Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Defender for IoT -suojausagentit keräävät tietoja ja järjestelmätapahtumia paikallisesta laitteesta ja lähettävät tiedot Azure pilvipalveluun käsiteltäviksi.
Huomautus
IoT:n puolustaja aikoo poistaa mikroagentin käytöstä 1.8.2025.
Jos olet määrittänyt ja yhdistänyt Log Analytics -työtilan, näet nämä tapahtumat Log Analyticsissa. Lisätietoja on artikkelissa Opetusohjelma: Suojausilmoitusten tutkiminen.
Defender for IoT -mikroagentti kerää monentyyppisiä laitetapahtumia, kuten uusia prosesseja ja kaikkia uusia yhteystapahtumia. Sekä uutta prosessia että uusia yhteystapahtumia saattaa ilmetä usein laitteessa. Tämä ominaisuus on tärkeä kattavan suojauksen kannalta, mutta suojausagenttien lähettämien viestien määrä saattaa kuitenkin nopeasti täyttää tai ylittää IoT Hub kiintiösi ja kustannusrajasi. Nämä viestit ja tapahtumat sisältävät erittäin arvokkaita suojaustietoja, jotka ovat tärkeitä laitteesi suojaamiseksi.
Jotta viestien ja kustannusten määrää voidaan vähentää laitteen suojausta ylläpidettäessä, IoT-agenttien Defender koostaa seuraavantyyppiset tapahtumat:
Tapahtumien käsittely (vain Linux)
Verkon toimintatapahtumat
Tiedostojärjestelmän tapahtumat
Tilastotapahtumat
Lisätietoja on artikkelissa Tapahtumien koostaminen prosessien ja verkon keräilijöiden osalta.
Tapahtumapohjaiset keräilijät ovat keräilijöitä, jotka käynnistetään laitteen vastaavan toiminnan perusteella. Esimerkiksi a process was started in the device.
Käynnistimeen perustuvat keräilijät ovat keräilijöitä, jotka käynnistetään ajoitetussa muodossa asiakkaan kokoonpanojen perusteella.
Prosessitapahtumat (tapahtumapohjainen keräystoiminto)
Prosessitapahtumia tuetaan Linux käyttöjärjestelmissä.
Prosessitapahtumia pidetään identtisinä, kun komentorivi ja käyttäjätunnus ovat samat.
Prosessitapahtumien oletuspuskuri on 256 prosessia. Kun tämä raja täyttyy, puskuri siirtyy ja vanhin prosessitapahtuma hylätään, jotta uusimmalle prosessoidulle tapahtumalle jää tilaa. Lokiin kirjataan varoitus välimuistin koon suurentamista varten.
Kustakin tapahtumasta kerätyt tiedot ovat seuraavat:
| Parametri | Kuvaus |
|---|---|
| Aikaleima | Prosessi havaittiin ensimmäisen kerran. |
| process_id | Linux PID. |
| parent_process_id | Linux päätunnus, jos se on olemassa. |
| Komennossa | Komentorivi. |
| Tyyppi | Voi olla joko fork, tai exec. |
| hit_count | Koostemäärä. Saman prosessin suoritusten määrä samana ajanjaksona, kunnes tapahtumat lähetetään pilvipalveluun. |
Verkon toimintatapahtumat (tapahtumapohjainen keräystoiminto)
Verkon toimintatapahtumia pidetään samanlaisina, kun paikallinen portti, etäportti, siirtoprotokolla, paikallinen osoite ja etäosoite ovat samat.
Verkkoaktiviteettitapahtuman oletuspuskuri on 256. Tilanteet, joissa välimuisti on täynnä:
Eclipse ThreadX -laitteet: Uusia verkkotapahtumia ei tallenneta välimuistiin ennen kuin seuraava keräysjakso alkaa.
Linux laitteet: Vanhin tapahtuma korvataan jokaisella uudella tapahtumalla. Lokiin kirjataan varoitus välimuistin koon suurentamista varten.
Linux laitteissa tuetaan vain IPv4:tä.
Kustakin tapahtumasta kerätyt tiedot ovat seuraavat:
| Parametri | Kuvaus |
|---|---|
| Paikallinen osoite | Yhteyden lähdeosoite. |
| Etäosoite | Yhteyden kohdeosoite. |
| Paikallinen portti | Yhteyden lähdeportti. |
| Etäportti | Yhteyden kohdeportti. |
| Bytes_in | Yhteyden koostetut RX-tavut yhteensä. |
| Bytes_out | Yhteyden koostetut TX-tavut yhteensä. |
| Transport_protocol | Voi olla TCP, UDP tai ICMP. |
| Sovellusprotokolla | Yhteyteen liittyvä sovellusprotokolla. |
| Laajennetut ominaisuudet | Yhteyden lisätiedot. Esimerkiksi host name. |
| Osuusten määrä | Havaittujen pakettien määrä |
Kirjautumiskeräin (tapahtumapohjainen keräin)
Kirjautumisen keräystoiminto kerää käyttäjän kirjautumiset, uloskirjautumiset ja epäonnistuneet kirjautumisyritykset.
Kirjautumiskeräin tukee seuraavia keräysmenetelmiä:
UTMP ja SYSLOG. UTMP ottaa SSH:n vuorovaikutteiset tapahtumat, telnet-tapahtumat ja päätekirjautumiset sekä kaikki epäonnistuneet kirjautumistapahtumat SSH:sta, telnetistä ja päätteestä. Jos SYSLOG on käytössä laitteessa, kirjautumisen keräystoiminto kerää myös SSH-kirjautumistapahtumia syslog-tiedoston auth.log kautta.
Liitettävät todennusmoduulit (PAM). Kerää SSH-, telnet- ja paikallisia kirjautumistapahtumia. Lisätietoja on artikkelissa Pluggable Authentication Modules (PAM) -määritys kirjautumistapahtumien valvomista varten.
Seuraavat tiedot kerätään:
| Parametri | Kuvaus |
|---|---|
| Toiminta | Yksi seuraavista: Login, Logout, LoginFailed |
| process_id | Linux PID. |
| user_name | Linux käyttäjä. |
| Suoritettavaa | Päätelaite. Esimerkiksi tai tty1..6pts/n. |
| remote_address | Yhteyden lähde, joko IP-etäosoite IPv6- tai IPv4-muodossa tai 127.0.0.1/0.0.0.0 ilmaisee paikallista yhteyttä. |
Järjestelmätiedot (käynnistimeen perustuva keräin)
Kustakin tapahtumasta kerätyt tiedot ovat seuraavat:
| Parametri | Kuvaus |
|---|---|
| hardware_vendor | Laitteen toimittajan nimi. |
| hardware_model | Laitteen mallinumero. |
| os_dist | Käyttöjärjestelmän jakelu. Esimerkiksi Linux. |
| os_version | Käyttöjärjestelmän versio. Esimerkiksi , Windows 10tai Ubuntu 20.04.1. |
| os_platform | Laitteen käyttöjärjestelmä. |
| os_arch | Käyttöjärjestelmän arkkitehtuuri. Esimerkiksi x86_64. |
| agent_type | Agentin tyyppi (Edge/Erillinen). |
| agent_version | Agentin versio. |
| Verkkokorttia | Verkkoliittymän ohjain. Täydellinen luettelo ominaisuuksista on alla. |
Nnics-ominaisuudet koostuvat seuraavista:
| Parametri | Kuvaus |
|---|---|
| Tyyppi | Yksi seuraavista arvoista: UNKNOWN, ETH, WIFI, MOBILE, tai SATELLITE. |
| Vlan | Verkkoliittymään liittyvä näennäisverkko. |
| Toimittajan | Verkon ohjaimen toimittaja. |
| Info | IPS ja verkko-ohjaimeen liittyvät MAC-tietokoneet. Tämä sisältää seuraavat kentät: - ipv4_address: IPv4-osoite. - ipv6_address: IPv6-osoite. - mac: MAC-osoite. |
Perusaikataulu (käynnistimeen perustuva keräin)
Perusaikataulun keräystoiminto suorittaa säännöllisiä CIS-tarkistuksia, ja se epäonnistui, välittää ja ohittaa tarkistustulokset lähetetään Defenderille IoT-pilvipalveluun. Defender for IoT koostaa tulokset ja antaa suosituksia mahdollisten virheiden perusteella.
Kustakin tapahtumasta kerätyt tiedot ovat seuraavat:
| Parametri | Kuvaus |
|---|---|
| Tarkista tunnus | CIS-muodossa. Esimerkiksi CIS-debian-9-Filesystem-1.1.2. |
| Tarkista tulos | Voi olla Fail, Pass, Skiptai .Error Esimerkiksi tilanteessa, Error jossa tarkistusta ei voi suorittaa. |
| Virhe | Virheen tiedot ja kuvaus. |
| Kuvaus | Sekin kuvaus CIS:stä. |
| Korjaaminen | Cis-korjauksen suositus. |
| Vakavuus | Vakavuustaso. |
SBoM (käynnistimeen perustuva keräin)
SBoM (Software Bill of Materials) -keräystoiminto kerää laitteeseen asennetut paketit säännöllisesti.
Kustakin paketista kerättyjä tietoja ovat seuraavat:
| Parametri | Kuvaus |
|---|---|
| Name (Nimi) | Paketin nimi. |
| Versio | Paketin versio. |
| Toimittajan | Paketin toimittaja, joka on virheenkorjauspakettien Ylläpidon kenttä. |
Oheislaitteet (tapahtumapohjainen keräin)
Oheislaitteiden tapahtumien keräystoiminto kerää USB- ja Ethernet-tapahtumien yhteydet ja katkaisut.
Kerätyt kentät riippuvat tapahtuman tyypistä:
USB-tapahtumat
| Parametri | Kuvaus |
|---|---|
| Aikaleima | Tapahtuman tapahtuma-aika. |
| ActionType | Oliko tapahtuma yhteys- vai yhteystapahtuma. |
| bus_number | Kullakin USB-laitteella voi olla useita ohjaimen tunnisteita. |
| kernel_device_number | Esitys laitteen ytimessä, ei yksilöllinen, ja se voidaan tehdä aina, kun laite on yhdistetty. |
| device_class | Laiteluokan määrittävä tunnus. |
| device_subclass | Laitteen tyypin määrittävä tunnus. |
| device_protocol | Laiteprotokollan määrittävä tunnus. |
| interface_class | Jos laiteluokka on 0, määritä laitteen tyyppi. |
| interface_subclass | Jos laiteluokka on 0, määritä laitteen tyyppi. |
| interface_protocol | Jos laiteluokka on 0, määritä laitteen tyyppi. |
Ethernet-tapahtumat
| Parametri | Kuvaus |
|---|---|
| Aikaleima | Tapahtuman tapahtuma-aika. |
| ActionType | Oliko tapahtuma yhteys- vai yhteystapahtuma. |
| bus_number | Kullakin USB-laitteella voi olla useita ohjaimen tunnisteita. |
| Liittymän nimi | Liittymän nimi. |
Tiedostojärjestelmän tapahtumat (tapahtumapohjainen keräin)
Tiedostojärjestelmän tapahtumien keräystoiminto kerää tapahtumia aina, kun hakemistojen hakemistoissa on muutoksia: hakemistojen ja tiedostojen luominen, poistaminen, siirtäminen ja muokkaaminen. Lisätietoja valvottavien hakemistojen ja tiedostojen määrittämisestä on kohdassa Järjestelmän tiedonkeräystoiminnon asetukset.
Seuraavat tiedot kerätään:
| Parametri | Kuvaus |
|---|---|
| Aikaleima | Tapahtuman tapahtuma-aika. |
| Naamio | Linux tunnistaa tiedostojärjestelmätapahtumaan liittyvän peitteen, peite tunnistaa toiminnon tyypin ja voi olla jokin seuraavista: Käyttöoikeus/Muokattu/Metatietoja muutettu/Suljettu/Avattu/Siirretty/Luotu/Poistettu. |
| Polku | Hakemiston tai tiedoston polku, jossa tapahtuma luotiin. |
| Hitcount | Kuinka monta kertaa tämä tapahtuma koostettiin. |
Tilastotiedot (käynnistimeen perustuva keräystoiminto)
Tilastotietojen keräystoiminto luo erilaisia tilastoja eri mikroagenttien keräilijöistä. Nämä tilastotiedot antavat tietoja keräilijöiden suorituskyvystä edellisen keräysjakson aikana. Esimerkkejä mahdollisista tilastoista ovat onnistuneesti lähetettyjen tapahtumien määrä, pudotettavien tapahtumien määrä sekä epäonnistumisten syyt.
Kerätyt kentät:
| Parametri | Kuvaus |
|---|---|
| Aikaleima | Tapahtuman tapahtuma-aika. |
| Name (Nimi) | Keräimen nimi. |
| Tapahtumia | Parimatriisi, joka on muotoiltu JSON-muotoon ja jossa on kuvaus ja osumien määrä. |
| Kuvaus | Viestin lähetys/pudottaminen ja pudottamisen syy. |
| Hitcount | Vastaavien viestien määrä. |
Prosessin ja verkon keräilijöiden tapahtumien koostaminen
Miten tapahtumien koostaminen toimii Prosessitapahtumat - ja Verkkotoiminto-tapahtumissa:
Defender IoT-agenteille koostaa tapahtumia kunkin keräystoiminnon sanomataajuusmäärityksessä määritetyn lähetysvälin aikana, esimerkiksi Process_MessageFrequency tai NetworkActivity_MessageFrequency. Kun lähetysväli on kulunut, agentti lähettää koostetut tapahtumat Azure pilvipalveluun lisäanalyyseja varten. Koostetut tapahtumat tallennetaan muistiin, kunnes ne lähetetään Azure pilvipalveluun.
Kun agentti kerää samanlaisia tapahtumia kuin ne, jotka on jo tallennettu muistiin, agentti kasvattaa tämän tapahtuman osumamäärää pienentääkseen agentin muistijalanjälkeä. Kun koostamisen aikaikkuna menee läpi, agentti lähettää kunkin tapahtumatyypin osumamäärän. Tapahtuman koostaminen on kooste samanlaisten tapahtumien osumamääristä. Esimerkiksi verkkoaktiviteetti, jossa on sama etäisäntä ja samassa portissa, koostetaan yhtenä tapahtumana kunkin paketin erillisen tapahtuman sijaan.
Huomautus
Mikroagentti lähettää oletusarvoisesti lokeja ja telemetriatietoja pilvipalveluun vianmääritystä ja seurantaa varten. Tämä toiminta voidaan määrittää tai poistaa käytöstä kaksoiskoneen kautta.
Seuraavat vaiheet
Lisätietoja on seuraavissa artikkeleissa: