Beveiligingswaarschuwingen voor microagenten
Defender for IoT analyseert continu uw IoT-oplossing met behulp van geavanceerde analyses en bedreigingsinformatie om u te waarschuwen voor schadelijke activiteiten. Daarnaast kunt u aangepaste waarschuwingen maken op basis van uw kennis van het verwachte gedrag van het apparaat. Een waarschuwing fungeert als een indicator van mogelijke inbreuk en moet worden onderzocht en hersteld.
In dit artikel vindt u een lijst met ingebouwde waarschuwingen die kunnen worden geactiveerd op uw IoT-apparaten.
Beveiligingswaarschuwingen
Hoge ernst
| Naam | Ernst | Gegevensbron | Description | Voorgestelde herstelstappen | Waarschuwingstype |
|---|---|---|---|---|---|
| Binaire opdrachtregel | Hoog | Defender-IoT-micro-agent | La Linux binaire aangeroepen/uitgevoerd vanaf de opdrachtregel is gedetecteerd. Dit proces kan een legitieme activiteit zijn of een indicatie dat uw apparaat is gecompromitteerd. | Controleer de opdracht met de gebruiker die deze heeft uitgevoerd en controleer of dit iets is dat naar verwachting op het apparaat wordt uitgevoerd. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. | IoT_BinaryCommandLine |
| Firewall uitschakelen | Hoog | Defender-IoT-micro-agent | Mogelijke manipulatie van de on-hostfirewall gedetecteerd. Kwaadwillende actoren schakelen de firewall op de host vaak uit in een poging om gegevens te exfiltreren. | Neem contact op met de gebruiker die de opdracht heeft uitgevoerd om te bevestigen of dit een legitieme verwachte activiteit op het apparaat was. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. | IoT_DisableFirewall |
| Detectie van doorsturen van poorten | Hoog | Defender-IoT-micro-agent | Starten van port forwarding naar een extern IP-adres gedetecteerd. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_PortForwarding |
| Mogelijke poging om gecontroleerde logboekregistratie uit te schakelen gedetecteerd | Hoog | Defender-IoT-micro-agent | Het gecontroleerde Linux-systeem biedt een manier om beveiligingsgerelateerde informatie over het systeem bij te houden. Het systeem registreert zoveel mogelijk informatie over de gebeurtenissen die op uw systeem plaatsvinden. Deze informatie is van cruciaal belang voor bedrijfskritieke omgevingen om te bepalen wie het beveiligingsbeleid heeft geschonden en welke acties ze hebben uitgevoerd. Als u Gecontroleerde logboekregistratie uitschakelt, kunt u mogelijk schendingen van het beveiligingsbeleid dat op het systeem wordt gebruikt, detecteren. | Neem contact op met de eigenaar van het apparaat of dit een legitieme activiteit met zakelijke redenen was. Als dat niet het geval is, kan deze gebeurtenis activiteiten van kwaadwillende actoren verbergen. Het incident is onmiddellijk geëscaleerd naar uw informatiebeveiligingsteam. | IoT_DisableAuditdLogging |
| Omgekeerde shells | Hoog | Defender-IoT-micro-agent | Bij analyse van hostgegevens op een apparaat is een mogelijke omgekeerde shell gedetecteerd. Omgekeerde shells worden vaak gebruikt om een gecompromitteerde computer terug te laten aanroepen naar een computer die wordt beheerd door een kwaadwillende actor. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_ReverseShell |
| Geslaagde lokale aanmelding | Hoog | Defender-IoT-micro-agent | Geslaagde lokale aanmelding bij het apparaat gedetecteerd. | Zorg ervoor dat de aangemelde gebruiker een geautoriseerde partij is. | IoT_SucessfulLocalLogin |
| Webshell | Hoog | Defender-IoT-micro-agent | Mogelijke webshell gedetecteerd. Kwaadwillende actoren uploaden meestal een webshell naar een gecompromitteerde computer om persistentie te verkrijgen of voor verdere exploitatie. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_WebShell |
| Gedrag dat vergelijkbaar is met ransomware gedetecteerd | Hoog | Defender-IoT-micro-agent | Uitvoering van bestanden vergelijkbaar met bekende ransomware die kan verhinderen dat gebruikers toegang krijgen tot hun systeem, of persoonlijke bestanden, en kan losgeld betaling vereisen om weer toegang te krijgen. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_Ransomware |
| Afbeelding van cryptomuntminer | Hoog | Defender-IoT-micro-agent | Uitvoering van een proces dat normaal gesproken is gekoppeld aan het analyseren van digitale valuta gedetecteerd. | Controleer bij de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit op het apparaat was. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_CryptoMiner |
| Nieuwe USB-verbinding | Hoog | Defender-IoT-micro-agent | Er is een USB-apparaatverbinding gedetecteerd. Dit kan duiden op schadelijke activiteiten. | Controleer of dit een legitieme verwachte activiteit op de host is. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. | IoT_USBConnection |
| USB-verbinding verbreken | Hoog | Defender-IoT-micro-agent | Er is een verbinding met het USB-apparaat gedetecteerd. Dit kan duiden op schadelijke activiteiten. | Controleer of dit een legitieme verwachte activiteit op de host is. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. | IoT_UsbDisconnection |
| Nieuwe Ethernet-verbinding | Hoog | Defender-IoT-micro-agent | Er is een nieuwe Ethernet-verbinding gedetecteerd. Dit kan duiden op schadelijke activiteiten. | Controleer of dit een legitieme verwachte activiteit op de host is. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. | IoT_EthernetConnection |
| Ethernet-verbinding verbreken | Hoog | Defender-IoT-micro-agent | Er is een nieuwe ethernetverbinding gedetecteerd. Dit kan duiden op schadelijke activiteiten. | Controleer of dit een legitieme verwachte activiteit op de host is. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. | IoT_EthernetDisconnection |
| Nieuw bestand gemaakt | Hoog | Defender-IoT-micro-agent | Er is een nieuw bestand gedetecteerd. Dit kan duiden op schadelijke activiteiten. | Controleer of dit een legitieme verwachte activiteit op de host is. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. | IoT_FileCreated |
| Bestand gewijzigd | Hoog | Defender-IoT-micro-agent | Bestandswijziging is gedetecteerd. Dit kan duiden op schadelijke activiteiten. | Controleer of dit een legitieme verwachte activiteit op de host is. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. | IoT_FileModified |
| Bestand verwijderd | Hoog | Defender-IoT-micro-agent | Bestandsverwijdering is gedetecteerd. Dit kan duiden op schadelijke activiteiten. | Controleer of dit een legitieme verwachte activiteit op de host is. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. | IoT_FileDeleted |
Gemiddelde ernst
| Naam | Ernst | Gegevensbron | Description | Voorgestelde herstelstappen | Waarschuwingstype |
|---|---|---|---|---|---|
| Behavior similar to common Linux bots detected (Gedrag vergelijkbaar met gangbare Linux-bots gedetecteerd) | Normaal | Defender-IoT-micro-agent | Uitvoering van een proces dat normaal gesproken is gekoppeld aan algemene Linux-botnets gedetecteerd. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_CommonBots |
| Behavior similar to Fairware ransomware detected (Gedrag vergelijkbaar met Fairware-ransomware gedetecteerd) | Normaal | Defender-IoT-micro-agent | Uitvoering van rm -rf-opdrachten die worden toegepast op verdachte locaties die zijn gedetecteerd met behulp van analyse van hostgegevens. Omdat rm -rf recursief bestanden verwijdert, wordt het normaal gesproken alleen gebruikt in discrete mappen. In dit geval wordt deze gebruikt op een locatie waar een grote hoeveelheid gegevens kan worden verwijderd. Het is bekend dat Fairware-ransomware rm -rf-opdrachten uitvoert in deze map. | Controleer met de gebruiker die de opdracht heeft uitgevoerd dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_FairwareMalware |
| Crypto munt mijnwerker containerinstallatiekopieën gedetecteerd | Normaal | Defender-IoT-micro-agent | Container detecteert het uitvoeren van bekende installatiekopieën voor het analyseren van digitale valuta. | 1. Als dit gedrag niet bedoeld is, verwijdert u de relevante containerinstallatiekopieën. 2. Zorg ervoor dat de Docker-daemon niet toegankelijk is via een onveilige TCP-socket. 3. Escaleer de waarschuwing naar het informatiebeveiligingsteam. |
IoT_CryptoMinerContainer |
| Detected suspicious use of the nohup command (Verdacht gebruik van de opdracht nohup gedetecteerd) | Normaal | Defender-IoT-micro-agent | Verdacht gebruik van de nohup-opdracht op de host gedetecteerd. Kwaadwillende actoren voeren meestal de nohup-opdracht uit vanuit een tijdelijke map, waardoor hun uitvoerbare bestanden op de achtergrond kunnen worden uitgevoerd. Het is niet normaal dat deze opdracht wordt uitgevoerd op bestanden die zich in een tijdelijke map bevinden. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_SuspiciousNohup |
| Detected suspicious use of the useradd command (Verdacht gebruik van de opdracht useradd gedetecteerd) | Normaal | Defender-IoT-micro-agent | Verdacht gebruik van de useradd-opdracht gedetecteerd op het apparaat. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_SuspiciousUseradd |
| Beschikbaar gemaakte Docker-daemon door TCP-socket | Normaal | Defender-IoT-micro-agent | Computerlogboeken geven aan dat uw Docker-daemon (dockerd) een TCP-socket weergeeft. De Docker-configuratie gebruikt standaard geen versleuteling of verificatie wanneer een TCP-socket wordt ingeschakeld. De standaardconfiguratie van Docker maakt volledige toegang tot de Docker-daemon mogelijk voor iedereen met toegang tot de relevante poort. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_ExposedDocker |
| Lokale aanmelding is mislukt | Normaal | Defender-IoT-micro-agent | Er is een mislukte lokale aanmeldingspoging bij het apparaat gedetecteerd. | Zorg ervoor dat geen onbevoegde partij fysieke toegang heeft tot het apparaat. | IoT_FailedLocalLogin |
| Het downloaden van bestanden van een schadelijke bron is gedetecteerd | Normaal | Defender-IoT-micro-agent | Download van een bestand van een bekende malwarebron gedetecteerd. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_PossibleMalware |
| htaccess-bestandstoegang gedetecteerd | Normaal | Defender-IoT-micro-agent | Analyse van hostgegevens heeft mogelijke manipulatie van een htaccess-bestand gedetecteerd. Htaccess is een krachtig configuratiebestand waarmee u meerdere wijzigingen kunt aanbrengen in een webserver waarop Apache Web-software wordt uitgevoerd, waaronder basisfunctionaliteit voor omleiding en geavanceerdere functies, zoals basiswachtwoordbeveiliging. Kwaadwillende actoren wijzigen vaak htaccess-bestanden op aangetaste machines om persistentie te krijgen. | Controleer of dit een legitieme verwachte activiteit op de host is. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. | IoT_AccessingHtaccessFile |
| Bekende aanvalstool | Normaal | Defender-IoT-micro-agent | Er is een hulpprogramma gedetecteerd dat vaak wordt geassocieerd met kwaadwillende gebruikers die op een of andere manier andere computers aanvallen. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_KnownAttackTools |
| Local host reconnaissance detected (Verkenning van lokale host gedetecteerd) | Normaal | Defender-IoT-micro-agent | Uitvoering van een opdracht die normaal gesproken is gekoppeld aan algemene Verkenning van Linux-bot gedetecteerd. | Controleer de verdachte opdrachtregel om te bevestigen dat deze is uitgevoerd door een legitieme gebruiker. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. | IoT_LinuxReconnaissance |
| Niet-overeenkomende script-interpreter en bestandsextensie | Normaal | Defender-IoT-micro-agent | Komt niet overeen tussen de script-interpreter en de extensie van het scriptbestand dat is opgegeven als invoer gedetecteerd. Dit type komt vaak overeen met het uitvoeren van scripts door aanvallers. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_ScriptInterpreterMismatch |
| Mogelijke achterdeur gedetecteerd | Normaal | Defender-IoT-micro-agent | Er is een verdacht bestand gedownload en vervolgens uitgevoerd op een host in uw abonnement. Dit type activiteit is vaak gekoppeld aan de installatie van een achterdeur. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_LinuxBackdoor |
| Possible loss of data detected (Mogelijk verlies van gegevens gedetecteerd) | Normaal | Defender-IoT-micro-agent | Mogelijke voorwaarde voor uitgaand verkeer van gegevens gedetecteerd met behulp van analyse van hostgegevens. Kwaadwillende actoren gebruiken vaak gegevens van geïnfecteerde computers. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_EgressData |
| Bevoegde container gedetecteerd | Normaal | Defender-IoT-micro-agent | Computerlogboeken geven aan dat er een geprivilegieerde Docker-container wordt uitgevoerd. Een bevoegde container heeft volledige toegang tot hostresources. Bij inbreuk kan een kwaadwillende actor de bevoegde container gebruiken om toegang te krijgen tot de hostcomputer. | Als de container niet in de bevoegde modus hoeft te worden uitgevoerd, verwijdert u de bevoegdheden uit de container. | IoT_PrivilegedContainer |
| Verwijdering van bestanden met systeemlogboeken gedetecteerd | Normaal | Defender-IoT-micro-agent | Verdachte verwijdering van logboekbestanden op de host gedetecteerd. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_RemovelOfSystemLogs |
| Spatie na bestandsnaam | Normaal | Defender-IoT-micro-agent | Uitvoering van een proces met een verdachte extensie gedetecteerd met behulp van analyse van hostgegevens. Verdachte extensies kunnen gebruikers verleiden om te denken dat bestanden veilig zijn om te worden geopend en kunnen wijzen op de aanwezigheid van malware op het systeem. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_ExecuteFileWithTrailingSpace |
| Hulpprogramma's die vaak worden gebruikt voor toegang tot schadelijke referenties gedetecteerd | Normaal | Defender-IoT-micro-agent | Detectiegebruik van een hulpprogramma dat vaak wordt geassocieerd met schadelijke pogingen om toegang te krijgen tot referenties. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_CredentialAccessTools |
| Suspicious compilation detected (Verdachte compilatie gedetecteerd) | Normaal | Defender-IoT-micro-agent | Verdachte compilatie gedetecteerd. Kwaadwillende actoren compileren vaak aanvallen op een gecompromitteerde computer om bevoegdheden te escaleren. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_SuspiciousCompilation |
| Verdacht downloaden van bestanden gevolgd door activiteit voor het uitvoeren van bestanden | Normaal | Defender-IoT-micro-agent | Bij analyse van hostgegevens is een bestand gedetecteerd dat is gedownload en uitgevoerd met dezelfde opdracht. Deze techniek wordt vaak gebruikt door kwaadwillende actoren om geïnfecteerde bestanden op slachtoffermachines te krijgen. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_DownloadFileThenRun |
| Verdachte IP-adrescommunicatie | Normaal | Defender-IoT-micro-agent | Communicatie met een verdacht IP-adres gedetecteerd. | Controleer of de verbinding legitiem is. Overweeg de communicatie met het verdachte IP-adres te blokkeren. | IoT_TiConnection |
| Aanvraag voor schadelijke domeinnaam | Normaal | Defender-IoT-micro-agent | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden geassocieerd met een aanval waarbij een methode wordt misbruikt die wordt gebruikt door bekende malware. | Verbreek de verbinding met de bron van het netwerk. Incidentrespons uitvoeren. | IoT_MaliciousNameQueriesDetection |
Lage ernst
| Naam | Ernst | Gegevensbron | Description | Voorgestelde herstelstappen | Waarschuwingstype |
|---|---|---|---|---|---|
| Bash-geschiedenis gewist | Beperkt | Defender-IoT-micro-agent | Het Bash-geschiedenislogboek is gewist. Kwaadwillende actoren wissen meestal de bash-geschiedenis om hun eigen opdrachten te verbergen voor het weergeven in de logboeken. | Controleer met de gebruiker die de opdracht heeft uitgevoerd de activiteit in deze waarschuwing om te zien of u dit herkent als legitieme beheeractiviteit. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_ClearHistoryFile |
Volgende stappen
- Overzicht van Defender for IoT-service
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor