Legacy Defender para dispositivos IoT alertas de segurança

Nota

O Microsoft Defender for IoT legacy agent foi substituído pela nossa mais recente experiência de micro-agente. Para mais informações, consulte Tutorial: Investigue alertas de segurança.

A partir de 31 de março de 2022, o agente legado é o pôr-do-sol e não estão a ser desenvolvidas novidades. O agente legado será totalmente aposentado a 31 de março de 2023, altura em que deixaremos de fornecer correções de bugs ou outro suporte para o agente legado.

O Defender for IoT analisa continuamente a sua solução IoT utilizando análises avançadas e inteligência de ameaça para alertá-lo para atividades maliciosas. Além disso, pode criar alertas personalizados com base no seu conhecimento do comportamento esperado do dispositivo. Um alerta funciona como um indicador de potencial compromisso, e deve ser investigado e remediado.

Neste artigo, encontrará uma lista de alertas incorporados, que podem ser acionados nos seus dispositivos IoT. Além dos alertas incorporados, o Defender for IoT permite-lhe definir alertas personalizados baseados no comportamento esperado Hub IoT e/ou dispositivo. Para mais informações, consulte alertas personalizáveis.

Alertas de segurança baseados em agente

Name Gravidade Origem de dados Description Medidas de reparação sugeridas
Alta gravidade
Linha de Comando Binário Alto Legacy Defender-IoT-micro-agente O binário la Linux foi chamado/executado a partir da linha de comando. Este processo pode ser uma atividade legítima, ou uma indicação de que o seu dispositivo está comprometido. Reveja o comando com o utilizador que o executou e verifique se se trata de algo que se espera que seja executado no dispositivo. Caso contrário, aumente o alerta para a sua equipa de segurança de informação.
Desativar firewall Alto Legacy Defender-IoT-micro-agente Possível manipulação da firewall no hospedeiro detetada. Os atores maliciosos desativam frequentemente a firewall no hospedeiro numa tentativa de exfiltrar dados. Reveja com o utilizador que executou o comando para confirmar se esta era uma atividade legítima esperada no dispositivo. Caso contrário, aumente o alerta para a sua equipa de segurança de informação.
Deteção de encaminhamento de porta Alto Legacy Defender-IoT-micro-agente Iniciação do encaminhamento da porta para um endereço IP externo detetado. Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informação.
Possível tentativa de desativação de registo auditado detetada Alto Legacy Defender-IoT-micro-agente O sistema Auditado Linux fornece uma forma de rastrear informações relevantes para a segurança no sistema. O sistema regista o máximo de informação possível sobre os eventos que estão a acontecer no seu sistema. Esta informação é crucial para que os ambientes críticos da missão determinem quem violou a política de segurança e as ações que realizaram. A desativação da registo auditada pode impedir a sua capacidade de descobrir violações das políticas de segurança utilizadas no sistema. Consulte o proprietário do dispositivo se esta foi uma atividade legítima com razões comerciais. Caso contrário, este evento pode estar a esconder atividade por atores mal-intencionados. Agravou imediatamente o incidente para a sua equipa de segurança de informação.
Conchas inversas Alto Legacy Defender-IoT-micro-agente A análise dos dados hospedeiros num dispositivo detetou uma potencial concha inversa. As conchas inversas são frequentemente usadas para obter uma máquina comprometida para ligar de volta para uma máquina controlada por um ator mal-intencionado. Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informação.
Tentativa bem sucedida da Bruteforce Alto Legacy Defender-IoT-micro-agente Foram identificadas múltiplas tentativas de login mal sucedidas, seguidas de um login bem sucedido. Tentativa de ataque à força bruta pode ter sido bem sucedida no dispositivo. Reveja o alerta de força SSH Brute e a atividade nos dispositivos.
Se a atividade fosse maliciosa:
Verta a palavra-passe reposta para contas comprometidas.
Investigue e remediar (se for encontrado) dispositivos para malware.
Login local bem-sucedido Alto Legacy Defender-IoT-micro-agente Sinal local bem sucedido no dispositivo detetado Certifique-se de que o utilizador assinado é uma parte autorizada.
Concha web Alto Legacy Defender-IoT-micro-agente Possível concha da web detetada. Atores maliciosos geralmente carregam uma concha web para uma máquina comprometida para ganhar persistência ou para mais exploração. Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informação.
Gravidade média
Comportamento semelhante aos bots linux comuns detetados Médio Legacy Defender-IoT-micro-agente Execução de um processo normalmente associado a botnets linux comuns detetados. Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informação.
Comportamento semelhante ao ransomware Fairware detetado Médio Legacy Defender-IoT-micro-agente Execução de comandos rm-rf aplicados a locais suspeitos detetados usando a análise de dados hospedeiros. Uma vez que rm-rf elimina novamente os ficheiros, normalmente só é utilizado em pastas discretas. Neste caso, está a ser usado num local que pode remover uma grande quantidade de dados. O ransomware Fairware é conhecido por executar comandos rm-rf nesta pasta. Reveja com o utilizador que executou o comando esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informação.
Comportamento semelhante ao ransomware detetado Médio Legacy Defender-IoT-micro-agente A execução de ficheiros semelhantes ao ransomware conhecido pode impedir que os utilizadores acedam ao seu sistema, ou ficheiros pessoais, e podem exigir o pagamento do resgate para recuperar o acesso. Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informação.
Imagem de contentor de minerador de moeda cripto detetada Médio Legacy Defender-IoT-micro-agente Contentor detetando imagens de mineração de moeda digital conhecidas. 1. Se este comportamento não for pretendido, elimine a imagem do recipiente relevante.
2. Certifique-se de que o daemon do Docker não está acessível através de uma tomada TCP insegura.
3. Aumente o alerta para a equipa de segurança de informação.
Imagem de minerador de moeda cripto Médio Legacy Defender-IoT-micro-agente Execução de um processo normalmente associado à mineração de moeda digital detetada. Verifique com o utilizador que executou o comando se esta era uma atividade legítima no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informação.
Detetado uso suspeito do comando nohup Médio Legacy Defender-IoT-micro-agente Uso suspeito do comando nohup no hospedeiro detetado. Atores mal-intencionados geralmente executam o comando nohup de um diretório temporário, efetivamente permitindo que os seus executáveis executem em segundo plano. Ver este comando executado em ficheiros localizados num diretório temporário não é esperado ou comportamento habitual. Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informação.
Detetado uso suspeito do comando de sapo de utilizador Médio Legacy Defender-IoT-micro-agente Utilização suspeita do comando de dados de utilizador detetados no dispositivo. Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informação.
Daemon estivador exposto por tomada TCP Médio Legacy Defender-IoT-micro-agente Os registos da máquina indicam que o seu Daemon Docker (estivador) expõe uma tomada TCP. Por predefinição, a configuração do Docker não utiliza encriptação ou autenticação quando uma tomada TCP está ativada. A configuração padrão do Docker permite o acesso total ao daemon do Docker, por qualquer pessoa com acesso à porta relevante. Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informação.
Login local falhado Médio Legacy Defender-IoT-micro-agente Foi detetada uma tentativa de login local falhada do dispositivo. Certifique-se de que nenhuma parte não autorizada tem acesso físico ao dispositivo.
Descarregamentos de ficheiros de uma fonte maliciosa conhecida detetada Médio Legacy Defender-IoT-micro-agente Descarregue um ficheiro de uma fonte de malware conhecida detetada. Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informação.
acesso a ficheiros htaccess detetado Médio Legacy Defender-IoT-micro-agente A análise dos dados hospedeiros detetou uma possível manipulação de um ficheiro htaccess. Htaccess é um poderoso ficheiro de configuração que permite fazer múltiplas alterações num servidor web que executa o software Apache Web, incluindo funcionalidade de redirecionamento básico e funções mais avançadas, como a proteção básica de palavras-passe. Os atores maliciosos modificam frequentemente ficheiros de htaccess em máquinas comprometidas para ganhar persistência. Confirme que esta é uma atividade legítima esperada no anfitrião. Caso contrário, aumente o alerta para a sua equipa de segurança de informação.
Ferramenta de ataque conhecida Médio Legacy Defender-IoT-micro-agente Foi detetada uma ferramenta frequentemente associada a utilizadores maliciosos que atacam outras máquinas. Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informação.
Agente IoT tentou e não analisou a configuração gémea do módulo Médio Legacy Defender-IoT-micro-agente O Agente de segurança Defender para IoT não conseguiu analisar a configuração do módulo twin devido a desajustes de tipo no objeto de configuração Valide a configuração do módulo twin contra o esquema de configuração do agente IoT, corrija todas as incompatibilidades.
Reconhecimento local de hospedeiro detetado Médio Legacy Defender-IoT-micro-agente Execução de um comando normalmente associado ao reconhecimento comum de bots Linux detetado. Reveja a linha de comando suspeita para confirmar que foi executada por um utilizador legítimo. Caso contrário, aumente o alerta para a sua equipa de segurança de informação.
Desfasamento entre o intérprete de script e a extensão do ficheiro Médio Legacy Defender-IoT-micro-agente Desfasamento entre o intérprete de script e a extensão do ficheiro de script fornecido como entrada detetada. Este tipo de incompatibilidade é geralmente associado a execuções de scripts de intrusos. Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informação.
Possível porta dos fundos detetada Médio Legacy Defender-IoT-micro-agente Um ficheiro suspeito foi descarregado e depois executado num hospedeiro na sua assinatura. Este tipo de atividade é geralmente associado com a instalação de uma porta dos fundos. Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informação.
Perda potencial de dados detetados Médio Legacy Defender-IoT-micro-agente Possível condição de saída de dados detetada usando a análise de dados hospedeiros. Atores maliciosos muitas vezes afastam dados de máquinas comprometidas. Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informação.
Potencial sobreposição de ficheiros comuns Médio Legacy Defender-IoT-micro-agente Resmiavelável comum no dispositivo. Os atores maliciosos são conhecidos por substituir ficheiros comuns como forma de esconder as suas ações ou como forma de ganhar persistência. Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informação.
Contentor privilegiado detetado Médio Legacy Defender-IoT-micro-agente Os registos da máquina indicam que um contentor privilegiado do Docker está a funcionar. Um recipiente privilegiado tem acesso total aos recursos de acolhimento. Se estiver comprometido, um ator malicioso pode usar o recipiente privilegiado para ter acesso à máquina hospedeira. Se o recipiente não precisar de funcionar em modo privilegiado, retire os privilégios do recipiente.
Remoção de ficheiros de registos do sistema detetados Médio Legacy Defender-IoT-micro-agente Remoção suspeita de ficheiros de registo no hospedeiro detetado. Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informação.
Espaço após nome de arquivo Médio Legacy Defender-IoT-micro-agente Execução de um processo com uma extensão suspeita detetada usando a análise de dados hospedeiros. Extensões suspeitas podem enganar os utilizadores a pensar que os ficheiros são seguros de serem abertos e podem indicar a presença de malware no sistema. Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informação.
Detetadas ferramentas de acesso a credenciais maliciosas suspeitas Médio Legacy Defender-IoT-micro-agente Deteção de uma ferramenta geralmente associada a tentativas maliciosas de acesso a credenciais. Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informação.
Compilação suspeita detetada Médio Legacy Defender-IoT-micro-agente Uma compilação suspeita detetada. Atores maliciosos compilam frequentemente explorações numa máquina comprometida para escalar privilégios. Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informação.
Descarregamento de ficheiros suspeitos seguido de atividade de execução de ficheiros Médio Legacy Defender-IoT-micro-agente A análise dos dados do anfitrião detetou um ficheiro que foi descarregado e executado no mesmo comando. Esta técnica é comumente usada por atores maliciosos para obter ficheiros infetados em máquinas de vítimas. Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informação.
Comunicação de endereços IP suspeito Médio Legacy Defender-IoT-micro-agente Comunicação com um endereço IP suspeito detetado. Verifique se a ligação é legítima. Considere bloquear a comunicação com o IP suspeito.
Baixa gravidade
História de bash limpo Baixo Legacy Defender-IoT-micro-agente Registo histórico de bash limpo. Os atores mal-intencionados geralmente apagam a história da festa para esconder os seus próprios comandos de aparecerem nos registos. Reveja com o utilizador que executou o comando de que a atividade neste alerta para ver se reconhece isso como atividade administrativa legítima. Caso contrário, aumente o alerta para a equipa de segurança de informação.
Dispositivo em silêncio Baixo Legacy Defender-IoT-micro-agente O dispositivo não enviou dados de telemetria nas últimas 72 horas. Certifique-se de que o dispositivo está online e envia dados. Verifique se o Agente de Segurança Azure está a funcionar no dispositivo.
Tentativa falhada da Bruteforce Baixo Legacy Defender-IoT-micro-agente Várias tentativas de login mal sucedidas identificadas. A tentativa de ataque da força bruta falhou no dispositivo. Reveja os alertas de força SSH Brute e a atividade no dispositivo. Não são necessárias mais medidas.
Utilizador local adicionado a um ou mais grupos Baixo Legacy Defender-IoT-micro-agente Novo utilizador local adicionado a um grupo neste dispositivo. As alterações nos grupos de utilizadores são incomuns e podem indicar que um ator malicioso pode estar a recolher permissões extra. Verifique se a alteração é consistente com as permissões exigidas pelo utilizador afetado. Se a mudança for inconsistente, aumente para a sua equipa de Segurança de Informação.
Utilizador local eliminado de um ou mais grupos Baixo Legacy Defender-IoT-micro-agente Um utilizador local foi eliminado de um ou mais grupos. Os atores maliciosos são conhecidos por usar este método numa tentativa de negar o acesso a utilizadores legítimos ou de apagar o histórico das suas ações. Verifique se a alteração é consistente com as permissões exigidas pelo utilizador afetado. Se a mudança for inconsistente, aumente para a sua equipa de Segurança de Informação.
Supressão de utilizadores locais detetada Baixo Legacy Defender-IoT-micro-agente Eliminação de um utilizador local detetado. A eliminação de utilizadores locais é incomum, um ator malicioso pode estar a tentar negar o acesso a utilizadores legítimos ou a apagar o histórico das suas ações. Verifique se a alteração é consistente com as permissões exigidas pelo utilizador afetado. Se a mudança for inconsistente, aumente para a sua equipa de Segurança de Informação.

Passos seguintes