共用方式為


微代理程式安全性警示

適用於 IoT 的 Defender 會使用進階分析和威脅情報,持續分析 IoT 解決方案,提醒您發生惡意活動。 此外,您可以根據預期裝置行為的知識來建立自訂警示。 警示有如潛在入侵的指標,應該調查並補救。

注意

適用於 IoT 的 Defender 計劃於 2025 年 8 月 1 日淘汰微代理程式。

在本文章中,您將找到可在 IoT 裝置上觸發的內建警示清單。

安全性警訊

高嚴重性

名稱 嚴重性 資料來源 描述 建議補救步驟 警示類型
二進位命令列 Defender-IoT-micro-agent 偵測到從命令列呼叫/執行的 LA Linux 二進位檔。 此程序可能是合法的活動,或指出您的裝置遭到入侵。 與執行命令的使用者一起檢閱命令,並檢查此是否預期可在裝置上合法執行。 如果不是,請將警示呈報給您的資訊安全性小組。 IoT_BinaryCommandLine
停用防火牆 Defender-IoT-micro-agent 偵測到主機上防火牆的可能操作。 惡意執行者通常會在嘗試竊取資料時停用主機上防火牆。 與執行命令的使用者一起檢閱,以確認這是否為裝置上的合法預期活動。 如果不是,請將警示呈報給您的資訊安全性小組。 IoT_DisableFirewall
連接埠轉送偵測 Defender-IoT-micro-agent 偵測到開始將連接埠轉送到外部 IP 位址。 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 IoT_PortForwarding
偵測到可能在嘗試停用稽核記錄 Defender-IoT-micro-agent Linux 稽核系統提供一種方式來追蹤系統上的安全性相關資訊。 系統會盡可能記錄有關系統上所發生事件的詳細資訊。 這項資訊對於任務關鍵性環境而言非常重要,可判斷違反安全性原則的人員及其執行的動作。 停用稽核記錄可能會防止您探索系統上所使用的安全性原則違規。 請洽詢裝置擁有者,這是否為具有商務理由的合法活動。 如果不是,此事件可能是惡意執行者的隱藏活動。 請立即將事件呈報給您的資訊安全性小組。 IoT_DisableAuditdLogging
反向殼層 Defender-IoT-micro-agent 在裝置上分析主機資料時,偵測到可能的反向殼層。 反向殼層通常用來取得遭入侵的電腦,以回呼惡意執行者所控制的電腦。 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 IoT_ReverseShell
成功從本機登入 Defender-IoT-micro-agent 偵測到成功從本機登入裝置。 請確定登入者為經過授權的使用者。 IoT_SucessfulLocalLogin
Web 殼層 Defender-IoT-micro-agent 偵測到可疑的網頁殼層。 惡意執行者通常會將網頁殼層上傳到遭入侵的電腦,達成其持續攻擊或進一步攻擊的目的。 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 IoT_WebShell
偵測到類似於勒索軟體的行為 Defender-IoT-micro-agent 執行類似已知勒索軟體的檔案,可能會防止使用者存取其系統或個人檔案,而且可能會要求贖款才能重新取得存取權。 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 IoT_Ransomware
加密貨幣礦工映像 Defender-IoT-micro-agent 偵測到執行通常與數位貨幣採礦相關聯的處理序。 請向執行命令的使用者確認這是否為裝置上的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 IoT_CryptoMiner
新增 USB 連線 Defender-IoT-micro-agent 偵測到 USB 裝置連線。 這可能表示惡意活動。 確認這是主機上合法的預期活動。 如果不是,請將警示呈報給您的資訊安全性小組。 IoT_USBConnection
USB 中斷連線 Defender-IoT-micro-agent 偵測到 USB 裝置中斷連線。 這可能表示惡意活動。 確認這是主機上合法的預期活動。 如果不是,請將警示呈報給您的資訊安全性小組。 IoT_UsbDisconnection
新的乙太網路連線 Defender-IoT-micro-agent 偵測到新的乙太網路連線。 這可能表示惡意活動。 確認這是主機上合法的預期活動。 如果不是,請將警示呈報給您的資訊安全性小組。 IoT_EthernetConnection
乙太網路中斷連線 Defender-IoT-micro-agent 偵測到新的乙太網路中斷連線。 這可能表示惡意活動。 確認這是主機上合法的預期活動。 如果不是,請將警示呈報給您的資訊安全性小組。 IoT_EthernetDisconnection
已建立新檔案 Defender-IoT-micro-agent 偵測到新的檔案。 這可能表示惡意活動。 確認這是主機上合法的預期活動。 如果不是,請將警示呈報給您的資訊安全性小組。 IoT_FileCreated
檔案已修改 Defender-IoT-micro-agent 偵測到檔案修改。 這可能表示惡意活動。 確認這是主機上合法的預期活動。 如果不是,請將警示呈報給您的資訊安全性小組。 IoT_FileModified
檔案已刪除 Defender-IoT-micro-agent 偵測到檔案刪除。 這可能表示惡意活動。 確認這是主機上合法的預期活動。 如果不是,請將警示呈報給您的資訊安全性小組。 IoT_FileDeleted

中嚴重性

名稱 嚴重性 資料來源 描述 建議補救步驟 警示類型
偵測到與常見 Linux Bot 類似的行為 Defender-IoT-micro-agent 偵測到執行通常與常見 Linux 殭屍網路相關聯的處理序。 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 IoT_CommonBots
偵測到與 Fairware 勒索軟體類似的行為 Defender-IoT-micro-agent 使用主機資料分析偵測到可疑位置的 rm -rf 命令執行。 因為 rm-rf 會以遞迴方式刪除檔案,通常只會用於個別的資料夾。 在此案例中,其已用於可能會移除大量資料的位置。 Fairware 勒索軟體已知會在此資料夾中執行 rm-rf 命令。 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 IoT_FairwareMalware
偵測到加密貨幣礦工容器映像 Defender-IoT-micro-agent 容器正在偵測執行中已知數位貨幣採礦映像。 1.如果未預期有此行為,請刪除相關的容器映像。
2.請確定無法透過不安全的 TCP 通訊端存取 Docker 精靈。
3.請將警示呈報給資訊安全性小組。
IoT_CryptoMinerContainer
偵測到使用可疑的 nohup 命令 Defender-IoT-micro-agent 偵測到主機上疑似有人使用 nohup 命令。 惡意執行者通常會從暫存目錄執行 nohup 命令,有效地允許其可執行檔在背景中執行。 看到此命令在暫存目錄中的檔案上執行並非預期或一般行為。 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 IoT_SuspiciousNohup
偵測到使用可疑的 useradd 命令 Defender-IoT-micro-agent 偵測到裝置上疑似有人使用 useradd 命令。 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 IoT_SuspiciousUseradd
由 TCP 通訊端公開的 Docker 精靈 Defender-IoT-micro-agent 電腦記錄指出您的 Docker 精靈 (dockerd) 會公開 TCP 通訊端。 根據預設,啟用 TCP 通訊端時,Docker 組態不會使用加密或驗證。 預設 Docker 組態可讓具有相關連接埠存取權的任何人,都可以取得 Docker 精靈的完整存取權。 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 IoT_ExposedDocker
失敗的本機登入 Defender-IoT-micro-agent 偵測到有人嘗試從本機登入失敗。 請確認沒有任何未經授權人員擁有裝置的實體存取權。 IoT_FailedLocalLogin
偵測到從惡意來源下載的檔案 Defender-IoT-micro-agent 偵測到從已知的惡意程式碼來源下載檔案。 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 IoT_PossibleMalware
偵測到 Htaccess 檔案存取 Defender-IoT-micro-agent 分析主機資料時,偵測到可能有人操控 Htaccess 檔案。 Htaccess 是功能強大的組態檔,可讓您對執行 Apache Web 軟體的 Web 伺服器進行多項變更,包括基本的重新導向功能,以及用於更進階的功能 (例如基本密碼保護)。 惡意執行者通常會修改遭到入侵電腦上的 Htaccess 檔案,以便持續攻擊。 確認這是主機上合法的預期活動。 如果不是,請將警示呈報給您的資訊安全性小組。 IoT_AccessingHtaccessFile
已知的攻擊工具 Defender-IoT-micro-agent 偵測到經常與使用特定方式攻擊其他電腦之惡意使用者有關的工具。 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 IoT_KnownAttackTools
偵測到本機主機偵察 Defender-IoT-micro-agent 偵測到執行通常與常用 Linux Bot 偵察相關聯的命令。 檢閱可疑的命令列,以確認其是否由合法使用者執行。 如果不是,請將警示呈報給您的資訊安全性小組。 IoT_LinuxReconnaissance
指令碼解譯器與副檔名不相符 Defender-IoT-micro-agent 偵測到指令碼解譯器與提供作為輸入之指令檔的副檔名不相符。 這種類型的不相符通常與攻擊者指令碼執行相關聯。 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 IoT_ScriptInterpreterMismatch
偵測到可能的後門程式 Defender-IoT-micro-agent 已下載可疑檔案,然後在您訂用帳戶中的主機上執行。 這種類型的活動通常與後門程式的安裝相關聯。 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 IoT_LinuxBackdoor
偵測到資料可能遺失 Defender-IoT-micro-agent 使用主機資料分析偵測到可能的資料輸出狀況。 惡意執行者通常會從遭到入侵的電腦輸出資料。 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 IoT_EgressData
偵測到具有權限的容器 Defender-IoT-micro-agent 電腦記錄表示具有使用權限的 Docker 容器正在執行。 具有使用權限的容器具有主機資源的完整存取權。 如果遭到入侵,惡意執行者可以使用具使用權限的容器來取得主機電腦的存取權。 若容器不需要以特殊權限模式執行,請移除容器的特殊權限。 IoT_PrivilegedContainer
偵測到系統記錄檔遭到移除 Defender-IoT-micro-agent 偵測到主機上疑似有記錄檔遭到移除。 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 IoT_RemovelOfSystemLogs
檔案名稱後面的空格 Defender-IoT-micro-agent 使用主機資料分析偵測到可疑的擴充功能程序執行。 可疑擴充功能可能會誘騙使用者認為可以安全開啟檔案,而且可能表示系統上有惡意程式碼。 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 IoT_ExecuteFileWithTrailingSpace
偵測到存取惡意認證時常用的工具 Defender-IoT-micro-agent 偵測到使用常與惡意嘗試存取認證相關聯的工具。 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 IoT_CredentialAccessTools
偵測到可疑的編譯 Defender-IoT-micro-agent 偵測到可疑的編譯。 惡意執行者常會在遭入侵的電腦上編譯惡意攻擊,藉此提升權限。 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 IoT_SuspiciousCompilation
可疑的檔案下載後接著檔案執行活動 Defender-IoT-micro-agent 分析主機資料時,偵測到已在相同命令中下載並執行的檔案。 惡意執行者通常會使用這項技術,將受感染的檔案放入受害者電腦上。 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 IoT_DownloadFileThenRun
可疑的 IP 位址通訊 Defender-IoT-micro-agent 偵測到與可疑的 IP 位址通訊。 確認連線是否合法。 請考慮封鎖與可疑 IP 的通訊。 IoT_TiConnection
惡意網域名稱要求 Defender-IoT-micro-agent 偵測到可疑的網路活動。 此活動可能會與攻擊相關聯,該攻擊可能利用了已知惡意程式碼所使用的方法。 中斷從網路到來源的連線。 執行事件回應。 IoT_MaliciousNameQueriesDetection

低嚴重性

名稱 嚴重性 資料來源 描述 建議補救步驟 警示類型
已清除 Bash 歷程記錄 Defender-IoT-micro-agent 已清除 Bash 歷程記錄。 惡意執行者通常會清除 Bash 歷程記錄,以隱藏自己的命令而不顯示於記錄中。 與執行命令的使用者一起檢閱此警示中的活動,以查看您是否將其辨識為合法的系統管理活動。 如果不是,請將警示呈報給資訊安全性小組。 IoT_ClearHistoryFile

下一步

  • 適用於 IoT 的 Defender 服務概觀