornito come input. Questo tipo di mancata corrispondenza è in genere associato a esecuzioni di script di attacco.

Rilevata possibile backdoor

Medio

Agente

Un file sospetto è stato scaricato e quindi eseguito in un host nella sottoscrizione. Questo tipo di attività è comunemente associato all'installazione di una backdoor.

Potenziale perdita di dati rilevati

Medio

Agente

È stata rilevata una possibile condizione di uscita di dati mediante l'analisi dei dati dell'host. Gli attori malintenzionati estraggono spesso dati in uscita dai computer danneggiati.

Potenziale override di file comuni

Medio

Agente

Un file eseguibile comune è stato sovrascritto nel dispositivo. Gli attori malintenzionati sovrascrivono spesso i file comuni per nascondere le proprie azioni o per ottenere la persistenza.

Rilevato contenitore con privilegi

Medio

Agente

I log del computer indicano che è in esecuzione un contenitore Docker con privilegi. Un contenitore con privilegi ha accesso completo alle risorse dell'host. Se viene compromesso, un attore malintenzionato può usare il contenitore con privilegi per ottenere l'accesso al computer host.

Se non è necessario eseguire il contenitore in una modalità con privilegi, rimuovere i privilegi dal contenitore.

Rilevamento di rimozione di file dei log di sistema

Medio

Agente

È stata rilevata una rimozione sospetta dei file di log nell'host.

Spazio dopo il nome del file

Medio

Agente

È stata rilevata l'esecuzione di un processo con un'estensione sospetta mediante l'analisi dei dati dell'host. Le estensioni sospette possono ingannare gli utenti convincendoli che i file possono essere aperti in tutta sicurezza e possono indicare la presenza di malware nel sistema.

Rilevati strumenti di accesso alle credenziali dannosi sospetti

Medio

Agente

È stato rilevato l'utilizzo di uno strumento comunemente associato a tentativi dannosi di accedere alle credenziali.

Rilevata compilazione sospetta

Medio

Agente

È stata rilevata una compilazione sospetta. Gli attori malintenzionati compilano spesso exploit in un computer compromesso per l'escalation dei privilegi.

Download di file sospetto seguito da un'attività di esecuzione file

Medio

Agente

L'analisi dei dati dell'host ha rilevato un file scaricato ed eseguito nello stesso comando. Questa tecnica viene usata comunemente dagli attori malintenzionati per inserire file infetti nei computer vittime dell'attacco.

Comunicazione con indirizzo IP sospetto

Medio

Agente

Sono state rilevate comunicazioni con un indirizzo IP sospetto.

Verificare se la connessione è legittima. Prendere in considerazione il blocco delle comunicazioni con l'IP sospetto.

Gravità bassa

Cronologia di Bash cancellata

Basso

Agente

Il log della cronologia di Bash è stato cancellato. Gli attori malintenzionati cancellano comunemente la cronologia di Bash per evitare che i rispettivi comandi vengano visualizzati nei log.

Esaminare con l'utente che ha eseguito il comando. Verificare che si tratti di un'attività amministrativa prevista nel dispositivo. In caso contrario, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni.

Dispositivo invisibile

Basso

Agente

Il dispositivo non ha inviato dati di telemetria nelle ultime 72 ore.

Assicurarsi che il dispositivo sia online e che stia inviando dati. Verificare che l'agente di sicurezza di Azure sia in esecuzione nel dispositivo.

Tentativo di attacco di forza bruta non riuscito

Basso

Agente

Sono stati identificati più tentativi di accesso non riusciti. Un tentativo di potenziale attacco di forza bruta non è riuscito nel dispositivo.

Esaminare gli avvisi relativi all'attacco di forza bruta SSH e l'attività nel dispositivo. Non è necessaria alcuna azione.

Utente locale aggiunto a uno o più gruppi

Basso

Agente

Un nuovo utente locale è stato aggiunto a un gruppo in questo dispositivo. Le modifiche ai gruppi di utenti non sono comuni e potrebbero indicare un attore malintenzionato che raccoglie autorizzazioni aggiuntive.

Verificare che la modifica sia coerente con le autorizzazioni richieste dall'utente interessato. Se la modifica non è coerente, eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni.

Utente locale eliminato da uno o più gruppi

Basso

Agente

Un utente locale è stato eliminato da uno o più gruppi. È possibile che attori malintenzionati usino questo metodo nel tentativo di rifiutare l'accesso a utenti legittimi o di eliminare la cronologia delle proprie azioni.

Eliminazione di utente locale rilevata

Basso

Agente

È stata rilevata l'eliminazione di un utente locale. L'eliminazione dell'utente locale non è comune. È possibile che un attore malintenzionato stia provando a rifiutare l'accesso a utenti legittimi o a eliminare la cronologia delle proprie azioni.

Continua

Esaminare gli avvisi predefiniti degli agenti di sicurezza

Commenti e suggerimenti