Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Defender für IoT-Sicherheits-Agents sammeln Daten und Systemereignisse von Ihrem lokalen Gerät und senden die Daten zur Verarbeitung an die Azure Cloud.
Hinweis
Defender für IoT plant, den Micro-Agent am 1. August 2025 außer Betrieb zu nehmen.
Wenn Sie einen Log Analytics-Arbeitsbereich konfiguriert und verbunden haben, werden diese Ereignisse in Log Analytics angezeigt. Weitere Informationen finden Sie unter Tutorial: Untersuchen von Sicherheitswarnungen.
Der Micro-Agent von Defender für IoT sammelt viele Arten von Geräteereignissen, einschließlich neuer Prozesse und aller neuen Verbindungsereignisse. Sowohl der neue Prozess als auch neue Verbindungsereignisse können häufig auf einem Gerät auftreten. Diese Funktion ist wichtig für eine umfassende Sicherheit. Die Anzahl der Nachrichten, die von sicherheitsrelevanten Agents gesendet werden, kann ihre IoT Hub Kontingente und Kostenlimits jedoch schnell erreichen oder überschreiten. Diese Nachrichten und Ereignisse enthalten äußerst wertvolle Sicherheitsinformationen, die für den Schutz Ihres Geräts von entscheidender Bedeutung sind.
Um die Anzahl von Nachrichten und Kosten zu reduzieren und gleichzeitig die Sicherheit Ihres Geräts zu gewährleisten, aggregieren Defender für IoT-Agents die folgenden Ereignistypen:
Verarbeiten von Ereignissen (nur Linux)
Netzwerkaktivitätsereignisse
Dateisystemereignisse
Statistikereignisse
Weitere Informationen finden Sie unter Ereignisaggregation für Prozess- und Netzwerksammler.
Ereignisbasierte Sammler sind Sammler, die basierend auf der entsprechenden Aktivität innerhalb des Geräts ausgelöst werden. Beispiel: a process was started in the device.
Triggerbasierte Sammler sind Sammler, die basierend auf den Konfigurationen des Kunden geplant ausgelöst werden.
Verarbeiten von Ereignissen (ereignisbasierter Collector)
Prozessereignisse werden unter Linux Betriebssystemen unterstützt.
Prozessereignisse werden als identisch betrachtet, wenn Befehlszeile und UserID identisch sind.
Der Standardpuffer für Prozessereignisse beträgt 256 Prozesse. Wenn dieser Grenzwert erreicht wird, wird der Puffer durchlaufen, und das älteste Prozessereignis wird verworfen, um Platz für das neueste verarbeitete Ereignis zu schaffen. Eine Warnung zum Erhöhen der Cachegröße wird protokolliert.
Die für jedes Ereignis gesammelten Daten sind:
| Parameter | Beschreibung |
|---|---|
| Timestamp | Das erste Mal, dass der Prozess beobachtet wurde. |
| process_id | Die Linux PID. |
| parent_process_id | Die Linux übergeordnete PID, sofern vorhanden. |
| Commandline | Befehlszeile |
| Typ | Kann entweder fork, oder execsein. |
| hit_count | Die aggregierte Anzahl. Die Anzahl der Ausführungen desselben Prozesses während desselben Zeitrahmens, bis die Ereignisse an die Cloud gesendet werden. |
Netzwerkaktivitätsereignisse (ereignisbasierter Collector)
Netzwerkaktivitätsereignisse werden als identisch betrachtet, wenn der lokale Port, der Remoteport, das Transportprotokoll, die lokale Adresse und die Remoteadresse identisch sind.
Der Standardpuffer für ein Netzwerkaktivitätsereignis ist 256. Für Situationen, in denen der Cache voll ist:
Eclipse ThreadX-Geräte: Keine neuen Netzwerkereignisse werden zwischengespeichert, bis der nächste Sammlungszyklus beginnt.
Linux-Geräte: Das älteste Ereignis wird durch jedes neue Ereignis ersetzt. Eine Warnung zum Erhöhen der Cachegröße wird protokolliert.
Für Linux Geräte wird nur IPv4 unterstützt.
Die für jedes Ereignis gesammelten Daten sind:
| Parameter | Beschreibung |
|---|---|
| Lokale Adresse | Die Quelladresse der Verbindung. |
| Remote address | Die Zieladresse der Verbindung. |
| Lokaler Port | Der Quellport der Verbindung. |
| Remote port | Der Zielport der Verbindung. |
| Bytes_in | Die gesamten aggregierten RX-Bytes der Verbindung. |
| Bytes_out | Die gesamten aggregierten TX-Bytes der Verbindung. |
| Transport_protocol | Kann TCP, UDP oder ICMP sein. |
| Anwendungsprotokoll | Das der Verbindung zugeordnete Anwendungsprotokoll. |
| Erweiterte Eigenschaften | Die Zusätzlichen Details der Verbindung. Beispiel: host name. |
| Trefferanzahl | Die Anzahl der beobachteten Pakete |
Anmeldesammler (ereignisbasierter Collector)
Der Anmeldesammler erfasst Benutzeranmeldungen, Abmeldevorgänge und fehlgeschlagene Anmeldeversuche.
Der Login-Collector unterstützt die folgenden Arten von Auflistungsmethoden:
UTMP und SYSLOG. UTMP fängt interaktive SSH-Ereignisse, Telnet-Ereignisse und Terminalanmeldungen sowie alle fehlgeschlagenen Anmeldeereignisse von SSH, Telnet und Terminal ab. Wenn SYSLOG auf dem Gerät aktiviert ist, erfasst der Anmeldesammler auch SSH-Anmeldeereignisse über die SYSLOG-Datei namens auth.log.
Pluggable Authentication Modules (PAM). Erfasst SSH-, Telnet- und lokale Anmeldeereignisse. Weitere Informationen finden Sie unter Konfigurieren von Pluggable Authentication Modules (PAM) zum Überwachen von Anmeldeereignissen.
Die folgenden Daten werden erfasst:
| Parameter | Beschreibung |
|---|---|
| operation | Eine der folgenden Optionen: Login, Logout, , LoginFailed |
| process_id | Die Linux PID. |
| User_name | Der Linux-Benutzer. |
| Ausführbaren | Das Terminalgerät. Zum Beispiel tty1..6 oder pts/n. |
| remote_address | Die Verbindungsquelle, entweder eine Remote-IP-Adresse im IPv6- oder IPv4-Format oder 127.0.0.1/0.0.0.0 zur Angabe der lokalen Verbindung. |
Systeminformationen (triggerbasierter Collector)
Die für jedes Ereignis gesammelten Daten sind:
| Parameter | Beschreibung |
|---|---|
| hardware_vendor | Der Name des Herstellers des Geräts. |
| hardware_model | Die Modellnummer des Geräts. |
| os_dist | Die Verteilung des Betriebssystems. Beispiel: Linux. |
| os_version | Die Version des Betriebssystems. Beispiel: Windows 10, oder Ubuntu 20.04.1. |
| os_platform | Das Betriebssystem des Geräts. |
| os_arch | Die Architektur des Betriebssystems. Beispiel: x86_64. |
| Agent_type | Der Typ des Agents (Edge/Eigenständig). |
| agent_version | Die Version des Agents. |
| Nics | Der Netzwerkschnittstellencontroller. Die vollständige Liste der Eigenschaften ist unten aufgeführt. |
Die NICS-Eigenschaften setzen sich aus folgenden Komponenten zusammen:
| Parameter | Beschreibung |
|---|---|
| type | Einer der folgenden Werte: UNKNOWN, ETH, WIFI, MOBILEoder SATELLITE. |
| Vlans | Das virtuelle LAN, das der Netzwerkschnittstelle zugeordnet ist. |
| Anbieter | Der Anbieter des Netzwerkcontrollers. |
| info | IPS und MACs, die dem Netzwerkcontroller zugeordnet sind. Dies schließt die folgenden Felder ein; - ipv4_address: Die IPv4-Adresse. - ipv6_address: Die IPv6-Adresse. - mac: Die MAC-Adresse. |
Baseline (triggerbasierter Collector)
Der Baselinesammler führt regelmäßige CIS-Überprüfungen durch. Fehler, Bestanden und Überspringen von Überprüfungsergebnissen werden an den Defender für IoT-Clouddienst gesendet. Defender für IoT aggregiert die Ergebnisse und bietet Empfehlungen basierend auf Fehlern.
Die für jedes Ereignis gesammelten Daten sind:
| Parameter | Beschreibung |
|---|---|
| Überprüfen der ID | Im CIS-Format. Beispiel: CIS-debian-9-Filesystem-1.1.2. |
| Ergebnis überprüfen | Kann , Pass, Skipoder ErrorseinFail. Beispielsweise in einer Situation, Error in der die Überprüfung nicht ausgeführt werden kann. |
| Error | Die Informationen und Beschreibung des Fehlers. |
| Beschreibung | Die Beschreibung der Überprüfung von CIS. |
| Sanierung | Die Empfehlung für die Wartung von CIS. |
| Schweregrad | Der Schweregrad. |
SBoM (triggerbasierter Collector)
Der SBoM-Collector (Software Bill of Materials) sammelt die auf dem Gerät installierten Pakete in regelmäßigen Abständen.
Die für jedes Paket gesammelten Daten umfassen Folgendes:
| Parameter | Beschreibung |
|---|---|
| Name | Der Paketname. |
| Version | Die Paketversion. |
| Anbieter | Der Anbieter des Pakets, bei dem es sich um das Feld Maintainer in DEB-Paketen handelt. |
Peripherieereignisse (ereignisbasierter Collector)
Der Collector für Peripherieereignisse sammelt Verbindungen und Trennungen von USB- und Ethernet-Ereignissen.
Gesammelte Felder hängen vom Typ des Ereignisses ab:
USB-Ereignisse
| Parameter | Beschreibung |
|---|---|
| Timestamp | Der Zeitpunkt, zu dem das Ereignis aufgetreten ist. |
| ActionType | Gibt an, ob das Ereignis ein Verbindungs- oder Trennungsereignis war. |
| bus_number | Spezifischer Controllerbezeichner, jedes USB-Gerät kann mehrere haben. |
| kernel_device_number | Darstellung im Kernel des Geräts, nicht eindeutig und kann jedes Mal, wenn das Gerät verbunden ist. |
| device_class | Bezeichner, der die Geräteklasse angibt. |
| device_subclass | Bezeichner, der den Gerätetyp angibt. |
| device_protocol | Bezeichner, der das Geräteprotokoll angibt. |
| interface_class | Falls die Geräteklasse 0 ist, geben Sie den Gerätetyp an. |
| interface_subclass | Falls die Geräteklasse 0 ist, geben Sie den Gerätetyp an. |
| interface_protocol | Falls die Geräteklasse 0 ist, geben Sie den Gerätetyp an. |
Ethernet-Ereignisse
| Parameter | Beschreibung |
|---|---|
| Timestamp | Der Zeitpunkt, zu dem das Ereignis aufgetreten ist. |
| ActionType | Gibt an, ob das Ereignis ein Verbindungs- oder Trennungsereignis war. |
| bus_number | Spezifischer Controllerbezeichner, jedes USB-Gerät kann mehrere haben. |
| Schnittstellenname | Der Schnittstellenname. |
Dateisystemereignisse (ereignisbasierter Collector)
Der Dateisystemereignissesammler sammelt Ereignisse, wenn änderungen unter Überwachungsverzeichnissen für: Erstellung, Löschung, Verschieben und Ändern von Verzeichnissen und Dateien vorhanden sind. Informationen zum Definieren der Verzeichnisse und Dateien, die Sie überwachen möchten, finden Sie unter Systeminformationssammlerspezifische Einstellungen.
Die folgenden Daten werden erfasst:
| Parameter | Beschreibung |
|---|---|
| Timestamp | Der Zeitpunkt, zu dem das Ereignis aufgetreten ist. |
| Mask | Linux Maske, die sich auf das Dateisystemereignis bezieht, identifiziert die Maske den Typ der Aktion und kann einen der folgenden Sein: Access/Modified/Metadata changed/Closed/Opened/Moved/Created/Deleted. |
| Path | Verzeichnis-/Dateipfad, zu dem das Ereignis generiert wurde. |
| Trefferanzahl | Anzahl der Aggregieren dieses Ereignisses. |
Statistikdaten (triggerbasierter Collector)
Der Statistics-Collector generiert verschiedene Statistiken für die verschiedenen Micro-Agent-Sammler. Diese Statistiken enthalten Informationen über die Leistung der Kollektoren im vorherigen Sammlungszyklus. Beispiele für mögliche Statistiken sind die Anzahl der erfolgreich gesendeten Ereignisse und die Anzahl der ereignisse, die verworfen wurden, sowie die Gründe für die Fehler.
Gesammelte Felder:
| Parameter | Beschreibung |
|---|---|
| Timestamp | Der Zeitpunkt, zu dem das Ereignis aufgetreten ist. |
| Name | Name des Collectors. |
| Ereignisse | Ein Array von Paaren, die als JSON mit Beschreibung und Trefferanzahl formatiert sind. |
| Beschreibung | Gibt an, ob die Nachricht gesendet/gelöscht wurde und warum die Nachricht gelöscht wurde. |
| Trefferanzahl | Anzahl der entsprechenden Nachrichten. |
Ereignisaggregation für Prozess- und Netzwerksammler
Funktionsweise der Ereignisaggregation für Prozessereignisse und Netzwerkaktivitätsereignisse:
Defender für IoT-Agents aggregieren Ereignisse während des Sendeintervalls, das in der Konfiguration der Nachrichtenhäufigkeit für jeden Collector definiert ist, z. B. Process_MessageFrequency oder NetworkActivity_MessageFrequency. Sobald der Sendeintervallzeitraum abgelaufen ist, sendet der Agent die aggregierten Ereignisse zur weiteren Analyse an die Azure Cloud. Die aggregierten Ereignisse werden im Arbeitsspeicher gespeichert, bis sie an die Azure Cloud gesendet werden.
Wenn der Agent ähnliche Ereignisse sammelt wie diejenigen, die bereits im Arbeitsspeicher gespeichert sind, erhöht der Agent die Trefferanzahl dieses bestimmten Ereignisses, um den Speicherbedarf des Agents zu verringern. Wenn das Aggregationszeitfenster verstreicht, sendet der Agent die Trefferanzahl jedes aufgetretenen Ereignistyps. Ereignisaggregation ist die Aggregation der Trefferanzahl ähnlicher Ereignisse. Beispielsweise wird die Netzwerkaktivität mit demselben Remotehost und am gleichen Port als ein Ereignis und nicht als separates Ereignis für jedes Paket aggregiert.
Hinweis
Standardmäßig sendet der Micro-Agent Protokolle und Telemetriedaten zur Problembehandlung und Überwachung an die Cloud. Dieses Verhalten kann über den Zwilling konfiguriert oder deaktiviert werden.
Nächste Schritte
Weitere Informationen finden Sie unter:
- Micro-Agent-Konfigurationen
- Überprüfen Sie Ihre Defender für IoT-Sicherheitswarnungen.