Устаревшие оповещения системы безопасности для устройств Defender для Интернета вещей
Примечание
Вместо устаревшего агента Microsoft Defender для Интернета вещей используется новый микроагент. Дополнительные сведения см. в статье Учебник: анализ оповещений системы безопасности.
С 31 марта 2022г. новые функции для устаревшего агента разрабатываться не будут. Поддержка устаревшего агента полностью прекращается с 31 марта 2023. После этой даты мы не будем выпускать исправления ошибок или предоставлять другую поддержку для устаревшего агента.
Defender для Интернета вещей постоянно анализирует решение для Интернета вещей с помощью инструментов расширенной аналитики и аналитики угроз, чтобы оповещать вас о вредоносных действиях. Кроме того, можно создавать настраиваемые оповещения на основе знаний об ожидаемом поведении устройства. Оповещение служит индикатором потенциальной компрометации, поэтому нужно его исследовать и принять необходимые меры.
В этой статье приведен список встроенных оповещений, которые можно активировать на устройствах Интернета вещей. Помимо встроенных оповещений, Defender для Интернета вещей позволяет создавать настраиваемые оповещения на основе ожидаемого поведения Центра Интернета вещей и (или) устройства. Дополнительные сведения см. в статье о настраиваемых оповещениях.
Оповещения системы безопасности на основе агента
| Имя | Статус | Источник данных | Описание | Предлагаемые действия по исправлению |
|---|---|---|---|---|
| Высокая серьезность | ||||
| Двоичная командная строка | Высокий | Устаревший микроагент Defender для Интернета вещей | Обнаружен двоичный код Linux, вызываемый или выполняемый из командной строки. Этот процесс может быть допустимым действием или свидетельствовать о компрометации устройства. | Просмотрите команду вместе с пользователем, который ее запустил, и проверьте, является ли действие, выполняемое на устройстве, допустимым. Если это не так, эскалируйте оповещение в службу информационной безопасности. |
| Отключение брандмауэра | Высокий | Устаревший микроагент Defender для Интернета вещей | Обнаружены возможные манипуляции с брандмауэром на узле. Злоумышленники часто отключают брандмауэр на узле с целью похитить данные. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, выполняемое на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Обнаружение переадресации порта | Высокий | Устаревший микроагент Defender для Интернета вещей | Обнаружен запуск переадресации порта на внешний IP-адрес. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Обнаружена возможная попытка отключить ведение журнала Auditd | Высокий | Устаревший микроагент Defender для Интернета вещей | Система Auditd в Linux позволяет отслеживать сведения о безопасности в системе. Система записывает как можно больше сведений о событиях, происходящих в системе. Эта информация имеет большое значение для критически важных сред, чтобы определить, кто нарушил политику безопасности и какие действия были при этом выполнены. Отключение ведения журнала Auditd может помешать обнаруживать нарушения политик безопасности системы. | Уточните у владельца устройства, было ли это действие допустимым по веским причинам. В противном случае это событие может скрывать действия злоумышленников. Немедленно эскалируйте инцидент в службу информационной безопасности. |
| Обратные оболочки | Высокий | Устаревший микроагент Defender для Интернета вещей | При анализе данных узла на устройстве обнаружено возможное использование обратной оболочки. Обратные оболочки часто используются для того, чтобы отправить команду скомпрометированному компьютеру связаться с компьютером, управляемым злоумышленником. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Успешная попытка атаки методом подбора | Высокий | Устаревший микроагент Defender для Интернета вещей | Обнаружено несколько неудачных попыток входа, предшествующих успешному входу. Возможно, на устройство была осуществлена успешная попытка атаки методом подбора. | Проверьте оповещение об атаке методом подбора SSH и действия на устройствах. Если действие вредоносное: Выполните сброс пароля для скомпрометированных учетных записей. Проверьте наличие последствий деятельности вредоносных программ на устройстве и устраните их (если необходимо). |
| Успешный локальный вход | Высокий | Устаревший микроагент Defender для Интернета вещей | Обнаружен успешный локальный вход в устройство | Убедитесь, что вошедший в систему пользователь является авторизованным. |
| Веб-оболочка. | Высокий | Устаревший микроагент Defender для Интернета вещей | Обнаружена возможная веб-оболочка. Злоумышленники обычно отправляют сценарий веб-оболочки на скомпрометированный компьютер, чтобы гарантировать сохраняемость или воспользоваться им в дальнейшем. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Средняя серьезность | ||||
| Behavior similar to common Linux bots detected (Обнаружено поведение, похожее на распространенные программы-роботы Linux) | Средний | Устаревший микроагент Defender для Интернета вещей | Обнаружено выполнение процесса, обычно связанного с распространенными ботнетами Linux. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Behavior similar to Fairware ransomware detected (Поведение, аналогичное атаке программы-шантажиста Fairware) | Средний | Устаревший микроагент Defender для Интернета вещей | При анализе данных узла обнаружено выполнение команд rm -rf, применяемых к подозрительным расположениям. Так как команда rm -rf рекурсивно удаляет файлы, она обычно используется только в дискретных папках. В этом случае она используется в расположении, где может быть удален большой объем данных. Известно, что программа-шантажист Fairware выполняет команды rm -rf в этой папке. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Обнаружена реакция на событие, похожая на реакцию программы-шантажиста | Средний | Устаревший микроагент Defender для Интернета вещей | Выполнение файлов, похожих на известные программы-шантажисты, которые могут препятствовать доступу пользователей к их системе или личным файлам, а также вымогать деньги за восстановление доступа. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Обнаружен образ контейнера криптовалютного майнера | Средний | Устаревший микроагент Defender для Интернета вещей | В контейнере обнаружены работающие известные образы для майнинга цифровой валюты. | 1. Если такая реакция на событие не предполагалась, удалите соответствующий образ контейнера. 2. Убедитесь, что к управляющей программе Docker нельзя получить доступ через небезопасный TCP-сокет. 3. Эскалируйте оповещение в службу информационной безопасности. |
| Образ криптовалютного майнера | Средний | Устаревший микроагент Defender для Интернета вещей | Обнаружено выполнение процесса, обычно связанного с майнингом цифровой валюты. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие на устройстве правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Detected suspicious use of the nohup command (Обнаружено подозрительное использование команды nohup) | Средний | Устаревший микроагент Defender для Интернета вещей | На узле обнаружено подозрительное использование команды nohup. Злоумышленники обычно запускают команду nohup из временного каталога, успешно обеспечивая выполнение своих исполняемых файлов в фоновом режиме. Выполнение этой команды для файлов, расположенных во временном каталоге, не является ожидаемой или обычной реакцией на событие. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Detected suspicious use of the useradd command (Обнаружено подозрительное использование команды useradd) | Средний | Устаревший микроагент Defender для Интернета вещей | На устройстве обнаружено подозрительное использование команды useradd. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Доступ к управляющей программе Docker через TCP-сокет | Средний | Устаревший микроагент Defender для Интернета вещей | Журналы компьютера указывают, что управляющая программа Docker (dockerd) предоставляет TCP-сокет. По умолчанию в конфигурации Docker не используется шифрование или проверка подлинности при включенном TCP-сокете. Конфигурация Docker по умолчанию обеспечивает полный доступ к управляющей программе Docker всем, у кого есть доступ к соответствующему порту. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Ошибка при локальном входе | Средний | Устаревший микроагент Defender для Интернета вещей | Обнаружена неудачная попытка локального входа на устройство. | Убедитесь, что у посторонних лиц нет физического доступа к устройству. |
| Обнаружены скачивания файла из известного вредоносного источника | Средний | Устаревший микроагент Defender для Интернета вещей | Обнаружено скачивание файла из известного источника вредоносных программ. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Обнаружен доступ к файлу htaccess | Средний | Устаревший микроагент Defender для Интернета вещей | Во время анализа данных узла была обнаружена возможная манипуляция с файлом htaccess. Htaccess — это мощный файл конфигурации, позволяющий вносить несколько изменений на веб-сервер, на котором работает программное обеспечение Apache, включая базовую функцию перенаправления и более сложные функции, такие как обычная защита паролем. Злоумышленники часто изменяют файлы htaccess на скомпрометированных компьютерах, чтобы гарантировать их сохраняемость. | Подтвердите, что это действие является допустимым и ожидаемым на узле. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Известный инструмент атаки | Средний | Устаревший микроагент Defender для Интернета вещей | Обнаружен инструмент, который обычно используется злоумышленниками для атаки других компьютеров. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Агент Интернета вещей предпринял неудачную попытку проанализировать конфигурацию двойника модуля | Средний | Устаревший микроагент Defender для Интернета вещей | Агенту Defender для безопасности Интернета вещей не удалось проанализировать конфигурацию двойника модуля из-за несовпадений типов в объекте конфигурации | Проверьте конфигурацию двойника модуля на соответствие схеме конфигурации агента Интернета вещей и исправьте все несоответствия. |
| Local host reconnaissance detected (Обнаружена атака методом рекогносцировки на локальном узле) | Средний | Устаревший микроагент Defender для Интернета вещей | Обнаружено выполнение команды, обычно связанной с рекогносцировкой бота Linux. | Проверьте подозрительную командную строку и убедитесь, что она была выполнена правомерным пользователем. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Несоответствие интерпретатора сценария и расширения файла | Средний | Устаревший микроагент Defender для Интернета вещей | Обнаружено несоответствие между интерпретатором сценария и расширением файла сценария, предоставленного в качестве входных данных. Этот тип несоответствия обычно связан с выполнением сценариев злоумышленников. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Обнаружен возможный черный ход | Средний | Устаревший микроагент Defender для Интернета вещей | На узле в вашей подписке скачан и запущен подозрительный файл. Это действие обычно связано с установкой черного хода. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Обнаружена потенциальная потеря данных | Средний | Устаревший микроагент Defender для Интернета вещей | С помощью анализа данных узла обнаружено условие возможного исходящего трафика. Злоумышленники часто используют исходящий трафик для кражи данных со скомпрометированных компьютеров. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Potential overriding of common files (Возможное переопределение общих файлов) | Средний | Устаревший микроагент Defender для Интернета вещей | Общий исполняемый файл, перезаписанный на устройстве. Известно, что злоумышленники перезаписывают общие файлы, чтобы скрыть свои действия или гарантировать сохраняемость. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Обнаружен привилегированный контейнер | Средний | Устаревший микроагент Defender для Интернета вещей | Журналы компьютера указывают на то, что работает привилегированный контейнер Docker. Привилегированный контейнер имеет полный доступ к ресурсам узла. В случае компрометации злоумышленник может использовать привилегированный контейнер для получения доступа к хост-компьютеру. | Если контейнер не нужно запускать в привилегированном режиме, удалите привилегии из контейнера. |
| Обнаружено удаление системных файлов журналов | Средний | Устаревший микроагент Defender для Интернета вещей | Обнаружено подозрительное удаление файлов журнала на узле. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Пробел после имени файла | Средний | Устаревший микроагент Defender для Интернета вещей | С помощью анализа данных узла обнаружено выполнение процесса с подозрительным расширением. Подозрительные расширения могут обманным путем заставить пользователей открыть якобы безопасные файлы, а также указывать на наличие вредоносных программ в системе. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Обнаружены потенциальные вредоносные инструменты доступа к учетным данным | Средний | Устаревший микроагент Defender для Интернета вещей | Обнаружение использования инструмента, обычно связанного со злоумышленными попытками получения доступа к учетным данным. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Suspicious compilation detected (Обнаружена подозрительная компиляция) | Средний | Устаревший микроагент Defender для Интернета вещей | Обнаружена подозрительная компиляция. Злоумышленники часто компилируют эксплойты на скомпрометированном компьютере, чтобы эскалировать привилегии. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Скачивание подозрительного файла с последующим его запуском | Средний | Устаревший микроагент Defender для Интернета вещей | При анализе данных узла обнаружен файл, который был скачан и запущен с помощью одной и той же команды. Этот метод обычно используется злоумышленниками для передачи зараженных файлов на компьютеры жертв. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Связь с подозрительным IP-адресом | Средний | Устаревший микроагент Defender для Интернета вещей | Обнаружена связь с подозрительным IP-адресом. | Проверьте, является ли подключение допустимым. Попробуйте заблокировать связь с подозрительным IP-адресом. |
| НИЗКАЯ серьезность | ||||
| Журнал Bash очищен | Низкий | Устаревший микроагент Defender для Интернета вещей | Журнал Bash очищен. Злоумышленники обычно удаляют журнал Bash, чтобы их команды не отображались в журналах. | Вместе с пользователем, выполнившим команду, проверьте, является ли действие, указанное в этом оповещении, правомерно административным. Если не было, эскалируйте оповещение в службу информационной безопасности. |
| Устройство в автоматическом режиме | Низкий | Устаревший микроагент Defender для Интернета вещей | Устройство не отправляло данные телеметрии за последние 72 часа. | Убедитесь, что устройство подключено к сети и отправляет данные. Убедитесь, что на устройстве запущен агент безопасности Azure. |
| Сбой попытки атаки методом подбора | Низкий | Устаревший микроагент Defender для Интернета вещей | Обнаружено несколько неудачных попыток входа. Попытка атаки методом подбора на устройстве завершилась неудачно. | Проверьте оповещения об атаке методом подбора SSH и действия, выполненные на устройстве. Никаких дополнительных действий не требуется. |
| Локальный пользователь добавлен в одну или несколько групп | Низкий | Устаревший микроагент Defender для Интернета вещей | Новый локальный пользователь, добавленный в группу на этом устройстве. Изменения в группах пользователей являются редкими и могут указывать на то, что злоумышленник может собирать дополнительные разрешения. | Убедитесь, что изменение согласовано с разрешениями, требуемыми для затронутого пользователя. Если изменение несогласованно, обратитесь в службу информационной безопасности. |
| Локальный пользователь удален из одной или нескольких групп | Низкий | Устаревший микроагент Defender для Интернета вещей | Локальный пользователь удален из одной или нескольких групп. Известно, что злоумышленники используют этот метод при попытке запретить доступ полномочным пользователям или удалить историю своих действий. | Убедитесь, что изменение согласовано с разрешениями, требуемыми для затронутого пользователя. Если изменение несогласованно, обратитесь в службу информационной безопасности. |
| Обнаружено удаление локального пользователя | Низкий | Устаревший микроагент Defender для Интернета вещей | Обнаружено удаление локального пользователя. Удаление локального пользователя встречается редко, злоумышленник может попытаться запретить доступ полномочным пользователям или удалить журнал своих действий. | Убедитесь, что изменение согласовано с разрешениями, требуемыми для затронутого пользователя. Если изменение несогласованно, обратитесь в службу информационной безопасности. |