Starsze alerty zabezpieczeń urządzeń usługi Defender for IoT
Uwaga
Starszy agent usługi Microsoft Defender dla IoT został zastąpiony przez nowsze środowisko mikroa agenta. Aby uzyskać więcej informacji, zobacz Samouczek: badanie alertów zabezpieczeń.
Od 31 marca 2022 r. starszy agent jest wycowłaszany i nie są opracowywane żadne nowe funkcje. Starszy agent zostanie w pełni wycofany 31 marca 2023 r., w którym momencie nie udostępnimy już poprawek usterek ani innego wsparcia dla starszego agenta.
Usługa Defender dla IoT stale analizuje rozwiązanie IoT przy użyciu zaawansowanej analizy i analizy zagrożeń, aby otrzymywać alerty o złośliwych działaniach. Ponadto można tworzyć niestandardowe alerty na podstawie wiedzy o oczekiwanym zachowaniu urządzenia. Alert działa jako wskaźnik potencjalnego naruszenia i powinien zostać zbadany i skorygowany.
W tym artykule znajdziesz listę wbudowanych alertów, które mogą być wyzwalane na urządzeniach IoT. Oprócz wbudowanych alertów usługa Defender dla IoT umożliwia definiowanie alertów niestandardowych na podstawie oczekiwanego zachowania usługi IoT Hub i/lub urządzenia. Aby uzyskać więcej informacji, zobacz dostosowywanie alertów.
Alerty zabezpieczeń oparte na agencie
| Nazwisko | Ważność | Źródło danych | opis | Sugerowane kroki korygowania |
|---|---|---|---|---|
| Wysoka ważność | ||||
| Binarny wiersz polecenia | Wys. | Starsza wersja agenta defender-IoT-micro-agent | Wykryto plik binarny LA Linux o nazwie/wykonaniu z wiersza polecenia. Ten proces może być uzasadnionym działaniem lub wskazaniem, że urządzenie zostało naruszone. | Przejrzyj polecenie za pomocą użytkownika, który go uruchomił, i sprawdź, czy jest to coś zgodnie z prawem oczekiwane do uruchomienia na urządzeniu. Jeśli nie, przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wyłączanie zapory | Wys. | Starsza wersja agenta defender-IoT-micro-agent | Wykryto możliwe manipulowanie zaporą na hoście. Złośliwi aktorzy często wyłączają zaporę na hoście, próbując eksfiltrować dane. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, aby potwierdzić, czy było to uzasadnione oczekiwane działanie na urządzeniu. Jeśli nie, przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wykrywanie przekierowania portów | Wys. | Starsza wersja agenta defender-IoT-micro-agent | Zainicjowanie przekierowania portów do wykrytego zewnętrznego adresu IP. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Możliwa próba wyłączenia wykrytego rejestrowania inspekcji | Wys. | Starsza wersja agenta defender-IoT-micro-agent | System Inspekcja systemu Linux umożliwia śledzenie informacji dotyczących zabezpieczeń w systemie. System rejestruje jak najwięcej informacji o zdarzeniach występujących w systemie, jak to możliwe. Te informacje mają kluczowe znaczenie dla środowisk o znaczeniu krytycznym w celu określenia, kto naruszył zasady zabezpieczeń i wykonane przez nich działania. Wyłączenie rejestrowania poddanego inspekcji może uniemożliwić wykrywanie naruszeń zasad zabezpieczeń używanych w systemie. | Sprawdź właściciela urządzenia, czy była to legalna aktywność ze względów biznesowych. Jeśli nie, to zdarzenie może ukrywać działanie złośliwych podmiotów. Natychmiast eskalował zdarzenie do zespołu ds. zabezpieczeń informacji. |
| Odwrotne powłoki | Wys. | Starsza wersja agenta defender-IoT-micro-agent | Analiza danych hosta na urządzeniu wykryła potencjalną powłokę odwrotną. Powłoki odwrotne są często używane do uzyskania naruszonej maszyny w celu wywołania z powrotem do maszyny kontrolowanej przez złośliwego aktora. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Pomyślna próba ataku siłowego | Wys. | Starsza wersja agenta defender-IoT-micro-agent | Zidentyfikowano wiele nieudanych prób logowania, a następnie pomyślne zalogowanie. Próba ataku siłowego mogła zakończyć się powodzeniem na urządzeniu. | Przejrzyj alert siłowy protokołu SSH i działanie na urządzeniach. Jeśli działanie było złośliwe: Wdrażanie resetowania haseł dla kont z naruszonym naruszeniem. Badanie i korygowanie (jeśli znaleziono) urządzeń pod kątem złośliwego oprogramowania. |
| Pomyślne logowanie lokalne | Wys. | Starsza wersja agenta defender-IoT-micro-agent | Wykryto pomyślne logowanie lokalne na urządzeniu | Upewnij się, że zalogowany użytkownik jest autoryzowanym użytkownikiem. |
| Powłoka sieci Web | Wys. | Starsza wersja agenta defender-IoT-micro-agent | Wykryto możliwą powłokę internetową. Złośliwi aktorzy często przekazują powłokę internetową do zagrożonej maszyny w celu uzyskania trwałości lub dalszego wykorzystania. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Średnia ważność | ||||
| Zachowanie podobne do typowych wykrytych botów systemu Linux | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykonywanie procesu zwykle skojarzonego z wykrytymi typowymi botnetami systemu Linux. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wykryto zachowanie podobne do wykrytego oprogramowania wymuszającego oprogramowanie wymuszające oprogramowanie Fairware | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykonanie poleceń rm -rf zastosowanych do podejrzanych lokalizacji wykrytych przy użyciu analizy danych hosta. Ponieważ rm -rf rekursywnie usuwa pliki, jest zwykle używany tylko w folderach dyskretnych. W takim przypadku jest on używany w lokalizacji, która może usunąć dużą ilość danych. Oprogramowanie wymuszanie oprogramowania fairware jest znane do wykonywania rm -rf poleceń w tym folderze. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, które było legalnym działaniem, które można zobaczyć na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Zachowanie podobne do wykrytego oprogramowania wymuszającego okup | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykonanie plików podobnych do znanego oprogramowania wymuszającego okup, które może uniemożliwić użytkownikom dostęp do systemu lub plików osobistych i może zażądać płatności okupu w celu odzyskania dostępu. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wykryto obraz kontenera górnika monet kryptograficznych | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Kontener wykrywający uruchomione znane obrazy wyszukiwania walut cyfrowych. | 1. Jeśli to zachowanie nie jest zamierzone, usuń odpowiedni obraz kontenera. 2. Upewnij się, że demon platformy Docker nie jest dostępny za pośrednictwem niebezpiecznego gniazda TCP. 3. Eskalowanie alertu do zespołu ds. zabezpieczeń informacji. |
| Obraz górnika monet kryptograficznych | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykonanie procesu zwykle skojarzonego z wykrytym wyszukiwaniem walut cyfrowych. | Sprawdź, czy użytkownik, który uruchomił polecenie, jeśli było to uzasadnione działanie na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wykryto podejrzane użycie polecenia nohup | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykryto podejrzane użycie polecenia nohup na hoście. Złośliwi aktorzy często uruchamiają polecenie nohup z katalogu tymczasowego, co pozwala na uruchamianie plików wykonywalnych w tle. To polecenie jest uruchamiane w plikach znajdujących się w katalogu tymczasowym nie jest oczekiwane lub zwykle działa. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wykryto podejrzane użycie polecenia useradd | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Podejrzane użycie polecenia useradd wykrytego na urządzeniu. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Uwidoczniony demon platformy Docker przez gniazdo TCP | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Dzienniki maszyn wskazują, że demon platformy Docker (dockerd) uwidacznia gniazdo TCP. Domyślnie konfiguracja platformy Docker nie używa szyfrowania ani uwierzytelniania po włączeniu gniazda TCP. Domyślna konfiguracja platformy Docker umożliwia pełny dostęp do demona platformy Docker przez wszystkich użytkowników z dostępem do odpowiedniego portu. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Logowanie lokalne nie powiodło się | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykryto nieudaną próbę logowania lokalnego na urządzeniu. | Upewnij się, że żadna nieautoryzowana strona nie ma fizycznego dostępu do urządzenia. |
| Wykryto pobieranie plików ze znanego złośliwego źródła | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Pobieranie pliku ze znanego wykrytego źródła złośliwego oprogramowania. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wykryto dostęp do pliku htaccess | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Analiza danych hosta wykryła możliwe manipulowanie plikiem htaccess. Htaccess to zaawansowany plik konfiguracji, który umożliwia wprowadzanie wielu zmian na serwerze internetowym z uruchomionym oprogramowaniem Apache Web, w tym podstawowe funkcje przekierowania i bardziej zaawansowane funkcje, takie jak podstawowa ochrona haseł. Złośliwi aktorzy często modyfikują pliki htaccess na naruszonych maszynach w celu uzyskania trwałości. | Upewnij się, że jest to zgodne z prawem oczekiwane działanie na hoście. Jeśli nie, przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Znane narzędzie do ataku | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykryto narzędzie często skojarzone ze złośliwymi użytkownikami atakującymi inne maszyny. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Próba agenta IoT i nie można przeanalizować konfiguracji bliźniaczej reprezentacji modułu | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Agent zabezpieczeń usługi Defender dla IoT nie może przeanalizować konfiguracji bliźniaczej reprezentacji modułu z powodu niezgodności typów w obiekcie konfiguracji | Zweryfikuj konfigurację bliźniaczej reprezentacji modułu względem schematu konfiguracji agenta IoT, popraw wszystkie niezgodności. |
| Wykryto rekonesans hosta lokalnego | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykonanie polecenia zwykle skojarzonego z typowym rekonesansem bota systemu Linux wykrytym. | Przejrzyj podejrzany wiersz polecenia, aby potwierdzić, że został on wykonany przez uprawnionego użytkownika. Jeśli nie, przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Niezgodność między interpreterem skryptu a rozszerzeniem pliku | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Niezgodność między interpreterem skryptu a rozszerzeniem pliku skryptu dostarczonego jako wykryte dane wejściowe. Ten typ niezgodności jest często skojarzony z wykonywaniem skryptów atakujących. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wykryto możliwe backdoor | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Pobrany podejrzany plik został pobrany, a następnie uruchomiony na hoście w ramach subskrypcji. Ten typ działania jest często skojarzony z instalacją backdoor. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wykryto potencjalną utratę danych | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Możliwy warunek ruchu wychodzącego danych wykryty przy użyciu analizy danych hosta. Złośliwi aktorzy często przedostają się do danych z naruszonych maszyn. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Potencjalne zastępowanie typowych plików | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wspólny plik wykonywalny zastąpiony na urządzeniu. Złośliwi aktorzy są znani z zastępowania typowych plików jako sposobu na ukrycie swoich akcji lub jako sposób na uzyskanie trwałości. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wykryto kontener uprzywilejowany | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Dzienniki maszyn wskazują, że uruchomiony jest uprzywilejowany kontener platformy Docker. Uprzywilejowany kontener ma pełny dostęp do zasobów hosta. W przypadku naruszenia zabezpieczeń złośliwy aktor może użyć kontenera uprzywilejowanego, aby uzyskać dostęp do maszyny hosta. | Jeśli kontener nie musi działać w trybie uprzywilejowanym, usuń uprawnienia z kontenera. |
| Usunięcie wykrytych plików dzienników systemowych | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykryto podejrzane usunięcie plików dziennika na hoście. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Spacja po nazwie pliku | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykonanie procesu z podejrzanym rozszerzeniem wykrytym przy użyciu analizy danych hosta. Podejrzane rozszerzenia mogą skłonić użytkowników do bezpiecznego otwierania plików i mogą wskazywać na obecność złośliwego oprogramowania w systemie. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wykryto podejrzane złośliwe poświadczenia dostępu do narzędzi | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykrywanie użycia narzędzia często skojarzonego ze złośliwymi próbami uzyskania dostępu do poświadczeń. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Wykryto podejrzaną kompilację | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykryto podejrzaną kompilację. Złośliwi aktorzy często kompilują luki na naruszonej maszynie w celu eskalacji uprawnień. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Podejrzane pobieranie plików, a następnie działanie uruchamiania pliku | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Analiza danych hosta wykryła plik, który został pobrany i uruchomiony w tym samym poleceniu. Ta technika jest często używana przez złośliwych podmiotów do zainfekowania plików na maszynach ofiar. | Zapoznaj się z użytkownikiem, który uruchomił polecenie, jeśli było to uzasadnione działanie, które oczekujesz na urządzeniu. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Podejrzana komunikacja z adresem IP | Śred. | Starsza wersja agenta defender-IoT-micro-agent | Wykryto komunikację z podejrzanym adresem IP. | Sprawdź, czy połączenie jest wiarygodne. Rozważ zablokowanie komunikacji z podejrzanym adresem IP. |
| Niska ważność | ||||
| Wyczyszczone historię powłoki Bash | Niski | Starsza wersja agenta defender-IoT-micro-agent | Wyczyszczone dziennik historii powłoki Bash. Złośliwi aktorzy często wymazują historię powłoki bash, aby ukryć własne polecenia przed pojawieniem się w dziennikach. | Przejrzyj polecenie z użytkownikiem, który uruchomił działanie w tym alercie, aby sprawdzić, czy rozpoznasz to jako uzasadnione działania administracyjne. W przeciwnym razie przeskaluj alert do zespołu ds. zabezpieczeń informacji. |
| Urządzenie dyskretne | Niski | Starsza wersja agenta defender-IoT-micro-agent | Urządzenie nie wysłało żadnych danych telemetrycznych w ciągu ostatnich 72 godzin. | Upewnij się, że urządzenie jest w trybie online i wysyła dane. Sprawdź, czy agent zabezpieczeń platformy Azure jest uruchomiony na urządzeniu. |
| Nieudana próba ataku siłowego | Niski | Starsza wersja agenta defender-IoT-micro-agent | Zidentyfikowano wiele nieudanych prób logowania. Potencjalna próba ataku siłowego na urządzeniu nie powiodła się. | Przejrzyj alerty siłowe protokołu SSH i działanie na urządzeniu. Nie jest wymagana żadna dalsza akcja. |
| Użytkownik lokalny dodany do co najmniej jednej grupy | Niski | Starsza wersja agenta defender-IoT-micro-agent | Nowy użytkownik lokalny dodany do grupy na tym urządzeniu. Zmiany w grupach użytkowników są nietypowe i mogą wskazywać, że złośliwy aktor może zbierać dodatkowe uprawnienia. | Sprawdź, czy zmiana jest zgodna z uprawnieniami wymaganymi przez użytkownika, którego dotyczy problem. Jeśli zmiana jest niespójna, przeskaluj do zespołu ds. zabezpieczeń informacji. |
| Użytkownik lokalny usunięty z co najmniej jednej grupy | Niski | Starsza wersja agenta defender-IoT-micro-agent | Użytkownik lokalny został usunięty z co najmniej jednej grupy. Złośliwi aktorzy są znani z używania tej metody w celu odmowy dostępu uprawnionym użytkownikom lub usunięcia historii ich działań. | Sprawdź, czy zmiana jest zgodna z uprawnieniami wymaganymi przez użytkownika, którego dotyczy problem. Jeśli zmiana jest niespójna, przeskaluj do zespołu ds. zabezpieczeń informacji. |
| Wykryto usunięcie użytkownika lokalnego | Niski | Starsza wersja agenta defender-IoT-micro-agent | Wykryto usunięcie użytkownika lokalnego. Usuwanie użytkowników lokalnych jest nietypowe. Złośliwy aktor może próbować odmówić dostępu uprawnionym użytkownikom lub usunąć historię swoich działań. | Sprawdź, czy zmiana jest zgodna z uprawnieniami wymaganymi przez użytkownika, którego dotyczy problem. Jeśli zmiana jest niespójna, przeskaluj do zespołu ds. zabezpieczeń informacji. |
Następne kroki
- Omówienie usługi Defender for IoT
- Dowiedz się, jak uzyskać dostęp do danych zabezpieczeń
- Dowiedz się więcej na temat badania urządzenia