Mikro aracı güvenlik uyarıları
IoT için Defender, sizi kötü amaçlı etkinlikler konusunda uyarmak için gelişmiş analiz ve tehdit bilgilerini kullanarak IoT çözümünüzü sürekli olarak analiz eder. Ayrıca, beklenen cihaz davranışı bilginize bağlı olarak özel uyarılar oluşturabilirsiniz. Uyarı, olası güvenliğin aşıldığının bir göstergesi olarak hareket eder ve araştırılıp düzeltilmesi gerekir.
Bu makalede, IoT cihazlarınızda tetiklenebilen yerleşik uyarıların listesini bulacaksınız.
Güvenlik uyarıları
Yüksek önem derecesi
| Name | Önem Derecesi | Veri Kaynağı | Açıklama | Önerilen düzeltme adımları | Uyarı türü |
|---|---|---|---|---|---|
| İkili Komut Satırı | Yüksek | Defender-IoT-micro-agent | Komut satırından çağrılan/yürütülen LA Linux ikili dosyası algılandı. Bu işlem meşru bir etkinlik veya cihazınızın gizliliğinin tehlikeye girdiğinin göstergesi olabilir. | Komutu çalıştıran kullanıcıyla birlikte gözden geçirin ve bunun cihazda çalıştırılması beklenen bir şey olup olmadığını denetleyin. Aksi takdirde uyarıyı bilgi güvenliği ekibinize yükseltin. | IoT_BinaryCommandLine |
| Güvenlik duvarını devre dışı bırakma | Yüksek | Defender-IoT-micro-agent | Konakta güvenlik duvarının olası işlemesi algılandı. Kötü amaçlı aktörler genellikle verileri çıkarma girişiminde konaktaki güvenlik duvarını devre dışı bırakır. | Bunun cihazda beklenen meşru etkinlik olup olmadığını onaylamak için komutu çalıştıran kullanıcıyla birlikte gözden geçirin. Aksi takdirde uyarıyı bilgi güvenliği ekibinize yükseltin. | IoT_DisableFirewall |
| Bağlantı noktası iletme algılama | Yüksek | Defender-IoT-micro-agent | Bağlantı noktası iletme işleminin bir dış IP adresine başlatılması algılandı. | Bunun cihazda görmeyi beklediğiniz meşru bir etkinlik olup olmadığını komutu çalıştıran kullanıcıyla birlikte gözden geçirin. Aksi takdirde uyarıyı bilgi güvenliği ekibine yükseltin. | IoT_PortForwarding |
| Denetlenen günlüğe kaydetmeyi devre dışı bırakma girişimi algılandı | Yüksek | Defender-IoT-micro-agent | Linux Denetimli sistem, sistemdeki güvenlikle ilgili bilgileri izlemek için bir yol sağlar. Sistem, sisteminizde gerçekleşen olaylar hakkında mümkün olduğunca fazla bilgi kaydeder. Bu bilgiler, görev açısından kritik ortamlarda güvenlik ilkesini ve gerçekleştirdikleri eylemleri kimin ihlal ettiklerini belirlemek için çok önemlidir. Denetlenen günlük kaydını devre dışı bırakmak, sistemde kullanılan güvenlik ilkeleri ihlallerini keşfetmenizi engelleyebilir. | Bunun iş nedeniyle meşru bir etkinlik olup olmadığını cihaz sahibine danışın. Aksi takdirde, bu olay kötü amaçlı aktörlerin etkinliğini gizleyebilir. Olayı hemen bilgi güvenliği ekibinize iletmişsinizdir. | IoT_DisableAuditdLogging |
| Ters kabuklar | Yüksek | Defender-IoT-micro-agent | Bir cihazdaki konak verilerinin analizinde olası bir ters kabuk algılandı. Ters kabuklar genellikle güvenliği aşılmış bir makineyi kötü amaçlı bir aktör tarafından denetlenen bir makineye geri çağırmak için kullanılır. | Bunun cihazda görmeyi beklediğiniz meşru bir etkinlik olup olmadığını komutu çalıştıran kullanıcıyla birlikte gözden geçirin. Aksi takdirde uyarıyı bilgi güvenliği ekibine yükseltin. | IoT_ReverseShell |
| Başarılı yerel oturum açma | Yüksek | Defender-IoT-micro-agent | Cihazda başarılı bir yerel oturum açma algılandı. | Oturum açmış kullanıcının yetkili bir taraf olduğundan emin olun. | IoT_SucessfulLocalLogin |
| Web kabuğu | Yüksek | Defender-IoT-micro-agent | Olası web kabuğu algılandı. Kötü amaçlı aktörler, kalıcılık kazanmak veya daha fazla yararlanma amacıyla genellikle güvenliği aşılmış bir makineye bir web kabuğu yükler. | Bunun cihazda görmeyi beklediğiniz meşru bir etkinlik olup olmadığını komutu çalıştıran kullanıcıyla birlikte gözden geçirin. Aksi takdirde uyarıyı bilgi güvenliği ekibine yükseltin. | IoT_WebShell |
| Algılanan fidye yazılımına benzer davranış | Yüksek | Defender-IoT-micro-agent | Kullanıcıların sistemlerine veya kişisel dosyalarına erişmesini engelleyebilecek ve yeniden erişim kazanmak için fidye ödemesi talep eden bilinen fidye yazılımına benzer dosyaların yürütülmesi. | Bunun cihazda görmeyi beklediğiniz meşru bir etkinlik olup olmadığını komutu çalıştıran kullanıcıyla birlikte gözden geçirin. Aksi takdirde uyarıyı bilgi güvenliği ekibine yükseltin. | IoT_Ransomware |
| Kripto para madenci görüntüsü | Yüksek | Defender-IoT-micro-agent | Normalde dijital para birimi madenciliğiyle ilişkili bir işlemin yürütülmesi algılandı. | Bunun cihazda geçerli bir etkinlik olup olmadığını komutu çalıştıran kullanıcıyla doğrulayın. Aksi takdirde uyarıyı bilgi güvenliği ekibine yükseltin. | IoT_CryptoMiner |
| Yeni USB Bağlantısı | Yüksek | Defender-IoT-micro-agent | Bir USB cihaz bağlantısı algılandı. Bu, kötü amaçlı etkinliği gösterebilir. | Bunun konakta beklenen meşru bir etkinlik olduğunu onaylayın. Aksi takdirde uyarıyı bilgi güvenliği ekibinize yükseltin. | IoT_USBConnection |
| USB Bağlantısı Kesildi | Yüksek | Defender-IoT-micro-agent | USB cihazı bağlantısı kesildi. Bu, kötü amaçlı etkinliği gösterebilir. | Bunun konakta beklenen meşru bir etkinlik olduğunu onaylayın. Aksi takdirde uyarıyı bilgi güvenliği ekibinize yükseltin. | IoT_UsbDisconnection |
| Yeni Ethernet Bağlantısı | Yüksek | Defender-IoT-micro-agent | Yeni bir Ethernet bağlantısı algılandı. Bu, kötü amaçlı etkinliği gösterebilir. | Bunun konakta beklenen meşru bir etkinlik olduğunu onaylayın. Aksi takdirde uyarıyı bilgi güvenliği ekibinize yükseltin. | IoT_EthernetConnection |
| Ethernet Bağlantısının Kesilmesi | Yüksek | Defender-IoT-micro-agent | Yeni bir Ethernet bağlantısı kesildi. Bu, kötü amaçlı etkinliği gösterebilir. | Bunun konakta beklenen meşru bir etkinlik olduğunu onaylayın. Aksi takdirde uyarıyı bilgi güvenliği ekibinize yükseltin. | IoT_EthernetDisconnection |
| Yeni Dosya Oluşturuldu | Yüksek | Defender-IoT-micro-agent | Yeni bir dosya algılandı. Bu, kötü amaçlı etkinliği gösterebilir. | Bunun konakta beklenen meşru bir etkinlik olduğunu onaylayın. Aksi takdirde uyarıyı bilgi güvenliği ekibinize yükseltin. | IoT_FileCreated |
| Dosya Değiştirildi | Yüksek | Defender-IoT-micro-agent | Dosya değişikliği algılandı. Bu, kötü amaçlı etkinliği gösterebilir. | Bunun konakta beklenen meşru bir etkinlik olduğunu onaylayın. Aksi takdirde uyarıyı bilgi güvenliği ekibinize yükseltin. | IoT_FileModified |
| Dosya Silindi | Yüksek | Defender-IoT-micro-agent | Dosya silme algılandı. Bu, kötü amaçlı etkinliği gösterebilir. | Bunun konakta beklenen meşru bir etkinlik olduğunu onaylayın. Aksi takdirde uyarıyı bilgi güvenliği ekibinize yükseltin. | IoT_FileDeleted |
Orta önem derecesi
| Name | Önem Derecesi | Veri Kaynağı | Açıklama | Önerilen düzeltme adımları | Uyarı türü |
|---|---|---|---|---|---|
| Algılanan yaygın Linux botlarına benzer davranış | Orta | Defender-IoT-micro-agent | Normalde yaygın Linux botnet'leriyle ilişkili bir işlemin yürütülmesi algılandı. | Bunun cihazda görmeyi beklediğiniz meşru bir etkinlik olup olmadığını komutu çalıştıran kullanıcıyla birlikte gözden geçirin. Aksi takdirde uyarıyı bilgi güvenliği ekibine yükseltin. | IoT_CommonBots |
| Algılanan Fairware fidye yazılımına benzer davranış | Orta | Defender-IoT-micro-agent | Konak verilerinin analizi kullanılarak algılanan şüpheli konumlara uygulanan rm -rf komutlarının yürütülmesi. rm -rf özyinelemeli olarak dosyaları sildiğinden, normalde yalnızca ayrık klasörlerde kullanılır. Bu durumda, büyük miktarda veriyi kaldırabilecek bir konumda kullanılır. Fairware fidye yazılımının bu klasörde rm -rf komutlarını yürüttüğü bilinmektedir. | Bu, cihazda görmeyi beklediğiniz meşru bir etkinlikti komutunu çalıştıran kullanıcıyla birlikte gözden geçirin. Aksi takdirde uyarıyı bilgi güvenliği ekibine yükseltin. | IoT_FairwareMalware |
| Kripto para madenci kapsayıcı görüntüsü algılandı | Orta | Defender-IoT-micro-agent | Bilinen dijital para birimi madenciliği görüntülerini çalıştıran kapsayıcı algılama. | 1. Bu davranış amaçlanmamışsa ilgili kapsayıcı görüntüsünü silin. 2. Docker daemon'a güvenli olmayan bir TCP yuvası üzerinden erişilmediğinden emin olun. 3. Uyarıyı bilgi güvenliği ekibine yükseltin. |
IoT_CryptoMinerContainer |
| Nohup komutunun şüpheli kullanımı algılandı | Orta | Defender-IoT-micro-agent | Konakta nohup komutunun şüpheli kullanımı algılandı. Kötü amaçlı aktörler genellikle geçici bir dizinden nohup komutunu çalıştırarak yürütülebilirlerinin arka planda çalışmasını sağlar. Bu komutun geçici bir dizinde bulunan dosyalarda çalıştırılması beklenmez veya normal bir davranıştır. | Bunun cihazda görmeyi beklediğiniz meşru bir etkinlik olup olmadığını komutu çalıştıran kullanıcıyla birlikte gözden geçirin. Aksi takdirde uyarıyı bilgi güvenliği ekibine yükseltin. | IoT_SuspiciousNohup |
| useradd komutunun şüpheli kullanımı algılandı | Orta | Defender-IoT-micro-agent | Cihazda useradd komutunun şüpheli kullanımı algılandı. | Bunun cihazda görmeyi beklediğiniz meşru bir etkinlik olup olmadığını komutu çalıştıran kullanıcıyla birlikte gözden geçirin. Aksi takdirde uyarıyı bilgi güvenliği ekibine yükseltin. | IoT_SuspiciousUseradd |
| TCP yuvası tarafından kullanıma sunulan Docker daemon | Orta | Defender-IoT-micro-agent | Makine günlükleri, Docker daemon'unuzun (dockerd) bir TCP yuvası gösterdiğini gösterir. Varsayılan olarak Docker yapılandırması, TCP yuvası etkinleştirildiğinde şifreleme veya kimlik doğrulaması kullanmaz. Varsayılan Docker yapılandırması, ilgili bağlantı noktasına erişimi olan herkes tarafından Docker daemon'a tam erişim sağlar. | Bunun cihazda görmeyi beklediğiniz meşru bir etkinlik olup olmadığını komutu çalıştıran kullanıcıyla birlikte gözden geçirin. Aksi takdirde uyarıyı bilgi güvenliği ekibine yükseltin. | IoT_ExposedDocker |
| Başarısız yerel oturum açma | Orta | Defender-IoT-micro-agent | Cihazda başarısız bir yerel oturum açma girişimi algılandı. | Yetkisiz bir tarafın cihaza fiziksel erişimi olmadığından emin olun. | IoT_FailedLocalLogin |
| Kötü amaçlı bir kaynaktan dosya indirme algılandı | Orta | Defender-IoT-micro-agent | Bilinen bir kötü amaçlı yazılım kaynağından dosya indirilmesi algılandı. | Bu, cihazda görmeyi beklediğiniz meşru bir etkinlikse komutu çalıştıran kullanıcıyla birlikte gözden geçirin. Aksi takdirde uyarıyı bilgi güvenliği ekibine yükseltin. | IoT_PossibleMalware |
| htaccess dosya erişimi algılandı | Orta | Defender-IoT-micro-agent | Ana bilgisayar verilerinin analizi, bir htaccess dosyasının olası işlemesi algılandı. Htaccess, Apache Web yazılımı çalıştıran bir web sunucusunda temel yeniden yönlendirme işlevselliği ve temel parola koruması gibi daha gelişmiş işlevler de dahil olmak üzere birden çok değişiklik yapmanızı sağlayan güçlü bir yapılandırma dosyasıdır. Kötü niyetli aktörler genellikle güvenliği aşılmış makinelerdeki htaccess dosyalarını kalıcılık kazanmak için değiştirir. | Bunun konakta beklenen meşru etkinlik olduğunu onaylayın. Aksi takdirde uyarıyı bilgi güvenliği ekibinize yükseltin. | IoT_AccessingHtaccessFile |
| Bilinen saldırı aracı | Orta | Defender-IoT-micro-agent | Diğer makinelere bir şekilde saldıran kötü amaçlı kullanıcılarla ilişkilendirilmiş bir araç algılandı. | Bu, cihazda görmeyi beklediğiniz meşru bir etkinlikse komutu çalıştıran kullanıcıyla birlikte gözden geçirin. Aksi takdirde uyarıyı bilgi güvenliği ekibine yükseltin. | IoT_KnownAttackTools |
| Yerel konak keşfi algılandı | Orta | Defender-IoT-micro-agent | Normalde yaygın Linux bot keşfiyle ilişkili bir komutun yürütülmesi algılandı. | Şüpheli komut satırını gözden geçirerek meşru bir kullanıcı tarafından yürütüldüğünü onaylayın. Aksi takdirde uyarıyı bilgi güvenliği ekibinize yükseltin. | IoT_LinuxReconnaissance |
| Betik yorumlayıcı ile dosya uzantısı arasındaki uyuşmazlık | Orta | Defender-IoT-micro-agent | Betik yorumlayıcı ile giriş olarak sağlanan betik dosyasının uzantısı arasında uyuşmazlık algılandı. Bu tür uyuşmazlıklar genellikle saldırgan betik yürütmeleriyle ilişkilendirilir. | Bu, cihazda görmeyi beklediğiniz meşru bir etkinlikse komutu çalıştıran kullanıcıyla birlikte gözden geçirin. Aksi takdirde uyarıyı bilgi güvenliği ekibine yükseltin. | IoT_ScriptInterpreterMismatch |
| Olası arka kapı algılandı | Orta | Defender-IoT-micro-agent | Şüpheli bir dosya indirildi ve aboneliğinizdeki bir konakta çalıştırıldı. Bu etkinlik türü genellikle arka kapı yüklemesiyle ilişkilendirilir. | Bu, cihazda görmeyi beklediğiniz meşru bir etkinlikse komutu çalıştıran kullanıcıyla birlikte gözden geçirin. Aksi takdirde uyarıyı bilgi güvenliği ekibine yükseltin. | IoT_LinuxBackdoor |
| Olası veri kaybı algılandı | Orta | Defender-IoT-micro-agent | Konak verilerinin analizi kullanılarak olası veri çıkış koşulu algılandı. Kötü niyetli aktörler genellikle güvenliği aşılmış makinelerden veri çıkar. | Bu, cihazda görmeyi beklediğiniz meşru bir etkinlikse komutu çalıştıran kullanıcıyla birlikte gözden geçirin. Aksi takdirde uyarıyı bilgi güvenliği ekibine yükseltin. | IoT_EgressData |
| Ayrıcalıklı kapsayıcı algılandı | Orta | Defender-IoT-micro-agent | Makine günlükleri ayrıcalıklı bir Docker kapsayıcısı çalıştığını gösterir. Ayrıcalıklı kapsayıcı, konak kaynaklarına tam erişime sahiptir. Gizliliği tehlikeye girerse, kötü amaçlı bir aktör konak makineye erişim elde etmek için ayrıcalıklı kapsayıcıyı kullanabilir. | Kapsayıcının ayrıcalıklı modda çalıştırılması gerekmiyorsa, kapsayıcıdan ayrıcalıkları kaldırın. | IoT_PrivilegedContainer |
| Sistem günlükleri dosyalarının kaldırılması algılandı | Orta | Defender-IoT-micro-agent | Konakta günlük dosyalarının şüpheli bir şekilde kaldırılması algılandı. | Bu, cihazda görmeyi beklediğiniz meşru bir etkinlikse komutu çalıştıran kullanıcıyla birlikte gözden geçirin. Aksi takdirde uyarıyı bilgi güvenliği ekibine yükseltin. | IoT_RemovelOfSystemLogs |
| Dosya adından sonra boşluk | Orta | Defender-IoT-micro-agent | Konak verilerinin analizi kullanılarak şüpheli uzantı algılanan bir işlemin yürütülmesi. Şüpheli uzantılar, kullanıcıları dosyaların açılmasının güvenli olduğunu düşünmeleri için kandırabilir ve sistemde kötü amaçlı yazılım olduğunu gösterebilir. | Bu, cihazda görmeyi beklediğiniz meşru bir etkinlikse komutu çalıştıran kullanıcıyla birlikte gözden geçirin. Aksi takdirde uyarıyı bilgi güvenliği ekibine yükseltin. | IoT_ExecuteFileWithTrailingSpace |
| Kötü amaçlı kimlik bilgileri erişimi için yaygın olarak kullanılan araçlar algılandı | Orta | Defender-IoT-micro-agent | Kimlik bilgilerine erişmeye yönelik kötü amaçlı girişimlerle yaygın olarak ilişkili bir aracın algılama kullanımı. | Bu, cihazda görmeyi beklediğiniz meşru bir etkinlikse komutu çalıştıran kullanıcıyla birlikte gözden geçirin. Aksi takdirde uyarıyı bilgi güvenliği ekibine yükseltin. | IoT_CredentialAccessTools |
| Şüpheli derleme algılandı | Orta | Defender-IoT-micro-agent | Şüpheli derleme algılandı. Kötü amaçlı aktörler ayrıcalıkları yükseltme amacıyla genellikle güvenliği aşılmış bir makinede açıklardan yararlanmalar derler. | Bu, cihazda görmeyi beklediğiniz meşru bir etkinlikse komutu çalıştıran kullanıcıyla birlikte gözden geçirin. Aksi takdirde uyarıyı bilgi güvenliği ekibine yükseltin. | IoT_SuspiciousCompilation |
| Şüpheli dosya indirme ve ardından dosya çalıştırma etkinliği | Orta | Defender-IoT-micro-agent | Konak verilerinin analizi, aynı komutta indirilen ve çalıştırılan bir dosya algılandı. Bu teknik, kötü amaçlı aktörler tarafından virüslü dosyaları kurban makinelerine almak için yaygın olarak kullanılır. | Bu, cihazda görmeyi beklediğiniz meşru bir etkinlikse komutu çalıştıran kullanıcıyla birlikte gözden geçirin. Aksi takdirde uyarıyı bilgi güvenliği ekibine yükseltin. | IoT_DownloadFileThenRun |
| Şüpheli IP adresi iletişimi | Orta | Defender-IoT-micro-agent | Şüpheli bir IP adresiyle iletişim algılandı. | Bağlantının meşru olup olmadığını doğrulayın. Şüpheli IP ile iletişimi engellemeyi göz önünde bulundurun. | IoT_TiConnection |
| Kötü Amaçlı Etki Alanı Adı İsteği | Orta | Defender-IoT-micro-agent | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen kötü amaçlı yazılımlar tarafından kullanılan bir yöntemden yararlanan bir saldırıyla ilişkilendirilebilir. | Kaynağın ağ bağlantısını kesin. Olay yanıtı gerçekleştirme. | IoT_MaliciousNameQueriesDetection |
Düşük önem derecesi
| Name | Önem Derecesi | Veri Kaynağı | Açıklama | Önerilen düzeltme adımları | Uyarı türü |
|---|---|---|---|---|---|
| Bash geçmişi temizlendi | Düşük | Defender-IoT-micro-agent | Bash geçmiş günlüğü temizlendi. Kötü niyetli aktörler genellikle bash geçmişini silip kendi komutlarının günlüklerde görünmesini engeller. | Bu uyarıdaki etkinliğin geçerli yönetim etkinliği olarak tanınıp tanınmadığını görmek için komutunu çalıştıran kullanıcıyla birlikte gözden geçirin. Aksi takdirde uyarıyı bilgi güvenliği ekibine yükseltin. | IoT_ClearHistoryFile |
Sonraki adımlar
- IoT için Defender hizmetine Genel Bakış
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin