Alertas de segurança herdados do Defender para dispositivos IoT

Observação

O agente herdado do Microsoft Defender para IoT foi substituído por nossa experiência de microagente mais recente. Para obter mais informações, confira Tutorial: investigar alertas de segurança.

A partir de 31 de março de 2022, o agente herdado caducará e novos recursos não serão desenvolvidos. O agente herdado será totalmente desativado em 31 de março de 2023. A essa altura, não forneceremos mais correções de bug nem outro suporte para o agente herdado.

O Defender para IoT analisa as soluções IoT continuamente usando análise avançada e inteligência contra ameaças para alertar você sobre atividades mal-intencionadas. Além disso, você pode criar alertas personalizados com base no seu conhecimento do comportamento esperado dos dispositivos. Um alerta atua como um indicador de possível comprometimento e deve ser investigado e o problema corrigido.

Neste artigo, você encontrará uma lista de alertas internos, que podem ser disparados em seus dispositivos IoT. Além dos alertas internos, o Defender para IoT permite que você defina alertas personalizados de acordo com o comportamento esperado do Hub IoT e/ou do dispositivo. Para obter mais informações, confira Alertas personalizáveis.

Alertas de segurança baseados em agente

Nome Severidade fonte de dados Descrição Etapas de correção sugeridas
Severidade alta
Linha de comando binário Alto Microagente herdado do Defender para IoT O binário LA do Linux sendo chamado/executado na linha de comando foi detectado. O processo pode ser uma atividade legítima ou uma indicação de que o seu dispositivo está comprometido. Examine o comando com o usuário que o executou e verifique se é algo que realmente se espera do dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Desabilitar firewall Alto Microagente herdado do Defender para IoT Possível manipulação do firewall no host detectada. Os atores mal-intencionados geralmente desabilitam o firewall no host em uma tentativa de exfiltrar dados. Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Detecção de encaminhamento de porta Alto Microagente herdado do Defender para IoT Inicialização do encaminhamento de porta para um endereço IP externo detectada. Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Possível tentativa de desabilitar o log de auditoria detectada Alto Microagente herdado do Defender para IoT O sistema de auditoria do Linux fornece uma maneira de rastrear informações relevantes para a segurança no sistema. Ele registra o máximo possível de informações sobre os eventos que estão ocorrendo em seu sistema. Essas informações são cruciais para ambientes de missão crítica para determinar quem violou a diretiva de segurança e as ações que eles executaram. Desabilitar o log de auditoria pode impedir sua capacidade de descobrir violações de políticas de segurança usadas no sistema. Verifique com o proprietário do dispositivo se essa atividade é legítima e com motivos comerciais. Caso contrário, o evento pode estar ocultando a atividade de atores mal-intencionados. E encaminhe imediatamente o incidente para sua equipe de segurança de informações.
Shells reversos Alto Microagente herdado do Defender para IoT A análise de dados do host detectou um possível shell reverso. Os shells reversos costumam ser usados para que um computador comprometido faça um retorno de chamada a um computador controlado por um invasor. Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Tentativa de Força Bruta bem-sucedida Alto Microagente herdado do Defender para IoT Várias tentativas de logon malsucedidas foram identificadas, seguidas por um logon bem-sucedido. Uma tentativa de ataque de força bruta pode ter tido êxito no dispositivo. Examine o alerta de força bruta por SSH e a atividade nos dispositivos.
Se a atividade for mal-intencionada:
Implemente a redefinição de senha para as contas comprometidas.
Investigue e corrija (se encontrados) os dispositivos para a existência de malware.
Logon local bem-sucedido Alto Microagente herdado do Defender para IoT Foi detectado um logon local bem-sucedido no dispositivo. Verifique se o usuário conectado é uma pessoa autorizada.
Web shell Alto Microagente herdado do Defender para IoT Possível web shell detectado. Os invasores geralmente carregam um web shell em um computador comprometido para obter persistência ou maior exploração. Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Severidade média
Comportamento semelhante a bots Linux comuns detectado Médio Microagente herdado do Defender para IoT A execução de um processo normalmente associada a botnets comuns do Linux foi detectada. Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Comportamento semelhante ao ransomware do Fairware detectado Médio Microagente herdado do Defender para IoT Execução de comandos rm -rf aplicados a locais suspeitos detectada usando a análise de dados do host. Como rm -rf excluirá arquivos recursivamente, ele é normalmente usado em pastas discretas. Nesse caso, os comandos estão sendo usados em um local que pode remover muitos dados. O ransomware Fairware é conhecido por executar comandos rm -rf nessa pasta. Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Comportamento semelhante ao ransomware detectado Médio Microagente herdado do Defender para IoT Execução de arquivos semelhantes a ransomware conhecidos que podem impedir que os usuários acessem o sistema, ou arquivos pessoais, e podem exigir o pagamento de ransomware para recuperação do acesso. Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Imagem de contêiner de Miner de moeda de criptografia detectada Médio Microagente herdado do Defender para IoT Contêiner que detecta a execução de imagens de mineração de moeda digital conhecidas. 1. Se esse comportamento não for intencional, exclua a imagem de contêiner relevante.
2. Verifique se o daemon do Docker não está acessível por meio de um soquete TCP inseguro.
3. Encaminhe o alerta para a equipe de segurança de informações.
Imagem de Miner de moeda de criptografia Médio Microagente herdado do Defender para IoT A execução de um processo normalmente associado à mineração de moeda digital foi detectada. Verifique com o usuário que executou o comando se essa é uma atividade legítima no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Uso suspeito do comando nohup detectado Médio Microagente herdado do Defender para IoT Uso suspeito do comando nohup detectado. Os atores mal-intencionados costumam executar o comando nohup de um diretório temporário. Isso permite efetivamente que seus executáveis funcionem em segundo plano. Ver esse comando ser executado em arquivos localizados em um diretório temporário não é um comportamento normal, nem esperado. Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Uso suspeito do comando useradd detectado Médio Microagente herdado do Defender para IoT Uso suspeito do comando useradd detectado no dispositivo. Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Daemon do Docker exposto por soquete TCP Médio Microagente herdado do Defender para IoT Os logs de computador indicam que o daemon do Docker (dockerd) expõe um soquete TCP. Por padrão, a configuração do Docker não usa criptografia ou autenticação quando um soquete TCP está habilitado. Isso permite acesso completo ao daemon do Docker, por qualquer pessoa com acesso à porta relevante. Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Falha no logon local Médio Microagente herdado do Defender para IoT Foi detectada uma tentativa falha de logon local no dispositivo. Tenha certeza de que nenhuma parte não autorizada tenha acesso físico ao dispositivo.
Download de arquivo de uma fonte mal-intencionada conhecida detectado Médio Microagente herdado do Defender para IoT Foi detectado o download de um arquivo de uma fonte de malware conhecida. Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Acesso ao arquivo htaccess detectado Médio Microagente herdado do Defender para IoT A análise de dados do host detectou uma possível manipulação de um arquivo htaccess. O htaccess é um arquivo de configuração poderoso que permite que você faça várias alterações em um servidor Web que executa o software Apache Web, inclusive na funcionalidade básica de redirecionamento ou em funções mais avançadas, como a proteção de senha básica. Os invasores geralmente modificam arquivos htaccess em máquinas que estão comprometidos para obter persistência. Confirme se essa é uma atividade legítima e esperada no host. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Ferramenta de ataque conhecida Médio Microagente herdado do Defender para IoT Uma ferramenta geralmente associada a usuários mal-intencionados foi detectada. Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Tentativa e falha do agente de IoT de analisar a configuração do módulo gêmeo Médio Microagente herdado do Defender para IoT O agente de segurança do Defender para IoT falhou ao analisar a configuração do módulo gêmeo devido a incompatibilidades de tipo no objeto de configuração. Valide a configuração do módulo gêmeo em relação ao esquema de configuração do agente IoT e corrija todas as incompatibilidades.
Reconhecimento de host local detectado Médio Microagente herdado do Defender para IoT Execução de um comando normalmente associado ao reconhecimento de bots comuns do Linux detectada. Examine a linha de comando suspeita para confirmar que ela foi executada por um usuário legítimo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Incompatibilidade entre interpretador de script e extensão de arquivo Médio Microagente herdado do Defender para IoT Uma incompatibilidade entre o intérprete do script e a extensão do arquivo de script fornecido como entrada foi detectada. Esse tipo de incompatibilidade normalmente é associado a execuções de script invasor. Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Possível backdoor detectado Médio Microagente herdado do Defender para IoT Um arquivo suspeito foi baixado e, em seguida, executado em um host da sua assinatura. Esse tipo de atividade é normalmente associado à instalação de um Backdoor. Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Possível perda de dados detectada Médio Microagente herdado do Defender para IoT Possível condição de saída de dados detectada usando análise de dados do host. Atores mal-intencionados geralmente extraem dados de computadores comprometidos. Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Possível substituição de arquivos comuns Médio Microagente herdado do Defender para IoT Executável comum substituído no dispositivo. Atores mal-intencionados são conhecidos por substituir arquivos comuns como uma forma de ocultar suas ações ou como uma forma de obter persistência. Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Contêiner privilegiado detectado Médio Microagente herdado do Defender para IoT Os logs do computador indicam que um contêiner do Docker privilegiado está em execução. Um contêiner privilegiado tem acesso completo aos recursos do host. Se for comprometido, um invasor pode usar o contêiner privilegiado para obter acesso ao computador host. Se o contêiner não precisar ser executado no modo privilegiado, remova os privilégios do contêiner.
Remoção de arquivos de log do sistema detectada Médio Microagente herdado do Defender para IoT Remoção suspeita de arquivos de log no host detectada. Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Espaço depois do nome de arquivo Médio Microagente herdado do Defender para IoT Execução de um processo com uma extensão suspeita detectada usando análise de dados do host. A extensão pode induzir os usuários a pensar que os arquivos estão seguros para serem abertos e pode indicar a presença de malware no sistema. Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Ferramentas de acesso a credenciais possivelmente mal-intencionadas detectadas Médio Microagente herdado do Defender para IoT O uso de uma ferramenta comumente associada a tentativas mal-intencionadas de acessar credenciais foi detectado. Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Compilação suspeita detectada Médio Microagente herdado do Defender para IoT Compilação suspeita detectada. Atores mal-intencionados costumam compilar explorações em um computador comprometido para escalonar privilégios. Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Download de arquivo suspeito seguido de atividade de execução do arquivo Médio Microagente herdado do Defender para IoT A análise dos dados do host detectou um arquivo que foi baixado e executado no mesmo comando. Essa técnica é comumente usada por atores mal-intencionados para introduzir arquivos infectados em máquinas vítimas. Examine, com o usuário que executou o comando, se essa era uma atividade legítima esperada no dispositivo. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Comunicação com endereço IP suspeito Médio Microagente herdado do Defender para IoT A comunicação com um endereço IP suspeito foi detectada. Verifique se a conexão é legítima. Considere bloquear a comunicação com o IP suspeito.
Severidade baixa
Histórico de bash limpo Baixo Microagente herdado do Defender para IoT O log do histórico de bash foi limpo. Os atores mal-intencionados geralmente apagam o histórico de bash para que seus próprios comandos não sejam exibidos nos logs. Verifique junto ao usuário que executou o comando se esta é uma atividade administrativa legítima. Caso contrário, encaminhe o alerta para a equipe de segurança de informações.
Dispositivo silencioso Baixo Microagente herdado do Defender para IoT O dispositivo não enviou nenhum dado de telemetria nas últimas 72 horas. Confirme se o dispositivo está online e enviando dados. Verifique se o agente de segurança do Azure está em execução no dispositivo.
Falha na tentativa de Força bruta Baixo Microagente herdado do Defender para IoT Várias tentativas de logon malsucedidas foram identificadas. Uma possível tentativa de ataque de força bruta no dispositivo falhou. Examine os alertas de força bruta por SSH e a atividade no dispositivo. Nenhuma ação adicional é necessária.
Usuário local adicionado a um ou mais grupos Baixo Microagente herdado do Defender para IoT Novo usuário local adicionado a um grupo neste dispositivo. As alterações nos grupos de usuários não são comuns e podem indicar que um ator mal-intencionado está coletando permissões adicionais. Verifique se a alteração é consistente com as permissões exigidas pelo usuário afetado. Se não for o caso, encaminhe para sua equipe de segurança de informações.
Usuário local excluído de um ou mais grupos Baixo Microagente herdado do Defender para IoT Um usuário local foi excluído de um ou mais grupos. Esta é uma tática conhecida de atores mal-intencionados que tenta negar o acesso ou excluir o histórico de ações de usuários legítimos. Verifique se a alteração é consistente com as permissões exigidas pelo usuário afetado. Se não for o caso, encaminhe para sua equipe de segurança de informações.
Exclusão de usuário local detectada Baixo Microagente herdado do Defender para IoT A exclusão de um usuário foi local detectada. Isso não é comum, um ator mal-intencionado pode estar tentando negar acesso ou excluir o histórico de ações de usuários legítimos. Verifique se a alteração é consistente com as permissões exigidas pelo usuário afetado. Se não for o caso, encaminhe para sua equipe de segurança de informações.

Próximas etapas