Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Defender for IoT-beveiligingsagenten verzamelen gegevens en systeem gebeurtenissen van uw lokale apparaat en verzenden de gegevens naar de Azure cloud voor verwerking.
Opmerking
Defender for IoT is van plan de microagent op 1 augustus 2025 buiten gebruik te stellen.
Als u een Log Analytics-werkruimte hebt geconfigureerd en verbonden, ziet u deze gebeurtenissen in Log Analytics. Zie Zelfstudie: Beveiligingswaarschuwingen onderzoeken voor meer informatie.
De Defender for IoT-microagent verzamelt vele soorten apparaatevenementen, waaronder nieuwe processen en alle nieuwe verbindingsevenementen. Zowel het nieuwe proces als de nieuwe verbindingsevenementen kunnen regelmatig optreden op een apparaat. Deze mogelijkheid is belangrijk voor uitgebreide beveiliging, maar het aantal berichten dat de beveiligingsagenten verzenden, kan snel voldoen aan of uw IoT Hub quotum en kostenlimieten overschrijden. Deze berichten en gebeurtenissen bevatten zeer waardevolle beveiligingsinformatie die essentieel is voor het beveiligen van uw apparaat.
Om het aantal berichten en kosten te verminderen met behoud van de beveiliging van uw apparaat, aggregeren Defender for IoT-agents de volgende typen gebeurtenissen:
Proces gebeurtenissen (alleen Linux)
Netwerkactiviteitsevenementen
Bestandssysteem-gebeurtenissen
Statistische gebeurtenissen
Zie gebeurtenisaggregatie voor proces- en netwerkverzamelaars voor meer informatie.
Verzamelaars op basis van gebeurtenissen zijn verzamelaars die worden geactiveerd op basis van de bijbehorende activiteit binnen het apparaat. Bijvoorbeeld a process was started in the device.
Op triggers gebaseerde collectors zijn collectors die op een geplande manier worden geactiveerd op basis van de configuraties van de klant.
Procesgebeurtenissen (collector op basis van gebeurtenissen)
Proces gebeurtenissen worden ondersteund op Linux besturingssystemen.
Proces gebeurtenissen worden beschouwd als identiek wanneer de opdrachtregel en userid identiek zijn.
De standaardbuffer voor proces gebeurtenissen is 256 processen. Wanneer deze limiet is bereikt, wordt de buffer gefaseerd en wordt de oudste procesgebeurtenis genegeerd om ruimte te maken voor de nieuwste verwerkte gebeurtenis. Er wordt een waarschuwing geregistreerd om de cachegrootte te vergroten.
De gegevens die voor elke gebeurtenis worden verzameld, zijn:
| Parameter | Beschrijving |
|---|---|
| Tijdstempel | De eerste keer dat het proces werd waargenomen. |
| process_id | De Linux PID. |
| parent_process_id | De Linux bovenliggende PID, als deze bestaat. |
| Commandline | De opdrachtregel. |
| Type | Kan zijn, forkof exec. |
| hit_count | Het totale aantal. Het aantal uitvoeringen van hetzelfde proces, gedurende hetzelfde tijdsbestek, totdat de gebeurtenissen naar de cloud worden verzonden. |
Netwerkactiviteitsgebeurtenissen (collector op basis van gebeurtenissen)
Gebeurtenissen van netwerkactiviteit worden als identiek beschouwd wanneer de lokale poort, de externe poort, het transportprotocol, het lokale adres en het externe adres identiek zijn.
De standaardbuffer voor een netwerkactiviteits gebeurtenis is 256. Voor situaties waarin de cache vol is:
Eclipse ThreadX-apparaten: er worden geen nieuwe netwerkgebeurtenissen in de cache opgeslagen totdat de volgende verzamelingscyclus wordt gestart.
Linux apparaten: de oudste gebeurtenis wordt vervangen door elke nieuwe gebeurtenis. Er wordt een waarschuwing geregistreerd om de cachegrootte te vergroten.
Voor Linux apparaten wordt alleen IPv4 ondersteund.
De gegevens die voor elke gebeurtenis worden verzameld, zijn:
| Parameter | Beschrijving |
|---|---|
| Lokaal adres | Het bronadres van de verbinding. |
| Extern adres | Het doeladres van de verbinding. |
| Lokale poort | De bronpoort van de verbinding. |
| Externe poort | De doelpoort van de verbinding. |
| Bytes_in | De totale geaggregeerde RX-bytes van de verbinding. |
| Bytes_out | De totale geaggregeerde TX-bytes van de verbinding. |
| Transport_protocol | Dit kan TCP, UDP of ICMP zijn. |
| Toepassingsprotocol | Het toepassingsprotocol dat is gekoppeld aan de verbinding. |
| Uitgebreide eigenschappen | De aanvullende details van de verbinding. Bijvoorbeeld host name. |
| Aantal treffers | Het aantal waargenomen pakketten |
Aanmeldingsverzamelaar (op gebeurtenissen gebaseerde collector)
De aanmeldingsverzamelaar verzamelt gebruikersaanmeldingen, afmeldingen en mislukte aanmeldingspogingen.
De aanmeldingsverzamelaar ondersteunt de volgende typen verzamelingsmethoden:
UTMP en SYSLOG. UTMP vangt interactieve SSH-gebeurtenissen, telnetgebeurtenissen en terminalaanmeldingen, evenals alle mislukte aanmeldingsgebeurtenissen van SSH, telnet en terminal. Als SYSLOG is ingeschakeld op het apparaat, verzamelt de aanmeldingsverzamelaar ook SSH-aanmeldingsgebeurtenissen via het SYSLOG-bestand met de naam auth.log.
Pluggable Authentication Modules (PAM). Verzamelt SSH-, telnet- en lokale aanmeldingsgebeurtenissen. Zie Pluggable Authentication Modules (PAM) configureren om aanmeldingsgebeurtenissen te controleren voor meer informatie.
De volgende gegevens worden verzameld:
| Parameter | Beschrijving |
|---|---|
| Bewerking | Een van de volgende: Login, Logout, LoginFailed |
| process_id | De Linux PID. |
| user_name | De Linux gebruiker. |
| Uitvoerbaar | Het terminalapparaat. Bijvoorbeeld tty1..6 , of pts/n. |
| remote_address | De bron van de verbinding, een extern IP-adres in IPv6- of IPv4-indeling, of 127.0.0.1/0.0.0.0 om een lokale verbinding aan te geven. |
Systeemgegevens (op triggers gebaseerde collector)
De gegevens die voor elke gebeurtenis worden verzameld, zijn:
| Parameter | Beschrijving |
|---|---|
| hardware_vendor | De naam van de leverancier van het apparaat. |
| hardware_model | Het modelnummer van het apparaat. |
| os_dist | De distributie van het besturingssysteem. Bijvoorbeeld Linux. |
| os_version | De versie van het besturingssysteem. Bijvoorbeeld Windows 10, of Ubuntu 20.04.1. |
| os_platform | Het besturingssysteem van het apparaat. |
| os_arch | De architectuur van het besturingssysteem. Bijvoorbeeld x86_64. |
| agent_type | Het type agent (Edge/standalone). |
| agent_version | De versie van de agent. |
| Netwerkkaarten | De netwerkinterfacecontroller. De volledige lijst met eigenschappen wordt hieronder weergegeven. |
De eigenschappen van de nics bestaan uit het volgende;
| Parameter | Beschrijving |
|---|---|
| Type | Een van de volgende waarden: UNKNOWN, ETH, WIFI, MOBILE, of SATELLITE. |
| vlans | Het virtuele lan dat is gekoppeld aan de netwerkinterface. |
| Leverancier | De leverancier van de netwerkcontroller. |
| Info | IPS en MAC's die zijn gekoppeld aan de netwerkcontroller. Dit omvat de volgende velden; - ipv4_address: het IPv4-adres. - ipv6_address: het IPv6-adres. - mac: het MAC-adres. |
Basislijn (op triggers gebaseerde collector)
De basislijnverzamelaar voert periodieke CIS-controles uit en mislukte, geslaagde en overgeslagen controleresultaten worden verzonden naar de Defender for IoT-cloudservice. Defender for IoT aggregeert de resultaten en geeft aanbevelingen op basis van eventuele fouten.
De gegevens die voor elke gebeurtenis worden verzameld, zijn:
| Parameter | Beschrijving |
|---|---|
| Id controleren | In CIS-indeling. Bijvoorbeeld CIS-debian-9-Filesystem-1.1.2. |
| Resultaat controleren | Dit kan Fail, Pass, Skipof Errorzijn. Bijvoorbeeld Error in een situatie waarin de controle niet kan worden uitgevoerd. |
| Fout | De informatie en beschrijving van de fout. |
| Beschrijving | De beschrijving van de controle van CIS. |
| Herstellen | De aanbeveling voor herstel vanuit CIS. |
| Ernst | Het ernstniveau. |
SBoM (op triggers gebaseerde collector)
De SBoM-collector (Software Bill of Materials) verzamelt de pakketten die periodiek op het apparaat zijn geïnstalleerd.
De gegevens die voor elk pakket worden verzameld, omvatten:
| Parameter | Beschrijving |
|---|---|
| Naam | De pakketnaam. |
| Versie | De pakketversie. |
| Leverancier | De leverancier van het pakket, het veld Onderhoud in deb-pakketten. |
Randgebeurtenissen (collector op basis van gebeurtenissen)
De collector voor randapparatuur-gebeurtenissen verzamelt verbindingen en verbroken usb- en ethernet-gebeurtenissen.
Verzamelde velden zijn afhankelijk van het type gebeurtenis:
USB-gebeurtenissen
| Parameter | Beschrijving |
|---|---|
| Tijdstempel | Het tijdstip waarop de gebeurtenis heeft plaatsgevonden. |
| ActionType | Of de gebeurtenis een verbindings- of verbroken gebeurtenis was. |
| bus_number | Specifieke controller-id, elk USB-apparaat kan er meerdere hebben. |
| kernel_device_number | Weergave in de kernel van het apparaat, niet uniek en kan elke keer dat het apparaat is verbonden. |
| device_class | Id waarmee de klasse van het apparaat wordt opgegeven. |
| device_subclass | Id waarmee het type apparaat wordt opgegeven. |
| device_protocol | Id waarmee het apparaatprotocol wordt opgegeven. |
| interface_class | Als de apparaatklasse 0 is, geeft u het type apparaat aan. |
| interface_subclass | Als de apparaatklasse 0 is, geeft u het type apparaat aan. |
| interface_protocol | Als de apparaatklasse 0 is, geeft u het type apparaat aan. |
Ethernet-gebeurtenissen
| Parameter | Beschrijving |
|---|---|
| Tijdstempel | Het tijdstip waarop de gebeurtenis heeft plaatsgevonden. |
| ActionType | Of de gebeurtenis een verbindings- of verbroken gebeurtenis was. |
| bus_number | Specifieke controller-id, elk USB-apparaat kan er meerdere hebben. |
| Interfacenaam | De naam van de interface. |
Bestandssysteemgebeurtenissen (op gebeurtenissen gebaseerde collector)
De collector voor bestandssysteem-gebeurtenissen verzamelt gebeurtenissen wanneer er wijzigingen zijn onder controlemappen voor: maken, verwijderen, verplaatsen en wijzigen van mappen en bestanden. Zie Specifieke instellingen voor systeemgegevensverzamelaar om te definiëren welke mappen en bestanden u wilt bewaken.
De volgende gegevens worden verzameld:
| Parameter | Beschrijving |
|---|---|
| Tijdstempel | Het tijdstip waarop de gebeurtenis heeft plaatsgevonden. |
| Masker | Linux inotify-masker met betrekking tot de bestandssysteem-gebeurtenis, identificeert het masker het type van de actie en kan het een van de volgende zijn: Access/Modified/Metadata changed/Closed/Opened/Moved/Created/Deleted. |
| Pad | Map-/bestandspad naar de gebeurtenis is gegenereerd. |
| Aantal treffers | Het aantal keren dat deze gebeurtenis is geaggregeerd. |
Statistische gegevens (op triggers gebaseerde collector)
De statistiekenverzamelaar genereert verschillende statistieken over de verschillende microagentverzamelaars. Deze statistieken bieden informatie over de prestaties van de verzamelaars in de vorige verzamelingscyclus. Voorbeelden van mogelijke statistieken zijn het aantal gebeurtenissen dat is verzonden en het aantal gebeurtenissen dat is verwijderd, samen met de redenen voor de fouten.
Verzamelde velden:
| Parameter | Beschrijving |
|---|---|
| Tijdstempel | Het tijdstip waarop de gebeurtenis heeft plaatsgevonden. |
| Naam | Naam van de collector. |
| Gebeurtenissen | Een matrix van paren die zijn opgemaakt als JSON met beschrijving en aantal treffers. |
| Beschrijving | Of het bericht is verzonden/verwijderd en de reden voor het verwijderen. |
| Aantal treffers | Aantal respectievelijke berichten. |
Gebeurtenisaggregatie voor proces- en netwerkverzamelaars
Hoe gebeurtenisaggregatie werkt voor de gebeurtenissen Proces- en Netwerkactiviteit:
Defender for IoT-agents aggregeren gebeurtenissen tijdens het verzendinterval dat is gedefinieerd in de berichtfrequentieconfiguratie voor elke collector, zoals Process_MessageFrequency of NetworkActivity_MessageFrequency. Zodra de periode van het verzendinterval is verstreken, verzendt de agent de geaggregeerde gebeurtenissen naar de Azure cloud voor verdere analyse. De samengevoegde gebeurtenissen worden opgeslagen in het geheugen totdat ze worden verzonden naar de Azure cloud.
Wanneer de agent vergelijkbare gebeurtenissen verzamelt als de gebeurtenissen die al in het geheugen zijn opgeslagen, verhoogt de agent het aantal treffers van deze specifieke gebeurtenis om de geheugenvoetafdruk van de agent te verminderen. Wanneer het tijdvenster voor aggregatie is verstreken, verzendt de agent het aantal treffers van elk type gebeurtenis dat is opgetreden. Gebeurtenisaggregatie is de aggregatie van het aantal treffers van vergelijkbare gebeurtenissen. Netwerkactiviteit met dezelfde externe host en op dezelfde poort wordt bijvoorbeeld geaggregeerd als één gebeurtenis, in plaats van als een afzonderlijke gebeurtenis voor elk pakket.
Opmerking
Standaard verzendt de microagent logboeken en telemetrie naar de cloud voor probleemoplossing en bewakingsdoeleinden. Dit gedrag kan worden geconfigureerd of uitgeschakeld via de dubbel.
Volgende stappen
Zie voor meer informatie: