Defender for IoT は、高度な分析と脅威インテリジェンスを使用して IoT ソリューションを継続的に分析し、悪意のあるアクティビティを警告します。 さらに、予想されるデバイスの動作に関する知識に基づいてカスタム アラートを作成できます。 アラートは潜在的な侵害の指標として機能し、調査して修復する必要があります。
注:
Defender for IoT は、2025 年 8 月 1 日にマイクロ エージェントを廃止する予定です。
この記事では、IoT デバイスでトリガーできる組み込みアラートの一覧を示します。
セキュリティの警告
重大度が高い
| 名前 | 重要度 | データ ソース | 説明 | 推奨される修復手順 | アラートの種類 |
|---|---|---|---|---|---|
| バイナリ コマンド ライン | 高 | Defender-IoT-micro-agent | LA Linuxコマンド ラインから呼び出されるバイナリまたは実行されているバイナリが検出されました。 このプロセスは、正当なアクティビティであるか、デバイスが侵害されていることを示している可能性があります。 | コマンドを実行したユーザーと共に確認し、これがデバイスで実行されることが正当に期待される場合は、チェックします。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_BinaryCommandLine |
| ファイアウォールを無効にする | 高 | Defender-IoT-micro-agent | オンホスト ファイアウォールの操作の可能性が検出されました。 悪意のあるアクターは、多くの場合、データの流出を試みるためにオンホスト ファイアウォールを無効にします。 | コマンドを実行したユーザーに確認して、これがデバイス上の正当な期待されるアクティビティであるかどうかを確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_DisableFirewall |
| ポート転送の検出 | 高 | Defender-IoT-micro-agent | 外部 IP アドレスへのポート転送の開始が検出されました。 | これがデバイスに表示される正当なアクティビティであるかどうかを、コマンドを実行したユーザーに確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_PortForwarding |
| 監査ログを無効にしようとした可能性が検出されました | 高 | Defender-IoT-micro-agent | Linux監査システムは、システム上のセキュリティ関連の情報を追跡する方法を提供します。 システムは、システムで発生しているイベントに関する情報をできるだけ多く記録します。 この情報は、ミッション クリティカルな環境で、セキュリティ ポリシーと実行したアクションに違反したユーザーを特定するために重要です。 監査ログを無効にすると、システムで使用されるセキュリティ ポリシーの違反を検出できなくなる可能性があります。 | これがビジネス上の理由で正当なアクティビティであるかどうかをデバイス所有者に確認します。 そうでない場合、このイベントは悪意のあるアクターによるアクティビティを非表示にしている可能性があります。 インシデントをすぐに情報セキュリティ チームにエスカレートしました。 | IoT_DisableAuditdLogging |
| 逆シェル | 高 | Defender-IoT-micro-agent | デバイス上のホスト データの分析で、潜在的な逆シェルが検出されました。 リバース シェルは、悪意のあるアクターによって制御されるマシンにコールバックするために、侵害されたマシンを取得するためによく使用されます。 | これがデバイスに表示される正当なアクティビティであるかどうかを、コマンドを実行したユーザーに確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_ReverseShell |
| ローカル ログインに成功しました | 高 | Defender-IoT-micro-agent | デバイスへのローカル サインインが正常に検出されました。 | サインインしているユーザーが承認されたパーティーであることを確認します。 | IoT_SuccessfulLocalLogin |
| Web シェル | 高 | Defender-IoT-micro-agent | 可能な Web シェルが検出されました。 悪意のあるアクターは、通常、Web シェルを侵害されたマシンにアップロードして永続化を取得したり、さらなる悪用を行ったりします。 | これがデバイスに表示される正当なアクティビティであるかどうかを、コマンドを実行したユーザーに確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_WebShell |
| ランサムウェアに似た動作が検出されました | 高 | Defender-IoT-micro-agent | 既知のランサムウェアに似たファイルの実行。ユーザーがシステムや個人用ファイルにアクセスできなくなる可能性があり、アクセスを回復するために身代金の支払いが必要になる可能性があります。 | これがデバイスに表示される正当なアクティビティであるかどうかを、コマンドを実行したユーザーに確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_Ransomware |
| 暗号コインマイナー画像 | 高 | Defender-IoT-micro-agent | 通常、デジタル通貨マイニングに関連付けられているプロセスの実行が検出されました。 | これがデバイス上の正当なアクティビティであるかどうかを、コマンドを実行したユーザーに確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_CryptoMiner |
| 新しい USB 接続 | 高 | Defender-IoT-micro-agent | USB デバイス接続が検出されました。 これは、悪意のあるアクティビティを示している可能性があります。 | これがホストで想定される正当なアクティビティであることを確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_USBConnection |
| USB 切断 | 高 | Defender-IoT-micro-agent | USB デバイスの切断が検出されました。 これは、悪意のあるアクティビティを示している可能性があります。 | これがホストで想定される正当なアクティビティであることを確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_UsbDisconnection |
| 新しいイーサネット接続 | 高 | Defender-IoT-micro-agent | 新しいイーサネット接続が検出されました。 これは、悪意のあるアクティビティを示している可能性があります。 | これがホストで想定される正当なアクティビティであることを確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_EthernetConnection |
| イーサネット切断 | 高 | Defender-IoT-micro-agent | 新しいイーサネット切断が検出されました。 これは、悪意のあるアクティビティを示している可能性があります。 | これがホストで想定される正当なアクティビティであることを確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_EthernetDisconnection |
| 新しく作成されたファイル | 高 | Defender-IoT-micro-agent | 新しいファイルが検出されました。 これは、悪意のあるアクティビティを示している可能性があります。 | これがホストで想定される正当なアクティビティであることを確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_FileCreated |
| 変更されたファイル | 高 | Defender-IoT-micro-agent | ファイルの変更が検出されました。 これは、悪意のあるアクティビティを示している可能性があります。 | これがホストで想定される正当なアクティビティであることを確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_FileModified |
| 削除されたファイル | 高 | Defender-IoT-micro-agent | ファイルの削除が検出されました。 これは、悪意のあるアクティビティを示している可能性があります。 | これがホストで想定される正当なアクティビティであることを確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_FileDeleted |
重大度が中程度
| 名前 | 重要度 | データ ソース | 説明 | 推奨される修復手順 | アラートの種類 |
|---|---|---|---|---|---|
| 検出された一般的なLinux ボットに似た動作 | 中 | Defender-IoT-micro-agent | 通常、検出された一般的なLinuxボットネットに関連付けられているプロセスの実行。 | これがデバイスに表示される正当なアクティビティであるかどうかを、コマンドを実行したユーザーに確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_CommonBots |
| Fairware ランサムウェアに似た動作が検出されました | 中 | Defender-IoT-micro-agent | ホスト データの分析を使用して検出された疑わしい場所に適用される rm -rf コマンドの実行。 rm -rf はファイルを再帰的に削除するため、通常は個別のフォルダーでのみ使用されます。 この場合、大量のデータを削除できる場所で使用されています。 Fairware ランサムウェアは、このフォルダーで rm -rf コマンドを実行することが知られています。 | コマンドを実行したユーザーに確認します。これは、デバイスに表示される正当なアクティビティでした。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_FairwareMalware |
| 暗号化コイン マイナー コンテナー イメージが検出されました | 中 | Defender-IoT-micro-agent | 既知のデジタル通貨マイニング イメージの実行を検出するコンテナー。 | 1. この動作が意図されていない場合は、関連するコンテナー イメージを削除します。 2. 安全でない TCP ソケットを介して Docker デーモンにアクセスできないことを確認します。 3. 情報セキュリティ チームにアラートをエスカレートします。 |
IoT_CryptoMinerContainer |
| nohup コマンドの疑わしい使用が検出されました | 中 | Defender-IoT-micro-agent | ホストでの nohup コマンドの疑わしい使用が検出されました。 悪意のあるアクターは通常、一時ディレクトリから nohup コマンドを実行し、実行可能ファイルをバックグラウンドで効果的に実行できるようにします。 このコマンドが一時ディレクトリにあるファイルで実行されるのを見ることは、予期しないか、通常の動作ではありません。 | これがデバイスに表示される正当なアクティビティであるかどうかを、コマンドを実行したユーザーに確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_SuspiciousNohup |
| useradd コマンドの疑わしい使用が検出されました | 中 | Defender-IoT-micro-agent | デバイスで useradd コマンドの疑わしい使用が検出されました。 | これがデバイスに表示される正当なアクティビティであるかどうかを、コマンドを実行したユーザーに確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_SuspiciousUseradd |
| TCP ソケットによって公開された Docker デーモン | 中 | Defender-IoT-micro-agent | マシン ログは、Docker デーモン (dockerd) が TCP ソケットを公開していることを示します。 既定では、Docker 構成では、TCP ソケットが有効になっている場合、暗号化や認証は使用されません。 既定の Docker 構成では、関連するポートへのアクセス権を持つすべてのユーザーが Docker デーモンにフル アクセスできます。 | これがデバイスに表示される正当なアクティビティであるかどうかを、コマンドを実行したユーザーに確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_ExposedDocker |
| 失敗したローカル ログイン | 中 | Defender-IoT-micro-agent | デバイスへのローカル ログイン試行に失敗しました。 | 承認されていないパーティがデバイスに物理的にアクセスできないようにします。 | IoT_FailedLocalLogin |
| 悪意のあるソースからのファイルのダウンロードが検出されました | 中 | Defender-IoT-micro-agent | 既知のマルウェア ソースからのファイルのダウンロードが検出されました。 | これがデバイスに表示される正当なアクティビティであるかどうかを、コマンドを実行したユーザーに確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_PossibleMalware |
| htaccess ファイル アクセスが検出されました | 中 | Defender-IoT-micro-agent | ホスト データの分析により、htaccess ファイルの操作が検出されました。 Htaccess は、基本的なリダイレクト機能や、基本的なパスワード保護などの高度な機能など、Apache Web ソフトウェアを実行する Web サーバーに複数の変更を加える強力な構成ファイルです。 悪意のあるアクターは、多くの場合、侵害されたマシン上の htaccess ファイルを変更して永続化を取得します。 | これがホストでの正当な期待されるアクティビティであることを確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_AccessingHtaccessFile |
| 既知の攻撃ツール | 中 | Defender-IoT-micro-agent | 多くの場合、悪意のあるユーザーが何らかの方法で他のマシンを攻撃しているツールが検出されました。 | これがデバイスに表示される正当なアクティビティであるかどうかを、コマンドを実行したユーザーに確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_KnownAttackTools |
| ローカル ホスト偵察が検出されました | 中 | Defender-IoT-micro-agent | 通常、一般的なLinuxボットの偵察に関連付けられているコマンドの実行が検出されました。 | 疑わしいコマンド ラインを確認して、正当なユーザーによって実行されたことを確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_LinuxReconnaissance |
| スクリプト インタープリターとファイル拡張子の不一致 | 中 | Defender-IoT-micro-agent | スクリプト インタープリターと、入力が検出された場合に指定されたスクリプト ファイルの拡張子が一致しません。 この種類の不一致は、一般的に攻撃者のスクリプト実行に関連付けられています。 | これがデバイスに表示される正当なアクティビティであるかどうかを、コマンドを実行したユーザーに確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_ScriptInterpreterMismatch |
| バックドアの可能性が検出されました | 中 | Defender-IoT-micro-agent | 疑わしいファイルがダウンロードされ、サブスクリプション内のホストで実行されました。 この種類のアクティビティは、一般的にバックドアのインストールに関連付けられます。 | これがデバイスに表示される正当なアクティビティであるかどうかを、コマンドを実行したユーザーに確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_LinuxBackdoor |
| 検出されたデータの損失の可能性 | 中 | Defender-IoT-micro-agent | ホスト データの分析を使用して検出された可能性のあるデータエグレス条件。 悪意のあるアクターは、多くの場合、侵害されたマシンからデータを送信します。 | これがデバイスに表示される正当なアクティビティであるかどうかを、コマンドを実行したユーザーに確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_EgressData |
| 特権コンテナーが検出されました | 中 | Defender-IoT-micro-agent | マシン ログは、特権 Docker コンテナーが実行されていることを示します。 特権コンテナーには、ホスト リソースへのフル アクセス権があります。 侵害された場合、悪意のあるアクターは特権コンテナーを使用してホスト マシンにアクセスできます。 | コンテナーを特権モードで実行する必要がない場合は、コンテナーから特権を削除します。 | IoT_PrivilegedContainer |
| システム ログ ファイルの削除が検出されました | 中 | Defender-IoT-micro-agent | ホスト上のログ ファイルの疑わしい削除が検出されました。 | これがデバイスに表示される正当なアクティビティであるかどうかを、コマンドを実行したユーザーに確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_RemovalOfSystemLogs |
| ファイル名の後のスペース | 中 | Defender-IoT-micro-agent | ホスト データの分析を使用して、疑わしい拡張機能が検出されたプロセスの実行。 疑わしい拡張機能は、ファイルを開いて安全であると考え、システム上のマルウェアの存在を示すことができると考えて、ユーザーを欺く可能性があります. | これがデバイスに表示される正当なアクティビティであるかどうかを、コマンドを実行したユーザーに確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_ExecuteFileWithTrailingSpace |
| 悪意のある資格情報アクセスに一般的に使用されるツールが検出されました | 中 | Defender-IoT-micro-agent | 悪意のある資格情報へのアクセス試行に一般的に関連付けられているツールの検出の使用。 | これがデバイスに表示される正当なアクティビティであるかどうかを、コマンドを実行したユーザーに確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_CredentialAccessTools |
| 不審なコンパイルが検出されました | 中 | Defender-IoT-micro-agent | 不審なコンパイルが検出されました。 悪意のあるアクターは、多くの場合、侵害されたマシンで悪用をコンパイルして特権をエスカレートします。 | これがデバイスに表示される正当なアクティビティであるかどうかを、コマンドを実行したユーザーに確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_SuspiciousCompilation |
| 疑わしいファイルのダウンロードの後にファイルの実行アクティビティが続く | 中 | Defender-IoT-micro-agent | ホスト データの分析では、同じコマンドでダウンロードおよび実行されたファイルが検出されました。 この手法は、悪意のあるアクターが感染したファイルを被害者のマシンに取得するために一般的に使用されます。 | これがデバイスに表示される正当なアクティビティであるかどうかを、コマンドを実行したユーザーに確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_DownloadFileThenRun |
| 疑わしい IP アドレス通信 | 中 | Defender-IoT-micro-agent | 疑わしい IP アドレスとの通信が検出されました。 | 接続が正当であるかどうかを確認します。 疑わしい IP との通信をブロックすることを検討してください。 | IoT_TiConnection |
| 悪意のあるドメイン名要求 | 中 | Defender-IoT-micro-agent | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | ソースをネットワークから切断します。 インシデント対応を実行します。 | IoT_MaliciousNameQueriesDetection |
重大度が低い
| 名前 | 重要度 | データ ソース | 説明 | 推奨される修復手順 | アラートの種類 |
|---|---|---|---|---|---|
| Bash の履歴がクリアされました | 低 | Defender-IoT-micro-agent | Bash 履歴ログがクリアされました。 悪意のあるアクターは、通常、bash 履歴を消去して、自分のコマンドがログに表示されないようにします。 | このアラートのアクティビティが正当な管理アクティビティとして認識されているかどうかを確認するコマンドを実行したユーザーに確認します。 そうでない場合は、情報セキュリティ チームにアラートをエスカレートします。 | IoT_ClearHistoryFile |
次の手順
- Defender for IoT サービス の概要