Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Defender per IoT analizza continuamente la soluzione IoT usando analisi avanzate e intelligence sulle minacce per avvisare l'utente di attività dannose. Inoltre, è possibile creare avvisi personalizzati in base alla conoscenza del comportamento previsto del dispositivo. Un avviso funge da indicatore di potenziale compromissione e deve essere analizzato e corretto.
Nota
Defender per IoT prevede di ritirare il micro-agente il 1° agosto 2025.
Questo articolo contiene un elenco di avvisi predefiniti che possono essere attivati nei dispositivi IoT.
Avvisi di sicurezza
Gravità elevata
| Nome | Gravità | Origine dati | Descrizione | Passaggi di correzione suggeriti | Tipo di avviso |
|---|---|---|---|---|---|
| Riga di comando binaria | Alto | Defender-IoT-micro-agent | È stato rilevato Linux binario chiamato/eseguito dalla riga di comando. Questo processo può essere un'attività legittima o un'indicazione che il dispositivo è compromesso. | Esaminare il comando con l'utente che lo ha eseguito e verificare se si tratta di un'operazione legittimo che si prevede venga eseguita nel dispositivo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_BinaryCommandLine |
| Disabilitare il firewall | Alto | Defender-IoT-micro-agent | È stata rilevata una possibile manipolazione del firewall dell'host. Gli attori malintenzionati spesso disabilitano il firewall dell'host nel tentativo di esfiltrare i dati. | Esaminare con l'utente che ha eseguito il comando per verificare se si tratta di un'attività prevista legittima nel dispositivo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_DisableFirewall |
| Rilevamento dell'inoltro delle porte | Alto | Defender-IoT-micro-agent | È stato rilevato l'avvio dell'inoltro della porta a un indirizzo IP esterno. | Verificare con l'utente che ha eseguito il comando se si tratta di un'attività legittima che si prevede venga visualizzata nel dispositivo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_PortForwarding |
| Possibile tentativo di disabilitare la registrazione controllata rilevata | Alto | Defender-IoT-micro-agent | Linux sistema controllato consente di tenere traccia delle informazioni rilevanti per la sicurezza nel sistema. Il sistema registra quante più informazioni possibili sugli eventi che si verificano nel sistema. Queste informazioni sono fondamentali per gli ambienti cruciali per determinare chi ha violato i criteri di sicurezza e le azioni eseguite. La disabilitazione della registrazione con controllo potrebbe impedire la possibilità di individuare violazioni dei criteri di sicurezza usati nel sistema. | Verificare con il proprietario del dispositivo se si tratta di un'attività legittima con motivi aziendali. In caso contrario, questo evento potrebbe nascondere l'attività da parte di attori malintenzionati. L'evento imprevisto è stato immediatamente inoltrato al team di sicurezza delle informazioni. | IoT_DisableAuditdLogging |
| Shell inverse | Alto | Defender-IoT-micro-agent | L'analisi dei dati host in un dispositivo ha rilevato una potenziale shell inversa. Le shell inverse vengono spesso usate per ottenere un computer compromesso per richiamare un computer controllato da un attore dannoso. | Verificare con l'utente che ha eseguito il comando se si tratta di un'attività legittima che si prevede venga visualizzata nel dispositivo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_ReverseShell |
| Accesso locale riuscito | Alto | Defender-IoT-micro-agent | È stato rilevato l'accesso locale riuscito al dispositivo. | Assicurarsi che l'utente connesso sia un'entità autorizzata. | IoT_SuccessfulLocalLogin |
| Shell Web | Alto | Defender-IoT-micro-agent | Possibile shell Web rilevata. Gli attori malintenzionati in genere caricano una shell Web in un computer compromesso per ottenere la persistenza o per un ulteriore sfruttamento. | Verificare con l'utente che ha eseguito il comando se si tratta di un'attività legittima che si prevede venga visualizzata nel dispositivo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_WebShell |
| Comportamento simile al ransomware rilevato | Alto | Defender-IoT-micro-agent | Esecuzione di file simili a ransomware noti che possono impedire agli utenti di accedere al loro sistema, o file personali, e può richiedere il pagamento del riscatto per ottenere nuovamente l'accesso. | Verificare con l'utente che ha eseguito il comando se si tratta di un'attività legittima che si prevede venga visualizzata nel dispositivo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_Ransomware |
| Immagine del minatore di monete crittografiche | Alto | Defender-IoT-micro-agent | È stata rilevata l'esecuzione di un processo normalmente associato al data mining di valuta digitale. | Verificare con l'utente che ha eseguito il comando se si tratta di un'attività legittima nel dispositivo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_CryptoMiner |
| Nuova connessione USB | Alto | Defender-IoT-micro-agent | È stata rilevata una connessione al dispositivo USB. Questo potrebbe indicare attività dannose. | Verificare che si tratta di un'attività prevista legittima nell'host. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_USBConnection |
| Disconnessione USB | Alto | Defender-IoT-micro-agent | È stata rilevata una disconnessione del dispositivo USB. Questo potrebbe indicare attività dannose. | Verificare che si tratta di un'attività prevista legittima nell'host. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_UsbDisconnection |
| Nuova connessione Ethernet | Alto | Defender-IoT-micro-agent | È stata rilevata una nuova connessione Ethernet. Questo potrebbe indicare attività dannose. | Verificare che si tratta di un'attività prevista legittima nell'host. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_EthernetConnection |
| Disconnessione Ethernet | Alto | Defender-IoT-micro-agent | È stata rilevata una nuova disconnessione Ethernet. Questo potrebbe indicare attività dannose. | Verificare che si tratta di un'attività prevista legittima nell'host. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_EthernetDisconnection |
| Nuovo file creato | Alto | Defender-IoT-micro-agent | È stato rilevato un nuovo file. Questo potrebbe indicare attività dannose. | Verificare che si tratta di un'attività prevista legittima nell'host. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_FileCreated |
| File modificato | Alto | Defender-IoT-micro-agent | È stata rilevata la modifica del file. Questo potrebbe indicare attività dannose. | Verificare che si tratta di un'attività prevista legittima nell'host. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_FileModified |
| File eliminato | Alto | Defender-IoT-micro-agent | È stata rilevata l'eliminazione di file. Questo potrebbe indicare attività dannose. | Verificare che si tratta di un'attività prevista legittima nell'host. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_FileDeleted |
Gravità media
| Nome | Gravità | Origine dati | Descrizione | Passaggi di correzione suggeriti | Tipo di avviso |
|---|---|---|---|---|---|
| Comportamento simile ai bot Linux comuni rilevati | Medio | Defender-IoT-micro-agent | Esecuzione di un processo normalmente associato alle botnet Linux comuni rilevate. | Verificare con l'utente che ha eseguito il comando se si tratta di un'attività legittima che si prevede venga visualizzata nel dispositivo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_CommonBots |
| Rilevato comportamento simile al ransomware Fairware | Medio | Defender-IoT-micro-agent | Esecuzione di comandi rm -rf applicati a posizioni sospette rilevate tramite l'analisi dei dati host. Poiché rm -rf elimina in modo ricorsivo i file, in genere viene usato solo nelle cartelle discrete. In questo caso, viene usato in una posizione che potrebbe rimuovere una grande quantità di dati. Fairware ransomware è noto per eseguire i comandi rm -rf in questa cartella. | Esaminare con l'utente che ha eseguito il comando questa era un'attività legittima che si prevede di visualizzare nel dispositivo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_FairwareMalware |
| Immagine del contenitore del minatore di monete crypto rilevata | Medio | Defender-IoT-micro-agent | Contenitore che rileva l'esecuzione di immagini di data mining di valuta digitale note. | 1. Se questo comportamento non è previsto, eliminare l'immagine del contenitore pertinente. 2. Assicurarsi che il daemon Docker non sia accessibile tramite un socket TCP non sicuro. 3. Inoltrare l'avviso al team di sicurezza delle informazioni. |
IoT_CryptoMinerContainer |
| Rilevato uso sospetto del comando nohup | Medio | Defender-IoT-micro-agent | Rilevato uso sospetto del comando nohup nell'host. Gli attori malintenzionati in genere eseguono il comando nohup da una directory temporanea, consentendo in modo efficace l'esecuzione dei file eseguibili in background. La visualizzazione dell'esecuzione di questo comando nei file che si trovano in una directory temporanea non è prevista o il comportamento consueto. | Verificare con l'utente che ha eseguito il comando se si tratta di un'attività legittima che si prevede venga visualizzata nel dispositivo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_SuspiciousNohup |
| Rilevato uso sospetto del comando useradd | Medio | Defender-IoT-micro-agent | Uso sospetto del comando useradd rilevato nel dispositivo. | Verificare con l'utente che ha eseguito il comando se si tratta di un'attività legittima che si prevede venga visualizzata nel dispositivo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_SuspiciousUseradd |
| Daemon Docker esposto dal socket TCP | Medio | Defender-IoT-micro-agent | I log del computer indicano che il daemon Docker (dockerd) espone un socket TCP. Per impostazione predefinita, la configurazione di Docker non usa la crittografia o l'autenticazione quando è abilitato un socket TCP. La configurazione Docker predefinita consente l'accesso completo al daemon Docker da parte di chiunque abbia accesso alla porta pertinente. | Verificare con l'utente che ha eseguito il comando se si tratta di un'attività legittima che si prevede venga visualizzata nel dispositivo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_ExposedDocker |
| Accesso locale non riuscito | Medio | Defender-IoT-micro-agent | È stato rilevato un tentativo di accesso locale non riuscito al dispositivo. | Assicurarsi che nessuna parte non autorizzata abbia accesso fisico al dispositivo. | IoT_FailedLocalLogin |
| Rilevato download di file da un'origine dannosa | Medio | Defender-IoT-micro-agent | Download di un file da un'origine malware nota rilevata. | Verificare con l'utente che ha eseguito il comando se si tratta di un'attività legittima che si prevede venga visualizzata nel dispositivo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_PossibleMalware |
| È stato rilevato l'accesso ai file htaccess | Medio | Defender-IoT-micro-agent | L'analisi dei dati host ha rilevato una possibile manipolazione di un file htaccess. Htaccess è un potente file di configurazione che consente di apportare più modifiche a un server Web che esegue software Apache Web, incluse le funzionalità di reindirizzamento di base e funzioni più avanzate, ad esempio la protezione password di base. Gli attori malintenzionati spesso modificano i file htaccess nei computer compromessi per ottenere la persistenza. | Verificare che si tratta di un'attività prevista legittima nell'host. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_AccessingHtaccessFile |
| Strumento di attacco noto | Medio | Defender-IoT-micro-agent | È stato rilevato uno strumento spesso associato a utenti malintenzionati che attaccano altri computer in qualche modo. | Verificare con l'utente che ha eseguito il comando se si tratta di un'attività legittima che si prevede venga visualizzata nel dispositivo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_KnownAttackTools |
| Rilevata ricognizione host locale | Medio | Defender-IoT-micro-agent | Viene rilevata l'esecuzione di un comando normalmente associato alla ricognizione bot Linux comune. | Esaminare la riga di comando sospetta per verificare che sia stata eseguita da un utente legittimo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_LinuxReconnaissance |
| Mancata corrispondenza tra l'interprete script e l'estensione di file | Medio | Defender-IoT-micro-agent | Mancata corrispondenza tra l'interprete script e l'estensione del file di script fornito come input rilevato. Questo tipo di mancata corrispondenza è comunemente associato alle esecuzioni di script malintenzionati. | Verificare con l'utente che ha eseguito il comando se si tratta di un'attività legittima che si prevede venga visualizzata nel dispositivo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_ScriptInterpreterMismatch |
| Possibile backdoor rilevata | Medio | Defender-IoT-micro-agent | Un file sospetto è stato scaricato ed eseguito in un host nella sottoscrizione. Questo tipo di attività è comunemente associato all'installazione di una backdoor. | Verificare con l'utente che ha eseguito il comando se si tratta di un'attività legittima che si prevede venga visualizzata nel dispositivo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_LinuxBackdoor |
| Possibile perdita di dati rilevati | Medio | Defender-IoT-micro-agent | Possibile condizione di uscita dei dati rilevata tramite l'analisi dei dati host. Gli attori malintenzionati eseguono spesso l'uscita dei dati da computer compromessi. | Verificare con l'utente che ha eseguito il comando se si tratta di un'attività legittima che si prevede venga visualizzata nel dispositivo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_EgressData |
| Rilevato contenitore con privilegi | Medio | Defender-IoT-micro-agent | I log del computer indicano che è in esecuzione un contenitore Docker con privilegi. Un contenitore con privilegi ha accesso completo alle risorse host. Se compromesso, un attore malintenzionato può usare il contenitore con privilegi per ottenere l'accesso al computer host. | Se il contenitore non deve essere eseguito in modalità con privilegi, rimuovere i privilegi dal contenitore. | IoT_PrivilegedContainer |
| Rimozione dei file di log di sistema rilevati | Medio | Defender-IoT-micro-agent | Rimozione sospetta dei file di log nell'host rilevato. | Verificare con l'utente che ha eseguito il comando se si tratta di un'attività legittima che si prevede venga visualizzata nel dispositivo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_RemovalOfSystemLogs |
| Spazio dopo il nome del file | Medio | Defender-IoT-micro-agent | Esecuzione di un processo con un'estensione sospetta rilevata tramite l'analisi dei dati host. Le estensioni sospette possono indurre gli utenti a pensare che i file siano sicuri per essere aperti e possono indicare la presenza di malware nel sistema. | Verificare con l'utente che ha eseguito il comando se si tratta di un'attività legittima che si prevede venga visualizzata nel dispositivo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_ExecuteFileWithTrailingSpace |
| Sono stati rilevati strumenti comunemente usati per l'accesso a credenziali dannose | Medio | Defender-IoT-micro-agent | Rilevamento dell'utilizzo di uno strumento comunemente associato a tentativi dannosi di accesso alle credenziali. | Verificare con l'utente che ha eseguito il comando se si tratta di un'attività legittima che si prevede venga visualizzata nel dispositivo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_CredentialAccessTools |
| Rilevata compilazione sospetta | Medio | Defender-IoT-micro-agent | Rilevata compilazione sospetta. Gli attori malintenzionati spesso compilano exploit in un computer compromesso per l'escalation dei privilegi. | Verificare con l'utente che ha eseguito il comando se si tratta di un'attività legittima che si prevede venga visualizzata nel dispositivo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_SuspiciousCompilation |
| Download di file sospetto seguito dall'attività di esecuzione del file | Medio | Defender-IoT-micro-agent | L'analisi dei dati host ha rilevato un file scaricato ed eseguito nello stesso comando. Questa tecnica è comunemente usata da attori malintenzionati per ottenere file infetti su computer vittima. | Verificare con l'utente che ha eseguito il comando se si tratta di un'attività legittima che si prevede venga visualizzata nel dispositivo. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_DownloadFileThenRun |
| Comunicazione di indirizzi IP sospetti | Medio | Defender-IoT-micro-agent | Comunicazione con un indirizzo IP sospetto rilevato. | Verificare se la connessione è legittima. Valutare la possibilità di bloccare la comunicazione con l'IP sospetto. | IoT_TiConnection |
| Richiesta di nome di dominio dannoso | Medio | Defender-IoT-micro-agent | È stata rilevata un'attività di rete sospetta. Questa attività può essere associata a un attacco che sfrutta un metodo usato da malware noto. | Disconnettere l'origine dalla rete. Eseguire la risposta agli eventi imprevisti. | IoT_MaliciousNameQueriesDetection |
Gravità bassa
| Nome | Gravità | Origine dati | Descrizione | Passaggi di correzione suggeriti | Tipo di avviso |
|---|---|---|---|---|---|
| Cronologia bash cancellata | Bassa | Defender-IoT-micro-agent | Log cronologia Bash cancellato. Gli attori malintenzionati in genere cancellano la cronologia bash per nascondere la visualizzazione dei propri comandi nei log. | Esaminare con l'utente che ha eseguito il comando che l'attività in questo avviso per verificare se si riconosce questa attività come attività amministrativa legittima. In caso contrario, inoltrare l'avviso al team di sicurezza delle informazioni. | IoT_ClearHistoryFile |
Passaggi successivi
- Panoramica del servizio Defender per IoT