기본 제공 보안 에이전트 경고 검토
IoT용 Microsoft Defender는 고급 분석 및 위협 인텔리전스를 사용하여 IoT 솔루션을 지속적으로 분석함으로써 악의적인 활동에 대해 경고합니다. 또한 예상되는 디바이스 동작에 대한 정보를 기반으로 사용자 지정 경고를 만들 수 있습니다. 경고는 잠재적 손상을 나타내는 표시기 역할을 하며, 조사를 거쳐 수정해야 합니다.
IoT 디바이스에 보안 에이전트를 설치하고 구성하면 보안 솔루션에 많은 경고가 추가됩니다.
이름
심각도
데이터 원본
설명
제안되는 수정 단계
높은 심각도
이진 명령줄
높음
에이전트
명령줄에서 호출/실행되는 LA Linux 이진 파일이 검색되었습니다. 이 프로세스는 정상적 활동일 수도 있고 디바이스가 손상되었다는 표시일 수도 있습니다.
명령을 실행한 사용자와 함께 검토합니다. 이 명령이 디바이스에서 실행되도록 의도되었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
방화벽 해제
높음
에이전트
온-호스트 방화벽의 조작 가능성이 검색됨 악의적인 행위자는 데이터를 탈취하기 위해 온-호스트 방화벽을 해제하는 경우가 많습니다.
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
포트 전달 검색
높음
에이전트
외부 IP 주소로 포트 전달이 시작된 것이 검색되었습니다.
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
감사 로깅을 비활성화하려는 시도 감지
높음
에이전트
Linux 감사 시스템은 시스템에서 보안 관련 정보를 추적하는 방법을 제공합니다. 시스템은 시스템에서 발생하는 이벤트에 대한 정보를 최대한 많이 기록합니다. 이 정보는 중요 업무용 환경에서 보안 정책을 위반한 사용자 및 수행한 작업을 확인하는 데 중요합니다. 감사 로깅을 비활성화하면 시스템에서 사용되는 보안 정책 위반을 검색할 수 없습니다.
디바이스 소유자에게 문의하여 이것이 비즈니스상의 이유로 예상되는 활동이었는지 확인합니다. 그렇지 않다면 이 이벤트는 악의적인 행위자의 활동을 숨기는 것일 수 있습니다. 정보 보안 팀에 즉시 인시던트를 에스컬레이션합니다.
역방향 셸
높음
에이전트
디바이스에서 호스트 데이터를 분석한 결과, 잠재적인 역방향 셸이 검색되었습니다. 역방향 셸은 보안이 손상된 컴퓨터가 악의적인 공격자가 제어하는 컴퓨터로 다시 호출하도록 하는 데 사용되는 경우가 많습니다
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
무차별 암호 대입 시도 성공
높음
에이전트
로그인 시도가 여러 번 실패한 후 성공한 것이 식별되었습니다. 시도된 무차별 암호 대입 공격이 디바이스에서 성공했을 수 있습니다.
SSH 무차별 암호 대입 경고 및 디바이스에서의 활동을 검토합니다. 활동이 악의적인 경우: 손상된 계정에 대한 암호 재설정을 롤아웃합니다. 디바이스에 맬웨어가 있는지 조사하고 있는 경우 수정합니다.
로컬 로그인 성공
높음
에이전트
디바이스에 대해 성공한 로컬 로그인이 감지되었습니다.
로그인한 사용자가 권한 있는 주체인지 확인합니다.
웹 셸
높음
에이전트
잠재적 웹 셸이 검색되었습니다. 악의적인 공격자는 지속성을 얻거나 추가로 악용하기 위해 보안이 손상된 컴퓨터로 웹 셸을 업로드하는 경우가 많습니다.
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
중간 심각도
일반적인 Linux 봇과 유사한 동작이 감지됨
중간
에이전트
대개 일반적인 Linux 봇네트와 관련된 프로세스의 실행이 검색되었습니다.
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
Fairware 랜섬웨어와 유사한 동작이 감지됨
중간
에이전트
호스트 데이터 분석 결과, 의심스러운 위치에 적용된 rm-rf 명령 실행이 검색되었습니다. rm -rf는 파일을 재귀적으로 삭제하므로 일반적으로 개별 폴더에만 사용됩니다. 이 경우에는 많은 데이터를 제거할 수 있는 위치에서 사용되고 있습니다. Fairware 랜섬웨어는 이 폴더에서 rm-rf 명령을 실행하는 것으로 알려져 있습니다.
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
랜섬웨어와 비슷한 동작이 검색됨
중간
에이전트
사용자가 시스템 또는 개인 파일에 액세스하는 것을 차단할 수 있고 액세스 권한을 되찾으려면 금액을 지불하라고 요구할 수 있는 알려진 랜섬웨어와 비슷한 파일이 실행되었습니다.
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
암호 화폐 마이너 컨테이너 이미지 검색됨
중간
에이전트
컨테이너에서 알려진 디지털 화폐 마이닝 이미지가 실행되고 있음을 검색했습니다.
- 이 동작이 의도되지 않은 경우 관련 컨테이너 이미지를 삭제합니다. 2. 안전하지 않은 TCP 소켓을 통해 Docker 디먼에 액세스할 수 없는지 확인합니다. 3. 정보 보안 팀에 경고를 에스컬레이션합니다.
암호 화폐 마이너 이미지
중간
에이전트
일반적으로 디지털 화폐 마이닝과 관련된 프로세스 실행이 검색되었습니다.
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
Nohup 명령에 대한 의심스러운 사용이 감지됨
중간
에이전트
호스트에서 의심스러운 nohup 명령 사용이 검색되었습니다. 악의적 행위자는 일반적으로 임시 디렉터리에서 nohup 명령을 실행하여 악의적 행위자의 실행 파일이 백그라운드에서 실행되도록 합니다. 이 명령이 임시 디렉터리에 있는 파일에서 실행되는 것은 예상되거나 정상적인 동작이 아닙니다.
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
Useradd 명령에 대한 의심스러운 사용이 감지됨
중간
에이전트
디바이스에서 의심스러운 useradd 명령의 사용이 검색되었습니다.
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
TCP 소켓에 의해 노출된 Docker 디먼
중간
에이전트
컴퓨터 로그에 Docker 디먼(dockerd)이 TCP 소켓을 표시한다는 것으로 나타납니다. 기본적으로 Docker 구성은 TCP 소켓이 사용하도록 설정된 경우 암호화나 인증을 사용하지 않습니다. 기본 Docker 구성에서는 관련 포트에 액세스할 수 있는 사용자는 누구든지 Docker 디먼에 대한 모든 권한을 보유할 수 있습니다.
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
실패한 로컬 로그인
중간
에이전트
디바이스에 대해 실패한 로컬 로그인 시도가 검색되었습니다.
권한이 없는 주체가 디바이스에 물리적으로 액세스할 수 없는지 확인합니다.
알려진 악성 소스에서 파일 다운로드가 검색됨
중간
에이전트
알려진 맬웨어 원본으로부터의 파일 다운로드가 검색되었습니다.
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
htaccess 파일 액세스 검색됨
중간
에이전트
호스트 데이터를 분석한 결과, htaccess 파일의 잠재적 조작이 검색되었습니다. htaccess는 기본 리디렉션 기능과 기본 암호 보호와 같은 고급 기능을 포함하여 Apache 웹 소프트웨어를 실행하는 웹 서버를 여러 번 변경할 수 있는 강력한 구성 파일입니다. 악의적 행위자는 손상된 컴퓨터에서 htaccess 파일을 수정하여 지속성을 얻는 경우가 많습니다.
이것이 호스트에서 예상되는 활동인지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
알려진 공격 도구
중간
에이전트
특정 방식으로 다른 컴퓨터를 공격하는 악성 사용자 관련 도구가 검색되었습니다.
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
IoT 에이전트가 모듈 쌍 구성 구문 분석을 시도했고 실패했습니다.
중간
에이전트
Microsoft Defender for IoT 보안 에이전트가 구성 개체의 유형 불일치 때문에 모듈 쌍 구성을 구문 분석하지 못했습니다.
IoT 에이전트 구성 스키마와 대조하여 모듈 쌍 구성의 유효성을 검사하고 모든 불일치를 수정합니다.
로컬 호스트 정찰이 감지됨
중간
에이전트
일반적인 Linux 봇 정찰과 관련된 명령의 실행이 검색되었습니다.
의심스러운 명령줄을 검토하여 합법적인 사용자가 실행했는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
스크립트 인터프리터와 파일 확장명 불일치
중간
에이전트
스크립트 인터프리터와 입력으로 제공된 스크립트 파일의 확장명의 불일치가 검색되었습니다. 이 유형의 불일치는 일반적으로 공격자 스크립트 실행과 관련이 있습니다.
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
잠재적인 백도어 검색됨
중간
에이전트
의심스러운 파일이 다운로드된 다음 구독의 호스트에서 실행되었습니다. 이 유형의 활동은 일반적으로 백도어 설치와 관련이 있습니다.
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
잠재적인 데이터 손실이 검색됨
중간
에이전트
호스트 데이터 분석 결과, 잠재적 데이터 송신 조건이 검색되었습니다. 악의적인 행위자는 손상된 컴퓨터에서 데이터를 송신하는 경우가 많습니다.
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
일반 파일의 잠재적 재정의
중간
에이전트
디바이스에서 일반 실행 파일을 덮어썼습니다. 악의적인 행위자는 작업을 숨기거나 지속성을 확보하는 방법으로 일반 파일을 덮어쓰는 것으로 알려져 있습니다.
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
권한 있는 컨테이너가 검색됨
중간
에이전트
컴퓨터 로그에 권한 있는 Docker 컨테이너가 실행 중인 것으로 나타납니다. 권한 있는 컨테이너는 호스트 리소스에 대한 모든 권한을 소유합니다. 손상될 경우 악의적인 행위자는 권한 있는 컨테이너를 사용하여 호스트 컴퓨터에 대한 액세스 권한을 얻을 수 있습니다.
컨테이너를 권한 있는 모드에서 실행할 필요가 없는 경우 컨테이너에서 권한을 제거합니다.
시스템 로그 파일의 제거가 검색됨
중간
에이전트
호스트에서 로그 파일의 의심스러운 제거가 검색되었습니다.
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
파일 이름 뒤 공백
중간
에이전트
호스트 데이터 분석 결과, 의심스러운 확장이 있는 프로세스 실행이 검색되었습니다. 의심스러운 확장은 파일을 열어도 안전하다고 생각하도록 사용자를 속이며 시스템에 맬웨어가 있음을 나타낼 수 있습니다.
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
의심스러운 악성 자격 증명 액세스 도구가 검색됨
중간
에이전트
자격 증명에 액세스하기 위한 악의적인 시도와 관련이 있는 것으로 간주되는 도구의 사용이 검색되었습니다.
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
의심스러운 컴파일이 감지됨
중간
에이전트
의심스러운 컴파일이 검색되었습니다. 악의적인 공격자는 보안이 손상된 컴퓨터에서 익스플로잇을 컴파일하여 권한을 승격하는 경우가 많습니다.
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
의심스러운 파일 다운로드 후 실행 활동
중간
에이전트
호스트 데이터 분석 결과, 다운로드 후 동일한 명령에서 실행된 파일이 검색되었습니다. 이 방법은 악의적인 행위자가 공격을 받은 컴퓨터에 감염된 파일을 가져오는 데 주로 사용됩니다.
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
의심스러운 IP 주소 통신
중간
에이전트
의심스러운 IP 주소와의 통신이 검색되었습니다.
연결이 합법적인지 확인합니다. 의심스러운 IP와의 통신을 차단하는 것이 좋습니다.
낮은 심각도
Bash 기록 지워짐
낮음
에이전트
Bash 기록 로그가 지워졌습니다. 악의적인 행위자는 자신의 명령이 로그에 나타나지 않도록 숨기기 위해 일반적으로 bash 기록을 지웁니다.
명령을 실행한 사용자를 검토합니다. 디바이스에서 예상되는 관리 활동이었는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다.
디바이스 무음
낮음
에이전트
지난 72시간 동안 디바이스에서 원격 분석 데이터를 보내지 않았습니다.
디바이스가 온라인 상태이고 데이터를 보내고 있는지 확인합니다. Azure 보안 에이전트가 디바이스에서 실행되고 있는지 확인합니다.
무차별 암호 대입 시도 실패
낮음
에이전트
여러 번 실패한 로그인 시도가 식별되었습니다. 디바이스에서 잠재적인 무차별 암호 대입 공격 시도가 실패했습니다.
SSH 무차별 암호 대입 경고 및 디바이스에서의 활동을 검토합니다. 추가 작업이 필요하지 않습니다.
하나 이상의 그룹에 로컬 사용자가 추가됨
낮음
에이전트
이 디바이스의 그룹에 새 로컬 사용자가 추가되었습니다. 사용자 그룹에 대한 변경 내용은 일반적이지 않으며 악의적인 행위자가 액세스 권한을 수집할 수 있음을 나타낼 수 있습니다.
변경 내용이 영향을 받는 사용자에게 필요한 권한과 일치하는지 확인합니다. 변경 내용이 일치하지 않으면 정보 보안 팀에게 에스컬레이션합니다.
하나 이상의 그룹에서 로컬 사용자가 삭제됨
낮음
에이전트
하나 이상의 그룹에서 로컬 사용자가 삭제되었습니다. 악의적인 행위자는 합법적인 사용자의 액세스를 거부하거나 자신의 작업 기록을 삭제하려 시도하는 과정에서 이 방법을 사용하는 것으로 알려져 있습니다.
변경 내용이 영향을 받는 사용자에게 필요한 권한과 일치하는지 확인합니다. 변경 내용이 일치하지 않으면 정보 보안 팀에게 에스컬레이션합니다.
로컬 사용자 삭제 검색됨
낮음
에이전트
로컬 사용자 삭제가 검색되었습니다. 로컬 사용자 삭제는 드물며, 악의적인 행위자가 합법적 사용자의 액세스를 거부하거나 자신의 작업 기록을 삭제하려는 것일 수 있습니다.
변경 내용이 영향을 받는 사용자에게 필요한 권한과 일치하는지 확인합니다. 변경 내용이 일치하지 않으면 정보 보안 팀에게 에스컬레이션합니다.