Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Defender para IoT analiza continuamente la solución de IoT mediante análisis avanzados e inteligencia sobre amenazas para alertarle sobre actividades malintencionadas. Además, puede crear alertas personalizadas en función del conocimiento del comportamiento esperado del dispositivo. Una alerta actúa como indicador de posible peligro y debe investigarse y corregirse.
Nota:
Defender para IoT planea retirar el microagente el 1 de agosto de 2025.
En este artículo, encontrará una lista de alertas integradas que se pueden desencadenar en los dispositivos IoT.
Alertas de seguridad
Gravedad alta
| Nombre | Severity | Origen de datos | Descripción | Pasos de corrección sugeridos | Tipo de alerta |
|---|---|---|---|---|---|
| Línea de comandos binaria | Alto | Defender-IoT-micro-agent | Se detectó la Linux binario que se llama o ejecuta desde la línea de comandos. Este proceso puede ser una actividad legítima o una indicación de que el dispositivo está en peligro. | Revise el comando con el usuario que lo ejecutó y compruebe si se trata de algo que se espera legítimamente que se ejecute en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_BinaryCommandLine |
| Deshabilitación del firewall | Alto | Defender-IoT-micro-agent | Se ha detectado una posible manipulación del firewall en el host. Los actores malintencionados suelen deshabilitar el firewall en el host en un intento de filtrar datos. | Revise con el usuario que ejecutó el comando para confirmar si se trata de una actividad esperada legítima en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_DisableFirewall |
| Detección de reenvío de puertos | Alto | Defender-IoT-micro-agent | Se detectó el inicio del reenvío de puertos a una dirección IP externa. | Revise con el usuario que ejecutó el comando si se trata de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_PortForwarding |
| Posible intento de deshabilitar el registro auditado detectado | Alto | Defender-IoT-micro-agent | Linux sistema auditado proporciona una manera de realizar un seguimiento de la información relevante para la seguridad en el sistema. El sistema registra tanta información sobre los eventos que se producen en el sistema como sea posible. Esta información es fundamental para que los entornos críticos determinen quién infringió la directiva de seguridad y las acciones que realizaron. Deshabilitar el registro auditado puede impedir que detecte infracciones de las directivas de seguridad usadas en el sistema. | Compruebe con el propietario del dispositivo si se trata de una actividad legítima por motivos empresariales. Si no es así, este evento puede estar ocultando la actividad por parte de actores malintencionados. Inmediatamente se escaló el incidente al equipo de seguridad de la información. | IoT_DisableAuditdLogging |
| Shells inversos | Alto | Defender-IoT-micro-agent | El análisis de datos de host en un dispositivo detectó un posible shell inverso. Los shells inversos a menudo se usan para obtener una máquina en peligro para llamar a una máquina controlada por un actor malintencionado. | Revise con el usuario que ejecutó el comando si se trata de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_ReverseShell |
| Inicio de sesión local correcto | Alto | Defender-IoT-micro-agent | Se detectó un inicio de sesión local correcto en el dispositivo. | Asegúrese de que el usuario que ha iniciado sesión es una entidad autorizada. | IoT_SuccessfulLocalLogin |
| Shell web | Alto | Defender-IoT-micro-agent | Se ha detectado un shell web posible. Los actores malintencionados suelen cargar un shell web en una máquina en peligro para obtener persistencia o para una mayor explotación. | Revise con el usuario que ejecutó el comando si se trata de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_WebShell |
| Comportamiento similar al ransomware detectado | Alto | Defender-IoT-micro-agent | Ejecución de archivos similares a ransomware conocidos que pueden impedir que los usuarios accedan a su sistema, o archivos personales, y puede exigir el pago del rescate para recuperar el acceso. | Revise con el usuario que ejecutó el comando si se trata de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_Ransomware |
| Imagen de minero de moneda criptográfica | Alto | Defender-IoT-micro-agent | Se detectó la ejecución de un proceso normalmente asociado a la minería de moneda digital. | Compruebe con el usuario que ejecutó el comando si se trataba de una actividad legítima en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_CryptoMiner |
| Nueva conexión USB | Alto | Defender-IoT-micro-agent | Se detectó una conexión de dispositivo USB. Esto puede indicar actividad malintencionada. | Confirme que se trata de una actividad esperada legítima en el host. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_USBConnection |
| Desconexión USB | Alto | Defender-IoT-micro-agent | Se detectó una desconexión del dispositivo USB. Esto puede indicar actividad malintencionada. | Confirme que se trata de una actividad esperada legítima en el host. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_UsbDisconnection |
| Nueva conexión Ethernet | Alto | Defender-IoT-micro-agent | Se detectó una nueva conexión Ethernet. Esto puede indicar actividad malintencionada. | Confirme que se trata de una actividad esperada legítima en el host. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_EthernetConnection |
| Desconexión de Ethernet | Alto | Defender-IoT-micro-agent | Se detectó una nueva desconexión ethernet. Esto puede indicar actividad malintencionada. | Confirme que se trata de una actividad esperada legítima en el host. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_EthernetDisconnection |
| Nuevo archivo creado | Alto | Defender-IoT-micro-agent | Se detectó un nuevo archivo. Esto puede indicar actividad malintencionada. | Confirme que se trata de una actividad esperada legítima en el host. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_FileCreated |
| File Modified | Alto | Defender-IoT-micro-agent | Se detectó la modificación del archivo. Esto puede indicar actividad malintencionada. | Confirme que se trata de una actividad esperada legítima en el host. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_FileModified |
| File Deleted | Alto | Defender-IoT-micro-agent | Se detectó la eliminación de archivos. Esto puede indicar actividad malintencionada. | Confirme que se trata de una actividad esperada legítima en el host. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_FileDeleted |
Gravedad media
| Nombre | Severity | Origen de datos | Descripción | Pasos de corrección sugeridos | Tipo de alerta |
|---|---|---|---|---|---|
| Comportamiento similar al de los bots de Linux comunes detectados | Mediano | Defender-IoT-micro-agent | Se detectó la ejecución de un proceso normalmente asociado a redes bot de Linux comunes. | Revise con el usuario que ejecutó el comando si se trata de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_CommonBots |
| Comportamiento similar al ransomware fairware detectado | Mediano | Defender-IoT-micro-agent | Ejecución de comandos rm -rf aplicados a ubicaciones sospechosas detectadas mediante el análisis de datos de host. Dado que rm -rf elimina de forma recursiva los archivos, normalmente solo se usa en carpetas discretas. En este caso, se usa en una ubicación que podría quitar una gran cantidad de datos. Fairware ransomware es conocido por ejecutar comandos rm -rf en esta carpeta. | Revise con el usuario que ejecutó el comando esta era una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_FairwareMalware |
| Imagen de contenedor de minero de moneda criptográfica detectada | Mediano | Defender-IoT-micro-agent | Contenedor que detecta la ejecución de imágenes de minería de datos de moneda digital conocidas. | 1. Si este comportamiento no está pensado, elimine la imagen de contenedor pertinente. 2. Asegúrese de que el demonio de Docker no sea accesible a través de un socket TCP no seguro. 3. Escale la alerta al equipo de seguridad de la información. |
IoT_CryptoMinerContainer |
| Se detectó un uso sospechoso del comando nohup | Mediano | Defender-IoT-micro-agent | Se detectó un uso sospechoso del comando nohup en el host. Los actores malintencionados suelen ejecutar el comando nohup desde un directorio temporal, lo que permite que sus archivos ejecutables se ejecuten en segundo plano. No se espera que este comando se ejecute en los archivos ubicados en un directorio temporal o no es un comportamiento habitual. | Revise con el usuario que ejecutó el comando si se trata de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_SuspiciousNohup |
| Se detectó un uso sospechoso del comando useradd | Mediano | Defender-IoT-micro-agent | Se detectó un uso sospechoso del comando useradd en el dispositivo. | Revise con el usuario que ejecutó el comando si se trata de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_SuspiciousUseradd |
| Demonio de Docker expuesto por socket TCP | Mediano | Defender-IoT-micro-agent | Los registros de máquina indican que el demonio de Docker (dockerd) expone un socket TCP. De forma predeterminada, la configuración de Docker no usa cifrado ni autenticación cuando se habilita un socket TCP. La configuración predeterminada de Docker permite el acceso total al demonio de Docker, por parte de cualquier usuario con acceso al puerto correspondiente. | Revise con el usuario que ejecutó el comando si se trata de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_ExposedDocker |
| Inicio de sesión local con error | Mediano | Defender-IoT-micro-agent | Se detectó un intento de inicio de sesión local erróneo en el dispositivo. | Asegúrese de que ninguna parte no autorizada tenga acceso físico al dispositivo. | IoT_FailedLocalLogin |
| Descarga de archivos detectada desde un origen malintencionado | Mediano | Defender-IoT-micro-agent | Se detectó la descarga de un archivo desde un origen de malware conocido. | Revise con el usuario que ejecutó el comando si se trata de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_PossibleMalware |
| se detectó el acceso a archivos htaccess | Mediano | Defender-IoT-micro-agent | El análisis de los datos del host detectó una posible manipulación de un archivo htaccess. Htaccess es un archivo de configuración eficaz que permite realizar varios cambios en un servidor web que ejecuta software Apache Web, incluida la funcionalidad básica de redireccionamiento, y funciones más avanzadas, como la protección con contraseña básica. Los actores malintencionados suelen modificar archivos htaccess en máquinas en peligro para obtener persistencia. | Confirme que se trata de una actividad esperada legítima en el host. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_AccessingHtaccessFile |
| Herramienta de ataque conocida | Mediano | Defender-IoT-micro-agent | Se detectó de alguna manera una herramienta asociada a usuarios malintencionados que atacan a otras máquinas. | Revise con el usuario que ejecutó el comando si se trata de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_KnownAttackTools |
| Reconocimiento de host local detectado | Mediano | Defender-IoT-micro-agent | Se detectó la ejecución de un comando normalmente asociado con el reconocimiento común Linux bot. | Revise la línea de comandos sospechosa para confirmar que fue ejecutada por un usuario legítimo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_LinuxReconnaissance |
| Discrepancia entre el intérprete de script y la extensión de archivo | Mediano | Defender-IoT-micro-agent | No coincide entre el intérprete de script y la extensión del archivo de script proporcionado como entrada detectada. Este tipo de falta de coincidencia suele asociarse con ejecuciones de scripts del atacante. | Revise con el usuario que ejecutó el comando si se trata de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_ScriptInterpreterMismatch |
| Posible puerta trasera detectada | Mediano | Defender-IoT-micro-agent | Se descargó un archivo sospechoso y, a continuación, se ejecutó en un host de la suscripción. Este tipo de actividad suele asociarse a la instalación de una puerta trasera. | Revise con el usuario que ejecutó el comando si se trata de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_LinuxBackdoor |
| Posible pérdida de datos detectada | Mediano | Defender-IoT-micro-agent | Posible condición de salida de datos detectada mediante el análisis de datos de host. Los actores malintencionados suelen salir de los datos de máquinas en peligro. | Revise con el usuario que ejecutó el comando si se trata de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_EgressData |
| Se detectó un contenedor con privilegios | Mediano | Defender-IoT-micro-agent | Los registros de máquina indican que se está ejecutando un contenedor de Docker con privilegios. Un contenedor con privilegios tiene acceso completo a los recursos de host. Si se pone en peligro, un actor malintencionado puede usar el contenedor con privilegios para obtener acceso a la máquina host. | Si el contenedor no necesita ejecutarse en modo con privilegios, quite los privilegios del contenedor. | IoT_PrivilegedContainer |
| Eliminación de archivos de registros del sistema detectados | Mediano | Defender-IoT-micro-agent | Se detectó la eliminación sospechosa de archivos de registro en el host. | Revise con el usuario que ejecutó el comando si se trata de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_RemovalOfSystemLogs |
| Espacio después del nombre de archivo | Mediano | Defender-IoT-micro-agent | Ejecución de un proceso con una extensión sospechosa detectada mediante el análisis de datos de host. Las extensiones sospechosas pueden engañar a los usuarios para pensar que los archivos son seguros para ser abiertos y puede indicar la presencia de malware en el sistema. | Revise con el usuario que ejecutó el comando si se trata de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_ExecuteFileWithTrailingSpace |
| Herramientas que se usan habitualmente para el acceso a credenciales malintencionadas detectadas | Mediano | Defender-IoT-micro-agent | Uso de detección de una herramienta comúnmente asociada a intentos malintencionados de acceso a las credenciales. | Revise con el usuario que ejecutó el comando si se trata de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_CredentialAccessTools |
| Se detectó una compilación sospechosa | Mediano | Defender-IoT-micro-agent | Se detectó una compilación sospechosa. Los actores malintencionados suelen compilar vulnerabilidades de seguridad en una máquina en peligro para escalar los privilegios. | Revise con el usuario que ejecutó el comando si se trata de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_SuspiciousCompilation |
| Descarga de archivos sospechosa seguida de la actividad de ejecución de archivos | Mediano | Defender-IoT-micro-agent | El análisis de datos de host detectó un archivo que se descargó y se ejecutó en el mismo comando. Esta técnica la usan habitualmente los actores malintencionados para obtener archivos infectados en las máquinas víctimas. | Revise con el usuario que ejecutó el comando si se trata de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_DownloadFileThenRun |
| Comunicación de direcciones IP sospechosas | Mediano | Defender-IoT-micro-agent | Comunicación con una dirección IP sospechosa detectada. | Compruebe si la conexión es legítima. Considere la posibilidad de bloquear la comunicación con la dirección IP sospechosa. | IoT_TiConnection |
| Solicitud de nombre de dominio malintencionado | Mediano | Defender-IoT-micro-agent | Se detectó actividad de red sospechosa. Esta actividad puede estar asociada a un ataque que aprovecha un método utilizado por malware conocido. | Desconecte el origen de la red. Realizar la respuesta a incidentes. | IoT_MaliciousNameQueriesDetection |
Gravedad baja
| Nombre | Severity | Origen de datos | Descripción | Pasos de corrección sugeridos | Tipo de alerta |
|---|---|---|---|---|---|
| Historial de Bash borrado | Bajo | Defender-IoT-micro-agent | Registro del historial de Bash desactivado. Normalmente, los actores malintencionados borran el historial de Bash para ocultar que sus propios comandos aparecen en los registros. | Revise con el usuario que ejecutó el comando que la actividad de esta alerta para ver si reconoce esta actividad como actividad administrativa legítima. Si no es así, escale la alerta al equipo de seguridad de la información. | IoT_ClearHistoryFile |
Pasos siguientes
- Introducción al servicio Defender para IoT