微代理程式安全性警示
適用於 IoT 的 Defender 會使用進階分析和威脅情報,持續分析 IoT 解決方案,提醒您發生惡意活動。 此外,您可以根據預期裝置行為的知識來建立自訂警示。 警示有如潛在入侵的指標,應該調查並補救。
在本文章中,您將找到可在 IoT 裝置上觸發的內建警示清單。
安全性警訊
高嚴重性
| 名稱 | 嚴重性 | 資料來源 | 描述 | 建議補救步驟 | 警示類型 |
|---|---|---|---|---|---|
| 二進位命令列 | 高 | Defender-IoT-micro-agent | 偵測到從命令列呼叫/執行的 LA Linux 二進位檔。 此程序可能是合法的活動,或指出您的裝置遭到入侵。 | 與執行命令的使用者一起檢閱命令,並檢查此是否預期可在裝置上合法執行。 如果不是,請將警示呈報給您的資訊安全性小組。 | IoT_BinaryCommandLine |
| 停用防火牆 | 高 | Defender-IoT-micro-agent | 偵測到主機上防火牆的可能操作。 惡意執行者通常會在嘗試竊取資料時停用主機上防火牆。 | 與執行命令的使用者一起檢閱,以確認這是否為裝置上的合法預期活動。 如果不是,請將警示呈報給您的資訊安全性小組。 | IoT_DisableFirewall |
| 連接埠轉送偵測 | 高 | Defender-IoT-micro-agent | 偵測到開始將連接埠轉送到外部 IP 位址。 | 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 | IoT_PortForwarding |
| 偵測到可能在嘗試停用稽核記錄 | 高 | Defender-IoT-micro-agent | Linux 稽核系統提供一種方式來追蹤系統上的安全性相關資訊。 系統會盡可能記錄有關系統上所發生事件的詳細資訊。 這項資訊對於任務關鍵性環境而言非常重要,可判斷違反安全性原則的人員及其執行的動作。 停用稽核記錄可能會防止您探索系統上所使用的安全性原則違規。 | 請洽詢裝置擁有者,這是否為具有商務理由的合法活動。 如果不是,此事件可能是惡意執行者的隱藏活動。 請立即將事件呈報給您的資訊安全性小組。 | IoT_DisableAuditdLogging |
| 反向殼層 | 高 | Defender-IoT-micro-agent | 在裝置上分析主機資料時,偵測到可能的反向殼層。 反向殼層通常用來取得遭入侵的電腦,以回呼惡意執行者所控制的電腦。 | 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 | IoT_ReverseShell |
| 成功從本機登入 | 高 | Defender-IoT-micro-agent | 偵測到成功從本機登入裝置。 | 請確定登入者為經過授權的使用者。 | IoT_SucessfulLocalLogin |
| Web 殼層 | 高 | Defender-IoT-micro-agent | 偵測到可疑的網頁殼層。 惡意執行者通常會將網頁殼層上傳到遭入侵的電腦,達成其持續攻擊或進一步攻擊的目的。 | 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 | IoT_WebShell |
| 偵測到類似於勒索軟體的行為 | 高 | Defender-IoT-micro-agent | 執行類似已知勒索軟體的檔案,可能會防止使用者存取其系統或個人檔案,而且可能會要求贖款才能重新取得存取權。 | 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 | IoT_Ransomware |
| 加密貨幣礦工映像 | 高 | Defender-IoT-micro-agent | 偵測到執行通常與數位貨幣採礦相關聯的處理序。 | 請向執行命令的使用者確認這是否為裝置上的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 | IoT_CryptoMiner |
| 新增 USB 連線 | 高 | Defender-IoT-micro-agent | 偵測到 USB 裝置連線。 這可能表示惡意活動。 | 確認這是主機上合法的預期活動。 如果不是,請將警示呈報給您的資訊安全性小組。 | IoT_USBConnection |
| USB 中斷連線 | 高 | Defender-IoT-micro-agent | 偵測到 USB 裝置中斷連線。 這可能表示惡意活動。 | 確認這是主機上合法的預期活動。 如果不是,請將警示呈報給您的資訊安全性小組。 | IoT_UsbDisconnection |
| 新的乙太網路連線 | 高 | Defender-IoT-micro-agent | 偵測到新的乙太網路連線。 這可能表示惡意活動。 | 確認這是主機上合法的預期活動。 如果不是,請將警示呈報給您的資訊安全性小組。 | IoT_EthernetConnection |
| 乙太網路中斷連線 | 高 | Defender-IoT-micro-agent | 偵測到新的乙太網路中斷連線。 這可能表示惡意活動。 | 確認這是主機上合法的預期活動。 如果不是,請將警示呈報給您的資訊安全性小組。 | IoT_EthernetDisconnection |
| 已建立新檔案 | 高 | Defender-IoT-micro-agent | 偵測到新的檔案。 這可能表示惡意活動。 | 確認這是主機上合法的預期活動。 如果不是,請將警示呈報給您的資訊安全性小組。 | IoT_FileCreated |
| 檔案已修改 | 高 | Defender-IoT-micro-agent | 偵測到檔案修改。 這可能表示惡意活動。 | 確認這是主機上合法的預期活動。 如果不是,請將警示呈報給您的資訊安全性小組。 | IoT_FileModified |
| 檔案已刪除 | 高 | Defender-IoT-micro-agent | 偵測到檔案刪除。 這可能表示惡意活動。 | 確認這是主機上合法的預期活動。 如果不是,請將警示呈報給您的資訊安全性小組。 | IoT_FileDeleted |
中嚴重性
| 名稱 | 嚴重性 | 資料來源 | 描述 | 建議補救步驟 | 警示類型 |
|---|---|---|---|---|---|
| 偵測到與常見 Linux Bot 類似的行為 | 中 | Defender-IoT-micro-agent | 偵測到執行通常與常見 Linux 殭屍網路相關聯的處理序。 | 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 | IoT_CommonBots |
| 偵測到與 Fairware 勒索軟體類似的行為 | 中 | Defender-IoT-micro-agent | 使用主機資料分析偵測到可疑位置的 rm -rf 命令執行。 因為 rm-rf 會以遞迴方式刪除檔案,通常只會用於個別的資料夾。 在此案例中,其已用於可能會移除大量資料的位置。 Fairware 勒索軟體已知會在此資料夾中執行 rm-rf 命令。 | 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 | IoT_FairwareMalware |
| 偵測到加密貨幣礦工容器映像 | 中 | Defender-IoT-micro-agent | 容器正在偵測執行中已知數位貨幣採礦映像。 | 1.如果未預期有此行為,請刪除相關的容器映像。 2.請確定無法透過不安全的 TCP 通訊端存取 Docker 精靈。 3.請將警示呈報給資訊安全性小組。 |
IoT_CryptoMinerContainer |
| 偵測到使用可疑的 nohup 命令 | 中 | Defender-IoT-micro-agent | 偵測到主機上疑似有人使用 nohup 命令。 惡意執行者通常會從暫存目錄執行 nohup 命令,有效地允許其可執行檔在背景中執行。 看到此命令在暫存目錄中的檔案上執行並非預期或一般行為。 | 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 | IoT_SuspiciousNohup |
| 偵測到使用可疑的 useradd 命令 | 中 | Defender-IoT-micro-agent | 偵測到裝置上疑似有人使用 useradd 命令。 | 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 | IoT_SuspiciousUseradd |
| 由 TCP 通訊端公開的 Docker 精靈 | 中 | Defender-IoT-micro-agent | 電腦記錄指出您的 Docker 精靈 (dockerd) 會公開 TCP 通訊端。 根據預設,啟用 TCP 通訊端時,Docker 組態不會使用加密或驗證。 預設 Docker 組態可讓具有相關連接埠存取權的任何人,都可以取得 Docker 精靈的完整存取權。 | 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 | IoT_ExposedDocker |
| 失敗的本機登入 | 中 | Defender-IoT-micro-agent | 偵測到有人嘗試從本機登入失敗。 | 請確認沒有任何未經授權人員擁有裝置的實體存取權。 | IoT_FailedLocalLogin |
| 偵測到從惡意來源下載的檔案 | 中 | Defender-IoT-micro-agent | 偵測到從已知的惡意程式碼來源下載檔案。 | 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 | IoT_PossibleMalware |
| 偵測到 Htaccess 檔案存取 | 中 | Defender-IoT-micro-agent | 分析主機資料時,偵測到可能有人操控 Htaccess 檔案。 Htaccess 是功能強大的組態檔,可讓您對執行 Apache Web 軟體的 Web 伺服器進行多項變更,包括基本的重新導向功能,以及用於更進階的功能 (例如基本密碼保護)。 惡意執行者通常會修改遭到入侵電腦上的 Htaccess 檔案,以便持續攻擊。 | 確認這是主機上合法的預期活動。 如果不是,請將警示呈報給您的資訊安全性小組。 | IoT_AccessingHtaccessFile |
| 已知的攻擊工具 | 中 | Defender-IoT-micro-agent | 偵測到經常與使用特定方式攻擊其他電腦之惡意使用者有關的工具。 | 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 | IoT_KnownAttackTools |
| 偵測到本機主機偵察 | 中 | Defender-IoT-micro-agent | 偵測到執行通常與常用 Linux Bot 偵察相關聯的命令。 | 檢閱可疑的命令列,以確認其是否由合法使用者執行。 如果不是,請將警示呈報給您的資訊安全性小組。 | IoT_LinuxReconnaissance |
| 指令碼解譯器與副檔名不相符 | 中 | Defender-IoT-micro-agent | 偵測到指令碼解譯器與提供作為輸入之指令檔的副檔名不相符。 這種類型的不相符通常與攻擊者指令碼執行相關聯。 | 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 | IoT_ScriptInterpreterMismatch |
| 偵測到可能的後門程式 | 中 | Defender-IoT-micro-agent | 已下載可疑檔案,然後在您訂用帳戶中的主機上執行。 這種類型的活動通常與後門程式的安裝相關聯。 | 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 | IoT_LinuxBackdoor |
| 偵測到資料可能遺失 | 中 | Defender-IoT-micro-agent | 使用主機資料分析偵測到可能的資料輸出狀況。 惡意執行者通常會從遭到入侵的電腦輸出資料。 | 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 | IoT_EgressData |
| 偵測到具有權限的容器 | 中 | Defender-IoT-micro-agent | 電腦記錄表示具有使用權限的 Docker 容器正在執行。 具有使用權限的容器具有主機資源的完整存取權。 如果遭到入侵,惡意執行者可以使用具使用權限的容器來取得主機電腦的存取權。 | 若容器不需要以特殊權限模式執行,請移除容器的特殊權限。 | IoT_PrivilegedContainer |
| 偵測到系統記錄檔遭到移除 | 中 | Defender-IoT-micro-agent | 偵測到主機上疑似有記錄檔遭到移除。 | 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 | IoT_RemovelOfSystemLogs |
| 檔案名稱後面的空格 | 中 | Defender-IoT-micro-agent | 使用主機資料分析偵測到可疑的擴充功能程序執行。 可疑擴充功能可能會誘騙使用者認為可以安全開啟檔案,而且可能表示系統上有惡意程式碼。 | 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 | IoT_ExecuteFileWithTrailingSpace |
| 偵測到存取惡意認證時常用的工具 | 中 | Defender-IoT-micro-agent | 偵測到使用常與惡意嘗試存取認證相關聯的工具。 | 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 | IoT_CredentialAccessTools |
| 偵測到可疑的編譯 | 中 | Defender-IoT-micro-agent | 偵測到可疑的編譯。 惡意執行者常會在遭入侵的電腦上編譯惡意攻擊,藉此提升權限。 | 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 | IoT_SuspiciousCompilation |
| 可疑的檔案下載後接著檔案執行活動 | 中 | Defender-IoT-micro-agent | 分析主機資料時,偵測到已在相同命令中下載並執行的檔案。 惡意執行者通常會使用這項技術,將受感染的檔案放入受害者電腦上。 | 與執行命令的使用者一起檢閱,這是否為您預期在裝置上看到的合法活動。 如果不是,請將警示呈報給資訊安全性小組。 | IoT_DownloadFileThenRun |
| 可疑的 IP 位址通訊 | 中 | Defender-IoT-micro-agent | 偵測到與可疑的 IP 位址通訊。 | 確認連線是否合法。 請考慮封鎖與可疑 IP 的通訊。 | IoT_TiConnection |
| 惡意網域名稱要求 | 中 | Defender-IoT-micro-agent | 偵測到可疑的網路活動。 此活動可能會與攻擊相關聯,該攻擊可能利用了已知惡意程式碼所使用的方法。 | 中斷從網路到來源的連線。 執行事件回應。 | IoT_MaliciousNameQueriesDetection |
低嚴重性
| 名稱 | 嚴重性 | 資料來源 | 描述 | 建議補救步驟 | 警示類型 |
|---|---|---|---|---|---|
| 已清除 Bash 歷程記錄 | 低 | Defender-IoT-micro-agent | 已清除 Bash 歷程記錄。 惡意執行者通常會清除 Bash 歷程記錄,以隱藏自己的命令而不顯示於記錄中。 | 與執行命令的使用者一起檢閱此警示中的活動,以查看您是否將其辨識為合法的系統管理活動。 如果不是,請將警示呈報給資訊安全性小組。 | IoT_ClearHistoryFile |
下一步
- 適用於 IoT 的 Defender 服務概觀
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應