Коллекция событий микроагента
Агенты безопасности службы Azure Defender для Интернета вещей собирают данные и системные события с локального устройства и отправляют их в облако Azure для обработки.
Если вы настроили и подключили рабочую область Log Analytics, вы увидите эти события в Log Analytics. Дополнительные сведения см. в статье Учебник: анализ оповещений системы безопасности.
Агенты службы Defender для Интернета вещей собирает различные виды событий устройств, включая новые процессы и все новые события подключения. На устройстве часто происходят как новые процессы, так и новые события подключения. Это важно для обеспечения комплексной безопасности, однако большое количество сообщений от агентов безопасности может быстро истощить или превысить квоту для Центра Интернета вещей Azure и ограничения по расходам. Эти сообщения и события содержат очень ценные сведения о безопасности, крайне важные для защиты устройства.
Чтобы сократить количество сообщений и затраты без ущерба для безопасности устройства, агенты Defender для Интернета вещей агрегируют следующие типы событий:
События обработки (только для Linux)
События сетевого действия
События файловой системы
События статистики
Дополнительные сведения см. в агрегатах событий для сборщиков процессов и сети.
Сборщики на основе событий — это коллекторы, которые запускаются на основе соответствующей активности устройства. Например, a process was started in the device.
Сборщики на основе триггеров — это сборщики, которые запускаются по расписанию на основании конфигураций клиента.
События обработки (на основании событий)
События обработки поддерживаются в операционных системах Linux.
События обработки считаются идентичными, если командная строка и userid идентичны.
Буфер по умолчанию для событий процесса — 256 процессов. При достижении этого предела буфер начнет работать циклически, а самое старое событие будет удалено, чтобы освободить место для последнего обработанного события. Будет зарегистрировано предупреждение об увеличении размера кэша.
Данные, собираемые для каждого события:
| Параметр | Описание |
|---|---|
| Timestamp | Первый раз, когда наблюдался процесс. |
| process_id | Идентификатор процесса Linux. |
| parent_process_id | Идентификатор родительского процесса Linux, если он существует. |
| Commandline | командная строка. |
| Тип | Может быть либо fork, либо exec. |
| hit_count | Совокупное число. Количество выполнений одного и того же процесса в течение одного интервала времени, пока события не будут отправлены в облако. |
События сетевого действия (сборщик на основании событий)
События сетевого действия считаются идентичными, если локальный порт, удаленный порт, транспортный протокол, локальный адрес и удаленный адрес идентичны.
Буфер по умолчанию включает 256 событий сетевого действия. В ситуациях, когда кэш заполнен:
Устройства Eclipse ThreadX: новые сетевые события не будут кэшироваться до начала следующего цикла сбора.
Устройства Linux: самое старое событие будет заменено каждым новым событием. Будет зарегистрировано предупреждение об увеличении размера кэша.
Для устройств Linux поддерживается только IPv4.
Данные, собираемые для каждого события:
| Параметр | Описание |
|---|---|
| Локальный адрес | Адрес источника соединения. |
| Удаленный адрес | Адрес назначения соединения. |
| Локальный порт | Порт источника соединения. |
| Удаленный порт | Порт назначения соединения. |
| Bytes_in | Общее количество агрегированных RX-байтов соединения. |
| Bytes_out | Общее количество агрегированных TX-байтов соединения. |
| Transport_protocol | Варианты: TCP, UDP или ICMP. |
| Протокол приложения | Протокол приложения, связанный с подключением. |
| Расширенные свойства | Дополнительные сведения о соединении. Например, host name. |
| Количество обращений | Количество наблюдаемых пакетов |
Сборщик событий входа (сборщик на основе событий)
Сборщик событий входа, собирающий события входа и выхода пользователей, а также неудачные попытки входа.
Сборщик событий входа поддерживает следующие типы методов сбора:
UTMP и SYSLOG. UTMP перехватывает интерактивные события SSH, события telnet и имена входа в терминал, а также все события входа из SSH, telnet и терминала. Если на устройстве включен SYSLOG, сборщик событий входа также собирает события входа через SSH с помощью файла SYSLOG с именем auth.log.
Подключаемые модули проверки подлинности (PAM). Собирает события SSH, telnet и локального входа. Дополнительные сведения см. в разделе Настройка подключаемых модулей проверки подлинности (PAM) для аудита событий входа.
Собираются следующие данные:
| Параметр | Описание |
|---|---|
| operation | Это может быть: Login, Logout, LoginFailed |
| process_id | Идентификатор процесса Linux. |
| user_name | Пользователь Linux. |
| executable | Конечное устройство. Например, tty1..6 или pts/n. |
| remote_address | Источник соединения: удаленный IP-адрес в формате IPv6 или IPv4 или 127.0.0.1/0.0.0.0 для указания локального соединения. |
Сведения о системе (сборщик на основании триггеров)
Данные, собираемые для каждого события:
| Параметр | Описание |
|---|---|
| hardware_vendor | Имя поставщика устройства. |
| hardware_model | Номер модели устройства. |
| os_dist | Распределение операционной системы. Например, Linux. |
| os_version | Версия операционной системы. Например, Windows 10 или Ubuntu 20.04.1. |
| os_platform | ОС устройства. |
| os_arch | Архитектура операционной системы. Например, x86_64. |
| agent_type | Тип агента (Edge/Standalone). |
| agent_version | Версия агента. |
| nics | Сетевая карта. Полный список свойств приведен ниже. |
Свойства nics состоят из следующих элементов:
| Параметр | Описание |
|---|---|
| type | Одно из следующих значений: UNKNOWN, ETH, WIFI, MOBILE или SATELLITE. |
| vlans | Виртуальная локальная сеть, связанная с сетевым интерфейсом. |
| vendor | Поставщик сетевого контроллера. |
| info | IP- и MAC-адреса, связанные с сетевым контроллером. Это включает следующие поля; - ipv4_address: IPv4-адрес. - ipv6_address: IPv6-адрес. - mac: MAC-адрес. |
Базовые показатели (сборщик на основании триггеров)
Сборщик базовых показателей выполняет периодические проверки CIS, и результаты проверок (сбой, проверка пройдена и пропустить) отправляются в облачную службу Defender для Интернета вещей. Defender для Интернета вещей объединяет результаты и предоставляет рекомендации на основании любых сбоев.
Данные, собираемые для каждого события:
| Параметр | Описание |
|---|---|
| ИД проверки | В формате CIS. Например, CIS-debian-9-Filesystem-1.1.2. |
| Результат проверки | Может иметь значение Fail, Pass, Skip или Error. Например, Error, если проверка не может быть выполнена. |
| Ошибка | Информация об ошибке и ее описание. |
| Description | Описание проверки из CIS. |
| Исправление | Рекомендация по исправлению из CIS. |
| Уровень серьезности | Уровень серьезности. |
SBoM (сборщик на основании триггеров)
Сборщик SBoM (спецификации программного обеспечения) собирает пакеты, периодически устанавливаемые на устройстве.
Данные, собираемые в каждом пакете, включают:
| Параметр | Описание: |
|---|---|
| Имя | Имя пакета. |
| Версия | Версия пакета. |
| поставщик | Поставщик пакета, который указан в поле Maintainer в пакетах deb. |
Периферийные события (сборщик на основе событий)
Сборщик периферийных событий собирает подключения и отключения событий USB и Ethernet.
Собранные поля зависят от типа события:
СОБЫТИЯ USB
| Параметр | Описание |
|---|---|
| Timestamp | Время, когда произошло событие. |
| ActionType | Событие было событием подключения или отключения. |
| bus_number | Определенный идентификатор контроллера, каждое USB-устройство может иметь несколько. |
| kernel_device_number | Представление в ядре устройства, не уникальное и может каждый раз при подключении устройства. |
| device_class | Идентификатор, указывающий класс устройства. |
| device_subclass | Идентификатор, указывающий тип устройства. |
| device_protocol | Идентификатор, указывающий протокол устройства. |
| interface_class | Если класс устройства равен 0, укажите тип устройства. |
| interface_subclass | Если класс устройства равен 0, укажите тип устройства. |
| interface_protocol | Если класс устройства равен 0, укажите тип устройства. |
События Ethernet
| Параметр | Описание |
|---|---|
| Timestamp | Время, когда произошло событие. |
| ActionType | Событие было событием подключения или отключения. |
| bus_number | Определенный идентификатор контроллера, каждое USB-устройство может иметь несколько. |
| Имя интерфейса | Имя интерфейса. |
События файловой системы (сборщик на основе событий)
Сборщик событий файловой системы собирает события всякий раз, когда в каталогах часов изменяется: создание, удаление, перемещение и изменение каталогов и файлов. Чтобы определить, какие каталоги и файлы вы хотите отслеживать, см . сведения о конкретных параметрах сборщика сведений о системе.
Собираются следующие данные:
| Параметр | Описание |
|---|---|
| Timestamp | Время, когда произошло событие. |
| Маска | Маска инофицирования Linux, связанная с событием файловой системы, маска определяет тип действия и может быть одним из следующих: Access/Modified/Metadata changed/Closed/Opened/Moved/Created/Deleted. |
| Путь | Путь к каталогу или файлу, в который было создано событие. |
| Хит-подсчет | Количество раз, когда это событие было агрегировано. |
Статистические данные (сборщик на основе триггеров)
Сборщик статистики создает различные статистические данные для разных сборщиков микроагентов. Эти статистические данные содержат сведения о производительности сборщиков в предыдущем цикле сбора. Примеры возможных статистических данных включают количество успешно отправленных событий и количество событий, которые были удалены, а также причины сбоев.
Собранные поля:
| Параметр | Описание |
|---|---|
| Timestamp | Время, когда произошло событие. |
| Имя | Имя сборщика. |
| События | Массив пар, отформатированных как JSON с описанием и числом попаданий. |
| Description | Было ли отправлено или удалено сообщение и причина удаления. |
| Хит-подсчет | Количество соответствующих сообщений. |
Агрегат событий для сборщиков процессов и сети
Как работает агрегат событий для событий процесса и событий сетевого действия:
Агенты Defender для Интернета вещей агрегируют события в течение интервала отправки, определенного в конфигурации частоты сообщений для каждого сборщика, например Process_MessageFrequency или NetworkActivity_MessageFrequency. По истечении интервала времени агент отправляет агрегированные события в облако Azure для дальнейшего анализа. Агрегированные события хранятся в памяти до отправки в облако Azure.
Когда агент собирает событие, аналогичное уже хранящемуся в памяти, он увеличивает число вхождений этого события, чтобы уменьшить занимаемый объем памяти. Когда временной диапазон агрегации завершается, агент отправляет число вхождений каждого типа зафиксированных событий. Агрегат событий — это агрегат количества обращений аналогичных событий. Например, сетевое действие с одним удаленным узлом и на одном порту агрегируется как одно событие, а не как отдельное событие для каждого пакета.
Примечание.
По умолчанию микроагент отправляет журналы и данные телеметрии в облако для устранения неполадок и мониторинга. Это поведение можно настроить или отключить через двойник.
Дальнейшие действия
Дополнительные сведения см. в разделе: