Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Defender for IoT analyserer løbende din IoT-løsning ved hjælp af avanceret analyse og trusselsintelligens for at advare dig om skadelig aktivitet. Derudover kan du oprette brugerdefinerede beskeder baseret på din viden om den forventede enheds funktionsmåde. En advarsel fungerer som en indikator for potentielt kompromis og bør undersøges og afhjælpes.
Bemærk!
Defender for IoT planlægger at trække mikroagenten tilbage den 1. august 2025.
I denne artikel finder du en liste over indbyggede beskeder, der kan udløses på dine IoT-enheder.
Sikkerhedsadvarsler
Høj alvorsgrad
| Navn | Sværhedsgraden | Datakilde | Beskrivelse | Foreslåede afhjælpningstrin | Beskedtype |
|---|---|---|---|---|---|
| Binær kommandolinje | Høj | Defender-IoT-micro-agent | LA-Linux binær, der kaldes/udføres fra kommandolinjen, blev registreret. Denne proces kan være legitim aktivitet eller en indikation af, at enheden er kompromitteret. | Gennemse kommandoen med den bruger, der kørte den, og kontrollér, om det er noget, der med rette forventes at køre på enheden. Hvis ikke, skal du eskalere beskeden til dit informationssikkerhedsteam. | IoT_BinaryCommandLine |
| Deaktiver firewall | Høj | Defender-IoT-micro-agent | Der blev registreret en mulig manipulation af en firewall på værten. Ondsindede aktører deaktiverer ofte firewallen på værtsprogrammet i et forsøg på at eksfiltrere data. | Gennemse med den bruger, der kørte kommandoen, for at bekræfte, om dette var legitim forventet aktivitet på enheden. Hvis ikke, skal du eskalere beskeden til dit informationssikkerhedsteam. | IoT_DisableFirewall |
| Registrering af videresendelse af porte | Høj | Defender-IoT-micro-agent | Der blev registreret en port videresendelse til en ekstern IP-adresse. | Gennemse med den bruger, der kørte kommandoen, hvis dette var en legitim aktivitet, som du forventer at se på enheden. Hvis ikke, skal du eskalere beskeden til informationssikkerhedsteamet. | IoT_PortForwarding |
| Muligt forsøg på at deaktivere overvåget logføring registreret | Høj | Defender-IoT-micro-agent | Linux Auditd system gør det muligt at spore sikkerhedsrelaterede oplysninger om systemet. Systemet registrerer så mange oplysninger om de hændelser, der sker på dit system, som muligt. Disse oplysninger er afgørende for missionskritiske miljøer for at bestemme, hvem der har overtrådt sikkerhedspolitik og de handlinger, de har udført. Deaktivering af overvåget logføring kan forhindre dig i at opdage overtrædelser af sikkerhedspolitikker, der bruges på systemet. | Kontakt ejeren af enheden, om dette var legitim aktivitet af forretningsmæssige årsager. Hvis ikke, kan denne hændelse skjule aktivitet af ondsindede aktører. Eskalerede straks hændelsen til dit informationssikkerhedsteam. | IoT_DisableAuditdLogging |
| Omvendte shells | Høj | Defender-IoT-micro-agent | Analyse af værtsdata på en enhed registrerede en potentiel omvendt shell. Omvendte skaller bruges ofte til at få en kompromitteret maskine til at kalde tilbage til en maskine, der styres af en ondsindet agent. | Gennemse med den bruger, der kørte kommandoen, hvis dette var en legitim aktivitet, som du forventer at se på enheden. Hvis ikke, skal du eskalere beskeden til informationssikkerhedsteamet. | IoT_ReverseShell |
| Lykkedes lokalt logon | Høj | Defender-IoT-micro-agent | Det lykkedes at logge lokalt på den enhed, der blev registreret. | Sørg for, at den bruger, der er logget på, er en autoriseret part. | IoT_SuccessfulLocalLogin |
| Web shell | Høj | Defender-IoT-micro-agent | Der blev fundet en mulig webshell. Ondsindede aktører uploader ofte en webshell til en kompromitteret maskine for at opnå vedholdenhed eller til yderligere udnyttelse. | Gennemse med den bruger, der kørte kommandoen, hvis dette var en legitim aktivitet, som du forventer at se på enheden. Hvis ikke, skal du eskalere beskeden til informationssikkerhedsteamet. | IoT_WebShell |
| Adfærd svarende til ransomware opdaget | Høj | Defender-IoT-micro-agent | Udførelse af filer svarende til kendt ransomware, der kan forhindre brugere i at få adgang til deres system, eller personlige filer, og kan kræve løsepenge betaling for at få adgang igen. | Gennemse med den bruger, der kørte kommandoen, hvis dette var en legitim aktivitet, som du forventer at se på enheden. Hvis ikke, skal du eskalere beskeden til informationssikkerhedsteamet. | IoT_Ransomware |
| Billede af miner til kryptomønter | Høj | Defender-IoT-micro-agent | Udførelse af en proces, der normalt er forbundet med digital valutaudvinding. | Kontrollér med den bruger, der kørte kommandoen, om dette var en gyldig aktivitet på enheden. Hvis ikke, skal du eskalere beskeden til informationssikkerhedsteamet. | IoT_CryptoMiner |
| Ny USB-forbindelse | Høj | Defender-IoT-micro-agent | Der blev fundet en USB-enhedsforbindelse. Dette kan indikere skadelig aktivitet. | Bekræft, at dette er en legitim forventet aktivitet på værten. Hvis ikke, skal du eskalere beskeden til dit informationssikkerhedsteam. | IoT_USBConnection |
| USB-afbrydelse | Høj | Defender-IoT-micro-agent | Der blev registreret en forbindelse til EN USB-enhed. Dette kan indikere skadelig aktivitet. | Bekræft, at dette er en legitim forventet aktivitet på værten. Hvis ikke, skal du eskalere beskeden til dit informationssikkerhedsteam. | IoT_UsbDisconnection |
| Ny Ethernet-forbindelse | Høj | Defender-IoT-micro-agent | Der blev fundet en ny Ethernet-forbindelse. Dette kan indikere skadelig aktivitet. | Bekræft, at dette er en legitim forventet aktivitet på værten. Hvis ikke, skal du eskalere beskeden til dit informationssikkerhedsteam. | IoT_EthernetConnection |
| Ethernet-afbrydelse | Høj | Defender-IoT-micro-agent | Der blev fundet en ny Ethernet-afbrydelse. Dette kan indikere skadelig aktivitet. | Bekræft, at dette er en legitim forventet aktivitet på værten. Hvis ikke, skal du eskalere beskeden til dit informationssikkerhedsteam. | IoT_EthernetDisconnection |
| Ny fil er oprettet | Høj | Defender-IoT-micro-agent | Der blev fundet en ny fil. Dette kan indikere skadelig aktivitet. | Bekræft, at dette er en legitim forventet aktivitet på værten. Hvis ikke, skal du eskalere beskeden til dit informationssikkerhedsteam. | IoT_FileCreated |
| Filen er ændret | Høj | Defender-IoT-micro-agent | Der blev fundet en filændring. Dette kan indikere skadelig aktivitet. | Bekræft, at dette er en legitim forventet aktivitet på værten. Hvis ikke, skal du eskalere beskeden til dit informationssikkerhedsteam. | IoT_FileModified |
| Filen er slettet | Høj | Defender-IoT-micro-agent | Der blev registreret en filsletning. Dette kan indikere skadelig aktivitet. | Bekræft, at dette er en legitim forventet aktivitet på værten. Hvis ikke, skal du eskalere beskeden til dit informationssikkerhedsteam. | IoT_FileDeleted |
Mellem alvorlighed
| Navn | Sværhedsgraden | Datakilde | Beskrivelse | Foreslåede afhjælpningstrin | Beskedtype |
|---|---|---|---|---|---|
| Funktionsmåde, der svarer til almindelige registrerede Linux bots | Middel | Defender-IoT-micro-agent | Udførelse af en proces, der normalt er knyttet til almindelige Linux fundne botnets. | Gennemse med den bruger, der kørte kommandoen, hvis dette var en legitim aktivitet, som du forventer at se på enheden. Hvis ikke, skal du eskalere beskeden til informationssikkerhedsteamet. | IoT_CommonBots |
| Adfærd svarende til Fairware ransomware opdaget | Middel | Defender-IoT-micro-agent | Udførelse af rm -rf-kommandoer, der anvendes på mistænkelige placeringer, der registreres ved hjælp af analyse af værtsdata. Da rm -rf sletter filer rekursivt, bruges den normalt kun på diskrete mapper. I dette tilfælde bruges den på en placering, der kan fjerne en stor mængde data. Fairware ransomware er kendt for at udføre rm -rf kommandoer i denne mappe. | Gennemse med den bruger, der kørte kommandoen, at dette var en legitim aktivitet, som du forventer at se på enheden. Hvis ikke, skal du eskalere beskeden til informationssikkerhedsteamet. | IoT_FairwareMalware |
| Der blev fundet et objektbeholderbillede for kryptomønter | Middel | Defender-IoT-micro-agent | Objektbeholder til registrering af kørsel af kendte billeder af digital valutaudvinding. | 1. Hvis denne funktionsmåde ikke er beregnet, skal du slette det relevante objektbeholderbillede. 2. Sørg for, at Docker-daemon ikke er tilgængelig via en usikker TCP-socket. 3. Eskaler beskeden til informationssikkerhedsteamet. |
IoT_CryptoMinerContainer |
| Registreret mistænkelig brug af nohup-kommandoen | Middel | Defender-IoT-micro-agent | Mistænkelig brug af nohup-kommandoen på værten blev registreret. Ondsindede aktører kører ofte nohup-kommandoen fra en midlertidig mappe, så deres eksekverbare filer kan køre i baggrunden. Det er ikke forventet eller sædvanlig funktionsmåde at se denne kommando køre på filer, der er placeret i en midlertidig mappe. | Gennemse med den bruger, der kørte kommandoen, hvis dette var en legitim aktivitet, som du forventer at se på enheden. Hvis ikke, skal du eskalere beskeden til informationssikkerhedsteamet. | IoT_SuspiciousNohup |
| Registreret mistænkelig brug af kommandoen useradd | Middel | Defender-IoT-micro-agent | Mistænkelig brug af den useradd-kommando, der er registreret på enheden. | Gennemse med den bruger, der kørte kommandoen, hvis dette var en legitim aktivitet, som du forventer at se på enheden. Hvis ikke, skal du eskalere beskeden til informationssikkerhedsteamet. | IoT_SuspiciousUseradd |
| Exposed Docker-daemon fra TCP-socket | Middel | Defender-IoT-micro-agent | Computerlogge angiver, at docker-daemon (dockerd) viser en TCP-socket. Docker-konfigurationen bruger som standard ikke kryptering eller godkendelse, når en TCP-socket er aktiveret. Standardkonfiguration af Docker giver fuld adgang til Docker-daemonen for alle, der har adgang til den relevante port. | Gennemse med den bruger, der kørte kommandoen, hvis dette var en legitim aktivitet, som du forventer at se på enheden. Hvis ikke, skal du eskalere beskeden til informationssikkerhedsteamet. | IoT_ExposedDocker |
| Lokalt logon mislykkedes | Middel | Defender-IoT-micro-agent | Der blev registreret et mislykket lokalt logonforsøg på enheden. | Sørg for, at ingen uautoriseret part har fysisk adgang til enheden. | IoT_FailedLocalLogin |
| Registreret fildownload fra en skadelig kilde | Middel | Defender-IoT-micro-agent | Download af en fil fra en kendt malwarekilde, der er registreret. | Gennemse med den bruger, der kørte kommandoen, hvis dette var en legitim aktivitet, som du forventer at se på enheden. Hvis ikke, skal du eskalere beskeden til informationssikkerhedsteamet. | IoT_PossibleMalware |
| htaccess-filadgang registreret | Middel | Defender-IoT-micro-agent | Analyse af værtsdata registreret mulig manipulation af en htaccess-fil. Htaccess er en effektiv konfigurationsfil, der giver dig mulighed for at foretage flere ændringer af en webserver, der kører Apache Web-software, herunder grundlæggende omdirigeringsfunktionalitet og mere avancerede funktioner, f.eks. grundlæggende adgangskodebeskyttelse. Ondsindede aktører ændrer ofte htaccess-filer på kompromitterede maskiner for at opnå vedholdenhed. | Bekræft, at dette er en gyldig forventet aktivitet på værten. Hvis ikke, skal du eskalere beskeden til dit informationssikkerhedsteam. | IoT_AccessingHtaccessFile |
| Kendt angrebsværktøj | Middel | Defender-IoT-micro-agent | Et værktøj, der ofte er forbundet med ondsindede brugere, der angriber andre maskiner på en eller anden måde, blev registreret. | Gennemse med den bruger, der kørte kommandoen, hvis dette var en legitim aktivitet, som du forventer at se på enheden. Hvis ikke, skal du eskalere beskeden til informationssikkerhedsteamet. | IoT_KnownAttackTools |
| Der blev registreret lokal værts reconnaissance | Middel | Defender-IoT-micro-agent | Udførelse af en kommando, der normalt er forbundet med almindelig Linux registreret bot-rekognoscering. | Gennemse den mistænkelige kommandolinje for at bekræfte, at den blev udført af en gyldig bruger. Hvis ikke, skal du eskalere beskeden til dit informationssikkerhedsteam. | IoT_LinuxReconnaissance |
| Der er uoverensstemmelse mellem scriptfortolker og filtypenavn | Middel | Defender-IoT-micro-agent | Der er uoverensstemmelse mellem scriptfortolkeren og udvidelsen af scriptfilen, der er angivet som registreret input. Denne type uoverensstemmelse er ofte forbundet med udførelser af hackerscripts. | Gennemse med den bruger, der kørte kommandoen, hvis dette var en legitim aktivitet, som du forventer at se på enheden. Hvis ikke, skal du eskalere beskeden til informationssikkerhedsteamet. | IoT_ScriptInterpreterMismatch |
| Der er fundet en mulig bagdør | Middel | Defender-IoT-micro-agent | En mistænkelig fil blev downloadet og derefter kørt på en vært i dit abonnement. Denne type aktivitet er ofte knyttet til installationen af en bagdør. | Gennemse med den bruger, der kørte kommandoen, hvis dette var en legitim aktivitet, som du forventer at se på enheden. Hvis ikke, skal du eskalere beskeden til informationssikkerhedsteamet. | IoT_LinuxBackdoor |
| Muligt tab af registrerede data | Middel | Defender-IoT-micro-agent | Der blev registreret en mulig dataudgående tilstand ved hjælp af analyse af værtsdata. Ondsindede aktører udgående ofte data fra kompromitterede maskiner. | Gennemse med den bruger, der kørte kommandoen, hvis dette var en legitim aktivitet, som du forventer at se på enheden. Hvis ikke, skal du eskalere beskeden til informationssikkerhedsteamet. | IoT_EgressData |
| Der blev registreret en privilegeret objektbeholder | Middel | Defender-IoT-micro-agent | Computerlogge angiver, at der kører en privilegeret Docker-objektbeholder. En privilegeret objektbeholder har fuld adgang til værtsressourcer. Hvis den kompromitteres, kan en ondsindet agent bruge den privilegerede objektbeholder til at få adgang til værtscomputeren. | Hvis objektbeholderen ikke behøver at køre i privilegeret tilstand, skal du fjerne rettighederne fra objektbeholderen. | IoT_PrivilegedContainer |
| Fjernelse af registrerede systemlogfiler | Middel | Defender-IoT-micro-agent | Mistænkelig fjernelse af logfiler på den registrerede vært. | Gennemse med den bruger, der kørte kommandoen, hvis dette var en legitim aktivitet, som du forventer at se på enheden. Hvis ikke, skal du eskalere beskeden til informationssikkerhedsteamet. | IoT_RemovalOfSystemLogs |
| Mellemrum efter filnavn | Middel | Defender-IoT-micro-agent | Udførelse af en proces med en mistænkelig udvidelse registreret ved hjælp af analyse af værtsdata. Mistænkelige udvidelser kan narre brugerne til at tro, at filer er sikre at blive åbnet og kan indikere tilstedeværelsen af malware på systemet. | Gennemse med den bruger, der kørte kommandoen, hvis dette var en legitim aktivitet, som du forventer at se på enheden. Hvis ikke, skal du eskalere beskeden til informationssikkerhedsteamet. | IoT_ExecuteFileWithTrailingSpace |
| Værktøjer, der ofte bruges til at få adgang til skadelige legitimationsoplysninger, er registreret | Middel | Defender-IoT-micro-agent | Registreringsbrug af et værktøj, der ofte er knyttet til ondsindede forsøg på at få adgang til legitimationsoplysninger. | Gennemse med den bruger, der kørte kommandoen, hvis dette var en legitim aktivitet, som du forventer at se på enheden. Hvis ikke, skal du eskalere beskeden til informationssikkerhedsteamet. | IoT_CredentialAccessTools |
| Der blev fundet mistænkelig kompilering | Middel | Defender-IoT-micro-agent | Mistænkelig kompilering registreret. Ondsindede aktører kompilerer ofte udnyttelser på en kompromitteret maskine for at eskalere rettigheder. | Gennemse med den bruger, der kørte kommandoen, hvis dette var en legitim aktivitet, som du forventer at se på enheden. Hvis ikke, skal du eskalere beskeden til informationssikkerhedsteamet. | IoT_SuspiciousCompilation |
| Mistænkelig fildownload efterfulgt af kørselsaktivitet for filer | Middel | Defender-IoT-micro-agent | Analyse af værtsdata registrerede en fil, der blev downloadet og kørt i den samme kommando. Denne teknik bruges ofte af ondsindede aktører til at få inficerede filer på offer maskiner. | Gennemse med den bruger, der kørte kommandoen, hvis dette var en legitim aktivitet, som du forventer at se på enheden. Hvis ikke, skal du eskalere beskeden til informationssikkerhedsteamet. | IoT_DownloadFileThenRun |
| Mistænkelig kommunikation med IP-adresse | Middel | Defender-IoT-micro-agent | Kommunikation med en mistænkelig IP-adresse registreret. | Kontrollér, om forbindelsen er gyldig. Overvej at blokere kommunikation med den mistænkelige IP-adresse. | IoT_TiConnection |
| Anmodning om skadeligt domænenavn | Middel | Defender-IoT-micro-agent | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udnytter en metode, der bruges af kendt malware. | Afbryd forbindelsen til kilden fra netværket. Udfør svar på hændelse. | IoT_MaliciousNameQueriesDetection |
Lav alvorsgrad
| Navn | Sværhedsgraden | Datakilde | Beskrivelse | Foreslåede afhjælpningstrin | Beskedtype |
|---|---|---|---|---|---|
| Bash-oversigten er ryddet | Lav | Defender-IoT-micro-agent | Bash-oversigtsloggen blev ryddet. Ondsindede aktører sletter ofte bashhistorikken for at skjule deres egne kommandoer i at blive vist i loggene. | Gennemse med den bruger, der kørte den kommando, som aktiviteten i denne besked har angivet for at se, om du anerkender dette som en legitim administrativ aktivitet. Hvis ikke, skal du eskalere beskeden til informationssikkerhedsteamet. | IoT_ClearHistoryFile |
Næste trin
- Oversigt over Defender for IoT-tjenesten