Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Defender for IoT-sikkerhetsagenter samler inn data og systemhendelser fra den lokale enheten, og sender dataene til Azure skyen for behandling.
Obs!
Defender for IoT planlegger å pensjonere mikroagenten 1.
Hvis du har konfigurert og koblet til et Log Analytics-arbeidsområde, ser du disse hendelsene i Log Analytics. Hvis du vil ha mer informasjon, kan du se Opplæring: Undersøke sikkerhetsvarsler.
Defender for IoT-mikroagenten samler inn mange typer enhetshendelser, inkludert nye prosesser og alle nye tilkoblingshendelser. Både den nye prosessen og nye tilkoblingshendelser kan forekomme ofte på en enhet. Denne funksjonen er viktig for omfattende sikkerhet, men antall meldinger sikkerhetsagentene sender, kan imidlertid raskt oppfylle, eller overskride IoT Hub kvote og kostnadsgrenser. Disse meldingene og hendelsene inneholder svært verdifull sikkerhetsinformasjon som er avgjørende for å beskytte enheten.
For å redusere antall meldinger og kostnader samtidig som enhetens sikkerhet opprettholdes, aggregerer Defender for IoT-agenter følgende typer hendelser:
Prosesshendelser (bare Linux)
Nettverksaktivitetshendelser
Filsystemhendelser
Statistikkhendelser
Hvis du vil ha mer informasjon, kan du se hendelsesaggregasjon for prosess- og nettverkssamlere.
Hendelsesbaserte samlere er samlere som utløses basert på tilsvarende aktivitet fra enheten. For eksempel a process was started in the device.
Utløserbaserte samlere er samlere som utløses på en planlagt måte basert på kundens konfigurasjoner.
Prosesshendelser (hendelsesbasert samler)
Prosesshendelser støttes på Linux operativsystemer.
Prosesshendelser anses som identiske når kommandolinjen og bruker-ID-en er identiske.
Standardbufferen for prosesshendelser er 256 prosesser. Når denne grensen er oppfylt, vil bufferen kretse, og den eldste prosesshendelsen forkastes for å gi plass til den nyeste behandlede hendelsen. En advarsel om å øke størrelsen på hurtigbufferen blir loggført.
Dataene som samles inn for hver hendelse, er:
| Parameteren | Beskrivelse |
|---|---|
| Tidsstempel | Første gang prosessen ble observert. |
| process_id | PID-en for Linux. |
| parent_process_id | Den Linux overordnede PID-en, hvis den finnes. |
| Commandline | Kommandolinjen. |
| Type | Kan være enten fork, eller exec. |
| hit_count | Aggregatantallet. Antall kjøringer av samme prosess, i samme tidsramme, til hendelsene sendes til skyen. |
Nettverksaktivitetshendelser (hendelsesbasert samler)
Nettverksaktivitetshendelser anses som identiske når den lokale porten, ekstern port, transportprotokoll, lokal adresse og ekstern adresse er identiske.
Standardbufferen for en nettverksaktivitetshendelse er 256. For situasjoner der hurtigbufferen er full:
Eclipse ThreadX-enheter: Ingen nye nettverkshendelser bufres før neste samlingssyklus starter.
Linux enheter: Den eldste hendelsen erstattes av alle nye hendelser. En advarsel om å øke størrelsen på hurtigbufferen blir loggført.
Bare IPv4 støttes for Linux enheter.
Dataene som samles inn for hver hendelse, er:
| Parameteren | Beskrivelse |
|---|---|
| Lokal adresse | Kildeadressen til tilkoblingen. |
| Ekstern adresse | Måladressen til tilkoblingen. |
| Lokal port | Kildeporten for tilkoblingen. |
| Ekstern port | Målporten for tilkoblingen. |
| Bytes_in | Totalt aggregert RX-byte for tilkoblingen. |
| Bytes_out | Totalt antall Aggregerte TX-byte for tilkoblingen. |
| Transport_protocol | Kan være TCP, UDP eller ICMP. |
| Programprotokoll | Programprotokollen som er knyttet til tilkoblingen. |
| Utvidede egenskaper | Tilleggsdetaljene for tilkoblingen. For eksempel host name. |
| Treffantall | Antallet pakker som er observert |
Påloggingssamler (hendelsesbasert samler)
Påloggingssamleren samler inn brukerpålogginger, pålogginger og mislykkede påloggingsforsøk.
Påloggingssamleren støtter følgende typer samlingsmetoder:
UTMP og SYSLOG. UTMP fanger opp interaktive SSH-hendelser, telnet-hendelser og terminalpålogginger, samt alle mislykkede påloggingshendelser fra SSH, telnet og terminal. Hvis SYSLOG er aktivert på enheten, samler påloggingssamleren også SSH-påloggingshendelser via SYSLOG-filen kalt auth.log.
Pluggbare godkjenningsmoduler (PAM). Samler inn SSH, telnet og lokale påloggingshendelser. Hvis du vil ha mer informasjon, kan du se Konfigurere pluggbare godkjenningsmoduler (PAM) for å overvåke påloggingshendelser.
Følgende data samles inn:
| Parameteren | Beskrivelse |
|---|---|
| Operasjonen | Ett av følgende: Login, , LogoutLoginFailed |
| process_id | PID-en for Linux. |
| Brukernavn | Den Linux brukeren. |
| Kjørbar | Terminalenheten. For eksempel, tty1..6 eller pts/n. |
| remote_address | Kilden til tilkoblingen, enten en ekstern IP-adresse i IPv6- eller IPv4-format, eller 127.0.0.1/0.0.0.0 for å angi lokal tilkobling. |
Systeminformasjon (utløserbasert samler)
Dataene som samles inn for hver hendelse, er:
| Parameteren | Beskrivelse |
|---|---|
| hardware_vendor | Navnet på leverandøren av enheten. |
| hardware_model | Modellnummeret til enheten. |
| os_dist | Fordelingen av operativsystemet. For eksempel Linux. |
| os_version | Versjonen av operativsystemet. Eksempel: , Windows 10eller Ubuntu 20.04.1. |
| os_platform | Operativsystemet til enheten. |
| os_arch | Arkitekturen til operativsystemet. For eksempel x86_64. |
| agent_type | Typen agent (Edge/Frittstående). |
| agent_version | Versjonen av agenten. |
| Nettverkskort | Kontrolleren for nettverksgrensesnittet. Den fullstendige listen over egenskaper er oppført nedenfor. |
Nics-egenskapene består av følgende;
| Parameteren | Beskrivelse |
|---|---|
| Type | Én av følgende verdier: UNKNOWN, ETH, WIFI, MOBILEeller SATELLITE. |
| Vlan | Det virtuelle lan som er knyttet til nettverksgrensesnittet. |
| Leverandør | Leverandøren av nettverkskontrolleren. |
| Info | IPS og MACer som er knyttet til nettverkskontrolleren. Dette inkluderer følgende felt: - ipv4_address: IPv4-adressen. - ipv6_address: IPv6-adressen. - mac: MAC-adressen. |
Opprinnelig plan (utløserbasert samler)
Den opprinnelige samleren utfører periodiske CIS-kontroller, og mislykkede, sende- og hopp over kontrollresultater sendes til Defender for IoT-skytjenesten. Defender for IoT aggregerer resultatene og gir anbefalinger basert på eventuelle feil.
Dataene som samles inn for hver hendelse, er:
| Parameteren | Beskrivelse |
|---|---|
| Kontroller ID | I CIS-format. For eksempel CIS-debian-9-Filesystem-1.1.2. |
| Kontroller resultatet | Kan være Fail, Pass, Skipeller Error. I en situasjon der kontrollen for eksempel Error ikke kan kjøres. |
| Feil | Informasjonen og beskrivelsen for feilen. |
| Beskrivelse | Beskrivelsen av sjekken fra CIS. |
| Utbedring | Anbefalingen for utbedring fra CIS. |
| Alvorlighetsgraden | Alvorsgradnivået. |
SBoM (utløserbasert samler)
SBoM-samleren (Software Bill of Materials) samler inn pakkene som installeres på enheten med jevne mellomrom.
Dataene som samles inn på hver pakke inkluderer:
| Parameteren | Beskrivelse |
|---|---|
| Navn | Pakkenavnet. |
| Versjon | Pakkeversjonen. |
| Leverandør | Pakkens leverandør, som er Vedlikeholder-feltet i deb-pakker. |
Eksterne hendelser (hendelsesbasert samler)
Samleren for eksterne arrangementer samler inn tilkoblinger og frakoblinger av USB- og Ethernet-hendelser.
Innsamlede felt avhenger av hendelsestypen:
USB-hendelser
| Parameteren | Beskrivelse |
|---|---|
| Tidsstempel | Tidspunktet hendelsen oppstod. |
| ActionType | Om hendelsen var en tilkoblings- eller frakoblingshendelse. |
| bus_number | Spesifikk kontrolleridentifikator, hver USB-enhet kan ha flere. |
| kernel_device_number | Representasjon i kjernen på enheten, ikke unik og kan hver gang enheten er tilkoblet. |
| device_class | Identifikator som angir enhetsklassen. |
| device_subclass | Identifikator som angir enhetstypen. |
| device_protocol | Identifikator som angir enhetsprotokollen. |
| interface_class | I tilfelle enhetsklassen er 0, angir du enhetstypen. |
| interface_subclass | I tilfelle enhetsklassen er 0, angir du enhetstypen. |
| interface_protocol | I tilfelle enhetsklassen er 0, angir du enhetstypen. |
Ethernet-hendelser
| Parameteren | Beskrivelse |
|---|---|
| Tidsstempel | Tidspunktet hendelsen oppstod. |
| ActionType | Om hendelsen var en tilkoblings- eller frakoblingshendelse. |
| bus_number | Spesifikk kontrolleridentifikator, hver USB-enhet kan ha flere. |
| Grensesnittnavn | Grensesnittnavnet. |
Filsystemhendelser (hendelsesbasert samler)
Samleren for filsystemhendelser samler inn hendelser når det er endringer under overvåkingskataloger for: oppretting, sletting, flytting og endring av kataloger og filer. Hvis du vil definere hvilke kataloger og filer du vil overvåke, kan du se Spesifikke innstillinger for systeminformasjonsinnsamling.
Følgende data samles inn:
| Parameteren | Beskrivelse |
|---|---|
| Tidsstempel | Tidspunktet hendelsen oppstod. |
| Maske | Linux angir maske relatert til filsystemhendelsen, identifiserer masken handlingstypen og kan være ett av følgende: Access/Modified/Metadata changed/Closed/Opened/Moved/Created/Deleted. |
| Bane | Katalog-/filbane som hendelsen ble generert til. |
| Treff | Antall ganger denne hendelsen ble aggregert. |
Statistikkdata (utløserbasert samler)
Statistikksamleren genererer ulike statistikker om de ulike mikroagentsamlerne. Denne statistikken gir informasjon om ytelsen til samlerne i den forrige innsamlingssyklusen. Eksempler på mulig statistikk inkluderer antall hendelser som ble sendt, og antall hendelser som ble droppet, sammen med årsakene til feilene.
Innsamlede felt:
| Parameteren | Beskrivelse |
|---|---|
| Tidsstempel | Tidspunktet hendelsen oppstod. |
| Navn | Navnet på samleren. |
| Hendelser | En matrise med par formatert som JSON med beskrivelse og treffantall. |
| Beskrivelse | Om meldingen ble sendt/droppet og årsaken til at den ble fjernet. |
| Treff | Antall respektive meldinger. |
Hendelsesaggregasjon for prosess- og nettverkssamlere
Slik fungerer hendelsesaggregasjon for prosesshendelser og nettverksaktivitetshendelser:
Defender for IoT-agenter aggregerer hendelser under sendeintervallet som er definert i meldingsfrekvenskonfigurasjonen for hver samler, for eksempel Process_MessageFrequency eller NetworkActivity_MessageFrequency. Når sendeintervallperioden er passert, sender agenten de aggregerte hendelsene til den Azure skyen for videre analyse. De aggregerte hendelsene lagres i minnet til de sendes til den Azure skyen.
Når agenten samler inn lignende hendelser som de som allerede er lagret i minnet, vil agenten øke antall treff for denne bestemte hendelsen for å redusere minnekapasiteten til agenten. Når aggregasjonstidsvinduet passerer, sender agenten treffantallet for hver type hendelse som oppstod. Hendelsesaggregasjon er aggregasjonen av antall treff for lignende hendelser. Nettverksaktivitet med samme eksterne vert og på samme port, aggregeres for eksempel som én hendelse, i stedet for som en separat hendelse for hver pakke.
Obs!
Mikroagenten sender logger og telemetri til skyen som standard for feilsøking og overvåking. Denne virkemåten kan konfigureres eller deaktiveres gjennom tvillingen.
Neste trinn
Hvis du vil ha mer informasjon, kan du se: