Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Defender für IoT analysiert Ihre IoT-Lösung kontinuierlich mithilfe von erweiterten Analysen und Threat Intelligence, um Sie vor schädlichen Aktivitäten zu warnen. Darüber hinaus können Sie benutzerdefinierte Warnungen basierend auf Ihren Kenntnissen über das erwartete Geräteverhalten erstellen. Eine Warnung dient als Indikator für eine potenzielle Gefährdung und sollte untersucht und behoben werden.
Hinweis
Defender für IoT plant, den Micro-Agent am 1. August 2025 außer Betrieb zu nehmen.
In diesem Artikel finden Sie eine Liste der integrierten Warnungen, die auf Ihren IoT-Geräten ausgelöst werden können.
Sicherheitswarnungen
Hoher Schweregrad
| Name | Severity | Datenquelle | Beschreibung | Empfohlene Korrekturschritte | Alarmtyp |
|---|---|---|---|---|---|
| Binäre Befehlszeile | Hoch | Defender-IoT-Micro-Agent | LA Linux Binärdatei, die über die Befehlszeile aufgerufen/ausgeführt wird, erkannt wurde. Dieser Prozess kann legitime Aktivitäten oder ein Hinweis darauf sein, dass Ihr Gerät kompromittiert ist. | Überprüfen Sie den Befehl mit dem Benutzer, der ihn ausgeführt hat, und überprüfen Sie, ob dies etwas ist, das legitimerweise auf dem Gerät ausgeführt werden soll. Andernfalls eskalieren Sie die Warnung an Ihr Informationssicherheitsteam. | IoT_BinaryCommandLine |
| Firewall deaktivieren | Hoch | Defender-IoT-Micro-Agent | Mögliche Manipulation der Firewall auf dem Host erkannt. Böswillige Akteure deaktivieren häufig die Firewall auf dem Host, um Daten zu exfiltrieren. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, um zu bestätigen, ob dies legitime erwartete Aktivität auf dem Gerät war. Andernfalls eskalieren Sie die Warnung an Ihr Informationssicherheitsteam. | IoT_DisableFirewall |
| Portweiterleitungserkennung | Hoch | Defender-IoT-Micro-Agent | Initiierung der Portweiterleitung an eine externe IP-Adresse erkannt. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime Aktivität war, die Sie auf dem Gerät erwarten. Andernfalls eskalieren Sie die Warnung an das Informationssicherheitsteam. | IoT_PortForwarding |
| Möglicher Versuch, die überwachte Protokollierung zu deaktivieren | Hoch | Defender-IoT-Micro-Agent | Linux Überwachtes System bietet eine Möglichkeit, sicherheitsrelevante Informationen auf dem System nachzuverfolgen. Das System zeichnet so viele Informationen zu den Ereignissen auf, die auf Ihrem System stattfinden, wie möglich. Diese Informationen sind für unternehmenskritische Umgebungen von entscheidender Bedeutung, um festzustellen, wer gegen die Sicherheitsrichtlinie und die ausgeführten Aktionen verstoßen hat. Das Deaktivieren der überwachten Protokollierung kann verhindern, dass Sie Verstöße gegen die auf dem System verwendeten Sicherheitsrichtlinien erkennen können. | Erkundigen Sie sich beim Gerätebesitzer, ob dies eine legitime Aktivität aus geschäftlichen Gründen war. Wenn dies nicht der Fall ist, kann dieses Ereignis Aktivitäten durch böswillige Akteure verbergen. Eskalierte den Vorfall sofort an Ihr Informationssicherheitsteam. | IoT_DisableAuditdLogging |
| Umgekehrte Shells | Hoch | Defender-IoT-Micro-Agent | Bei der Analyse von Hostdaten auf einem Gerät wurde eine potenzielle Reverse-Shell erkannt. Reverse-Shells werden häufig verwendet, um einen kompromittierten Computer dazu zu bringen, einen Computer zurückzurufen, der von einem böswilligen Akteur gesteuert wird. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime Aktivität war, die Sie auf dem Gerät erwarten. Andernfalls eskalieren Sie die Warnung an das Informationssicherheitsteam. | IoT_ReverseShell |
| Erfolgreiche lokale Anmeldung | Hoch | Defender-IoT-Micro-Agent | Erfolgreiche lokale Anmeldung beim Gerät erkannt. | Stellen Sie sicher, dass der angemeldete Benutzer eine autorisierte Partei ist. | IoT_SuccessfulLocalLogin |
| Webshell | Hoch | Defender-IoT-Micro-Agent | Mögliche Webshell erkannt. Böswillige Akteure laden in der Regel eine Webshell auf einen kompromittierten Computer hoch, um Persistenz zu erlangen oder weiter auszunutzen. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime Aktivität war, die Sie auf dem Gerät erwarten. Andernfalls eskalieren Sie die Warnung an das Informationssicherheitsteam. | IoT_WebShell |
| Verhalten ähnlich wie Ransomware erkannt | Hoch | Defender-IoT-Micro-Agent | Ausführung von Dateien ähnlich wie bekannte Ransomware, die Benutzer daran hindern kann, auf ihr System oder persönliche Dateien zuzugreifen, und kann Lösegeld zahlung, um den Zugriff wiederzuerlangen. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime Aktivität war, die Sie auf dem Gerät erwarten. Andernfalls eskalieren Sie die Warnung an das Informationssicherheitsteam. | IoT_Ransomware |
| Crypto Coin Miner Image | Hoch | Defender-IoT-Micro-Agent | Die Ausführung eines Prozesses, der normalerweise mit dem Mining digitaler Währungen verbunden ist, wurde erkannt. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime Aktivität auf dem Gerät war. Andernfalls eskalieren Sie die Warnung an das Informationssicherheitsteam. | IoT_CryptoMiner |
| Neue USB-Verbindung | Hoch | Defender-IoT-Micro-Agent | Es wurde eine USB-Geräteverbindung erkannt. Dies kann auf schädliche Aktivitäten hinweisen. | Vergewissern Sie sich, dass dies eine legitime erwartete Aktivität auf dem Host ist. Andernfalls eskalieren Sie die Warnung an Ihr Informationssicherheitsteam. | IoT_USBConnection |
| USB-Verbindung trennen | Hoch | Defender-IoT-Micro-Agent | Es wurde eine Trennung des USB-Geräts erkannt. Dies kann auf schädliche Aktivitäten hinweisen. | Vergewissern Sie sich, dass dies eine legitime erwartete Aktivität auf dem Host ist. Andernfalls eskalieren Sie die Warnung an Ihr Informationssicherheitsteam. | IoT_UsbDisconnection |
| Neue Ethernet-Verbindung | Hoch | Defender-IoT-Micro-Agent | Es wurde eine neue Ethernet-Verbindung erkannt. Dies kann auf schädliche Aktivitäten hinweisen. | Vergewissern Sie sich, dass dies eine legitime erwartete Aktivität auf dem Host ist. Andernfalls eskalieren Sie die Warnung an Ihr Informationssicherheitsteam. | IoT_EthernetConnection |
| Ethernet-Trennung | Hoch | Defender-IoT-Micro-Agent | Es wurde eine neue Ethernet-Verbindung erkannt. Dies kann auf schädliche Aktivitäten hinweisen. | Vergewissern Sie sich, dass dies eine legitime erwartete Aktivität auf dem Host ist. Andernfalls eskalieren Sie die Warnung an Ihr Informationssicherheitsteam. | IoT_EthernetDisconnection |
| Neue Datei erstellt | Hoch | Defender-IoT-Micro-Agent | Eine neue Datei wurde erkannt. Dies kann auf schädliche Aktivitäten hinweisen. | Vergewissern Sie sich, dass dies eine legitime erwartete Aktivität auf dem Host ist. Andernfalls eskalieren Sie die Warnung an Ihr Informationssicherheitsteam. | IoT_FileCreated |
| File Modified | Hoch | Defender-IoT-Micro-Agent | Dateiänderung wurde erkannt. Dies kann auf schädliche Aktivitäten hinweisen. | Vergewissern Sie sich, dass dies eine legitime erwartete Aktivität auf dem Host ist. Andernfalls eskalieren Sie die Warnung an Ihr Informationssicherheitsteam. | IoT_FileModified |
| File Deleted | Hoch | Defender-IoT-Micro-Agent | Das Löschen von Dateien wurde erkannt. Dies kann auf schädliche Aktivitäten hinweisen. | Vergewissern Sie sich, dass dies eine legitime erwartete Aktivität auf dem Host ist. Andernfalls eskalieren Sie die Warnung an Ihr Informationssicherheitsteam. | IoT_FileDeleted |
Mittlerer Schweregrad
| Name | Severity | Datenquelle | Beschreibung | Empfohlene Korrekturschritte | Alarmtyp |
|---|---|---|---|---|---|
| Verhalten ähnlich wie bei häufig erkannten Linux Bots | Mittel | Defender-IoT-Micro-Agent | Ausführung eines Prozesses, der normalerweise mit allgemeinen Linux erkannten Botnets verknüpft ist. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime Aktivität war, die Sie auf dem Gerät erwarten. Andernfalls eskalieren Sie die Warnung an das Informationssicherheitsteam. | IoT_CommonBots |
| Verhalten ähnlich wie Fairware Ransomware erkannt | Mittel | Defender-IoT-Micro-Agent | Ausführung von rm -rf-Befehlen, die auf verdächtige Speicherorte angewendet werden, die mithilfe der Analyse von Hostdaten erkannt wurden. Da rm -rf Dateien rekursiv löscht, werden sie normalerweise nur für diskrete Ordner verwendet. In diesem Fall wird es an einem Speicherort verwendet, der eine große Datenmenge entfernen könnte. Fairware Ransomware ist bekannt, rm -rf Befehle in diesem Ordner auszuführen. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, dass dies eine legitime Aktivität war, die Sie auf dem Gerät erwarten. Andernfalls eskalieren Sie die Warnung an das Informationssicherheitsteam. | IoT_FairwareMalware |
| Kryptografie-Minercontainerimage erkannt | Mittel | Defender-IoT-Micro-Agent | Container, der die Ausführung bekannter Miningimages für digitale Währungen erkennt. | 1. Wenn dieses Verhalten nicht beabsichtigt ist, löschen Sie das relevante Containerimage. 2. Stellen Sie sicher, dass auf den Docker-Daemon nicht über einen unsicheren TCP-Socket zugegriffen werden kann. 3. Eskalieren Sie die Warnung an das Informationssicherheitsteam. |
IoT_CryptoMinerContainer |
| Verdächtige Verwendung des Nohup-Befehls erkannt | Mittel | Defender-IoT-Micro-Agent | Verdächtige Verwendung des Nohup-Befehls auf dem Host erkannt. Böswillige Akteure führen den Nohup-Befehl in der Regel aus einem temporären Verzeichnis aus, sodass ihre ausführbaren Dateien im Hintergrund ausgeführt werden können. Es ist nicht zu erwarten, dass dieser Befehl für Dateien in einem temporären Verzeichnis ausgeführt wird oder nicht üblich ist. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime Aktivität war, die Sie auf dem Gerät erwarten. Andernfalls eskalieren Sie die Warnung an das Informationssicherheitsteam. | IoT_SuspiciousNohup |
| Verdächtige Verwendung des Useradd-Befehls erkannt | Mittel | Defender-IoT-Micro-Agent | Verdächtige Verwendung des useradd-Befehls auf dem Gerät erkannt. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime Aktivität war, die Sie auf dem Gerät erwarten. Andernfalls eskalieren Sie die Warnung an das Informationssicherheitsteam. | IoT_SuspiciousUseradd |
| Verfügbar gemachter Docker-Daemon durch TCP-Socket | Mittel | Defender-IoT-Micro-Agent | Computerprotokolle geben an, dass Ihr Docker-Daemon (dockerd) einen TCP-Socket verfügbar macht. Standardmäßig verwendet die Docker-Konfiguration keine Verschlüsselung oder Authentifizierung, wenn ein TCP-Socket aktiviert ist. Die Docker-Standardkonfiguration ermöglicht vollzugriff auf den Docker-Daemon durch alle Benutzer mit Zugriff auf den relevanten Port. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime Aktivität war, die Sie auf dem Gerät erwarten. Andernfalls eskalieren Sie die Warnung an das Informationssicherheitsteam. | IoT_ExposedDocker |
| Fehler bei der lokalen Anmeldung | Mittel | Defender-IoT-Micro-Agent | Es wurde ein fehlgeschlagener lokaler Anmeldeversuch für das Gerät erkannt. | Stellen Sie sicher, dass keine nicht autorisierte Partei physischen Zugriff auf das Gerät hat. | IoT_FailedLocalLogin |
| Erkannter Dateidownload aus einer schädlichen Quelle | Mittel | Defender-IoT-Micro-Agent | Download einer Datei aus einer bekannten Schadsoftwarequelle erkannt. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime Aktivität war, die Sie auf dem Gerät erwarten. Andernfalls eskalieren Sie die Warnung an das Informationssicherheitsteam. | IoT_PossibleMalware |
| htaccess-Dateizugriff erkannt | Mittel | Defender-IoT-Micro-Agent | Bei der Analyse der Hostdaten wurde eine mögliche Manipulation einer htaccess-Datei erkannt. Htaccess ist eine leistungsstarke Konfigurationsdatei, mit der Sie mehrere Änderungen an einem Webserver vornehmen können, auf dem Apache-Websoftware ausgeführt wird, einschließlich grundlegender Umleitungsfunktionen und erweiterter Funktionen wie dem grundlegenden Kennwortschutz. Böswillige Akteure ändern häufig htaccess-Dateien auf kompromittierten Computern, um Persistenz zu erlangen. | Vergewissern Sie sich, dass dies legitime erwartete Aktivität auf dem Host ist. Andernfalls eskalieren Sie die Warnung an Ihr Informationssicherheitsteam. | IoT_AccessingHtaccessFile |
| Bekanntes Angriffstool | Mittel | Defender-IoT-Micro-Agent | Es wurde ein Tool erkannt, das häufig mit böswilligen Benutzern verbunden ist, die andere Computer in irgendeiner Weise angreifen. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime Aktivität war, die Sie auf dem Gerät erwarten. Andernfalls eskalieren Sie die Warnung an das Informationssicherheitsteam. | IoT_KnownAttackTools |
| Lokale Host-Reconnaissance erkannt | Mittel | Defender-IoT-Micro-Agent | Ausführung eines Befehls, der normalerweise mit allgemeinen Linux erkannten Bot-Reconnaissance verknüpft ist. | Überprüfen Sie die verdächtige Befehlszeile, um zu bestätigen, dass sie von einem legitimen Benutzer ausgeführt wurde. Andernfalls eskalieren Sie die Warnung an Ihr Informationssicherheitsteam. | IoT_LinuxReconnaissance |
| Konflikt zwischen Skriptinterpreter und Dateierweiterung | Mittel | Defender-IoT-Micro-Agent | Konflikt zwischen dem Skriptinterpreter und der Erweiterung der Skriptdatei, die als Eingabe angegeben wurde. Diese Art von Konflikt wird häufig mit Skriptausführungen von Angreifern in Verbindung gebracht. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime Aktivität war, die Sie auf dem Gerät erwarten. Andernfalls eskalieren Sie die Warnung an das Informationssicherheitsteam. | IoT_ScriptInterpreterMismatch |
| Mögliche Hintertür erkannt | Mittel | Defender-IoT-Micro-Agent | Eine verdächtige Datei wurde heruntergeladen und dann auf einem Host in Ihrem Abonnement ausgeführt. Diese Art von Aktivität ist häufig mit der Installation einer Hintertür verbunden. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime Aktivität war, die Sie auf dem Gerät erwarten. Andernfalls eskalieren Sie die Warnung an das Informationssicherheitsteam. | IoT_LinuxBackdoor |
| Möglicher Datenverlust erkannt | Mittel | Defender-IoT-Micro-Agent | Mögliche Datenausgangsbedingung, die mithilfe der Analyse von Hostdaten erkannt wurde. Böswillige Akteure geben häufig Daten von kompromittierten Computern aus. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime Aktivität war, die Sie auf dem Gerät erwarten. Andernfalls eskalieren Sie die Warnung an das Informationssicherheitsteam. | IoT_EgressData |
| Privilegierter Container erkannt | Mittel | Defender-IoT-Micro-Agent | Computerprotokolle geben an, dass ein privilegierter Docker-Container ausgeführt wird. Ein privilegierter Container hat Vollzugriff auf Hostressourcen. Bei einer Kompromittierung kann ein böswilliger Akteur den privilegierten Container verwenden, um Zugriff auf den Hostcomputer zu erhalten. | Wenn der Container nicht im privilegierten Modus ausgeführt werden muss, entfernen Sie die Berechtigungen aus dem Container. | IoT_PrivilegedContainer |
| Entfernen von Systemprotokolldateien erkannt | Mittel | Defender-IoT-Micro-Agent | Verdächtige Entfernung von Protokolldateien auf dem Host erkannt. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime Aktivität war, die Sie auf dem Gerät erwarten. Andernfalls eskalieren Sie die Warnung an das Informationssicherheitsteam. | IoT_RemovalOfSystemLogs |
| Leerzeichen nach Dateiname | Mittel | Defender-IoT-Micro-Agent | Ausführung eines Prozesses mit einer verdächtigen Erweiterung, die mithilfe der Analyse von Hostdaten erkannt wurde. Verdächtige Erweiterungen können Benutzer dazu bringen, zu denken, dass Dateien sicher geöffnet werden können und das Vorhandensein von Schadsoftware auf dem System anzeigen können. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime Aktivität war, die Sie auf dem Gerät erwarten. Andernfalls eskalieren Sie die Warnung an das Informationssicherheitsteam. | IoT_ExecuteFileWithTrailingSpace |
| Häufig verwendete Tools für den Zugriff auf böswillige Anmeldeinformationen erkannt | Mittel | Defender-IoT-Micro-Agent | Erkennung der Verwendung eines Tools, das häufig mit böswilligen Zugriffsversuchen auf Anmeldeinformationen verbunden ist. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime Aktivität war, die Sie auf dem Gerät erwarten. Andernfalls eskalieren Sie die Warnung an das Informationssicherheitsteam. | IoT_CredentialAccessTools |
| Verdächtige Kompilierung erkannt | Mittel | Defender-IoT-Micro-Agent | Verdächtige Kompilierung erkannt. Böswillige Akteure kompilieren häufig Exploits auf einem kompromittierten Computer, um Berechtigungen zu eskalieren. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime Aktivität war, die Sie auf dem Gerät erwarten. Andernfalls eskalieren Sie die Warnung an das Informationssicherheitsteam. | IoT_SuspiciousCompilation |
| Verdächtiger Dateidownload gefolgt von Dateiausführungsaktivität | Mittel | Defender-IoT-Micro-Agent | Bei der Analyse der Hostdaten wurde eine Datei erkannt, die mit demselben Befehl heruntergeladen und ausgeführt wurde. Diese Technik wird häufig von böswilligen Akteuren verwendet, um infizierte Dateien auf Opfercomputer zu bringen. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, ob dies eine legitime Aktivität war, die Sie auf dem Gerät erwarten. Andernfalls eskalieren Sie die Warnung an das Informationssicherheitsteam. | IoT_DownloadFileThenRun |
| Kommunikation mit verdächtigen IP-Adressen | Mittel | Defender-IoT-Micro-Agent | Kommunikation mit einer verdächtigen IP-Adresse erkannt. | Überprüfen Sie, ob die Verbindung legitim ist. Erwägen Sie, die Kommunikation mit der verdächtigen IP-Adresse zu blockieren. | IoT_TiConnection |
| Anforderung eines schädlichen Domänennamens | Mittel | Defender-IoT-Micro-Agent | Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. | Trennen Sie die Quelle vom Netzwerk. Durchführen der Reaktion auf Vorfälle. | IoT_MaliciousNameQueriesDetection |
Niedriger Schweregrad
| Name | Severity | Datenquelle | Beschreibung | Empfohlene Korrekturschritte | Alarmtyp |
|---|---|---|---|---|---|
| Bash-Verlauf gelöscht | Niedrig | Defender-IoT-Micro-Agent | Bash-Verlaufsprotokoll gelöscht. Böswillige Akteure löschen häufig den Bash-Verlauf, um ihre eigenen Befehle zu verbergen, die in den Protokollen angezeigt werden. | Überprüfen Sie mit dem Benutzer, der den Befehl ausgeführt hat, dass die Aktivität in dieser Warnung, um festzustellen, ob Sie dies als legitime Administrative Aktivität erkennen. Andernfalls eskalieren Sie die Warnung an das Informationssicherheitsteam. | IoT_ClearHistoryFile |
Nächste Schritte
- Übersicht über den Defender für IoT-Dienst