Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Defender for IoT-sikkerhedsagenter indsamler data og systemhændelser fra din lokale enhed og sender dataene til Azure cloudmiljøet til behandling.
Bemærk!
Defender for IoT planlægger at trække mikroagenten tilbage den 1. august 2025.
Hvis du har konfigureret og oprettet forbindelse til et Log Analytics-arbejdsområde, kan du se disse hændelser i Log Analytics. Du kan få flere oplysninger under Selvstudium: Undersøg sikkerhedsbeskeder.
Microagenten Defender for IoT indsamler mange typer enhedshændelser, herunder nye processer og alle nye forbindelseshændelser. Både den nye proces og nye forbindelseshændelser kan forekomme ofte på en enhed. Denne funktion er vigtig for omfattende sikkerhed, men det antal meddelelser, som sikkerhedsagenterne sender, kan hurtigt opfylde eller overskride din IoT Hub kvote og omkostningsgrænser. Disse meddelelser og hændelser indeholder meget værdifulde sikkerhedsoplysninger, der er vigtige for at beskytte din enhed.
Hvis du vil reducere antallet af meddelelser og omkostninger, samtidig med at du bevarer din enheds sikkerhed, aggregerer Defender for IoT-agenter følgende typer hændelser:
Behandl hændelser (kun Linux)
Netværksaktivitetshændelser
Filsystemhændelser
Statistikhændelser
Du kan få flere oplysninger under Hændelsessammenlægning for proces- og netværksindsamlere.
Hændelsesbaserede samlere er samlere, der udløses baseret på tilsvarende aktivitet fra enheden. Det kunne f.eks. være a process was started in the device.
Udløserbaserede samlere er samlere, der udløses på en planlagt måde baseret på kundens konfigurationer.
Proceshændelser (hændelsesbaseret samler)
Proceshændelser understøttes på Linux operativsystemer.
Proceshændelser anses for at være identiske, når kommandolinjen og bruger-id'et er identiske.
Standardbufferen for proceshændelser er 256 processer. Når denne grænse er nået, vil bufferen cirkulere, og den ældste proceshændelse kasseres for at gøre plads til den nyeste behandlede hændelse. Der logføres en advarsel om at øge cachestørrelsen.
Dataene, der indsamles for hver hændelse, er:
| Parameter | Beskrivelse |
|---|---|
| Tidsstempel | Første gang processen blev observeret. |
| process_id | Det Linux PID. |
| parent_process_id | Det Linux overordnede PID, hvis det findes. |
| Commandline | Kommandolinjen. |
| Type | Kan være enten fork, eller exec. |
| hit_count | Det samlede antal. Antallet af udførelser af den samme proces i samme tidsrum, indtil hændelserne sendes til cloudmiljøet. |
Netværksaktivitetshændelser (hændelsesbaseret samler)
Netværksaktivitetshændelser anses for at være identiske, når den lokale port, fjernporten, transportprotokollen, den lokale adresse og fjernadressen er identiske.
Standardbufferen for en netværksaktivitetshændelse er 256. I situationer, hvor cachen er fuld:
Eclipse ThreadX-enheder: Ingen nye netværkshændelser cachelagres, før næste samlingscyklus starter.
Linux enheder: Den ældste hændelse erstattes af hver ny hændelse. Der logføres en advarsel om at øge cachestørrelsen.
Kun IPv4 understøttes for Linux enheder.
Dataene, der indsamles for hver hændelse, er:
| Parameter | Beskrivelse |
|---|---|
| Lokal adresse | Forbindelsens kildeadresse. |
| Fjernadresse | Destinationsadressen for forbindelsen. |
| Lokal port | Forbindelsens kildeport. |
| Ekstern port | Destinationsporten for forbindelsen. |
| Bytes_in | Forbindelsens samlede samlede RX-byte. |
| Bytes_out | Den samlede aggregerede TX-byte for forbindelsen. |
| Transport_protocol | Kan være TCP, UDP eller ICMP. |
| Programprotokol | Den programprotokol, der er knyttet til forbindelsen. |
| Udvidede egenskaber | Yderligere oplysninger om forbindelsen. Det kunne f.eks. være host name. |
| Antal forekomster | Antallet af observerede pakker |
Logonindsamler (hændelsesbaseret samler)
Logonindsamleren indsamler brugerlogon, logon og mislykkede logonforsøg.
Logonindsamleren understøtter følgende typer indsamlingsmetoder:
UTMP og SYSLOG. UTMP registrerer SSH-interaktive hændelser, telnethændelser og terminallogon samt alle mislykkede logonhændelser fra SSH, telnet og terminal. Hvis SYSLOG er aktiveret på enheden, indsamler logonindsamleren også SSH-logonhændelser via SYSLOG-filen med navnet auth.log.
PAM (Pluggable Authentication Modules). Indsamler SSH-, telnet- og lokale logonhændelser. Du kan få flere oplysninger under Konfigurer PAM (Pluggable Authentication Modules) til at overvåge logonhændelser.
Følgende data indsamles:
| Parameter | Beskrivelse |
|---|---|
| Drift | En af følgende: Login, , LogoutLoginFailed |
| process_id | Det Linux PID. |
| user_name | Den Linux bruger. |
| Eksekverbare | Terminalenheden. For eksempel tty1..6 eller pts/n. |
| remote_address | Forbindelseskilden, enten en ekstern IP-adresse i IPv6- eller IPv4-format, eller 127.0.0.1/0.0.0.0 for at angive lokal forbindelse. |
Systemoplysninger (udløserbaseret indsamling)
Dataene, der indsamles for hver hændelse, er:
| Parameter | Beskrivelse |
|---|---|
| hardware_vendor | Navnet på leverandøren af enheden. |
| hardware_model | Enhedens modelnummer. |
| os_dist | Distributionen af operativsystemet. Det kunne f.eks. være Linux. |
| os_version | Versionen af operativsystemet. For eksempel , Windows 10eller Ubuntu 20.04.1. |
| os_platform | Enhedens operativsystem. |
| os_arch | Arkitekturen i operativsystemet. Det kunne f.eks. være x86_64. |
| agent_type | Agenttypen (Edge/Standalone). |
| agent_version | Versionen af agenten. |
| Netværkskort | Controlleren til netværksgrænsefladen. Den komplette liste over egenskaber er angivet nedenfor. |
Egenskaberne for nics består af følgende;
| Parameter | Beskrivelse |
|---|---|
| Type | En af følgende værdier: UNKNOWN, ETH, WIFI, MOBILEeller SATELLITE. |
| Vlans | Det virtuelle lan, der er knyttet til netværksgrænsefladen. |
| Kreditor | Leverandøren af netværkscontrolleren. |
| Info | IPS og MACs, der er knyttet til netværkscontrolleren. Dette omfatter følgende felter. - ipv4_address: IPv4-adressen. - ipv6_address: IPv6-adressen. - mac: MAC-adressen. |
Oprindelig plan (udløserbaseret indsamling)
Den grundlæggende indsamling udfører periodiske CIS-kontroller, og resultaterne for mislykket, pass og skip check sendes til Defender for IoT-cloudtjenesten. Defender for IoT samler resultaterne og giver anbefalinger baseret på eventuelle fejl.
Dataene, der indsamles for hver hændelse, er:
| Parameter | Beskrivelse |
|---|---|
| Kontrollér id | I CIS-format. Det kunne f.eks. være CIS-debian-9-Filesystem-1.1.2. |
| Kontrollér resultat | Kan være Fail, PassSkip, eller Error. Det kan f.eks. være i en situation, Error hvor kontrollen ikke kan køres. |
| Error | Oplysningerne om fejlen og beskrivelsen. |
| Beskrivelse | Beskrivelsen af kontrollen fra CIS. |
| Oprydning | Anbefalingen om afhjælpning fra SNG. |
| Sværhedsgraden | Alvorsgraden. |
SBoM (udløserbaseret samler)
SBoM-samleren (Software Bill of Materials) indsamler jævnligt de pakker, der er installeret på enheden.
De data, der indsamles for hver pakke, omfatter:
| Parameter | Beskrivelse |
|---|---|
| Navn | Pakkenavnet. |
| Version | Pakkeversionen. |
| Kreditor | Pakkens leverandør, som er feltet Vedligeholder i deb-pakker. |
Eksterne hændelser (hændelsesbaseret samler)
Indsamleren af eksterne hændelser indsamler forbindelser og afbrydelser af USB- og Ethernet-hændelser.
Indsamlede felter afhænger af typen af hændelse:
USB-hændelser
| Parameter | Beskrivelse |
|---|---|
| Tidsstempel | Det tidspunkt, hvor hændelsen fandt sted. |
| ActionType | Om hændelsen var en forbindelses- eller afbrydelseshændelse. |
| bus_number | Hver USB-enhed kan have flere specifikke controller-id'er. |
| kernel_device_number | Repræsentation i kernen af enheden, ikke unik og kan hver gang enheden er tilsluttet. |
| device_class | Id, der angiver enhedens klasse. |
| device_subclass | Id, der angiver enhedstypen. |
| device_protocol | Id, der angiver enhedsprotokollen. |
| interface_class | Hvis enhedsklassen er 0, skal du angive enhedstypen. |
| interface_subclass | Hvis enhedsklassen er 0, skal du angive enhedstypen. |
| interface_protocol | Hvis enhedsklassen er 0, skal du angive enhedstypen. |
Ethernet-hændelser
| Parameter | Beskrivelse |
|---|---|
| Tidsstempel | Det tidspunkt, hvor hændelsen fandt sted. |
| ActionType | Om hændelsen var en forbindelses- eller afbrydelseshændelse. |
| bus_number | Hver USB-enhed kan have flere specifikke controller-id'er. |
| Grænsefladenavn | Grænsefladenavnet. |
Filsystemhændelser (hændelsesbaseret samler)
Filsystemhændelsessamleren indsamler hændelser, når der er ændringer under visningsmapper for: oprettelse, sletning, flytning og ændring af mapper og filer. Hvis du vil definere, hvilke mapper og filer du vil overvåge, skal du se Specifikke indstillinger for indsamling af systemoplysninger.
Følgende data indsamles:
| Parameter | Beskrivelse |
|---|---|
| Tidsstempel | Det tidspunkt, hvor hændelsen fandt sted. |
| Maske | Linux inotificerer maske, der er relateret til filsystemhændelsen, identificerer masken handlingens type og kan være en af følgende: Adgang/Ændret/Metadata ændret/Lukket/Åbnet/Flyttet/Oprettet/Slettet. |
| Sti | Mappe-/filsti, som hændelsen blev genereret til. |
| Antal forekomster | Antallet af gange, denne hændelse blev samlet. |
Statistikdata (udløserbaseret indsamling)
Statistikopsamleren genererer forskellige statistikker over de forskellige mikroagentindsamlere. Disse statistikker indeholder oplysninger om samlernes ydeevne i den tidligere indsamlingscyklus. Eksempler på mulige statistikker omfatter antallet af hændelser, der blev sendt korrekt, og antallet af hændelser, der blev droppet, sammen med årsagerne til fejlene.
Indsamlede felter:
| Parameter | Beskrivelse |
|---|---|
| Tidsstempel | Det tidspunkt, hvor hændelsen fandt sted. |
| Navn | Navn på samleren. |
| Begivenheder | En matrix af par, der er formateret som JSON med beskrivelse og antal forekomster. |
| Beskrivelse | Angiver, om meddelelsen blev sendt/droppet, og årsagen til, at den blev droppet. |
| Antal forekomster | Antal respektive meddelelser. |
Hændelsessammenlægning for proces- og netværksindsamlere
Sådan fungerer hændelsessammenlægning for proceshændelser og netværksaktivitetshændelser:
Defender for IoT-agenter aggregerede hændelser i løbet af det afsendelsesinterval, der er defineret i konfigurationen af meddelelseshyppigheden for hver samler, f.eks. Process_MessageFrequency eller NetworkActivity_MessageFrequency. Når afsendelsesperioden er gået, sender agenten de samlede hændelser til Azure clouden for at få yderligere analyse. De samlede hændelser gemmes i hukommelsen, indtil de sendes til Azure cloudmiljøet.
Når agenten indsamler lignende hændelser som dem, der allerede er gemt i hukommelsen, øger agenten antallet af forekomster for denne specifikke hændelse for at reducere agentens hukommelsesforbrug. Når sammenlægningstidsvinduet passerer, sender agenten antallet af forekomster for hver type hændelse, der opstod. Hændelsessammenlægning er sammenlægningen af antallet af forekomster af lignende hændelser. Netværksaktivitet med den samme fjernvært og på den samme port aggregeres f.eks. som én hændelse i stedet for som en separat hændelse for hver pakke.
Bemærk!
Mikroagenten sender som standard logge og telemetri til cloudmiljøet med henblik på fejlfinding og overvågning. Denne funktionsmåde kan konfigureres eller deaktiveres via tvillingen.
Næste trin
Du kan finde flere oplysninger under:
- Konfigurationer af mikroagenter
- Kontrollér din Defender for IoT-sikkerhedsbeskeder.