Starsze alerty zabezpieczeń urządzeń usługi Defender dla IoT
Uwaga
Microsoft Defender starszego agenta IoT został zastąpiony przez nowsze środowisko mikroa agenta. Aby uzyskać więcej informacji, zobacz Samouczek: Badanie alertów zabezpieczeń.
Od 31 marca 2022 r. starszy agent jest o zachodzie słońca i nie są opracowywane żadne nowe funkcje. Starszy agent zostanie w pełni wycofany 31 marca 2023 r., w którym momencie nie udostępnimy już poprawek błędów ani innego wsparcia dla starszego agenta.
Usługa Defender for IoT stale analizuje rozwiązanie IoT przy użyciu zaawansowanej analizy i analizy zagrożeń, aby otrzymywać alerty o złośliwych działaniach. Ponadto można tworzyć niestandardowe alerty na podstawie wiedzy o oczekiwanym zachowaniu urządzenia. Alert działa jako wskaźnik potencjalnego naruszenia i powinien zostać zbadany i skorygowany.
W tym artykule znajdziesz listę wbudowanych alertów, które można wyzwolić na urządzeniach IoT. Oprócz wbudowanych alertów usługa Defender dla IoT umożliwia definiowanie niestandardowych alertów na podstawie oczekiwanego zachowania IoT Hub i/lub urządzenia. Aby uzyskać więcej informacji, zobacz dostosowywanie alertów.
Alerty zabezpieczeń oparte na agencie
| Nazwa | Ważność | Źródło danych | Opis | Sugerowane kroki korygowania |
|---|---|---|---|---|
| Wysoka ważność | ||||
| Wiersz polecenia binarnego | Wys. | Starsza wersja agenta defender-IoT-micro-agenta | Wykryto plik binarny LA Linux o nazwie/wykonaniu z wiersza polecenia. Ten proces może być uzasadnionym działaniem lub wskazaniem, że urządzenie zostało naruszone. | Przejrzyj polecenie za pomocą użytkownika, który go uruchomił, i sprawdź, czy jest to coś, czego oczekuje się, że zostanie uruchomione na urządzeniu. Jeśli nie, eskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wyłączanie zapory | Wys. | Starsza wersja agenta defender-IoT-micro-agenta | Wykryto możliwe manipulowanie zaporą na hoście. Złośliwi aktorzy często wyłączają zaporę na hoście podczas próby eksfiltrowania danych. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, aby potwierdzić, czy było to uzasadnione oczekiwane działanie na urządzeniu. Jeśli nie, eskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wykrywanie przekazywania portów | Wys. | Starsza wersja agenta defender-IoT-micro-agenta | Zainicjowanie przekazywania portów do wykrytego zewnętrznego adresu IP. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz zobaczyć na urządzeniu. Jeśli nie, eskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Możliwa próba wyłączenia wykrytego rejestrowania inspekcji | Wys. | Starsza wersja agenta defender-IoT-micro-agenta | System Inspekcja systemu Linux umożliwia śledzenie informacji dotyczących zabezpieczeń w systemie. System rejestruje jak najwięcej informacji o zdarzeniach występujących w systemie, jak to możliwe. Te informacje mają kluczowe znaczenie dla środowisk o znaczeniu krytycznym w celu określenia, kto naruszył zasady zabezpieczeń i wykonane przez nie akcje. Wyłączenie rejestrowania poddanego inspekcji może uniemożliwić wykrywanie naruszeń zasad zabezpieczeń używanych w systemie. | Sprawdź właściciela urządzenia, czy było to uzasadnione działanie ze względów biznesowych. Jeśli nie, to zdarzenie może ukrywać działania złośliwych aktorów. Natychmiast eskalował zdarzenie do zespołu ds. zabezpieczeń informacji. |
| Odwrotne powłoki | Wys. | Starsza wersja agenta defender-IoT-micro-agenta | Analiza danych hosta na urządzeniu wykryła potencjalną powłokę odwrotną. Powłoki odwrotne są często używane do uzyskiwania naruszonej maszyny do wywołania z powrotem do maszyny kontrolowanej przez złośliwego aktora. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz zobaczyć na urządzeniu. Jeśli nie, eskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Pomyślna próba ataku siłowego | Wys. | Starsza wersja agenta defender-IoT-micro-agenta | Zidentyfikowano wiele nieudanych prób logowania, a następnie pomyślne logowanie. Próba ataku siłowego mogła zakończyć się powodzeniem na urządzeniu. | Przejrzyj alert siłowy SSH i działanie na urządzeniach. Jeśli działanie było złośliwe: Wdrażanie resetowania haseł dla kont z naruszonym naruszeniem zabezpieczeń. Badanie i korygowanie (jeśli znaleziono) urządzeń pod kątem złośliwego oprogramowania. |
| Pomyślne logowanie lokalne | Wys. | Starsza wersja agenta defender-IoT-micro-agenta | Pomyślnie wykryto logowanie lokalne na urządzeniu | Upewnij się, że zalogowany użytkownik jest autoryzowanym podmiotem. |
| Powłoka sieci Web | Wys. | Starsza wersja agenta defender-IoT-micro-agenta | Wykryto możliwą powłokę sieci Web. Złośliwi aktorzy często przekazują powłokę internetową do zagrożonej maszyny w celu uzyskania trwałości lub dalszego wykorzystania. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz zobaczyć na urządzeniu. Jeśli nie, eskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Średnia ważność | ||||
| Zachowanie podobne do typowych wykrytych botów systemu Linux | Śred. | Starsza wersja agenta defender-IoT-micro-agenta | Wykonywanie procesu zwykle skojarzonego z wykrytymi typowymi botnetami systemu Linux. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz zobaczyć na urządzeniu. Jeśli nie, eskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wykryto zachowanie podobne do wykrytego oprogramowania wymuszającego oprogramowanie wymuszające oprogramowanie Fairware | Śred. | Starsza wersja agenta defender-IoT-micro-agenta | Wykonanie poleceń rm -rf zastosowanych do podejrzanych lokalizacji wykrytych przy użyciu analizy danych hosta. Ponieważ rm -rf rekursywnie usuwa pliki, jest zwykle używany tylko w folderach dyskretnych. W takim przypadku jest on używany w lokalizacji, która może usunąć dużą ilość danych. Oprogramowanie wymuszania oprogramowania fairware jest znane do wykonywania rm -rf poleceń w tym folderze. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, które było uzasadnione działanie, które oczekujesz na urządzeniu. Jeśli nie, eskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Zachowanie podobne do wykrytego oprogramowania wymuszającego okup | Śred. | Starsza wersja agenta defender-IoT-micro-agenta | Wykonywanie plików podobnych do znanego oprogramowania wymuszającego okup, które może uniemożliwić użytkownikom dostęp do systemu lub plików osobistych i może zażądać zapłaty okupu w celu odzyskania dostępu. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz zobaczyć na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wykryto obraz kontenera górnika monet kryptograficznych | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Kontener wykrywający uruchomione znane obrazy wyszukiwania walut cyfrowych. | 1. Jeśli to zachowanie nie jest zamierzone, usuń odpowiedni obraz kontenera. 2. Upewnij się, że demon platformy Docker nie jest dostępny za pośrednictwem niebezpiecznego gniazda TCP. 3. Eskalacja alertu do zespołu ds. zabezpieczeń informacji. |
| Obraz górnika monet kryptograficznych | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykryto wykonanie procesu zwykle związanego z wyszukiwaniem walut cyfrowych. | Sprawdź za pomocą użytkownika, który uruchomił polecenie, jeśli było to uzasadnione działanie na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wykryto podejrzane użycie polecenia nohup | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykryto podejrzane użycie polecenia nohup na hoście. Złośliwi aktorzy często uruchamiają polecenie nohup z katalogu tymczasowego, co pozwala na uruchamianie plików wykonywalnych w tle. To polecenie jest uruchamiane w plikach znajdujących się w katalogu tymczasowym nie jest oczekiwane lub zwykle działa. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które powinno być widoczne na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wykryto podejrzane użycie polecenia useradd | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Podejrzane użycie polecenia useradd wykrytego na urządzeniu. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które powinno być widoczne na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Uwidoczniony demon platformy Docker przez gniazdo TCP | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Dzienniki maszyn wskazują, że demon platformy Docker (dockerd) uwidacznia gniazdo TCP. Domyślnie konfiguracja platformy Docker nie używa szyfrowania ani uwierzytelniania po włączeniu gniazda TCP. Domyślna konfiguracja platformy Docker umożliwia pełny dostęp do demona platformy Docker przez każdego, kto ma dostęp do odpowiedniego portu. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które powinno być widoczne na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Logowanie lokalne nie powiodło się | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykryto nieudaną próbę logowania lokalnego urządzenia. | Upewnij się, że żadna nieautoryzowana strona nie ma fizycznego dostępu do urządzenia. |
| Wykryto pobieranie plików ze znanego złośliwego źródła | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Pobieranie pliku ze znanego wykrytego źródła złośliwego oprogramowania. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które powinno być widoczne na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wykryto dostęp do pliku htaccess | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Analiza danych hosta wykryła możliwe manipulowanie plikiem htaccess. Htaccess to zaawansowany plik konfiguracji, który umożliwia wprowadzanie wielu zmian na serwerze internetowym z uruchomionym oprogramowaniem internetowym Apache, w tym podstawowe funkcje przekierowania i bardziej zaawansowane funkcje, takie jak podstawowa ochrona hasłem. Złośliwi aktorzy często modyfikują pliki htaccess na naruszonych maszynach, aby uzyskać trwałość. | Upewnij się, że jest to uzasadnione oczekiwane działanie na hoście. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Znane narzędzie do ataku | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykryto narzędzie często związane ze złośliwymi użytkownikami atakującymi inne maszyny w jakiś sposób. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które powinno być widoczne na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Próba agenta IoT i nie można przeanalizować konfiguracji bliźniaczej reprezentacji modułu | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Agent zabezpieczeń usługi Defender dla IoT nie może przeanalizować konfiguracji bliźniaczej reprezentacji modułu z powodu niezgodności typów w obiekcie konfiguracji | Zweryfikuj konfigurację bliźniaczej reprezentacji modułu względem schematu konfiguracji agenta IoT, popraw wszystkie niezgodności. |
| Wykryto rekonesans hosta lokalnego | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykonanie polecenia zwykle skojarzonego z typowym wykryciem rekonesansu bota systemu Linux. | Przejrzyj podejrzany wiersz polecenia, aby potwierdzić, że został wykonany przez uprawnionego użytkownika. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Niezgodność między interpreterem skryptu a rozszerzeniem pliku | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Niezgodność między interpreterem skryptu a rozszerzeniem pliku skryptu dostarczonego jako wykryte dane wejściowe. Ten typ niezgodności jest często skojarzony z wykonywaniem skryptów atakujących. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które powinno być widoczne na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wykryto możliwe tylne wejście | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Pobrano podejrzany plik, a następnie uruchomiono go na hoście w ramach subskrypcji. Ten typ działania jest często skojarzony z instalacją tylnego wejścia. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które powinno być widoczne na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wykryto potencjalną utratę danych | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Możliwy warunek ruchu wychodzącego danych wykryty przy użyciu analizy danych hosta. Złośliwi aktorzy często wymykają dane z naruszonych maszyn. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które powinno być widoczne na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Potencjalne zastępowanie typowych plików | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Typowy plik wykonywalny zastąpiony na urządzeniu. Złośliwi aktorzy są znani z zastępowania typowych plików jako sposobu na ukrycie swoich działań lub jako sposób na uzyskanie trwałości. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które powinno być widoczne na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wykryto kontener uprzywilejowany | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Dzienniki maszyn wskazują, że uruchomiony jest uprzywilejowany kontener platformy Docker. Uprzywilejowany kontener ma pełny dostęp do zasobów hosta. W przypadku naruszenia zabezpieczeń złośliwy aktor może użyć kontenera uprzywilejowanego, aby uzyskać dostęp do maszyny hosta. | Jeśli kontener nie musi działać w trybie uprzywilejowanym, usuń uprawnienia z kontenera. |
| Wykryto usuwanie plików dzienników systemowych | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykryto podejrzane usunięcie plików dziennika na hoście. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które powinno być widoczne na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Spacja po nazwie pliku | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykonanie procesu z podejrzanym rozszerzeniem wykrytym przy użyciu analizy danych hosta. Podejrzane rozszerzenia mogą skłonić użytkowników do bezpiecznego otwierania plików i mogą wskazywać na obecność złośliwego oprogramowania w systemie. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które powinno być widoczne na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wykryto podejrzane złośliwe poświadczenia dostępu do narzędzi | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykrywanie użycia narzędzia często skojarzonego ze złośliwymi próbami uzyskania dostępu do poświadczeń. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które powinno być widoczne na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wykryto podejrzaną kompilację | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykryto podejrzaną kompilację. Złośliwe podmioty często kompilują luki na zagrożonej maszynie, aby eskalować uprawnienia. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które powinno być widoczne na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Podejrzane pobieranie plików, a następnie działanie uruchamiania pliku | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Analiza danych hosta wykryła plik, który został pobrany i uruchomiony w tym samym poleceniu. Ta technika jest często używana przez złośliwych podmiotów do zainfekowania plików na maszynach ofiar. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które powinno być widoczne na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Podejrzana komunikacja z adresem IP | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykryto komunikację z podejrzanym adresem IP. | Sprawdź, czy połączenie jest wiarygodne. Rozważ zablokowanie komunikacji z podejrzanym adresem IP. |
| Niska ważność | ||||
| Wyczyszczone historii powłoki Bash | Niski | Starsza wersja agenta defender-IoT-micro-agent | Dziennik historii powłoki Bash został wyczyszczone. Złośliwi aktorzy często wymazują historię powłoki bash, aby ukryć własne polecenia przed pojawieniem się w dziennikach. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, aby sprawdzić, czy działanie w tym alercie jest rozpoznawane jako legalne działania administracyjne. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Urządzenie dyskretne | Niski | Starsza wersja agenta defender-IoT-micro-agent | Urządzenie nie wysłało żadnych danych telemetrycznych w ciągu ostatnich 72 godzin. | Upewnij się, że urządzenie jest w trybie online i wysyła dane. Sprawdź, czy agent zabezpieczeń platformy Azure jest uruchomiony na urządzeniu. |
| Nieudana próba ataku siłowego | Niski | Starsza wersja agenta defender-IoT-micro-agent | Zidentyfikowano wiele nieudanych prób logowania. Potencjalna próba ataku siłowego na urządzeniu nie powiodła się. | Przejrzyj alerty siłowe protokołu SSH i działanie na urządzeniu. Nie są wymagane żadne dalsze działania. |
| Użytkownik lokalny dodany do co najmniej jednej grupy | Niski | Starsza wersja agenta defender-IoT-micro-agent | Nowy użytkownik lokalny dodany do grupy na tym urządzeniu. Zmiany w grupach użytkowników są rzadkie i mogą wskazywać, że złośliwy aktor może zbierać dodatkowe uprawnienia. | Sprawdź, czy zmiana jest zgodna z uprawnieniami wymaganymi przez użytkownika, którego dotyczy problem. Jeśli zmiana jest niespójna, przeskaluj do zespołu ds. zabezpieczeń informacji. |
| Użytkownik lokalny usunięty z co najmniej jednej grupy | Niski | Starsza wersja agenta defender-IoT-micro-agent | Użytkownik lokalny został usunięty z co najmniej jednej grupy. Złośliwi aktorzy są znani z używania tej metody w celu odmowy dostępu uprawnionym użytkownikom lub usunięcia historii ich działań. | Sprawdź, czy zmiana jest zgodna z uprawnieniami wymaganymi przez użytkownika, którego dotyczy problem. Jeśli zmiana jest niespójna, przeskaluj do zespołu ds. zabezpieczeń informacji. |
| Wykryto usunięcie użytkownika lokalnego | Niski | Starsza wersja agenta defender-IoT-micro-agent | Wykryto usunięcie użytkownika lokalnego. Usuwanie użytkowników lokalnych jest nietypowe, złośliwy aktor może próbować odmówić dostępu uprawnionym użytkownikom lub usunąć historię swoich akcji. | Sprawdź, czy zmiana jest zgodna z uprawnieniami wymaganymi przez użytkownika, którego dotyczy problem. Jeśli zmiana jest niespójna, przeskaluj do zespołu ds. zabezpieczeń informacji. |
Następne kroki
- Omówienie usługi Defender for IoT
- Dowiedz się, jak uzyskać dostęp do danych zabezpieczeń
- Dowiedz się więcej o badaniu urządzenia
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla