Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Defender for IoT analysoi jatkuvasti IoT-ratkaisuasi kehittyneen analysoinnin ja uhkatietojen avulla varoittaakseen haitallisesta toiminnasta. Lisäksi voit luoda mukautettuja ilmoituksia, jotka perustuvat tietoihisi laitteen odotetusta toiminnasta. Hälytys toimii merkkinä mahdollisesta kompromissista, ja se on tutkittava ja korjattava.
Huomautus
IoT:n puolustaja aikoo poistaa mikroagentin käytöstä 1.8.2025.
Tässä artikkelissa on luettelo sisäisistä ilmoituksista, jotka voidaan käynnistää IoT-laitteissasi.
Suojaushälytykset
Suuri vakavuusaste
| Nimi | Vakavuus | Tietolähteen | Kuvaus | Ehdotetut korjausvaiheet | Ilmoituksen tyyppi |
|---|---|---|---|---|---|
| Binaarinen komentorivi | Korkea | Defender-IoT-micro-agent | LA Linux havaittiin, että binaaria kutsuttiin tai suoritettiin komentoriviltä. Tämä prosessi voi olla oikeutettua toimintaa tai osoitus siitä, että laite on vaarantunut. | Tarkista komento sen suorittaneen käyttäjän kanssa ja tarkista, onko tämä jotain, jonka pitäisi laillisesti toimia laitteessa. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_BinaryCommandLine |
| Poista palomuuri käytöstä | Korkea | Defender-IoT-micro-agent | Havaittu mahdollinen isännän palomuurin käsittely. Pahantahtoiset toimijat poistavat usein käytöstä isännän palomuurin yrittäessään suodattaa tietoja. | Tarkista komennon suorittaneen käyttäjän kanssa, oliko tämä oikeutettua odotettua toimintaa laitteessa. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_DisableFirewall |
| Portin edelleenlähetystunnistus | Korkea | Defender-IoT-micro-agent | Havaittiin portin välittäminen edelleen ulkoiseen IP-osoitteeseen. | Tarkista komennon suorittaneen käyttäjän kanssa, oliko tämä oikeutettua toimintaa, jonka odotat näkeväni laitteessa. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_PortForwarding |
| Havaittu mahdollinen yritys poistaa valvontaloki käytöstä | Korkea | Defender-IoT-micro-agent | Linux Auditd -järjestelmän avulla voidaan seurata järjestelmän tietoturvaan liittyviä tietoja. Järjestelmä tallentaa mahdollisimman paljon tietoja järjestelmässäsi tapahtuvista tapahtumista. Nämä tiedot ovat tärkeitä, jotta toiminnan kannalta tärkeät ympäristöt voivat määrittää, kuka on rikkonut suojauskäytäntöä ja mitä toimia ne suorittivat. Valvontalokin poistaminen käytöstä saattaa estää kyvysi havaita järjestelmässä käytettyjen suojauskäytäntöjen rikkomuksia. | Tarkista laitteen omistajalta, oliko tämä oikeutettua toimintaa liiketoiminnallisista syistä. Jos näin ei ole, tämä tapahtuma saattaa salata pahantahtoisten toimijoiden toimintaa. Eskaloi tapahtuma välittömästi tietoturvaryhmälle. | IoT_DisableAuditdLogging |
| Käänteinen kuori | Korkea | Defender-IoT-micro-agent | Laitteen isäntätietojen analyysi havaitsi mahdollisen käänteisen liittymän. Käänteisiä hylsyjä käytetään usein vaarantuneen koneen saamiseen takaisin pahantahtoisen toimijan ohjaamaan koneeseen. | Tarkista komennon suorittaneen käyttäjän kanssa, oliko tämä oikeutettua toimintaa, jonka odotat näkeväni laitteessa. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_ReverseShell |
| Paikallinen kirjautuminen onnistui | Korkea | Defender-IoT-micro-agent | Havaittiin onnistunut paikallinen kirjautuminen laitteeseen. | Varmista, että kirjautunut käyttäjä on valtuutettu osapuoli. | IoT_SuccessfulLocalLogin |
| VERKKO-käyttöliittymä | Korkea | Defender-IoT-micro-agent | Mahdollinen verkkoliittymä havaittu. Pahantahtoiset toimijat lataavat yleensä verkkoliittymän vaarantuneeseen koneeseen sinnikkyyden tai lisäkäytön saamiseksi. | Tarkista komennon suorittaneen käyttäjän kanssa, oliko tämä oikeutettua toimintaa, jonka odotat näkeväni laitteessa. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_WebShell |
| Havaittiin samankaltainen toiminta kuin kiristyshaittaohjelma | Korkea | Defender-IoT-micro-agent | Suoritetaan tiedostoja, jotka muistuttavat tunnettuja kiristysohjelmia, jotka voivat estää käyttäjiä käyttämästä järjestelmäänsä tai henkilökohtaisia tiedostojaan, ja voivat vaatia lunnasmaksua käyttöoikeuden palauttamiseksi. | Tarkista komennon suorittaneen käyttäjän kanssa, oliko tämä oikeutettua toimintaa, jonka odotat näkeväni laitteessa. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_Ransomware |
| Crypto-kolikon louhijan kuva | Korkea | Defender-IoT-micro-agent | Havaittiin digitaalisen valuutan louhintaan tavallisesti liittyvän prosessin suorittaminen. | Tarkista komennon suorittaneen käyttäjän kanssa, oliko tämä oikeutettua toimintaa laitteessa. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_CryptoMiner |
| Uusi USB-yhteys | Korkea | Defender-IoT-micro-agent | USB-laitteen yhteys havaittiin. Tämä voi tarkoittaa haitallista toimintaa. | Vahvista, että tämä on oikeutettua odotettua toimintaa isännässä. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_USBConnection |
| USB-yhteyden katkaisu | Korkea | Defender-IoT-micro-agent | USB-laitteen yhteys havaittiin. Tämä voi tarkoittaa haitallista toimintaa. | Vahvista, että tämä on oikeutettua odotettua toimintaa isännässä. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_UsbDisconnection |
| Uusi Ethernet-yhteys | Korkea | Defender-IoT-micro-agent | Uusi Ethernet-yhteys havaittiin. Tämä voi tarkoittaa haitallista toimintaa. | Vahvista, että tämä on oikeutettua odotettua toimintaa isännässä. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_EthernetConnection |
| Ethernet-yhteyden katkaiseminen | Korkea | Defender-IoT-micro-agent | Uusi Ethernet-yhteys havaittiin. Tämä voi tarkoittaa haitallista toimintaa. | Vahvista, että tämä on oikeutettua odotettua toimintaa isännässä. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_EthernetDisconnection |
| Uusi tiedosto luotu | Korkea | Defender-IoT-micro-agent | Havaittiin uusi tiedosto. Tämä voi tarkoittaa haitallista toimintaa. | Vahvista, että tämä on oikeutettua odotettua toimintaa isännässä. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_FileCreated |
| Tiedostoa muokattu | Korkea | Defender-IoT-micro-agent | Tiedostomuokkaus havaittiin. Tämä voi tarkoittaa haitallista toimintaa. | Vahvista, että tämä on oikeutettua odotettua toimintaa isännässä. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_FileModified |
| Tiedosto poistettu | Korkea | Defender-IoT-micro-agent | Tiedoston poistaminen havaittiin. Tämä voi tarkoittaa haitallista toimintaa. | Vahvista, että tämä on oikeutettua odotettua toimintaa isännässä. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_FileDeleted |
Keskikokoinen vakavuus
| Nimi | Vakavuus | Tietolähteen | Kuvaus | Ehdotetut korjausvaiheet | Ilmoituksen tyyppi |
|---|---|---|---|---|---|
| Yleinen Linux bottien havaittu toiminta | Normaali | Defender-IoT-micro-agent | Yleensä yleisiin Linux botnetteihin liittyvän prosessin suorittaminen havaittiin. | Tarkista komennon suorittaneen käyttäjän kanssa, oliko tämä oikeutettua toimintaa, jonka odotat näkeväni laitteessa. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_CommonBots |
| Havaittiin samankaltainen toiminta kuin fairware-kiristyshaittaohjelma | Normaali | Defender-IoT-micro-agent | Epäilyttävissä sijainneissa havaittujen rm -rf-komentojen suorittaminen isäntätietojen analyysin avulla. Koska rm -rf poistaa tiedostoja rekursiivisesti, sitä käytetään yleensä vain erillisissä kansioissa. Tässä tapauksessa sitä käytetään sijainnissa, joka voi poistaa suuren määrän tietoja. Fairware ransomware tiedetään suorittaa rm -rf komentoja tässä kansiossa. | Tarkista sen käyttäjän kanssa, joka suoritti komennon, tämä oli oikeutettua toimintaa, jonka odotat näkevän laitteessa. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_FairwareMalware |
| Crypto-kolikon louhija -säilön kuva havaittu | Normaali | Defender-IoT-micro-agent | Säilö, joka havaitsee tunnettujen digitaalisten valuuttojen louhintakuvien suorittamisen. | 1. Jos tätä toimintoa ei ole tarkoitettu, poista asianmukainen säilön kuva. 2. Varmista, että Docker-daemonia ei voi käyttää vaarallisen TCP-vastakkeen kautta. 3. Eskaloi ilmoitus tietoturvaryhmälle. |
IoT_CryptoMinerContainer |
| Havaittiin epäilyttävä nohup-komennon käyttö | Normaali | Defender-IoT-micro-agent | Havaittiin epäilyttävä nohup-komennon käyttö isännässä. Pahantahtoiset toimijat suorittavat yleensä nohup-komennon väliaikaisesta hakemistosta, jolloin heidän suoritettavat tiedostonsa voidaan suorittaa taustalla. Tämän komennon näkeminen väliaikaisessa hakemistossa sijaitsevissa tiedostoissa ei ole odotettua tai tavallista toimintaa. | Tarkista komennon suorittaneen käyttäjän kanssa, oliko tämä oikeutettua toimintaa, jonka odotat näkeväni laitteessa. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_SuspiciousNohup |
| Havaittiin useradd-komennon epäilyttävä käyttö | Normaali | Defender-IoT-micro-agent | Laitteessa havaittua useradd-komennon epäilyttävää käyttöä. | Tarkista komennon suorittaneen käyttäjän kanssa, oliko tämä oikeutettua toimintaa, jonka odotat näkeväni laitteessa. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_SuspiciousUseradd |
| TCP-vastakkeen altistama Docker-daemon | Normaali | Defender-IoT-micro-agent | Tietokoneen lokit ilmaisevat, että Docker-daemon (dockerd) paljastaa TCP-vastakkeen. Oletuksena Docker-määritys ei käytä salausta tai todennusta, kun TCP-vastake on käytössä. Docker-oletusmääritys mahdollistaa Docker-daemonin täydet käyttöoikeudet kaikille, joilla on kyseisen portin käyttöoikeus. | Tarkista komennon suorittaneen käyttäjän kanssa, oliko tämä oikeutettua toimintaa, jonka odotat näkeväni laitteessa. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_ExposedDocker |
| Paikallinen kirjautuminen epäonnistui | Normaali | Defender-IoT-micro-agent | Havaittiin epäonnistunut paikallinen kirjautumisyritys laitteeseen. | Varmista, että kenelläkään valtuuttamattomalla osapuolelta ei ole laitteen fyysistä käyttöoikeutta. | IoT_FailedLocalLogin |
| Havaittiin tiedoston lataaminen haitallisesta lähteestä | Normaali | Defender-IoT-micro-agent | Tiedoston lataaminen tunnetusta haittaohjelmalähteestä havaittu. | Tarkista komennon suorittaneen käyttäjän kanssa, oliko tämä oikeutettua toimintaa, jonka odotat näkeväni laitteessa. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_PossibleMalware |
| htaccess-tiedoston käyttö havaittu | Normaali | Defender-IoT-micro-agent | Isäntätietojen analysointi havaittu htaccess-tiedoston mahdollisessa käsittelyssä. Htaccess on tehokas määritystiedosto, jonka avulla voit tehdä useita muutoksia Apache-verkko-ohjelmistoa käyttävään verkkopalvelimeen, mukaan lukien perusohjaustoiminnot ja edistyneemmät funktiot, kuten salasanan perussuojaus. Pahantahtoiset toimijat muokkaavat usein htaccess-tiedostoja vaarantuneissa koneissa sinnikkyyden saamiseksi. | Vahvista, että tämä on oikeutettua toimintaa isännässä. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_AccessingHtaccessFile |
| Tunnettu hyökkäystyökalu | Normaali | Defender-IoT-micro-agent | Havaittiin työkalu, joka usein liittyy siihen, että pahantahtoiset käyttäjät hyökkäävät jollain tavalla toisiin koneisiin. | Tarkista komennon suorittaneen käyttäjän kanssa, oliko tämä oikeutettua toimintaa, jonka odotat näkeväni laitteessa. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_KnownAttackTools |
| Havaittiin paikallisen isännän tiedustelu | Normaali | Defender-IoT-micro-agent | Komennon suorittaminen, joka tavallisesti liittyy yleiseen Linux botin reconnaissance havaittu. | Tarkista epäilyttävä komentorivi ja varmista, että laillinen käyttäjä on suorittanut sen. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_LinuxReconnaissance |
| Komentosarjan tulkin ja tiedostotunnisteen välinen ristiriita | Normaali | Defender-IoT-micro-agent | Komentosarjan tulkin ja syötteeksi annetun komentosarjatiedoston tunnisteen välinen ristiriita. Tällainen ristiriita liittyy yleensä hyökkääjän komentosarjojen suorituksiin. | Tarkista komennon suorittaneen käyttäjän kanssa, oliko tämä oikeutettua toimintaa, jonka odotat näkeväni laitteessa. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_ScriptInterpreterMismatch |
| Mahdollinen takaoven havaittu | Normaali | Defender-IoT-micro-agent | Epäilyttävä tiedosto ladattiin ja suoritettiin sitten tilauksessasi olevalle isännälle. Tällainen toiminto liittyy yleensä takaoven asennukseen. | Tarkista komennon suorittaneen käyttäjän kanssa, oliko tämä oikeutettua toimintaa, jonka odotat näkeväni laitteessa. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_LinuxBackdoor |
| Tietojen mahdollinen menettäminen havaittu | Normaali | Defender-IoT-micro-agent | Mahdollinen tietojen lähtemisen tila havaittu isäntätietojen analyysin avulla. Pahantahtoiset toimijat lähtevät usein tietoja vaarantuneissa koneissa. | Tarkista komennon suorittaneen käyttäjän kanssa, oliko tämä oikeutettua toimintaa, jonka odotat näkeväni laitteessa. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_EgressData |
| Etuoikeutettu säilö havaittu | Normaali | Defender-IoT-micro-agent | Tietokoneen lokit ilmaisevat, että etuoikeutettu Docker-säilö on käynnissä. Etuoikeutetussa säilössä on täydet käyttöoikeudet isäntäresursseihin. Jos sovellus vaarantuu, pahantahtoinen toimija voi käyttää etuoikeutettua säilöä päästäkseen käyttämään isäntäkonetta. | Jos säilön ei tarvitse toimia etuoikeutetussa tilassa, poista oikeudet säilöstä. | IoT_PrivilegedContainer |
| Järjestelmälokitiedostojen poistaminen havaittu | Normaali | Defender-IoT-micro-agent | Havaittujen lokitiedostojen epäilyttävä poistaminen. | Tarkista komennon suorittaneen käyttäjän kanssa, oliko tämä oikeutettua toimintaa, jonka odotat näkeväni laitteessa. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_RemovalOfSystemLogs |
| Väli tiedostonimen jälkeen | Normaali | Defender-IoT-micro-agent | Epäilyttävän tunnisteen sisältävän prosessin suorittaminen havaittu isäntätietojen analyysin avulla. Epäilyttävät laajennukset saattavat huijata käyttäjiä luulemaan, että tiedostot on turvallista avata, ja ne voivat osoittaa, että järjestelmässä on haittaohjelmia. | Tarkista komennon suorittaneen käyttäjän kanssa, oliko tämä oikeutettua toimintaa, jonka odotat näkeväni laitteessa. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_ExecuteFileWithTrailingSpace |
| Työkalut, joita käytetään yleisesti haitallisten tunnistetietojen käytössä havaittu | Normaali | Defender-IoT-micro-agent | Tunnistetietojen väärinkäyttöyrityksiin yleisesti liittyvän työkalun käytön havaitseminen. | Tarkista komennon suorittaneen käyttäjän kanssa, oliko tämä oikeutettua toimintaa, jonka odotat näkeväni laitteessa. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_CredentialAccessTools |
| Havaittiin epäilyttävä kääntäminen | Normaali | Defender-IoT-micro-agent | Havaittiin epäilyttävä kääntäminen. Pahantahtoiset toimijat kokoavat usein riistoja vaarantuneessa koneessa oikeuksien eskaloimiseksi. | Tarkista komennon suorittaneen käyttäjän kanssa, oliko tämä oikeutettua toimintaa, jonka odotat näkeväni laitteessa. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_SuspiciousCompilation |
| Epäilyttävä tiedoston lataus ja tiedoston suoritustoiminto | Normaali | Defender-IoT-micro-agent | Isäntätietojen analyysi havaitsi tiedoston, joka ladattiin ja suoritettiin samassa komennossa. Pahantahtoiset toimijat käyttävät tätä tekniikkaa usein tartunnan saaneiden tiedostojen saamiseksi uhrikoneisiin. | Tarkista komennon suorittaneen käyttäjän kanssa, oliko tämä oikeutettua toimintaa, jonka odotat näkeväni laitteessa. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_DownloadFileThenRun |
| Epäilyttävä IP-osoitteen tietoliikenne | Normaali | Defender-IoT-micro-agent | Havaittiin tietoliikenne epäilyttävällä IP-osoitteella. | Varmista, että yhteys on kelvollinen. Harkitse epäilyttävän IP-osoitteen tietoliikenteen estämistä. | IoT_TiConnection |
| Pahantahtoisen toimialueen nimipyyntö | Normaali | Defender-IoT-micro-agent | Havaittiin epäilyttävää verkkotoimintaa. Tämä toiminta voi liittyä hyökkäykseen, jossa hyödynnetään tunnettujen haittaohjelmien käyttämää menetelmää. | Katkaise lähteen yhteys verkkoon. Suorita tapausten käsittely. | IoT_MaliciousNameQueriesDetection |
Pieni vakavuusaste
| Nimi | Vakavuus | Tietolähteen | Kuvaus | Ehdotetut korjausvaiheet | Ilmoituksen tyyppi |
|---|---|---|---|---|---|
| Bash-historia tyhjennys | Alhainen | Defender-IoT-micro-agent | Bash-historialoki tyhjennys. Pahantahtoiset toimijat yleensä poistavat bash-historian piilottaakseen omat komentonsa näyttämästä lokeissa. | Tarkista sen käyttäjän kanssa, joka suoritti tämän ilmoituksen toiminnon, ja tarkista, tunnistatko tämän lailliseksi hallinnolliseksi toiminnaksi. Jos näin ei ole, eskaloi ilmoitus tietoturvaryhmälle. | IoT_ClearHistoryFile |
Seuraavat vaiheet
- Defender for IoT -palvelun yleiskatsaus