Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los agentes de seguridad de Defender para IoT recopilan datos y eventos del sistema del dispositivo local y envían los datos a la nube de Azure para su procesamiento.
Nota:
Defender para IoT planea retirar el microagente el 1 de agosto de 2025.
Si ha configurado y conectado un área de trabajo de Log Analytics, verá estos eventos en Log Analytics. Para obtener más información, vea Tutorial: Investigar alertas de seguridad.
El microagente de Defender para IoT recopila muchos tipos de eventos de dispositivo, incluidos nuevos procesos y todos los nuevos eventos de conexión. Tanto el nuevo proceso como los nuevos eventos de conexión pueden producirse con frecuencia en un dispositivo. Esta funcionalidad es importante para una seguridad completa; sin embargo, el número de mensajes que envían los agentes de seguridad puede cumplir rápidamente o superar la cuota de IoT Hub y los límites de costos. Estos mensajes y eventos contienen información de seguridad muy valiosa que es fundamental para proteger el dispositivo.
Para reducir el número de mensajes y costos mientras se mantiene la seguridad del dispositivo, los agentes de Defender para IoT agregan los siguientes tipos de eventos:
Eventos de proceso (solo Linux)
Eventos de actividad de red
Eventos del sistema de archivos
Eventos de estadísticas
Para obtener más información, consulte agregación de eventos para recopiladores de procesos y redes.
Los recopiladores basados en eventos son recopiladores que se desencadenan en función de la actividad correspondiente desde dentro del dispositivo. Por ejemplo, a process was started in the device.
Los recopiladores basados en desencadenadores son recopiladores que se desencadenan de forma programada en función de las configuraciones del cliente.
Eventos de proceso (recopilador basado en eventos)
Los eventos de proceso se admiten en Linux sistemas operativos.
Los eventos de proceso se consideran idénticos cuando la línea de comandos y userid son idénticos.
El búfer predeterminado para los eventos de proceso es de 256 procesos. Cuando se cumpla este límite, el búfer cambiará de ciclo y se descartará el evento de proceso más antiguo para dejar espacio al evento procesado más reciente. Se registrará una advertencia para aumentar el tamaño de caché.
Los datos recopilados para cada evento son:
| Parámetro | Descripción |
|---|---|
| Timestamp | La primera vez que se observó el proceso. |
| process_id | Pid de Linux. |
| parent_process_id | El Linux PID primario, si existe. |
| Línea de comandos | Línea de comandos. |
| Tipo | Puede ser fork, o exec. |
| hit_count | Recuento agregado. Número de ejecuciones del mismo proceso, durante el mismo período de tiempo, hasta que los eventos se envían a la nube. |
Eventos de actividad de red (recopilador basado en eventos)
Los eventos de actividad de red se consideran idénticos cuando el puerto local, el puerto remoto, el protocolo de transporte, la dirección local y la dirección remota son idénticos.
El búfer predeterminado para un evento de actividad de red es 256. Para situaciones en las que la memoria caché está llena:
Dispositivos ThreadX de Eclipse: no se almacenarán nuevos eventos de red en caché hasta que se inicie el siguiente ciclo de recopilación.
Linux dispositivos: el evento más antiguo se reemplazará por cada evento nuevo. Se registrará una advertencia para aumentar el tamaño de caché.
Para Linux dispositivos, solo se admite IPv4.
Los datos recopilados para cada evento son:
| Parámetro | Descripción |
|---|---|
| Dirección local | Dirección de origen de la conexión. |
| Dirección remota | Dirección de destino de la conexión. |
| Puerto local | Puerto de origen de la conexión. |
| Puerto remoto | Puerto de destino de la conexión. |
| Bytes_in | Bytes RX agregados totales de la conexión. |
| Bytes_out | Bytes tx agregados totales de la conexión. |
| Transport_protocol | Puede ser TCP, UDP o ICMP. |
| Protocolo de aplicación | Protocolo de aplicación asociado a la conexión. |
| Propiedades extendidas | Detalles adicionales de la conexión. Por ejemplo, host name. |
| Recuento de aciertos | Recuento de paquetes observados |
Recopilador de inicio de sesión (recopilador basado en eventos)
El recopilador de inicios de sesión recopila inicios de sesión de usuario, cierres de sesión e intentos de inicio de sesión erróneos.
El recopilador de inicio de sesión admite los siguientes tipos de métodos de colección:
UTMP y SYSLOG. UTMP detecta eventos interactivos SSH, eventos telnet e inicios de sesión de terminal, así como todos los eventos de inicio de sesión con errores de SSH, telnet y terminal. Si SYSLOG está habilitado en el dispositivo, el recopilador de inicios de sesión también recopila eventos de inicio de sesión SSH a través del archivo SYSLOG denominado auth.log.
Módulos de autenticación conectables (PAM). Recopila eventos de inicio de sesión ssh, telnet y local. Para obtener más información, vea Configurar módulos de autenticación conectables (PAM) para auditar eventos de inicio de sesión.
Se recopila la siguiente información:
| Parámetro | Descripción |
|---|---|
| operation | Uno de los siguientes: Login, , LogoutLoginFailed |
| process_id | Pid de Linux. |
| user_name | El usuario Linux. |
| ejecutable | El dispositivo terminal. Por ejemplo, tty1..6 o pts/n. |
| remote_address | Origen de la conexión, ya sea una dirección IP remota en formato IPv6 o IPv4, o 127.0.0.1/0.0.0.0 para indicar la conexión local. |
Información del sistema (recopilador basado en desencadenadores)
Los datos recopilados para cada evento son:
| Parámetro | Descripción |
|---|---|
| hardware_vendor | Nombre del proveedor del dispositivo. |
| hardware_model | Número de modelo del dispositivo. |
| os_dist | Distribución del sistema operativo. Por ejemplo, Linux. |
| os_version | Versión del sistema operativo. Por ejemplo, Windows 10, o Ubuntu 20.04.1. |
| os_platform | Sistema operativo del dispositivo. |
| os_arch | Arquitectura del sistema operativo. Por ejemplo, x86_64. |
| agent_type | Tipo del agente (Edge/Independiente). |
| agent_version | Versión del agente. |
| nics | Controlador de interfaz de red. A continuación se muestra la lista completa de propiedades. |
Las propiedades nics se componen de lo siguiente;
| Parámetro | Descripción |
|---|---|
| type | Uno de los siguientes valores: UNKNOWN, ETH, WIFI, MOBILEo SATELLITE. |
| vlans | La red virtual asociada a la interfaz de red. |
| proveedor | Proveedor de la controladora de red. |
| info | IPS y MACs asociados a la controladora de red. Esto incluye los campos siguientes; - ipv4_address: la dirección IPv4. - ipv6_address: la dirección IPv6. - mac: la dirección MAC. |
Línea base (recopilador basado en desencadenadores)
El recopilador de línea base realiza comprobaciones cis periódicas y los resultados de comprobación de errores, pases y omitirlos se envían al servicio en la nube de Defender para IoT. Defender para IoT agrega los resultados y proporciona recomendaciones basadas en errores.
Los datos recopilados para cada evento son:
| Parámetro | Descripción |
|---|---|
| Comprobar id. | En formato CIS. Por ejemplo, CIS-debian-9-Filesystem-1.1.2. |
| Comprobar el resultado | Puede ser Fail, Pass, Skipo Error. Por ejemplo, Error en una situación en la que la comprobación no se puede ejecutar. |
| Error | Información y descripción del error. |
| Descripción | Descripción de la comprobación de CIS. |
| Corrección | Recomendación para la corrección de CIS. |
| Gravedad | Nivel de gravedad. |
SBoM (recopilador basado en desencadenadores)
El recopilador SBoM (Lista de materiales de software) recopila periódicamente los paquetes instalados en el dispositivo.
Los datos recopilados en cada paquete incluyen:
| Parámetro | Descripción |
|---|---|
| Name | Nombre del paquete. |
| Versión | La versión del paquete. |
| Proveedor | Proveedor del paquete, que es el campo Mantenedor en paquetes deb. |
Eventos periféricos (recopilador basado en eventos)
El recopilador de eventos periféricos recopila conexiones y desconexiones de eventos USB y Ethernet.
Los campos recopilados dependen del tipo de evento:
Eventos USB
| Parámetro | Descripción |
|---|---|
| Timestamp | Hora en que se produjo el evento. |
| ActionType | Si el evento era un evento de conexión o de desconexión. |
| bus_number | Identificador de controlador específico, cada dispositivo USB puede tener varios. |
| kernel_device_number | Representación en el kernel del dispositivo, no única y puede cada vez que se conecta el dispositivo. |
| device_class | Identificador que especifica la clase de dispositivo. |
| device_subclass | Identificador que especifica el tipo de dispositivo. |
| device_protocol | Identificador que especifica el protocolo de dispositivo. |
| interface_class | En caso de que la clase de dispositivo sea 0, indique el tipo de dispositivo. |
| interface_subclass | En caso de que la clase de dispositivo sea 0, indique el tipo de dispositivo. |
| interface_protocol | En caso de que la clase de dispositivo sea 0, indique el tipo de dispositivo. |
Eventos Ethernet
| Parámetro | Descripción |
|---|---|
| Timestamp | Hora en que se produjo el evento. |
| ActionType | Si el evento era un evento de conexión o de desconexión. |
| bus_number | Identificador de controlador específico, cada dispositivo USB puede tener varios. |
| Nombre de la interfaz | Nombre de la interfaz. |
Eventos del sistema de archivos (recopilador basado en eventos)
El recopilador de eventos del sistema de archivos recopila eventos cada vez que hay cambios en los directorios de inspección para: creación, eliminación, movimiento y modificación de directorios y archivos. Para definir qué directorios y archivos desea supervisar, consulte Configuración específica del recopilador de información del sistema.
Se recopila la siguiente información:
| Parámetro | Descripción |
|---|---|
| Timestamp | Hora en que se produjo el evento. |
| Mask | Linux máscara de inotificación relacionada con el evento del sistema de archivos, la máscara identifica el tipo de la acción y puede ser una de las siguientes: Access/Modified/Metadata changed/Closed/Opened/Moved/Created/Deleted. |
| Ruta de acceso | Ruta de acceso de directorio o archivo en la que se generó el evento. |
| Hitcount | Número de veces que se ha agregado este evento. |
Datos de estadísticas (recopilador basado en desencadenadores)
El recopilador de estadísticas genera varias estadísticas en los distintos recopiladores de microagentes. Estas estadísticas proporcionan información sobre el rendimiento de los recopiladores en el ciclo de recopilación anterior. Entre los ejemplos de posibles estadísticas se incluyen el número de eventos que se enviaron correctamente y el número de eventos que se quitaron, junto con los motivos de los errores.
Campos recopilados:
| Parámetro | Descripción |
|---|---|
| Timestamp | Hora en que se produjo el evento. |
| Nombre | Nombre del recopilador. |
| Eventos | Matriz de pares con formato JSON con descripción y número de aciertos. |
| Descripción | Si el mensaje se envió o quitó y el motivo para quitarlo. |
| Hitcount | Número de mensajes respectivos. |
Agregación de eventos para recopiladores de procesos y redes
Cómo funciona la agregación de eventos para los eventos Process y Network Activity:
Los agentes de Defender para IoT agregan eventos durante el intervalo de envío definido en la configuración de frecuencia de mensaje para cada recopilador, como Process_MessageFrequency o NetworkActivity_MessageFrequency. Una vez transcurrido el período de intervalo de envío, el agente envía los eventos agregados a la nube de Azure para su posterior análisis. Los eventos agregados se almacenan en memoria hasta que se envían a la nube de Azure.
Cuando el agente recopila eventos similares a los que ya están almacenados en memoria, el agente aumentará el número de aciertos de este evento específico para reducir la superficie de memoria del agente. Cuando pasa el período de tiempo de agregación, el agente envía el recuento de aciertos de cada tipo de evento que se produjo. La agregación de eventos es la agregación de los recuentos de aciertos de eventos similares. Por ejemplo, la actividad de red con el mismo host remoto y en el mismo puerto se agrega como un evento, en lugar de como un evento independiente para cada paquete.
Nota:
De forma predeterminada, el microagente envía registros y telemetría a la nube con fines de solución de problemas y supervisión. Este comportamiento se puede configurar o desactivar a través del gemelo.
Siguientes pasos
Para más información, vea: