Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Defender pour IoT analyse en permanence votre solution IoT à l’aide de l’analytique avancée et du renseignement sur les menaces pour vous alerter en cas d’activité malveillante. En outre, vous pouvez créer des alertes personnalisées en fonction de vos connaissances du comportement attendu de l’appareil. Une alerte agit comme un indicateur de compromission potentielle et doit être examinée et corrigée.
Remarque
Defender pour IoT prévoit de mettre hors service le micro-agent le 1er août 2025.
Dans cet article, vous trouverez une liste d’alertes intégrées, qui peuvent être déclenchées sur vos appareils IoT.
Alertes de sécurité
Gravité élevée
| Nom | Severity | Source de données | Description | Étapes de correction suggérées | type d’alerte |
|---|---|---|---|---|---|
| Ligne de commande binaire | Élevé | Micro-agent Defender-IoT | La Linux binaire appelé/exécuté à partir de la ligne de commande a été détecté. Ce processus peut être une activité légitime ou une indication que votre appareil est compromis. | Passez en revue la commande avec l’utilisateur qui l’a exécutée et case activée s’il s’agit d’un élément légitimement attendu pour s’exécuter sur l’appareil. Si ce n’est pas le cas, faites remonter l’alerte à votre équipe de sécurité des informations. | IoT_BinaryCommandLine |
| Désactiver le pare-feu | Élevé | Micro-agent Defender-IoT | Détection d’une manipulation possible du pare-feu sur l’hôte. Les acteurs malveillants désactivent souvent le pare-feu sur l’hôte pour tenter d’exfiltrer des données. | Vérifiez avec l’utilisateur qui a exécuté la commande pour vérifier s’il s’agissait d’une activité légitime attendue sur l’appareil. Si ce n’est pas le cas, faites remonter l’alerte à votre équipe de sécurité des informations. | IoT_DisableFirewall |
| Détection du transfert de port | Élevé | Micro-agent Defender-IoT | Détection du transfert de port vers une adresse IP externe. | Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité légitime que vous vous attendez à voir sur l’appareil. Si ce n’est pas le cas, faites remonter l’alerte à l’équipe de sécurité des informations. | IoT_PortForwarding |
| Détection d’une tentative de désactivation de la journalisation auditée | Élevé | Micro-agent Defender-IoT | Linux système audité permet de suivre les informations relatives à la sécurité sur le système. Le système enregistre autant d’informations que possible sur les événements qui se produisent sur votre système. Ces informations sont essentielles pour les environnements stratégiques afin de déterminer qui a violé la stratégie de sécurité et les actions qu’ils ont effectuées. La désactivation de la journalisation auditée peut empêcher votre capacité à détecter les violations des stratégies de sécurité utilisées sur le système. | Vérifiez auprès du propriétaire de l’appareil s’il s’agit d’une activité légitime pour des raisons professionnelles. Si ce n’est pas le cas, cet événement peut masquer l’activité d’acteurs malveillants. Vous avez immédiatement fait remonter l’incident à votre équipe de sécurité des informations. | IoT_DisableAuditdLogging |
| Interpréteurs de commandes inversés | Élevé | Micro-agent Defender-IoT | L’analyse des données de l’hôte sur un appareil a détecté un interpréteur de commandes inverse potentiel. Les interpréteurs de commandes inversés sont souvent utilisés pour obtenir qu’une machine compromise rappelle une machine contrôlée par un acteur malveillant. | Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité légitime que vous vous attendez à voir sur l’appareil. Si ce n’est pas le cas, faites remonter l’alerte à l’équipe de sécurité des informations. | IoT_ReverseShell |
| Connexion locale réussie | Élevé | Micro-agent Defender-IoT | Une connexion locale réussie à l’appareil a été détectée. | Vérifiez que l’utilisateur connecté est un tiers autorisé. | IoT_SuccessfulLocalLogin |
| Interpréteur de commandes web | Élevé | Micro-agent Defender-IoT | Interpréteur de commandes web possible détecté. Les acteurs malveillants chargent généralement un interpréteur de commandes web sur une machine compromise pour gagner en persistance ou pour une exploitation ultérieure. | Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité légitime que vous vous attendez à voir sur l’appareil. Si ce n’est pas le cas, faites remonter l’alerte à l’équipe de sécurité des informations. | IoT_WebShell |
| Comportement similaire au ransomware détecté | Élevé | Micro-agent Defender-IoT | Exécution de fichiers similaires à un ransomware connu qui peut empêcher les utilisateurs d’accéder à leur système, ou des fichiers personnels, et peut exiger le paiement d’une rançon pour récupérer l’accès. | Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité légitime que vous vous attendez à voir sur l’appareil. Si ce n’est pas le cas, faites remonter l’alerte à l’équipe de sécurité des informations. | IoT_Ransomware |
| Image de mineur de crypto-monnaie | Élevé | Micro-agent Defender-IoT | L’exécution d’un processus normalement associé à l’exploration de devises numériques a été détectée. | Vérifiez auprès de l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité légitime sur l’appareil. Si ce n’est pas le cas, faites remonter l’alerte à l’équipe de sécurité des informations. | IoT_CryptoMiner |
| Nouvelle connexion USB | Élevé | Micro-agent Defender-IoT | Une connexion de périphérique USB a été détectée. Cela peut indiquer une activité malveillante. | Vérifiez qu’il s’agit d’une activité légitime attendue sur l’hôte. Si ce n’est pas le cas, faites remonter l’alerte à votre équipe de sécurité des informations. | IoT_USBConnection |
| Déconnexion USB | Élevé | Micro-agent Defender-IoT | Une déconnexion de périphérique USB a été détectée. Cela peut indiquer une activité malveillante. | Vérifiez qu’il s’agit d’une activité légitime attendue sur l’hôte. Si ce n’est pas le cas, faites remonter l’alerte à votre équipe de sécurité des informations. | IoT_UsbDisconnection |
| Nouvelle connexion Ethernet | Élevé | Micro-agent Defender-IoT | Une nouvelle connexion Ethernet a été détectée. Cela peut indiquer une activité malveillante. | Vérifiez qu’il s’agit d’une activité légitime attendue sur l’hôte. Si ce n’est pas le cas, faites remonter l’alerte à votre équipe de sécurité des informations. | IoT_EthernetConnection |
| Déconnexion Ethernet | Élevé | Micro-agent Defender-IoT | Une nouvelle déconnexion Ethernet a été détectée. Cela peut indiquer une activité malveillante. | Vérifiez qu’il s’agit d’une activité légitime attendue sur l’hôte. Si ce n’est pas le cas, faites remonter l’alerte à votre équipe de sécurité des informations. | IoT_EthernetDisconnection |
| Nouveau fichier créé | Élevé | Micro-agent Defender-IoT | Un nouveau fichier a été détecté. Cela peut indiquer une activité malveillante. | Vérifiez qu’il s’agit d’une activité légitime attendue sur l’hôte. Si ce n’est pas le cas, faites remonter l’alerte à votre équipe de sécurité des informations. | IoT_FileCreated |
| Fichier modifié | Élevé | Micro-agent Defender-IoT | Une modification de fichier a été détectée. Cela peut indiquer une activité malveillante. | Vérifiez qu’il s’agit d’une activité légitime attendue sur l’hôte. Si ce n’est pas le cas, faites remonter l’alerte à votre équipe de sécurité des informations. | IoT_FileModified |
| Fichier supprimé | Élevé | Micro-agent Defender-IoT | La suppression du fichier a été détectée. Cela peut indiquer une activité malveillante. | Vérifiez qu’il s’agit d’une activité légitime attendue sur l’hôte. Si ce n’est pas le cas, faites remonter l’alerte à votre équipe de sécurité des informations. | IoT_FileDeleted |
Gravité moyenne
| Nom | Severity | Source de données | Description | Étapes de correction suggérées | type d’alerte |
|---|---|---|---|---|---|
| Comportement similaire aux bots Linux courants détectés | Moyen | Micro-agent Defender-IoT | Exécution d’un processus normalement associé à des botnets Linux courants détectés. | Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité légitime que vous vous attendez à voir sur l’appareil. Si ce n’est pas le cas, faites remonter l’alerte à l’équipe de sécurité des informations. | IoT_CommonBots |
| Détection d’un comportement similaire au ransomware Fairware | Moyen | Micro-agent Defender-IoT | Exécution de commandes rm -rf appliquées à des emplacements suspects détectés à l’aide de l’analyse des données de l’hôte. Étant donné que rm -rf supprime les fichiers de manière récursive, il est normalement utilisé uniquement sur les dossiers discrets. Dans ce cas, il est utilisé dans un emplacement qui peut supprimer une grande quantité de données. Le ransomware Fairware est connu pour exécuter des commandes rm -rf dans ce dossier. | Vérifiez avec l’utilisateur qui a exécuté la commande qu’il s’agissait d’une activité légitime que vous vous attendez à voir sur l’appareil. Si ce n’est pas le cas, faites remonter l’alerte à l’équipe de sécurité des informations. | IoT_FairwareMalware |
| Image conteneur de mineur de crypto-monnaie détectée | Moyen | Micro-agent Defender-IoT | Détection de conteneur en cours d’exécution d’images d’exploration de données monétaires numériques connues. | 1. Si ce comportement n’est pas prévu, supprimez l’image conteneur appropriée. 2. Assurez-vous que le démon Docker n’est pas accessible via un socket TCP non sécurisé. 3. Faites remonter l’alerte à l’équipe de sécurité des informations. |
IoT_CryptoMinerContainer |
| Détection d’une utilisation suspecte de la commande nohup | Moyen | Micro-agent Defender-IoT | Détection d’une utilisation suspecte de la commande nohup sur l’hôte. Les acteurs malveillants exécutent généralement la commande nohup à partir d’un répertoire temporaire, ce qui permet à leurs exécutables de s’exécuter en arrière-plan. Le fait de voir cette commande exécutée sur des fichiers situés dans un répertoire temporaire n’est pas normal ou normal. | Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité légitime que vous vous attendez à voir sur l’appareil. Si ce n’est pas le cas, faites remonter l’alerte à l’équipe de sécurité des informations. | IoT_SuspiciousNohup |
| Détection d’une utilisation suspecte de la commande useradd | Moyen | Micro-agent Defender-IoT | Utilisation suspecte de la commande useradd détectée sur l’appareil. | Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité légitime que vous vous attendez à voir sur l’appareil. Si ce n’est pas le cas, faites remonter l’alerte à l’équipe de sécurité des informations. | IoT_SuspiciousUseradd |
| Démon Docker exposé par socket TCP | Moyen | Micro-agent Defender-IoT | Les journaux de machine indiquent que votre démon Docker (dockerd) expose un socket TCP. Par défaut, la configuration Docker n’utilise pas le chiffrement ou l’authentification lorsqu’un socket TCP est activé. La configuration Docker par défaut permet un accès complet au démon Docker par toute personne ayant accès au port approprié. | Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité légitime que vous vous attendez à voir sur l’appareil. Si ce n’est pas le cas, faites remonter l’alerte à l’équipe de sécurité des informations. | IoT_ExposedDocker |
| Échec de la connexion locale | Moyen | Micro-agent Defender-IoT | Une tentative de connexion locale à l’appareil a échoué. | Assurez-vous qu’aucune partie non autorisée n’a un accès physique à l’appareil. | IoT_FailedLocalLogin |
| Téléchargement de fichiers détecté à partir d’une source malveillante | Moyen | Micro-agent Defender-IoT | Le téléchargement d’un fichier à partir d’une source de programme malveillant connu a été détecté. | Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité légitime que vous vous attendez à voir sur l’appareil. Si ce n’est pas le cas, faites remonter l’alerte à l’équipe de sécurité des informations. | IoT_PossibleMalware |
| Accès au fichier htaccess détecté | Moyen | Micro-agent Defender-IoT | L’analyse des données de l’hôte a détecté une manipulation possible d’un fichier htaccess. Htaccess est un fichier de configuration puissant qui vous permet d’apporter plusieurs modifications à un serveur web exécutant un logiciel Web Apache, notamment des fonctionnalités de redirection de base et des fonctions plus avancées, telles que la protection par mot de passe de base. Les acteurs malveillants modifient souvent les fichiers htaccess sur les machines compromises pour gagner en persistance. | Vérifiez qu’il s’agit d’une activité légitime attendue sur l’hôte. Si ce n’est pas le cas, faites remonter l’alerte à votre équipe de sécurité des informations. | IoT_AccessingHtaccessFile |
| Outil d’attaque connu | Moyen | Micro-agent Defender-IoT | Un outil souvent associé à des utilisateurs malveillants qui attaquent d’autres machines d’une manière ou d’une autre a été détecté. | Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité légitime que vous vous attendez à voir sur l’appareil. Si ce n’est pas le cas, faites remonter l’alerte à l’équipe de sécurité des informations. | IoT_KnownAttackTools |
| Reconnaissance de l’hôte local détectée | Moyen | Micro-agent Defender-IoT | Exécution d’une commande normalement associée à la reconnaissance de bot Linux courante détectée. | Passez en revue la ligne de commande suspecte pour confirmer qu’elle a été exécutée par un utilisateur légitime. Si ce n’est pas le cas, faites remonter l’alerte à votre équipe de sécurité des informations. | IoT_LinuxReconnaissance |
| Incompatibilité entre l’interpréteur de script et l’extension de fichier | Moyen | Micro-agent Defender-IoT | Incompatibilité entre l’interpréteur de script et l’extension du fichier de script fourni comme entrée détectée. Ce type d’incompatibilité est généralement associé aux exécutions de scripts d’attaquants. | Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité légitime que vous vous attendez à voir sur l’appareil. Si ce n’est pas le cas, faites remonter l’alerte à l’équipe de sécurité des informations. | IoT_ScriptInterpreterMismatch |
| Détection d’une porte dérobée possible | Moyen | Micro-agent Defender-IoT | Un fichier suspect a été téléchargé, puis exécuté sur un hôte dans votre abonnement. Ce type d’activité est généralement associé à l’installation d’une porte dérobée. | Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité légitime que vous vous attendez à voir sur l’appareil. Si ce n’est pas le cas, faites remonter l’alerte à l’équipe de sécurité des informations. | IoT_LinuxBackdoor |
| Perte possible de données détectée | Moyen | Micro-agent Defender-IoT | Condition possible de sortie des données détectée à l’aide de l’analyse des données de l’hôte. Les acteurs malveillants proviennent souvent de données provenant de machines compromises. | Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité légitime que vous vous attendez à voir sur l’appareil. Si ce n’est pas le cas, faites remonter l’alerte à l’équipe de sécurité des informations. | IoT_EgressData |
| Conteneur privilégié détecté | Moyen | Micro-agent Defender-IoT | Les journaux de l’ordinateur indiquent qu’un conteneur Docker privilégié est en cours d’exécution. Un conteneur privilégié dispose d’un accès complet aux ressources hôtes. En cas de compromission, un acteur malveillant peut utiliser le conteneur privilégié pour accéder à l’ordinateur hôte. | Si le conteneur n’a pas besoin de s’exécuter en mode privilégié, supprimez les privilèges du conteneur. | IoT_PrivilegedContainer |
| Détection de la suppression des fichiers journaux système | Moyen | Micro-agent Defender-IoT | Détection d’une suppression suspecte des fichiers journaux sur l’hôte. | Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité légitime que vous vous attendez à voir sur l’appareil. Si ce n’est pas le cas, faites remonter l’alerte à l’équipe de sécurité des informations. | IoT_RemovalOfSystemLogs |
| Espace après nom de fichier | Moyen | Micro-agent Defender-IoT | L’exécution d’un processus avec une extension suspecte a été détectée à l’aide de l’analyse des données de l’hôte. Les extensions suspectes peuvent inciter les utilisateurs à penser que les fichiers sont sûrs d’être ouverts et peuvent indiquer la présence de logiciels malveillants sur le système. | Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité légitime que vous vous attendez à voir sur l’appareil. Si ce n’est pas le cas, faites remonter l’alerte à l’équipe de sécurité des informations. | IoT_ExecuteFileWithTrailingSpace |
| Détection des outils couramment utilisés pour l’accès aux informations d’identification malveillantes | Moyen | Micro-agent Defender-IoT | Détection de l’utilisation d’un outil généralement associé à des tentatives malveillantes d’accès aux informations d’identification. | Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité légitime que vous vous attendez à voir sur l’appareil. Si ce n’est pas le cas, faites remonter l’alerte à l’équipe de sécurité des informations. | IoT_CredentialAccessTools |
| Compilation suspecte détectée | Moyen | Micro-agent Defender-IoT | Compilation suspecte détectée. Les acteurs malveillants compilent souvent des exploits sur une machine compromise pour remonter les privilèges. | Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité légitime que vous vous attendez à voir sur l’appareil. Si ce n’est pas le cas, faites remonter l’alerte à l’équipe de sécurité des informations. | IoT_SuspiciousCompilation |
| Téléchargement de fichier suspect suivi d’une activité d’exécution de fichier | Moyen | Micro-agent Defender-IoT | L’analyse des données de l’hôte a détecté un fichier qui a été téléchargé et exécuté dans la même commande. Cette technique est couramment utilisée par les acteurs malveillants pour obtenir des fichiers infectés sur les ordinateurs victimes. | Vérifiez avec l’utilisateur qui a exécuté la commande s’il s’agissait d’une activité légitime que vous vous attendez à voir sur l’appareil. Si ce n’est pas le cas, faites remonter l’alerte à l’équipe de sécurité des informations. | IoT_DownloadFileThenRun |
| Communication d’adresse IP suspecte | Moyen | Micro-agent Defender-IoT | Communication avec une adresse IP suspecte détectée. | Vérifiez si la connexion est légitime. Envisagez de bloquer la communication avec l’adresse IP suspecte. | IoT_TiConnection |
| Demande de nom de domaine malveillant | Moyen | Micro-agent Defender-IoT | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque exploitant une méthode utilisée par un programme malveillant connu. | Déconnectez la source du réseau. Effectuer une réponse aux incidents. | IoT_MaliciousNameQueriesDetection |
Gravité faible
| Nom | Severity | Source de données | Description | Étapes de correction suggérées | type d’alerte |
|---|---|---|---|---|---|
| Historique Bash effacé | Faible | Micro-agent Defender-IoT | Journal de l’historique Bash effacé. Les acteurs malveillants effacent généralement l’historique bash pour masquer l’affichage de leurs propres commandes dans les journaux. | Passez en revue avec l’utilisateur qui a exécuté la commande que l’activité dans cette alerte pour voir si vous reconnaissez cette activité d’administration légitime. Si ce n’est pas le cas, faites remonter l’alerte à l’équipe de sécurité des informations. | IoT_ClearHistoryFile |
Étapes suivantes
- Vue d’ensemble du service Defender pour IoT