Beveiligingswaarschuwingen voor Verouderde Defender voor IoT-apparaten
Notitie
De Microsoft Defender voor de verouderde IoT-agent is vervangen door onze nieuwere microagentervaring. Zie Zelfstudie: Beveiligingswaarschuwingen onderzoeken voor meer informatie.
Vanaf 31 maart 2022 wordt de verouderde agent onderbroken en worden er geen nieuwe functies meer ontwikkeld. De verouderde agent wordt op 31 maart 2023 volledig buiten gebruik gesteld. Op dat moment bieden we geen oplossingen meer voor fouten of andere ondersteuning voor de verouderde agent.
Defender for IoT analyseert continu uw IoT-oplossing met behulp van geavanceerde analyses en bedreigingsinformatie om u te waarschuwen voor schadelijke activiteiten. Daarnaast kunt u aangepaste waarschuwingen maken op basis van uw kennis van het verwachte gedrag van het apparaat. Een waarschuwing fungeert als een indicator van mogelijke inbreuk en moet worden onderzocht en hersteld.
In dit artikel vindt u een lijst met ingebouwde waarschuwingen die kunnen worden geactiveerd op uw IoT-apparaten. Naast ingebouwde waarschuwingen kunt u met Defender for IoT aangepaste waarschuwingen definiëren op basis van verwachte IoT Hub en/of het gedrag van het apparaat. Zie aanpasbare waarschuwingen voor meer informatie.
Beveiligingswaarschuwingen op basis van agents
| Naam | Ernst | Gegevensbron | Description | Voorgestelde herstelstappen |
|---|---|---|---|---|
| Hoge ernst | ||||
| Binaire opdrachtregel | Hoog | Verouderde Defender IoT-micro-agent | La Linux binair wordt aangeroepen/uitgevoerd vanaf de opdrachtregel is gedetecteerd. Dit proces kan een legitieme activiteit zijn of een indicatie dat uw apparaat is gecompromitteerd. | Controleer de opdracht met de gebruiker die deze heeft uitgevoerd en controleer of dit iets is dat naar verwachting op het apparaat wordt uitgevoerd. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. |
| Firewall uitschakelen | Hoog | Verouderde Defender IoT-micro-agent | Mogelijke manipulatie van on-host firewall gedetecteerd. Kwaadwillende actoren schakelen de firewall op de host vaak uit in een poging om gegevens te exfiltreren. | Controleer met de gebruiker die de opdracht heeft uitgevoerd om te bevestigen of dit een legitieme verwachte activiteit op het apparaat was. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. |
| Detectie van port forwarding | Hoog | Verouderde Defender IoT-micro-agent | Start van port forwarding naar een extern IP-adres gedetecteerd. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Mogelijke poging om gecontroleerde logboekregistratie uit te schakelen gedetecteerd | Hoog | Verouderde Defender IoT-micro-agent | Het gecontroleerde Linux-systeem biedt een manier om beveiligingsgerelateerde informatie op het systeem bij te houden. Het systeem registreert zoveel mogelijk informatie over de gebeurtenissen die op uw systeem plaatsvinden. Deze informatie is van cruciaal belang voor bedrijfskritieke omgevingen om te bepalen wie het beveiligingsbeleid heeft geschonden en welke acties ze hebben uitgevoerd. Als u Gecontroleerde logboekregistratie uitschakelt, kunt u mogelijk schendingen van het beveiligingsbeleid dat op het systeem wordt gebruikt, detecteren. | Neem contact op met de eigenaar van het apparaat of dit een legitieme activiteit met zakelijke redenen was. Als dat niet het geval is, kan deze gebeurtenis activiteiten van kwaadwillende actoren verbergen. Het incident is onmiddellijk geëscaleerd naar uw informatiebeveiligingsteam. |
| Omkeren van shells | Hoog | Verouderde Defender IoT-micro-agent | Bij analyse van hostgegevens op een apparaat is een mogelijke omgekeerde shell gedetecteerd. Omgekeerde shells worden vaak gebruikt om een gecompromitteerde machine terug te halen naar een computer die wordt beheerd door een kwaadwillende actor. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Geslaagde Bruteforce-poging | Hoog | Verouderde Defender IoT-micro-agent | Er zijn meerdere mislukte aanmeldingspogingen geïdentificeerd, gevolgd door een geslaagde aanmelding. De poging tot brute force-aanval is mogelijk geslaagd op het apparaat. | Bekijk de SSH Brute Force-waarschuwing en de activiteit op de apparaten. Als de activiteit schadelijk is: Wachtwoordherstel implementeren voor gecompromitteerde accounts. Onderzoek en herstel (indien gevonden) apparaten op malware. |
| Geslaagde lokale aanmelding | Hoog | Verouderde Defender IoT-micro-agent | Geslaagde lokale aanmelding bij het apparaat gedetecteerd | Zorg ervoor dat de aangemelde gebruiker een geautoriseerde partij is. |
| Webshell | Hoog | Verouderde Defender IoT-micro-agent | Mogelijke webshell gedetecteerd. Kwaadwillende actoren uploaden vaak een webshell naar een gecompromitteerde machine om persistentie te verkrijgen of voor verdere exploitatie. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Gemiddelde ernst | ||||
| Behavior similar to common Linux bots detected (Gedrag vergelijkbaar met gangbare Linux-bots gedetecteerd) | Normaal | Verouderde Defender IoT-micro-agent | Uitvoering van een proces dat normaal gesproken is gekoppeld aan algemene Linux-botnets gedetecteerd. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Behavior similar to Fairware ransomware detected (Gedrag vergelijkbaar met Fairware-ransomware gedetecteerd) | Normaal | Verouderde Defender IoT-micro-agent | Uitvoering van rm -rf-opdrachten die worden toegepast op verdachte locaties die zijn gedetecteerd met behulp van analyse van hostgegevens. Omdat rm -rf recursief bestanden verwijdert, wordt het normaal gesproken alleen gebruikt in discrete mappen. In dit geval wordt deze gebruikt op een locatie die een grote hoeveelheid gegevens kan verwijderen. Het is bekend dat Fairware-ransomware rm -rf-opdrachten uitvoert in deze map. | Controleer met de gebruiker die de opdracht heeft uitgevoerd dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Gedrag vergelijkbaar met ransomware gedetecteerd | Normaal | Verouderde Defender IoT-micro-agent | Uitvoering van bestanden die vergelijkbaar zijn met bekende ransomware die kunnen voorkomen dat gebruikers toegang krijgen tot hun systeem, of persoonlijke bestanden, en kan losgeld betaling vereisen om weer toegang te krijgen. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Crypto munt mijnwerker containerinstallatiekopieën gedetecteerd | Normaal | Verouderde Defender IoT-micro-agent | Container detecteert het uitvoeren van bekende installatiekopieën voor het analyseren van digitale valuta. | 1. Als dit gedrag niet is bedoeld, verwijdert u de relevante containerinstallatiekopieën. 2. Zorg ervoor dat de Docker-daemon niet toegankelijk is via een onveilige TCP-socket. 3. Escaleer de waarschuwing naar het informatiebeveiligingsteam. |
| Afbeelding van cryptomuntminer | Normaal | Verouderde Defender IoT-micro-agent | Uitvoering van een proces dat normaal gesproken is gekoppeld aan digitale valutaanalyse gedetecteerd. | Controleer bij de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit op het apparaat was. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Detected suspicious use of the nohup command (Verdacht gebruik van de opdracht nohup gedetecteerd) | Normaal | Verouderde Defender IoT-micro-agent | Verdacht gebruik van de nohup-opdracht op de host gedetecteerd. Kwaadwillende actoren voeren meestal de nohup-opdracht uit vanuit een tijdelijke map, waardoor hun uitvoerbare bestanden op de achtergrond kunnen worden uitgevoerd. Het is niet normaal dat deze opdracht wordt uitgevoerd op bestanden die zich in een tijdelijke map bevinden. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Detected suspicious use of the useradd command (Verdacht gebruik van de opdracht useradd gedetecteerd) | Normaal | Verouderde Defender IoT-micro-agent | Verdacht gebruik van de useradd-opdracht gedetecteerd op het apparaat. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Beschikbaar gemaakte Docker-daemon door TCP-socket | Normaal | Verouderde Defender IoT-micro-agent | Computerlogboeken geven aan dat uw Docker-daemon (dockerd) een TCP-socket weergeeft. De Docker-configuratie gebruikt standaard geen versleuteling of verificatie wanneer een TCP-socket wordt ingeschakeld. De standaardconfiguratie van Docker maakt volledige toegang tot de Docker-daemon mogelijk voor iedereen met toegang tot de relevante poort. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Lokale aanmelding is mislukt | Normaal | Verouderde Defender IoT-micro-agent | Er is een mislukte lokale aanmeldingspoging bij het apparaat gedetecteerd. | Zorg ervoor dat er geen onbevoegde partij fysieke toegang heeft tot het apparaat. |
| Bestandsdownloads van een bekende schadelijke bron gedetecteerd | Normaal | Verouderde Defender IoT-micro-agent | Download van een bestand van een bekende malwarebron gedetecteerd. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| htaccess-bestandstoegang gedetecteerd | Normaal | Verouderde Defender IoT-micro-agent | Bij analyse van hostgegevens is een mogelijke manipulatie van een htaccess-bestand gedetecteerd. Htaccess is een krachtig configuratiebestand waarmee u meerdere wijzigingen kunt aanbrengen in een webserver waarop Apache Web-software wordt uitgevoerd, met inbegrip van eenvoudige omleidingsfunctionaliteit en geavanceerdere functies, zoals eenvoudige wachtwoordbeveiliging. Kwaadwillende actoren wijzigen vaak htaccess-bestanden op aangetaste machines om persistentie te krijgen. | Controleer of dit een legitieme verwachte activiteit op de host is. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. |
| Bekende aanvalstool | Normaal | Verouderde Defender IoT-micro-agent | Er is een hulpprogramma gedetecteerd dat vaak wordt geassocieerd met kwaadwillende gebruikers die andere machines op de een of andere manier aanvallen. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| IoT-agent heeft geprobeerd de configuratie van de moduledubbel te parseren en kan deze niet parseren | Normaal | Verouderde Defender IoT-micro-agent | De Defender for IoT-beveiligingsagent kan de configuratie van de moduledubbel niet parseren vanwege niet-overeenkomende typen in het configuratieobject | Valideer de configuratie van de moduledubbel op basis van het configuratieschema van de IoT-agent, los alle niet-overeenkomende items op. |
| Local host reconnaissance detected (Verkenning van lokale host gedetecteerd) | Normaal | Verouderde Defender IoT-micro-agent | Uitvoering van een opdracht die normaal gesproken is gekoppeld aan algemene verkenning van Linux-bot gedetecteerd. | Controleer de verdachte opdrachtregel om te bevestigen dat deze is uitgevoerd door een legitieme gebruiker. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. |
| Script-interpreter en bestandsextensie komen niet overeen | Normaal | Verouderde Defender IoT-micro-agent | Komt niet overeen tussen de script-interpreter en de extensie van het scriptbestand dat is opgegeven als gedetecteerde invoer. Dit type komt vaak niet overeen met het uitvoeren van scripts van aanvallers. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Mogelijke achterdeur gedetecteerd | Normaal | Verouderde Defender IoT-micro-agent | Er is een verdacht bestand gedownload en vervolgens uitgevoerd op een host in uw abonnement. Dit type activiteit wordt meestal geassocieerd met de installatie van een achterdeur. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Potentieel verlies van gegevens gedetecteerd | Normaal | Verouderde Defender IoT-micro-agent | Mogelijke voorwaarde voor uitgaand verkeer van gegevens gedetecteerd met behulp van analyse van hostgegevens. Kwaadwillende actoren gebruiken vaak gegevens van gecompromitteerde machines. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Potential overriding of common files (Mogelijke overschrijving van veelvoorkomende bestanden) | Normaal | Verouderde Defender IoT-micro-agent | Algemeen uitvoerbaar bestand overschreven op het apparaat. Van kwaadwillende actoren is bekend dat ze algemene bestanden overschrijven als een manier om hun acties te verbergen of als een manier om persistentie te verkrijgen. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Bevoegde container gedetecteerd | Normaal | Verouderde Defender IoT-micro-agent | Computerlogboeken geven aan dat er een geprivilegieerde Docker-container wordt uitgevoerd. Een bevoegde container heeft volledige toegang tot hostresources. Als er inbreuk wordt gemaakt, kan een kwaadwillende actor de bevoegde container gebruiken om toegang te krijgen tot de hostcomputer. | Als de container niet in de bevoegde modus hoeft te worden uitgevoerd, verwijdert u de bevoegdheden uit de container. |
| Verwijdering van bestanden met systeemlogboeken gedetecteerd | Normaal | Verouderde Defender IoT-micro-agent | Verdachte verwijdering van logboekbestanden op de host gedetecteerd. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Spatie na bestandsnaam | Normaal | Verouderde Defender IoT-micro-agent | Uitvoering van een proces met een verdachte extensie gedetecteerd met behulp van analyse van hostgegevens. Verdachte extensies kunnen gebruikers verleiden om te denken dat bestanden veilig zijn om te worden geopend en kunnen wijzen op de aanwezigheid van malware op het systeem. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Vermoedelijke toegangshulpprogramma's voor schadelijke referenties gedetecteerd | Normaal | Verouderde Defender IoT-micro-agent | Detectiegebruik van een hulpprogramma dat vaak wordt geassocieerd met schadelijke pogingen om toegang te krijgen tot referenties. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Suspicious compilation detected (Verdachte compilatie gedetecteerd) | Normaal | Verouderde Defender IoT-micro-agent | Verdachte compilatie gedetecteerd. Kwaadwillende actoren compileren vaak aanvallen op een geïnfecteerde computer om bevoegdheden te escaleren. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Verdachte bestandsdownload gevolgd door activiteit voor het uitvoeren van bestanden | Normaal | Verouderde Defender IoT-micro-agent | Bij analyse van hostgegevens is een bestand gedetecteerd dat is gedownload en uitgevoerd met dezelfde opdracht. Deze techniek wordt vaak gebruikt door kwaadwillende actoren om geïnfecteerde bestanden op slachtoffermachines te krijgen. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Verdachte IP-adrescommunicatie | Normaal | Verouderde Defender IoT-micro-agent | Communicatie met een verdacht IP-adres gedetecteerd. | Controleer of de verbinding legitiem is. Overweeg de communicatie met het verdachte IP-adres te blokkeren. |
| LAGE ernst | ||||
| Bash-geschiedenis gewist | Beperkt | Verouderde Defender IoT-micro-agent | Het Bash-geschiedenislogboek is gewist. Kwaadwillende actoren wissen meestal de bash-geschiedenis om hun eigen opdrachten te verbergen voor het weergeven in de logboeken. | Controleer met de gebruiker die de opdracht heeft uitgevoerd de activiteit in deze waarschuwing om te zien of u dit herkent als legitieme beheeractiviteit. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. |
| Apparaat op de achtergrond | Beperkt | Verouderde Defender IoT-micro-agent | Het apparaat heeft de afgelopen 72 uur geen telemetriegegevens verzonden. | Zorg ervoor dat het apparaat online is en gegevens verzendt. Controleer of de Azure-beveiligingsagent wordt uitgevoerd op het apparaat. |
| Mislukte Bruteforce-poging | Beperkt | Verouderde Defender IoT-micro-agent | Meerdere mislukte aanmeldingspogingen geïdentificeerd. Mogelijke beveiligingsaanvalpoging is mislukt op het apparaat. | Bekijk SSH Brute Force-waarschuwingen en de activiteit op het apparaat. Er is geen verdere actie vereist. |
| Lokale gebruiker toegevoegd aan een of meer groepen | Beperkt | Verouderde Defender IoT-micro-agent | Nieuwe lokale gebruiker toegevoegd aan een groep op dit apparaat. Wijzigingen in gebruikersgroepen zijn ongebruikelijk en kunnen erop wijzen dat een kwaadwillende actor mogelijk extra machtigingen verzamelt. | Controleer of de wijziging consistent is met de machtigingen die zijn vereist door de betrokken gebruiker. Als de wijziging inconsistent is, escaleert u naar uw Information Security-team. |
| Lokale gebruiker verwijderd uit een of meer groepen | Beperkt | Verouderde Defender IoT-micro-agent | Een lokale gebruiker is verwijderd uit een of meer groepen. Kwaadwillende actoren gebruiken deze methode in een poging om de toegang tot legitieme gebruikers te weigeren of om de geschiedenis van hun acties te verwijderen. | Controleer of de wijziging consistent is met de machtigingen die zijn vereist door de betrokken gebruiker. Als de wijziging inconsistent is, escaleert u naar uw Information Security-team. |
| Verwijdering van lokale gebruiker gedetecteerd | Beperkt | Verouderde Defender IoT-micro-agent | Verwijdering van een lokale gebruiker gedetecteerd. Het verwijderen van lokale gebruikers is ongebruikelijk. Een kwaadwillende actor probeert mogelijk de toegang tot legitieme gebruikers te weigeren of de geschiedenis van hun acties te verwijderen. | Controleer of de wijziging consistent is met de machtigingen die zijn vereist door de betrokken gebruiker. Als de wijziging inconsistent is, escaleert u naar uw Information Security-team. |
Volgende stappen
- Overzicht van Defender for IoT-service
- Meer informatie over toegang tot uw beveiligingsgegevens
- Meer informatie over het onderzoeken van een apparaat
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor