微代理程式事件收集
適用於 IoT 的 Defender 安全性代理程式會從本機裝置收集資料和系統事件,並將數據傳送至 Azure 雲端進行處理。
如果您已設定並連線 Log Analytics 工作區,您會在 Log Analytics 中看到這些事件。 如需詳細資訊,請參閱教學課程:調查安全性警示。
適用於 IoT 的 Defender 微代理程式會收集許多類型的裝置事件,包括新的進程,以及所有新的連線事件。 新的進程和新連線事件都可能發生在裝置上。 這項功能對於完整的安全性而言很重要,不過,安全性代理程式傳送的訊息數目可能會快速滿足或超過您的 IoT 中樞 配額,以及成本限制。 這些訊息和事件包含非常有價值的安全性資訊,對於保護您的裝置至關重要。
為了在維護裝置安全性的同時減少訊息和成本,適用於IoT的Defender代理程式會匯總下列類型的事件:
處理事件 (僅限 Linux)
網路活動事件
檔案系統事件
統計數據事件
如需詳細資訊,請參閱 進程和網路收集器的事件匯總。
事件型收集器是根據裝置內對應活動所觸發的收集器。 例如: a process was started in the device
。
以觸發程式為基礎的收集器是根據客戶的組態,以排程方式觸發的收集器。
處理事件 (事件型收集器)
Linux 作業系統支援進程事件。
當命令行和 userid 相同時,進程事件會視為相同。
進程事件的默認緩衝區是 256 個進程。 符合此限制時,緩衝區會迴圈,而且會捨棄最舊的進程事件,以便騰出空間讓最新的已處理事件空間。 將會記錄增加快取大小的警告。
針對每個事件收集的數據如下:
參數 | 描述 |
---|---|
Timestamp | 第一次觀察到此程式。 |
process_id | Linux PID。 |
parent_process_id | 如果 Linux 父 PID 存在,則為 。 |
命令行 | 命令列。 |
類型 | 可以是 fork 、 或 exec 。 |
hit_count | 匯總計數。 在相同的時間範圍內執行相同進程的數目,直到事件傳送至雲端為止。 |
網路活動事件 (事件型收集器)
當本機埠、遠端埠、傳輸通訊協定、本機位址和遠端位址相同時,網路活動事件會視為相同。
網路活動事件的默認緩衝區為 256。 針對快取已滿的情況:
Eclipse ThreadX 裝置:在下一個收集周期開始之前,不會快取任何新的網路事件。
Linux裝置:最舊的事件將會由每個新事件取代。 將會記錄增加快取大小的警告。
針對 Linux 裝置,僅支援 IPv4。
針對每個事件收集的數據如下:
參數 | 描述 |
---|---|
本機位址 | 線上的來源位址。 |
遠端位址 | 連接的目的地位址。 |
本機埠 | 線上的來源埠。 |
遠端埠 | 連接的目的地埠。 |
Bytes_in | 連接的總匯總 RX 位元組。 |
Bytes_out | 連接的總匯總 TX 位元組。 |
Transport_protocol | 可以是 TCP、UDP 或 ICMP。 |
應用程式通訊協定 | 與連線相關聯的應用程式通訊協定。 |
擴充屬性 | 線上的其他詳細數據。 例如: host name 。 |
點擊計數 | 觀察到的封包計數 |
登入收集器(事件型收集器)
登入收集器會收集使用者登入、註銷和失敗的登入嘗試。
Login 收集器支援下列集合方法類型:
UTMP 和 SYSLOG。 UTMP 會攔截 SSH 互動式事件、telnet 事件和終端機登入,以及來自 SSH、telnet 和終端機的所有失敗登入事件。 如果裝置上已啟用SLOG,登入收集器也會透過名為 auth.log的SLOG檔案收集SG登入事件。
插入式驗證模組 (PAM)。 收集 SSH、telnet 和本機登入事件。 如需詳細資訊,請參閱 設定插入式驗證模組 (PAM) 以稽核登入事件。
會收集下列資料:
參數 | 描述 |
---|---|
操作 | 下列其中一項:Login 、、 Logout LoginFailed |
process_id | Linux PID。 |
user_name | Linux 使用者。 |
可執行 | 終端機裝置。 例如,tty1..6 或 pts/n 。 |
remote_address | 連線的來源,可以是IPv6或IPv4格式的遠端IP位址,或 127.0.0.1/0.0.0.0 表示本機連線。 |
系統資訊 (觸發程式型收集器)
針對每個事件收集的數據如下:
參數 | 描述 |
---|---|
hardware_vendor | 裝置廠商的名稱。 |
hardware_model | 裝置的型號。 |
os_dist | 操作系統的散發。 例如: Linux 。 |
os_version | 作業系統的版本。 例如,Windows 10 或 Ubuntu 20.04.1 。 |
os_platform | 裝置的OS。 |
os_arch | OS 的架構。 例如: x86_64 。 |
agent_type | 代理程式的類型 (Edge/Standalone)。 |
agent_version | 代理程式的版本。 |
Nic | 網路介面控制站。 下列列出屬性的完整清單。 |
nics 屬性是由下列各項所組成:
參數 | 描述 |
---|---|
type | 下列其中一個值: UNKNOWN 、 ETH 、 WIFI 、 MOBILE 或 SATELLITE 。 |
Vlan | 與網路介面相關聯的虛擬局域網。 |
供應商 | 網路控制站的廠商。 |
資訊 | 與網路控制站相關聯的 IPS 和 MAC。 這包括下列欄位; - ipv4_address:IPv4 位址。 - ipv6_address:IPv6 位址。 - mac:MAC 位址。 |
基準 (觸發程式型收集器)
基準收集器會執行定期 CIS 檢查,並將 失敗、 通過和 略過 檢查結果傳送至適用於IoT的Defender雲端服務。 適用於IoT的Defender會匯總結果,並根據任何失敗提供建議。
針對每個事件收集的數據如下:
參數 | 描述 |
---|---|
檢查標識碼 | CIS 格式。 例如: CIS-debian-9-Filesystem-1.1.2 。 |
檢查結果 | 可以是 Fail 、 Pass 、 Skip 或 Error 。 例如, Error 在無法執行檢查的情況下。 |
錯誤 | 錯誤的資訊和描述。 |
說明 | CIS 檢查的描述。 |
補救 | 從 CIS 補救的建議。 |
嚴重性 | 嚴重性層級。 |
SBoM (觸發程式型收集器)
SBoM (軟體材料帳單) 收集器會定期收集安裝在裝置上的套件。
每個套件上收集的資料包括:
參數 | 描述: |
---|---|
名稱 | 封裝名稱。 |
版本 | 封裝版本。 |
廠商 | 套件的廠商,這是 deb 套件中的維護者 欄位。 |
周邊事件 (事件型收集器)
周邊事件收集器會收集 USB 和乙太網路事件的連線和中斷連線。
收集的欄位取決於事件類型:
USB 事件
參數 | 描述 |
---|---|
Timestamp | 發生事件的時間。 |
ActionType | 事件是連線或中斷連線事件。 |
bus_number | 特定控制器標識碼,每個USB裝置可以有數個。 |
kernel_device_number | 裝置核心中的表示法,不是唯一的,而且可以在每次裝置連線時表示。 |
device_class | 指定裝置類別的識別碼。 |
device_subclass | 指定裝置類型的識別碼。 |
device_protocol | 指定裝置通訊協議的識別碼。 |
interface_class | 如果裝置類別為 0,則表示裝置的類型。 |
interface_subclass | 如果裝置類別為 0,則表示裝置的類型。 |
interface_protocol | 如果裝置類別為 0,則表示裝置的類型。 |
乙太網路事件
參數 | 描述 |
---|---|
Timestamp | 發生事件的時間。 |
ActionType | 事件是連線或中斷連線事件。 |
bus_number | 特定控制器標識碼,每個USB裝置可以有數個。 |
介面名稱 | 介面名稱。 |
檔案系統事件 (事件型收集器)
每當監看目錄下有變更時,檔系統事件收集器會收集事件:建立、刪除、移動和修改目錄和檔案。 若要定義您要監視的目錄和檔案,請參閱 系統資訊收集器特定設定。
會收集下列資料:
參數 | 描述 |
---|---|
Timestamp | 發生事件的時間。 |
面具 | Linux inotify mask 與文件系統事件相關,遮罩會識別動作的類型,而且可以是下列其中一項:Access/Modified/Metadata changed/Closed/Opened/Moved/Created/Deleted。 |
路徑 | 產生事件的目錄/檔案路徑。 |
Hitcount | 匯總此事件的次數。 |
統計資料資料(觸發程式型收集器)
統計數據收集器會針對不同的微代理程式收集器產生各種統計數據。 這些統計數據提供上一個收集週期中收集器效能的相關信息。 可能的統計數據範例包括成功傳送的事件數目,以及已卸除的事件數目,以及失敗的原因。
收集的欄位:
參數 | 描述 |
---|---|
Timestamp | 發生事件的時間。 |
名稱 | 收集器的名稱。 |
活動 | 一組格式化為 JSON 的數位,其中包含描述和叫用計數。 |
說明 | 訊息是否已傳送/卸除,以及卸除的原因。 |
Hitcount | 個別訊息的數目。 |
進程和網路收集器的事件匯總
適用於IoT的Defender代理程式會在每個收集器訊息頻率設定中所定義的傳送間隔期間匯總事件,例如Process_MessageFrequency或NetworkActivity_MessageFrequency。 傳送間隔期間過後,代理程式會將匯總事件傳送至 Azure 雲端,以進行進一步分析。 彙總的事件會儲存在記憶體中,直到傳送至 Azure 雲端為止。
當代理程式收集與已儲存在記憶體中的事件類似的事件時,代理程式將會增加此特定事件的叫用計數,以減少代理程式的記憶體使用量。 當匯總時間範圍通過時,代理程式會傳送發生之每個事件類型的點擊計數。 事件匯總是類似事件叫用計數的匯總。 例如,具有相同遠端主機和相同埠的網路活動會匯總為一個事件,而不是作為每個封包的個別事件。
注意
根據預設,微代理程式會將記錄和遙測傳送至雲端,以進行疑難解答和監視。 您可以透過對應項來設定或關閉此行為。
下一步
如需詳細資訊,請參閱
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應