Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Defender for IoT analyseert uw IoT-oplossing voortdurend met behulp van geavanceerde analyses en bedreigingsinformatie om u te waarschuwen voor schadelijke activiteiten. Daarnaast kunt u aangepaste waarschuwingen maken op basis van uw kennis van het verwachte gedrag van het apparaat. Een waarschuwing fungeert als een indicator van mogelijke inbreuk en moet worden onderzocht en hersteld.
Opmerking
Defender for IoT is van plan de microagent op 1 augustus 2025 buiten gebruik te stellen.
In dit artikel vindt u een lijst met ingebouwde waarschuwingen, die kunnen worden geactiveerd op uw IoT-apparaten.
Beveiligingswaarschuwingen
Hoge ernst
| Naam | Ernst | Gegevensbron | Beschrijving | Voorgestelde herstelstappen | Waarschuwingstype |
|---|---|---|---|---|---|
| Binaire opdrachtregel | Hoog | Defender-IoT-micro-agent | LA Linux binaire aangeroepen/uitgevoerd vanaf de opdrachtregel is gedetecteerd. Dit proces kan legitieme activiteit zijn of een indicatie dat uw apparaat is gecompromitteerd. | Controleer de opdracht met de gebruiker die deze heeft uitgevoerd en controleer of dit iets is dat legitiem wordt verwacht om op het apparaat uit te voeren. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. | IoT_BinaryCommandLine |
| Firewall uitschakelen | Hoog | Defender-IoT-micro-agent | Mogelijke manipulatie van on-host firewall gedetecteerd. Kwaadwillende actoren schakelen vaak de firewall op de host uit in een poging om gegevens te exfiltreren. | Controleer met de gebruiker die de opdracht heeft uitgevoerd om te bevestigen of dit een legitieme verwachte activiteit op het apparaat was. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. | IoT_DisableFirewall |
| Detectie van doorsturen van poorten | Hoog | Defender-IoT-micro-agent | Starten van port forwarding naar een extern IP-adres gedetecteerd. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_PortForwarding |
| Mogelijke poging om gecontroleerde logboekregistratie uit te schakelen gedetecteerd | Hoog | Defender-IoT-micro-agent | Linux gecontroleerde systeem biedt een manier om beveiligingsgerelateerde informatie over het systeem bij te houden. Het systeem registreert zoveel mogelijk informatie over de gebeurtenissen die op uw systeem plaatsvinden. Deze informatie is van cruciaal belang voor bedrijfskritieke omgevingen om te bepalen wie het beveiligingsbeleid heeft geschonden en welke acties ze hebben uitgevoerd. Als u Audited Logging uitschakelt, kunt u mogelijk schendingen van het beveiligingsbeleid dat op het systeem wordt gebruikt, niet detecteren. | Neem contact op met de eigenaar van het apparaat of dit een legitieme activiteit was met zakelijke redenen. Als dat niet het geval is, kan deze gebeurtenis activiteiten van kwaadwillende actoren verbergen. Het incident is onmiddellijk geëscaleerd naar uw informatiebeveiligingsteam. | IoT_DisableAuditdLogging |
| Omgekeerde shells | Hoog | Defender-IoT-micro-agent | Bij analyse van hostgegevens op een apparaat is een mogelijke omgekeerde shell gedetecteerd. Omgekeerde shells worden vaak gebruikt om een gecompromitteerde machine aan te roepen op een computer die wordt beheerd door een kwaadwillende actor. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_ReverseShell |
| Geslaagde lokale aanmelding | Hoog | Defender-IoT-micro-agent | Geslaagde lokale aanmelding bij het gedetecteerde apparaat. | Zorg ervoor dat de aangemelde gebruiker een geautoriseerde partij is. | IoT_SuccessfulLocalLogin |
| Webshell | Hoog | Defender-IoT-micro-agent | Mogelijke webshell gedetecteerd. Kwaadwillende actoren uploaden meestal een webshell naar een gecompromitteerde machine om persistentie te krijgen of voor verdere exploitatie. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_WebShell |
| Gedrag dat vergelijkbaar is met ransomware gedetecteerd | Hoog | Defender-IoT-micro-agent | Uitvoering van bestanden vergelijkbaar met bekende ransomware die kan verhinderen dat gebruikers toegang krijgen tot hun systeem, of persoonlijke bestanden, en kan losgeld betaling vereisen om weer toegang te krijgen. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_Ransomware |
| Afbeelding van cryptomuntminer | Hoog | Defender-IoT-micro-agent | Uitvoering van een proces dat normaal gesproken is gekoppeld aan digitale valutaanalyse gedetecteerd. | Controleer bij de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit op het apparaat was. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_CryptoMiner |
| Nieuwe USB-verbinding | Hoog | Defender-IoT-micro-agent | Er is een USB-apparaatverbinding gedetecteerd. Dit kan duiden op schadelijke activiteiten. | Controleer of dit een legitieme verwachte activiteit op de host is. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. | IoT_USBConnection |
| USB-verbinding verbreken | Hoog | Defender-IoT-micro-agent | Er is een usb-apparaat verbroken. Dit kan duiden op schadelijke activiteiten. | Controleer of dit een legitieme verwachte activiteit op de host is. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. | IoT_UsbDisconnection |
| Nieuwe Ethernet-verbinding | Hoog | Defender-IoT-micro-agent | Er is een nieuwe Ethernet-verbinding gedetecteerd. Dit kan duiden op schadelijke activiteiten. | Controleer of dit een legitieme verwachte activiteit op de host is. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. | IoT_EthernetConnection |
| Ethernet-verbinding verbreken | Hoog | Defender-IoT-micro-agent | Er is een nieuwe Ethernet-verbinding gedetecteerd. Dit kan duiden op schadelijke activiteiten. | Controleer of dit een legitieme verwachte activiteit op de host is. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. | IoT_EthernetDisconnection |
| Nieuw bestand gemaakt | Hoog | Defender-IoT-micro-agent | Er is een nieuw bestand gedetecteerd. Dit kan duiden op schadelijke activiteiten. | Controleer of dit een legitieme verwachte activiteit op de host is. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. | IoT_FileCreated |
| Bestand gewijzigd | Hoog | Defender-IoT-micro-agent | Bestandswijziging is gedetecteerd. Dit kan duiden op schadelijke activiteiten. | Controleer of dit een legitieme verwachte activiteit op de host is. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. | IoT_FileModified |
| Bestand verwijderd | Hoog | Defender-IoT-micro-agent | Bestandsverwijdering is gedetecteerd. Dit kan duiden op schadelijke activiteiten. | Controleer of dit een legitieme verwachte activiteit op de host is. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. | IoT_FileDeleted |
Gemiddelde ernst
| Naam | Ernst | Gegevensbron | Beschrijving | Voorgestelde herstelstappen | Waarschuwingstype |
|---|---|---|---|---|---|
| Gedrag vergelijkbaar met veelvoorkomende Linux bots gedetecteerd | Gemiddeld | Defender-IoT-micro-agent | Uitvoering van een proces dat normaal gesproken is gekoppeld aan veelvoorkomende Linux gedetecteerde botnets. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_CommonBots |
| Gedrag vergelijkbaar met Fairware ransomware gedetecteerd | Gemiddeld | Defender-IoT-micro-agent | Uitvoering van rm -rf-opdrachten die zijn toegepast op verdachte locaties die zijn gedetecteerd met behulp van analyse van hostgegevens. Omdat rm -rf recursief bestanden verwijdert, wordt deze normaal gesproken alleen gebruikt in afzonderlijke mappen. In dit geval wordt deze gebruikt op een locatie die een grote hoeveelheid gegevens kan verwijderen. Fairware-ransomware is bekend om rm -rf-opdrachten in deze map uit te voeren. | Controleer met de gebruiker die de opdracht heeft uitgevoerd dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_FairwareMalware |
| Containerinstallatiekopieën van cryptomunten miner gedetecteerd | Gemiddeld | Defender-IoT-micro-agent | Container detecteert het uitvoeren van installatiekopieën voor het analyseren van bekende digitale valuta. | 1. Als dit niet de bedoeling is, verwijdert u de relevante containerinstallatiekopieën. 2. Zorg ervoor dat de Docker-daemon niet toegankelijk is via een onveilige TCP-socket. 3. Escaleer de waarschuwing naar het informatiebeveiligingsteam. |
IoT_CryptoMinerContainer |
| Verdacht gebruik van de nohup-opdracht gedetecteerd | Gemiddeld | Defender-IoT-micro-agent | Verdacht gebruik van de nohup-opdracht op de host gedetecteerd. Kwaadwillende actoren voeren meestal de nohup-opdracht uit vanuit een tijdelijke map, waardoor hun uitvoerbare bestanden effectief op de achtergrond kunnen worden uitgevoerd. Het is niet verwacht dat deze opdracht wordt uitgevoerd op bestanden die zich in een tijdelijke map bevinden. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_SuspiciousNohup |
| Verdacht gebruik van de useradd-opdracht gedetecteerd | Gemiddeld | Defender-IoT-micro-agent | Verdacht gebruik van de useradd-opdracht gedetecteerd op het apparaat. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_SuspiciousUseradd |
| Beschikbaar gemaakte Docker-daemon door TCP-socket | Gemiddeld | Defender-IoT-micro-agent | Machinelogboeken geven aan dat uw Docker-daemon (dockerd) een TCP-socket beschikbaar maakt. Standaard maakt Docker-configuratie geen gebruik van versleuteling of verificatie wanneer een TCP-socket is ingeschakeld. De standaardconfiguratie van Docker biedt volledige toegang tot de Docker-daemon voor iedereen met toegang tot de relevante poort. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_ExposedDocker |
| Lokale aanmelding is mislukt | Gemiddeld | Defender-IoT-micro-agent | Er is een mislukte lokale aanmeldingspoging bij het apparaat gedetecteerd. | Zorg ervoor dat geen onbevoegde partij fysieke toegang heeft tot het apparaat. | IoT_FailedLocalLogin |
| Het downloaden van bestanden van een schadelijke bron is gedetecteerd | Gemiddeld | Defender-IoT-micro-agent | Download van een bestand van een bekende malwarebron gedetecteerd. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_PossibleMalware |
| htaccess-bestandstoegang gedetecteerd | Gemiddeld | Defender-IoT-micro-agent | Analyse van hostgegevens heeft mogelijke manipulatie van een htaccess-bestand gedetecteerd. Htaccess is een krachtig configuratiebestand waarmee u meerdere wijzigingen kunt aanbrengen in een webserver waarop Apache Web-software wordt uitgevoerd, waaronder basisfunctionaliteit voor omleiding en meer geavanceerde functies, zoals eenvoudige wachtwoordbeveiliging. Kwaadwillende actoren wijzigen vaak htaccess-bestanden op gecompromitteerde machines om persistentie te krijgen. | Controleer of dit een legitieme verwachte activiteit op de host is. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. | IoT_AccessingHtaccessFile |
| Bekend hulpprogramma voor aanvallen | Gemiddeld | Defender-IoT-micro-agent | Er is een hulpprogramma gedetecteerd dat vaak wordt geassocieerd met kwaadwillende gebruikers die andere machines op een of andere manier aanvallen. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_KnownAttackTools |
| Lokale host reconnaissance gedetecteerd | Gemiddeld | Defender-IoT-micro-agent | Uitvoering van een opdracht die normaal gesproken is gekoppeld aan veelvoorkomende Linux botverkenning gedetecteerd. | Controleer de verdachte opdrachtregel om te bevestigen dat deze is uitgevoerd door een legitieme gebruiker. Als dat niet het probleem is, escaleert u de waarschuwing naar uw informatiebeveiligingsteam. | IoT_LinuxReconnaissance |
| Komt niet overeen tussen script interpreter en bestandsextensie | Gemiddeld | Defender-IoT-micro-agent | Komt niet overeen tussen de script-interpreter en de extensie van het scriptbestand dat is opgegeven als invoer gedetecteerd. Dit type komt niet overeen met het uitvoeren van scripts door aanvallers. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_ScriptInterpreterMismatch |
| Mogelijke backdoor gedetecteerd | Gemiddeld | Defender-IoT-micro-agent | Er is een verdacht bestand gedownload en vervolgens uitgevoerd op een host in uw abonnement. Dit type activiteit wordt vaak geassocieerd met de installatie van een backdoor. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_LinuxBackdoor |
| Mogelijk verlies van gegevens gedetecteerd | Gemiddeld | Defender-IoT-micro-agent | Mogelijke uitgaande gegevensvoorwaarde gedetecteerd met behulp van analyse van hostgegevens. Kwaadwillende actoren verplaatsen gegevens vaak van gecompromitteerde machines. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_EgressData |
| Bevoegde container gedetecteerd | Gemiddeld | Defender-IoT-micro-agent | Machinelogboeken geven aan dat een bevoegde Docker-container wordt uitgevoerd. Een bevoegde container heeft volledige toegang tot hostresources. Als er sprake is van inbreuk, kan een kwaadwillende actor de bevoegde container gebruiken om toegang te krijgen tot de hostcomputer. | Als de container niet in de bevoegde modus hoeft te worden uitgevoerd, verwijdert u de bevoegdheden uit de container. | IoT_PrivilegedContainer |
| Verwijdering van gedetecteerde systeembestanden | Gemiddeld | Defender-IoT-micro-agent | Verdachte verwijdering van logboekbestanden op de host gedetecteerd. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_RemovalOfSystemLogs |
| Spatie na bestandsnaam | Gemiddeld | Defender-IoT-micro-agent | Uitvoering van een proces met een verdachte extensie gedetecteerd met behulp van analyse van hostgegevens. Verdachte extensies kunnen gebruikers verleiden om te denken dat bestanden veilig zijn om te worden geopend en kunnen wijzen op de aanwezigheid van malware op het systeem. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_ExecuteFileWithTrailingSpace |
| Hulpprogramma's die vaak worden gebruikt voor toegang tot schadelijke referenties gedetecteerd | Gemiddeld | Defender-IoT-micro-agent | Detectiegebruik van een hulpprogramma dat vaak wordt geassocieerd met schadelijke pogingen om toegang te krijgen tot referenties. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_CredentialAccessTools |
| Verdachte compilatie gedetecteerd | Gemiddeld | Defender-IoT-micro-agent | Verdachte compilatie gedetecteerd. Kwaadwillende actoren compileren vaak exploits op een gecompromitteerde computer om bevoegdheden te escaleren. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_SuspiciousCompilation |
| Verdacht bestand downloaden, gevolgd door activiteit voor het uitvoeren van bestanden | Gemiddeld | Defender-IoT-micro-agent | Bij analyse van hostgegevens is een bestand gedetecteerd dat is gedownload en uitgevoerd met dezelfde opdracht. Deze techniek wordt vaak gebruikt door kwaadwillende actoren om geïnfecteerde bestanden op slachtoffermachines te krijgen. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of dit een legitieme activiteit was die u verwacht te zien op het apparaat. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_DownloadFileThenRun |
| Verdachte IP-adrescommunicatie | Gemiddeld | Defender-IoT-micro-agent | Communicatie met een verdacht IP-adres gedetecteerd. | Controleer of de verbinding legitiem is. Overweeg de communicatie met het verdachte IP-adres te blokkeren. | IoT_TiConnection |
| Aanvraag voor schadelijke domeinnaam | Gemiddeld | Defender-IoT-micro-agent | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan verband houden met een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. | Verbreek de verbinding tussen de bron en het netwerk. Incidentrespons uitvoeren. | IoT_MaliciousNameQueriesDetection |
Lage ernst
| Naam | Ernst | Gegevensbron | Beschrijving | Voorgestelde herstelstappen | Waarschuwingstype |
|---|---|---|---|---|---|
| Bash-geschiedenis gewist | Laag | Defender-IoT-micro-agent | Het Bash-geschiedenislogboek is gewist. Kwaadwillende actoren wissen meestal de bash-geschiedenis om hun eigen opdrachten te verbergen voor het weergeven in de logboeken. | Controleer met de gebruiker die de opdracht heeft uitgevoerd of de activiteit in deze waarschuwing is om te zien of u dit herkent als legitieme beheeractiviteit. Als dat niet het probleem is, escaleert u de waarschuwing naar het informatiebeveiligingsteam. | IoT_ClearHistoryFile |
Volgende stappen
- Overzicht van Defender for IoT-service