Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gli agenti di sicurezza di Defender per IoT raccolgono dati ed eventi di sistema dal dispositivo locale e inviano i dati al cloud Azure per l'elaborazione.
Nota
Defender per IoT prevede di ritirare il micro-agente il 1° agosto 2025.
Se è stata configurata e connessa un'area di lavoro Log Analytics, questi eventi verranno visualizzati in Log Analytics. Per altre informazioni, vedere Esercitazione: Analizzare gli avvisi di sicurezza.
Il micro-agente Defender per IoT raccoglie molti tipi di eventi del dispositivo, tra cui nuovi processi e tutti i nuovi eventi di connessione. Sia il nuovo processo che i nuovi eventi di connessione possono verificarsi di frequente in un dispositivo. Questa funzionalità è importante per la sicurezza completa, tuttavia, il numero di messaggi inviati dagli agenti di sicurezza può soddisfare rapidamente o superare la quota di hub IoT e i limiti di costo. Questi messaggi ed eventi contengono informazioni di sicurezza estremamente preziose che sono fondamentali per proteggere il dispositivo.
Per ridurre il numero di messaggi e costi mantenendo al tempo stesso la sicurezza del dispositivo, gli agenti Defender per IoT aggregano i tipi di eventi seguenti:
Eventi di elaborazione (solo Linux)
Eventi di attività di rete
Eventi del file system
Eventi di statistiche
Per altre informazioni, vedere Aggregazione di eventi per agenti di raccolta di processi e di rete.
Gli agenti di raccolta basati su eventi sono agenti di raccolta attivati in base all'attività corrispondente dall'interno del dispositivo. Ad esempio, a process was started in the device.
Gli agenti di raccolta basati su trigger sono agenti di raccolta attivati in modo pianificato in base alle configurazioni del cliente.
Eventi di elaborazione (agente di raccolta basato su eventi)
Gli eventi di processo sono supportati nei sistemi operativi Linux.
Gli eventi di processo vengono considerati identici quando la riga di comando e l'id utente sono identici.
Il buffer predefinito per gli eventi di processo è 256 processi. Quando questo limite viene raggiunto, il buffer verrà ciclo e l'evento di processo meno recente viene eliminato per fare spazio all'evento elaborato più recente. Verrà registrato un avviso per aumentare le dimensioni della cache.
I dati raccolti per ogni evento sono:
| Parametro | Descrizione |
|---|---|
| Data e ora | La prima volta che è stato osservato il processo. |
| process_id | Il Linux PID. |
| parent_process_id | Il Linux PID padre, se esistente. |
| Commandline | Riga di comando. |
| Tipo | Può essere fork, o exec. |
| hit_count | Numero di aggregazioni. Numero di esecuzioni dello stesso processo, durante lo stesso intervallo di tempo, fino a quando gli eventi non vengono inviati al cloud. |
Eventi attività di rete (agente di raccolta basato su eventi)
Gli eventi di attività di rete sono considerati identici quando la porta locale, la porta remota, il protocollo di trasporto, l'indirizzo locale e l'indirizzo remoto sono identici.
Il buffer predefinito per un evento di attività di rete è 256. Per le situazioni in cui la cache è piena:
Dispositivi Eclipse ThreadX: nessun nuovo evento di rete verrà memorizzato nella cache fino all'avvio del ciclo di raccolta successivo.
Linux dispositivi: l'evento meno recente verrà sostituito da ogni nuovo evento. Verrà registrato un avviso per aumentare le dimensioni della cache.
Per i dispositivi Linux, è supportato solo IPv4.
I dati raccolti per ogni evento sono:
| Parametro | Descrizione |
|---|---|
| Indirizzo locale | Indirizzo di origine della connessione. |
| Indirizzo remoto | Indirizzo di destinazione della connessione. |
| Porta locale | Porta di origine della connessione. |
| Porta remota | Porta di destinazione della connessione. |
| Bytes_in | Byte RX aggregati totali della connessione. |
| Bytes_out | Byte TX aggregati totali della connessione. |
| Transport_protocol | Può essere TCP, UDP o ICMP. |
| Protocollo di applicazione | Protocollo dell'applicazione associato alla connessione. |
| Proprietà estese | Dettagli aggiuntivi della connessione. Ad esempio, host name. |
| Numero di riscontri | Numero di pacchetti osservati |
Agente di raccolta account di accesso (agente di raccolta basato su eventi)
L'agente di raccolta account di accesso raccoglie gli accessi utente, le disconnettezioni e i tentativi di accesso non riusciti.
L'agente di raccolta Login supporta i tipi di metodi di raccolta seguenti:
UTMP e SYSLOG. UTMP intercetta gli eventi interattivi SSH, gli eventi telnet e gli account di accesso del terminale, nonché tutti gli eventi di accesso non riusciti da SSH, telnet e terminale. Se SYSLOG è abilitato nel dispositivo, l'agente di raccolta account di accesso raccoglie anche gli eventi di accesso SSH tramite il file SYSLOG denominato auth.log.
Pam (Pluggable Authentication Modules). Raccoglie gli eventi di accesso SSH, telnet e locale. Per altre informazioni, vedere Configurare pam (Pluggable Authentication Modules) per controllare gli eventi di accesso.
Vengono raccolti i dati seguenti:
| Parametro | Descrizione |
|---|---|
| Operazione | Uno dei seguenti: Login, , LogoutLoginFailed |
| process_id | Il Linux PID. |
| User_name | Utente Linux. |
| Eseguibile | Dispositivo terminale. Ad esempio, tty1..6 o pts/n. |
| remote_address | Origine della connessione, un indirizzo IP remoto in formato IPv6 o IPv4 o 127.0.0.1/0.0.0.0 per indicare la connessione locale. |
Informazioni di sistema (agente di raccolta basato su trigger)
I dati raccolti per ogni evento sono:
| Parametro | Descrizione |
|---|---|
| hardware_vendor | Nome del fornitore del dispositivo. |
| hardware_model | Numero di modello del dispositivo. |
| os_dist | Distribuzione del sistema operativo. Ad esempio, Linux. |
| os_version | Versione del sistema operativo. Ad esempio, Windows 10o Ubuntu 20.04.1. |
| os_platform | Sistema operativo del dispositivo. |
| os_arch | Architettura del sistema operativo. Ad esempio, x86_64. |
| Agent_type | Tipo dell'agente (Edge/Standalone). |
| agent_version | Versione dell'agente. |
| Nic | Controller dell'interfaccia di rete. L'elenco completo delle proprietà è elencato di seguito. |
Le proprietà delle schede di interfaccia di rete sono costituite dalle seguenti:
| Parametro | Descrizione |
|---|---|
| digitare | Uno dei valori seguenti: UNKNOWN, ETH, WIFI, MOBILEo SATELLITE. |
| Vlan | La lan virtuale associata all'interfaccia di rete. |
| Fornitore | Fornitore del controller di rete. |
| Informazioni | IPS e MAC associati al controller di rete. Sono inclusi i campi seguenti; - ipv4_address: indirizzo IPv4. - ipv6_address: indirizzo IPv6. - mac: indirizzo MAC. |
Baseline (agente di raccolta basato su trigger)
L'agente di raccolta baseline esegue controlli CIS periodici e i risultati dei controlli non riusciti, passati e ignorati vengono inviati al servizio cloud Defender per IoT. Defender per IoT aggrega i risultati e fornisce raccomandazioni in base a eventuali errori.
I dati raccolti per ogni evento sono:
| Parametro | Descrizione |
|---|---|
| CONTROLLA ID | In formato CIS. Ad esempio, CIS-debian-9-Filesystem-1.1.2. |
| Controllare il risultato | Può essere Fail, Pass, Skipo Error. Ad esempio, Error in una situazione in cui il controllo non può essere eseguito. |
| Errore | Informazioni e descrizione dell'errore. |
| Descrizione | Descrizione del controllo da CIS. |
| Bonifica | Raccomandazione per la correzione da CIS. |
| Gravità | Livello di gravità. |
SBoM (agente di raccolta basato su trigger)
L'agente di raccolta SBoM (Software Bill of Materials) raccoglie periodicamente i pacchetti installati nel dispositivo.
I dati raccolti in ogni pacchetto includono:
| Parametro | Descrizione |
|---|---|
| Nome | Nome del pacchetto. |
| Versione | Versione del pacchetto. |
| Fornitore | Fornitore del pacchetto, ovvero il campo Maintainer nei pacchetti deb. |
Eventi periferici (agente di raccolta basato su eventi)
L'agente di raccolta eventi periferici raccoglie le connessioni e le disconnessioni degli eventi USB ed Ethernet.
I campi raccolti dipendono dal tipo di evento:
Eventi USB
| Parametro | Descrizione |
|---|---|
| Data e ora | Ora in cui si è verificato l'evento. |
| ActionType | Indica se l'evento è un evento di connessione o disconnessione. |
| bus_number | Identificatore del controller specifico, ogni dispositivo USB può avere diversi. |
| kernel_device_number | Rappresentazione nel kernel del dispositivo, non univoca e può ogni volta che il dispositivo è connesso. |
| device_class | Identificatore che specifica la classe del dispositivo. |
| device_subclass | Identificatore che specifica il tipo di dispositivo. |
| device_protocol | Identificatore che specifica il protocollo del dispositivo. |
| interface_class | Nel caso in cui la classe del dispositivo sia 0, indicare il tipo di dispositivo. |
| interface_subclass | Nel caso in cui la classe del dispositivo sia 0, indicare il tipo di dispositivo. |
| interface_protocol | Nel caso in cui la classe del dispositivo sia 0, indicare il tipo di dispositivo. |
Eventi Ethernet
| Parametro | Descrizione |
|---|---|
| Data e ora | Ora in cui si è verificato l'evento. |
| ActionType | Indica se l'evento è un evento di connessione o disconnessione. |
| bus_number | Identificatore del controller specifico, ogni dispositivo USB può avere diversi. |
| Nome interfaccia | Nome dell'interfaccia. |
Eventi del file system (agente di raccolta basato su eventi)
L'agente di raccolta eventi del file system raccoglie gli eventi ogni volta che vengono apportate modifiche nelle directory di controllo per: creazione, eliminazione, spostamento e modifica di directory e file. Per definire le directory e i file da monitorare, vedere Impostazioni specifiche dell'agente di raccolta informazioni di sistema.
Vengono raccolti i dati seguenti:
| Parametro | Descrizione |
|---|---|
| Data e ora | Ora in cui si è verificato l'evento. |
| Maschera | Linux maschera inotify correlata all'evento del file system, la maschera identifica il tipo di azione e può essere una delle seguenti: Access/Modified/Metadata changed/Closed/Opened/Moved/Created/Deleted. |
| Path | Percorso di directory/file in cui è stato generato l'evento. |
| Hitcount | Numero di volte in cui questo evento è stato aggregato. |
Dati delle statistiche (agente di raccolta basato su trigger)
L'agente di raccolta statistiche genera diverse statistiche sui diversi agenti di raccolta di micro agenti. Queste statistiche forniscono informazioni sulle prestazioni degli agenti di raccolta nel ciclo di raccolta precedente. Esempi di statistiche possibili includono il numero di eventi inviati correttamente e il numero di eventi che sono stati eliminati, insieme ai motivi degli errori.
Campi raccolti:
| Parametro | Descrizione |
|---|---|
| Data e ora | Ora in cui si è verificato l'evento. |
| Nome | Nome dell'agente di raccolta. |
| Eventi | Matrice di coppie formattate come JSON con descrizione e numero di riscontri. |
| Descrizione | Indica se il messaggio è stato inviato/eliminato e il motivo dell'eliminazione. |
| Hitcount | Numero dei rispettivi messaggi. |
Aggregazione di eventi per agenti di raccolta di processi e reti
Funzionamento dell'aggregazione di eventi per gli eventi Processo e Attività di rete:
Gli agenti Defender per IoT aggregano gli eventi durante l'intervallo di invio definito nella configurazione della frequenza dei messaggi per ogni agente di raccolta, ad esempio Process_MessageFrequency o NetworkActivity_MessageFrequency. Una volta trascorso il periodo di intervallo di invio, l'agente invia gli eventi aggregati al cloud Azure per un'ulteriore analisi. Gli eventi aggregati vengono archiviati in memoria fino a quando non vengono inviati al cloud Azure.
Quando l'agente raccoglie eventi simili a quelli già archiviati in memoria, l'agente aumenterà il numero di riscontri di questo evento specifico per ridurre il footprint di memoria dell'agente. Quando passa l'intervallo di tempo di aggregazione, l'agente invia il numero di riscontri di ogni tipo di evento che si è verificato. L'aggregazione di eventi è l'aggregazione dei conteggi di riscontri di eventi simili. Ad esempio, l'attività di rete con lo stesso host remoto e sulla stessa porta viene aggregata come un evento, anziché come evento separato per ogni pacchetto.
Nota
Per impostazione predefinita, il micro-agente invia log e dati di telemetria al cloud a scopo di risoluzione dei problemi e monitoraggio. Questo comportamento può essere configurato o disattivato tramite il gemello.
Passaggi successivi
Per ulteriori informazioni, vedere:
- Configurazioni di micro agenti
- Controllare gli avvisi di sicurezza di Defender per IoT.