Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Defender for IoT analyserer kontinuerlig IoT-løsningen ved hjelp av avansert analyse og trusselintelligens for å varsle deg om ondsinnet aktivitet. I tillegg kan du opprette egendefinerte varsler basert på kunnskapen din om forventet enhetsvirkemåte. Et varsel fungerer som en indikator på potensielle kompromisser, og bør undersøkes og utbedres.
Obs!
Defender for IoT planlegger å pensjonere mikroagenten 1.
I denne artikkelen finner du en liste over innebygde varsler som kan utløses på IoT-enhetene dine.
Sikkerhetsvarsler
Høy alvorlighetsgrad
| Navn | Alvorlighetsgraden | Datakilde | Beskrivelse | Foreslåtte utbedringstrinn | Varseltype |
|---|---|---|---|---|---|
| Binær kommandolinje | Høy | Defender-IoT-micro-agent | LA Linux binærfilen som kalles/kjøres fra kommandolinjen ble oppdaget. Denne prosessen kan være legitim aktivitet, eller en indikasjon på at enheten er kompromittert. | Se gjennom kommandoen med brukeren som kjørte den, og kontroller om dette er noe som er forventet å kjøre på enheten. Hvis ikke, kan du eskalere varselet til sikkerhetsteamet for informasjon. | IoT_BinaryCommandLine |
| Deaktiver brannmur | Høy | Defender-IoT-micro-agent | Mulig manipulering av brannmur på verten oppdaget. Ondsinnede aktører deaktiverer ofte brannmuren på verten i et forsøk på å eksfiltrere data. | Se gjennom med brukeren som kjørte kommandoen for å bekrefte om dette var legitim forventet aktivitet på enheten. Hvis ikke, kan du eskalere varselet til sikkerhetsteamet for informasjon. | IoT_DisableFirewall |
| Portoversendingsgjenkjenning | Høy | Defender-IoT-micro-agent | Initiering av videresending av port til en ekstern IP-adresse oppdaget. | Se gjennom med brukeren som kjørte kommandoen hvis dette var legitim aktivitet som du forventer å se på enheten. Hvis ikke, eskalerer du varselet til informasjonssikkerhetsteamet. | IoT_PortForwarding |
| Mulig forsøk på å deaktivere oppdaget overvåkingslogging | Høy | Defender-IoT-micro-agent | Linux auditerte systemet gir deg en måte å spore relevant informasjon om sikkerhet på systemet på. Systemet registrerer så mye informasjon om hendelsene som skjer på systemet som mulig. Denne informasjonen er avgjørende for at driftskritiske miljøer skal kunne avgjøre hvem som brøt sikkerhetspolicyen og handlingene de utførte. Deaktivering av overvåkingslogging kan hindre muligheten til å oppdage brudd på sikkerhetspolicyer som brukes på systemet. | Ta kontakt med eieren av enheten hvis dette var legitim aktivitet av forretningsmessige årsaker. Hvis ikke, kan denne hendelsen skjule aktivitet av ondsinnede aktører. Umiddelbart eskalerte hendelsen til din informasjonssikkerhetsgruppe. | IoT_DisableAuditdLogging |
| Omvendte skall | Høy | Defender-IoT-micro-agent | Analyse av vertsdata på en enhet oppdaget et potensielt omvendt skall. Omvendte skjell brukes ofte til å få en kompromittert maskin til å ringe tilbake til en maskin kontrollert av en ondsinnet skuespiller. | Se gjennom med brukeren som kjørte kommandoen hvis dette var legitim aktivitet som du forventer å se på enheten. Hvis ikke, eskalerer du varselet til informasjonssikkerhetsteamet. | IoT_ReverseShell |
| Vellykket lokal pålogging | Høy | Defender-IoT-micro-agent | Vellykket lokal pålogging til enheten oppdaget. | Kontroller at den påloggede brukeren er en autorisert part. | IoT_SuccessfulLocalLogin |
| Nettskall | Høy | Defender-IoT-micro-agent | Mulig nettskall oppdaget. Ondsinnede aktører laster vanligvis opp et nettskall til en kompromittert maskin for å oppnå vedvarende eller for ytterligere utnyttelse. | Se gjennom med brukeren som kjørte kommandoen hvis dette var legitim aktivitet som du forventer å se på enheten. Hvis ikke, eskalerer du varselet til informasjonssikkerhetsteamet. | IoT_WebShell |
| Virkemåte som løsepengevirus oppdaget | Høy | Defender-IoT-micro-agent | Kjøring av filer som ligner på kjente løsepengevirus som kan hindre brukere i å få tilgang til systemet, eller personlige filer, og kan kreve løsepenger for å få tilgang igjen. | Se gjennom med brukeren som kjørte kommandoen hvis dette var legitim aktivitet som du forventer å se på enheten. Hvis ikke, eskalerer du varselet til informasjonssikkerhetsteamet. | IoT_Ransomware |
| Kryptomyntminerbilde | Høy | Defender-IoT-micro-agent | Utførelse av en prosess som normalt er knyttet til digital valutautvinning oppdaget. | Bekreft med brukeren som kjørte kommandoen hvis dette var legitim aktivitet på enheten. Hvis ikke, eskalerer du varselet til informasjonssikkerhetsteamet. | IoT_CryptoMiner |
| Ny USB-tilkobling | Høy | Defender-IoT-micro-agent | Det ble oppdaget en USB-enhetstilkobling. Dette kan indikere ondsinnet aktivitet. | Bekreft at dette er en legitim forventet aktivitet på verten. Hvis ikke, kan du eskalere varselet til sikkerhetsteamet for informasjon. | IoT_USBConnection |
| USB-frakobling | Høy | Defender-IoT-micro-agent | Det ble oppdaget en frakobling av EN USB-enhet. Dette kan indikere ondsinnet aktivitet. | Bekreft at dette er en legitim forventet aktivitet på verten. Hvis ikke, kan du eskalere varselet til sikkerhetsteamet for informasjon. | IoT_UsbDisconnection |
| Ny Ethernet-tilkobling | Høy | Defender-IoT-micro-agent | Det ble oppdaget en ny Ethernet-tilkobling. Dette kan indikere ondsinnet aktivitet. | Bekreft at dette er en legitim forventet aktivitet på verten. Hvis ikke, kan du eskalere varselet til sikkerhetsteamet for informasjon. | IoT_EthernetConnection |
| Ethernet-frakobling | Høy | Defender-IoT-micro-agent | Det ble oppdaget en ny Frakobling av Ethernet. Dette kan indikere ondsinnet aktivitet. | Bekreft at dette er en legitim forventet aktivitet på verten. Hvis ikke, kan du eskalere varselet til sikkerhetsteamet for informasjon. | IoT_EthernetDisconnection |
| Ny fil opprettet | Høy | Defender-IoT-micro-agent | Det ble oppdaget en ny fil. Dette kan indikere ondsinnet aktivitet. | Bekreft at dette er en legitim forventet aktivitet på verten. Hvis ikke, kan du eskalere varselet til sikkerhetsteamet for informasjon. | IoT_FileCreated |
| Fil endret | Høy | Defender-IoT-micro-agent | Filendring ble oppdaget. Dette kan indikere ondsinnet aktivitet. | Bekreft at dette er en legitim forventet aktivitet på verten. Hvis ikke, kan du eskalere varselet til sikkerhetsteamet for informasjon. | IoT_FileModified |
| Fil slettet | Høy | Defender-IoT-micro-agent | Filsletting ble oppdaget. Dette kan indikere ondsinnet aktivitet. | Bekreft at dette er en legitim forventet aktivitet på verten. Hvis ikke, kan du eskalere varselet til sikkerhetsteamet for informasjon. | IoT_FileDeleted |
Middels alvorlighetsgrad
| Navn | Alvorlighetsgraden | Datakilde | Beskrivelse | Foreslåtte utbedringstrinn | Varseltype |
|---|---|---|---|---|---|
| Atferd som ligner på vanlige Linux roboter oppdaget | Middels | Defender-IoT-micro-agent | Utførelse av en prosess som vanligvis er knyttet til vanlige Linux botnets oppdaget. | Se gjennom med brukeren som kjørte kommandoen hvis dette var legitim aktivitet som du forventer å se på enheten. Hvis ikke, eskalerer du varselet til informasjonssikkerhetsteamet. | IoT_CommonBots |
| Virkemåte som fairware ransomware oppdaget | Middels | Defender-IoT-micro-agent | Kjøring av rm -rf-kommandoer brukt på mistenkelige plasseringer oppdaget ved hjelp av analyse av vertsdata. Fordi rm -rf rekursivt sletter filer, brukes den vanligvis bare på diskrete mapper. I dette tilfellet brukes den på en plassering som kan fjerne store mengder data. Fairware ransomware er kjent for å utføre rm -rf-kommandoer i denne mappen. | Se gjennom med brukeren som kjørte kommandoen, dette var legitim aktivitet som du forventer å se på enheten. Hvis ikke, eskalerer du varselet til informasjonssikkerhetsteamet. | IoT_FairwareMalware |
| Kryptomyntminerbeholderbilde oppdaget | Middels | Defender-IoT-micro-agent | Beholder som oppdager kjøring av kjente bilder av digital valutautvinning. | 1. Hvis denne virkemåten ikke er ment, sletter du det relevante beholderbildet. 2. Kontroller at Docker-daemonen ikke er tilgjengelig via en usikker TCP-kontakt. 3. Eskalere varselet til informasjonssikkerhetsteamet. |
IoT_CryptoMinerContainer |
| Oppdaget mistenkelig bruk av nohup-kommandoen | Middels | Defender-IoT-micro-agent | Mistenkelig bruk av nohup-kommandoen på verten oppdaget. Ondsinnede aktører kjører vanligvis nohup-kommandoen fra en midlertidig katalog, slik at de kan kjøre kjørbare filer i bakgrunnen. Det forventes ikke at denne kommandoen kjører på filer som er plassert i en midlertidig katalog. | Se gjennom med brukeren som kjørte kommandoen hvis dette var legitim aktivitet som du forventer å se på enheten. Hvis ikke, eskalerer du varselet til informasjonssikkerhetsteamet. | IoT_SuspiciousNohup |
| Oppdaget mistenkelig bruk av useradd-kommandoen | Middels | Defender-IoT-micro-agent | Mistenkelig bruk av useradd-kommandoen som ble oppdaget på enheten. | Se gjennom med brukeren som kjørte kommandoen hvis dette var legitim aktivitet som du forventer å se på enheten. Hvis ikke, eskalerer du varselet til informasjonssikkerhetsteamet. | IoT_SuspiciousUseradd |
| Eksponert Docker-daemon av TCP-socket | Middels | Defender-IoT-micro-agent | Maskinlogger indikerer at Docker-daemonen (dockerd) viser en TCP-kontakt. Docker-konfigurasjonen bruker som standard ikke kryptering eller godkjenning når en TCP-socket er aktivert. Standard Docker-konfigurasjon gir full tilgang til Docker-daemonen, av alle som har tilgang til den aktuelle porten. | Se gjennom med brukeren som kjørte kommandoen hvis dette var legitim aktivitet som du forventer å se på enheten. Hvis ikke, eskalerer du varselet til informasjonssikkerhetsteamet. | IoT_ExposedDocker |
| Mislykket lokal pålogging | Middels | Defender-IoT-micro-agent | Det ble oppdaget et mislykket lokalt påloggingsforsøk på enheten. | Kontroller at ingen uautorisert part har fysisk tilgang til enheten. | IoT_FailedLocalLogin |
| Oppdaget filnedlasting fra en skadelig kilde | Middels | Defender-IoT-micro-agent | Nedlasting av en fil fra en kjent kilde for skadelig programvare oppdaget. | Se gjennom med brukeren som kjørte kommandoen hvis dette var legitim aktivitet som du forventer å se på enheten. Hvis ikke, eskalerer du varselet til informasjonssikkerhetsteamet. | IoT_PossibleMalware |
| htaccess-filtilgang oppdaget | Middels | Defender-IoT-micro-agent | Analyse av vertsdata oppdaget mulig manipulering av en htaccess-fil. Htaccess er en kraftig konfigurasjonsfil som lar deg gjøre flere endringer på en nettserver som kjører Apache Web-programvare, inkludert grunnleggende omadresseringsfunksjonalitet og mer avanserte funksjoner, for eksempel grunnleggende passordbeskyttelse. Ondsinnede aktører endrer ofte filer på kompromitterte maskiner for å oppnå vedvarendehet. | Bekreft at dette er legitim forventet aktivitet på verten. Hvis ikke, kan du eskalere varselet til sikkerhetsteamet for informasjon. | IoT_AccessingHtaccessFile |
| Kjent angrepsverktøy | Middels | Defender-IoT-micro-agent | Et verktøy som ofte er knyttet til ondsinnede brukere som angrep andre maskiner, ble oppdaget på en eller annen måte. | Se gjennom med brukeren som kjørte kommandoen hvis dette var legitim aktivitet som du forventer å se på enheten. Hvis ikke, eskalerer du varselet til informasjonssikkerhetsteamet. | IoT_KnownAttackTools |
| Lokal vert rekognosering oppdaget | Middels | Defender-IoT-micro-agent | Kjøring av en kommando som vanligvis er knyttet til vanlige Linux oppdaget botrekognosering. | Se gjennom den mistenkelige kommandolinjen for å bekrefte at den ble utført av en legitim bruker. Hvis ikke, kan du eskalere varselet til sikkerhetsteamet for informasjon. | IoT_LinuxReconnaissance |
| Manglende samsvar mellom skripttolker og filtype | Middels | Defender-IoT-micro-agent | Manglende samsvar mellom skripttolkeren og filtypen til skriptfilen som ble angitt som inndata oppdaget. Denne typen manglende samsvar er vanligvis knyttet til kjøringer av angriperskript. | Se gjennom med brukeren som kjørte kommandoen hvis dette var legitim aktivitet som du forventer å se på enheten. Hvis ikke, eskalerer du varselet til informasjonssikkerhetsteamet. | IoT_ScriptInterpreterMismatch |
| Mulig bakdør oppdaget | Middels | Defender-IoT-micro-agent | En mistenkelig fil ble lastet ned og kjørt deretter på en vert i abonnementet. Denne typen aktivitet er vanligvis knyttet til installasjon av en bakdør. | Se gjennom med brukeren som kjørte kommandoen hvis dette var legitim aktivitet som du forventer å se på enheten. Hvis ikke, eskalerer du varselet til informasjonssikkerhetsteamet. | IoT_LinuxBackdoor |
| Mulig tap av data oppdaget | Middels | Defender-IoT-micro-agent | Mulig datainngangsbetingelse oppdaget ved hjelp av analyse av vertsdata. Ondsinnede aktører går ofte ut av data fra kompromitterte maskiner. | Se gjennom med brukeren som kjørte kommandoen hvis dette var legitim aktivitet som du forventer å se på enheten. Hvis ikke, eskalerer du varselet til informasjonssikkerhetsteamet. | IoT_EgressData |
| Oppdaget privilegert beholder | Middels | Defender-IoT-micro-agent | Maskinlogger angir at en privilegert Docker-beholder kjører. En privilegert beholder har full tilgang til vertsressurser. Hvis den er kompromittert, kan en ondsinnet aktør bruke den privilegerte beholderen til å få tilgang til vertsmaskinen. | Hvis beholderen ikke trenger å kjøre i privilegert modus, fjerner du rettighetene fra beholderen. | IoT_PrivilegedContainer |
| Fjerning av systemloggfiler oppdaget | Middels | Defender-IoT-micro-agent | Mistenkelig fjerning av loggfiler på verten oppdaget. | Se gjennom med brukeren som kjørte kommandoen hvis dette var legitim aktivitet som du forventer å se på enheten. Hvis ikke, eskalerer du varselet til informasjonssikkerhetsteamet. | IoT_RemovalOfSystemLogs |
| Mellomrom etter filnavn | Middels | Defender-IoT-micro-agent | Utførelse av en prosess med en mistenkelig utvidelse oppdaget ved hjelp av analyse av vertsdata. Mistenkelige utvidelser kan lure brukere til å tro at filer er trygge å åpne, og kan indikere tilstedeværelsen av skadelig programvare på systemet. | Se gjennom med brukeren som kjørte kommandoen hvis dette var legitim aktivitet som du forventer å se på enheten. Hvis ikke, eskalerer du varselet til informasjonssikkerhetsteamet. | IoT_ExecuteFileWithTrailingSpace |
| Verktøy som vanligvis brukes for tilgang til skadelig legitimasjon oppdaget | Middels | Defender-IoT-micro-agent | Gjenkjenningsbruk av et verktøy som vanligvis er knyttet til skadelige forsøk på å få tilgang til legitimasjon. | Se gjennom med brukeren som kjørte kommandoen hvis dette var legitim aktivitet som du forventer å se på enheten. Hvis ikke, eskalerer du varselet til informasjonssikkerhetsteamet. | IoT_CredentialAccessTools |
| Mistenkelig kompilering oppdaget | Middels | Defender-IoT-micro-agent | Mistenkelig kompilering oppdaget. Ondsinnede aktører kompilerer ofte bedrifter på en kompromittert maskin for å eskalere privilegier. | Se gjennom med brukeren som kjørte kommandoen hvis dette var legitim aktivitet som du forventer å se på enheten. Hvis ikke, eskalerer du varselet til informasjonssikkerhetsteamet. | IoT_SuspiciousCompilation |
| Mistenkelig filnedlasting etterfulgt av filkjøringsaktivitet | Middels | Defender-IoT-micro-agent | Analyse av vertsdata oppdaget en fil som ble lastet ned og kjørt i samme kommando. Denne teknikken brukes vanligvis av ondsinnede aktører til å få infiserte filer på offermaskiner. | Se gjennom med brukeren som kjørte kommandoen hvis dette var legitim aktivitet som du forventer å se på enheten. Hvis ikke, eskalerer du varselet til informasjonssikkerhetsteamet. | IoT_DownloadFileThenRun |
| Mistenkelig IP-adressekommunikasjon | Middels | Defender-IoT-micro-agent | Kommunikasjon med en mistenkelig IP-adresse oppdaget. | Kontroller om tilkoblingen er legitim. Vurder å blokkere kommunikasjon med mistenkelig IP. | IoT_TiConnection |
| Forespørsel om ondsinnet domenenavn | Middels | Defender-IoT-micro-agent | Mistenkelig nettverksaktivitet ble oppdaget. Denne aktiviteten kan være knyttet til et angrep som utnytter en metode som brukes av kjent skadelig programvare. | Koble kilden fra nettverket. Utfør hendelsesrespons. | IoT_MaliciousNameQueriesDetection |
Lav alvorlighetsgrad
| Navn | Alvorlighetsgraden | Datakilde | Beskrivelse | Foreslåtte utbedringstrinn | Varseltype |
|---|---|---|---|---|---|
| Bash historie ryddet | Lav | Defender-IoT-micro-agent | Loggen for Bash-loggen er tømt. Ondsinnede aktører sletter ofte bash-loggen for å skjule sine egne kommandoer fra å vises i loggene. | Se gjennom med brukeren som kjørte kommandoen som aktiviteten i dette varselet, for å se om du gjenkjenner dette som legitim administrativ aktivitet. Hvis ikke, eskalerer du varselet til informasjonssikkerhetsteamet. | IoT_ClearHistoryFile |
Neste trinn
- Oversikt over Defender for IoT-tjenesten