Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Defender para IoT analisa continuamente a sua solução de IoT com análises avançadas e informações sobre ameaças para alertá-lo para atividades maliciosas. Além disso, pode criar alertas personalizados com base no seu conhecimento do comportamento esperado do dispositivo. Um alerta funciona como um indicador de potencial compromisso e deve ser investigado e remediado.
Nota
O Defender para IoT planeia extinguir o micro agente a 1 de agosto de 2025.
Neste artigo, encontrará uma lista de alertas incorporados, que podem ser acionados nos seus dispositivos IoT.
Alertas de segurança
Gravidade elevada
| Name | Gravidade | Origem de Dados | Descrição | Passos de remediação sugeridos | Tipo de alerta |
|---|---|---|---|---|---|
| Linha de Comandos Binária | High | Defender-IoT-micro-agente | LA Linux binário chamado/executado a partir da linha de comandos foi detetado. Este processo pode ser uma atividade legítima ou uma indicação de que o dispositivo está comprometido. | Reveja o comando com o utilizador que o executou e verifique se é algo legitimamente esperado para ser executado no dispositivo. Caso contrário, encaminhe o alerta para a sua equipa de segurança de informações. | IoT_BinaryCommandLine |
| Desativar firewall | High | Defender-IoT-micro-agente | Foi detetada uma possível manipulação da firewall no anfitrião. Os atores maliciosos desativam frequentemente a firewall no anfitrião numa tentativa de exfiltrar dados. | Reveja com o utilizador que executou o comando para confirmar se esta era uma atividade esperada legítima no dispositivo. Caso contrário, encaminhe o alerta para a sua equipa de segurança de informações. | IoT_DisableFirewall |
| Deteção do reencaminhamento de portas | High | Defender-IoT-micro-agente | Foi detetada a iniciação do reencaminhamento de portas para um endereço IP externo. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. | IoT_PortForwarding |
| Possível tentativa de desativar o Registo auditado detetado | High | Defender-IoT-micro-agente | Linux Sistema auditado fornece uma forma de controlar informações relevantes de segurança no sistema. O sistema regista o máximo de informações sobre os eventos que estão a ocorrer no seu sistema. Estas informações são cruciais para os ambientes críticos para a missão determinarem quem violou a política de segurança e as ações que realizaram. Desativar o Registo auditado pode impedir a sua capacidade de detetar violações das políticas de segurança utilizadas no sistema. | Verifique junto do proprietário do dispositivo se se tratou de uma atividade legítima por motivos comerciais. Caso contrário, este evento pode estar a ocultar a atividade de atores maliciosos. Escalou imediatamente o incidente para a sua equipa de segurança de informações. | IoT_DisableAuditdLogging |
| Shells inversos | High | Defender-IoT-micro-agente | A análise dos dados do anfitrião num dispositivo detetou uma potencial shell inversa. As shells inversas são frequentemente utilizadas para obter uma máquina comprometida para chamar de volta para uma máquina controlada por um ator malicioso. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. | IoT_ReverseShell |
| Início de sessão local com êxito | High | Defender-IoT-micro-agente | Foi detetado um início de sessão local com êxito no dispositivo. | Certifique-se de que o utilizador com sessão iniciada é uma parte autorizada. | IoT_SuccessfulLocalLogin |
| Shell Web | High | Defender-IoT-micro-agente | Possível shell Web detetada. Normalmente, os atores maliciosos carregam uma shell Web para uma máquina comprometida para obter persistência ou exploração adicional. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. | IoT_WebShell |
| Comportamento semelhante ao ransomware detetado | High | Defender-IoT-micro-agente | Execução de ficheiros semelhantes ao ransomware conhecido que pode impedir que os utilizadores acedam ao seu sistema ou ficheiros pessoais e pode exigir o pagamento de resgate para recuperar o acesso. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. | IoT_Ransomware |
| Imagem de mineiro de moedas criptográficas | High | Defender-IoT-micro-agente | Execução de um processo normalmente associado à extração de moeda digital detetada. | Verifique com o utilizador que executou o comando se esta era uma atividade legítima no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. | IoT_CryptoMiner |
| Nova Ligação USB | High | Defender-IoT-micro-agente | Foi detetada uma ligação de dispositivo USB. Isto pode indicar atividade maliciosa. | Confirme que esta é uma atividade esperada legítima no anfitrião. Caso contrário, encaminhe o alerta para a sua equipa de segurança de informações. | IoT_USBConnection |
| Desligamento USB | High | Defender-IoT-micro-agente | Foi detetada uma desativação do dispositivo USB. Isto pode indicar atividade maliciosa. | Confirme que esta é uma atividade esperada legítima no anfitrião. Caso contrário, encaminhe o alerta para a sua equipa de segurança de informações. | IoT_UsbDisconnection |
| Nova Ligação Ethernet | High | Defender-IoT-micro-agente | Foi detetada uma nova ligação Ethernet. Isto pode indicar atividade maliciosa. | Confirme que esta é uma atividade esperada legítima no anfitrião. Caso contrário, encaminhe o alerta para a sua equipa de segurança de informações. | IoT_EthernetConnection |
| Desativação da Ethernet | High | Defender-IoT-micro-agente | Foi detetada uma nova desativação da Ethernet. Isto pode indicar atividade maliciosa. | Confirme que esta é uma atividade esperada legítima no anfitrião. Caso contrário, encaminhe o alerta para a sua equipa de segurança de informações. | IoT_EthernetDisconnection |
| Novo Ficheiro Criado | High | Defender-IoT-micro-agente | Foi detetado um novo ficheiro. Isto pode indicar atividade maliciosa. | Confirme que esta é uma atividade esperada legítima no anfitrião. Caso contrário, encaminhe o alerta para a sua equipa de segurança de informações. | IoT_FileCreated |
| Ficheiro Modificado | High | Defender-IoT-micro-agente | Foi detetada a modificação do ficheiro. Isto pode indicar atividade maliciosa. | Confirme que esta é uma atividade esperada legítima no anfitrião. Caso contrário, encaminhe o alerta para a sua equipa de segurança de informações. | IoT_FileModified |
| Ficheiro Eliminado | High | Defender-IoT-micro-agente | Foi detetada a eliminação de ficheiros. Isto pode indicar atividade maliciosa. | Confirme que esta é uma atividade esperada legítima no anfitrião. Caso contrário, encaminhe o alerta para a sua equipa de segurança de informações. | IoT_FileDeleted |
Gravidade média
| Name | Gravidade | Origem de Dados | Descrição | Passos de remediação sugeridos | Tipo de alerta |
|---|---|---|---|---|---|
| Comportamento semelhante aos bots de Linux comuns detetados | Média | Defender-IoT-micro-agente | Execução de um processo normalmente associado a botnets comuns Linux detetados. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. | IoT_CommonBots |
| Comportamento semelhante ao ransomware Fairware detetado | Média | Defender-IoT-micro-agente | Execução de comandos rm -rf aplicados a localizações suspeitas detetadas através da análise de dados do anfitrião. Uma vez que rm -rf elimina ficheiros de forma recursiva, normalmente só é utilizado em pastas discretas. Neste caso, está a ser utilizado numa localização que pode remover uma grande quantidade de dados. O ransomware Fairware é conhecido por executar comandos rm -rf nesta pasta. | Reveja com o utilizador que executou o comando que era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. | IoT_FairwareMalware |
| Imagem de contentor de mineiro de moedas criptográficas detetada | Média | Defender-IoT-micro-agente | Contentor a detetar imagens de extração de moeda digital conhecidas em execução. | 1. Se este comportamento não for pretendido, elimine a imagem de contentor relevante. 2. Certifique-se de que o daemon do Docker não está acessível através de um socket TCP não seguro. 3. Reencave o alerta para a equipa de segurança de informações. |
IoT_CryptoMinerContainer |
| Foi detetada uma utilização suspeita do comando nohup | Média | Defender-IoT-micro-agente | Utilização suspeita do comando nohup no anfitrião detetado. Normalmente, os atores maliciosos executam o comando nohup a partir de um diretório temporário, permitindo efetivamente que os seus executáveis sejam executados em segundo plano. Ver este comando ser executado em ficheiros localizados num diretório temporário não é um comportamento esperado ou habitual. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. | IoT_SuspiciousNohup |
| Foi detetada uma utilização suspeita do comando useradd | Média | Defender-IoT-micro-agente | Utilização suspeita do comando useradd detetado no dispositivo. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. | IoT_SuspiciousUseradd |
| Daemon do Docker exposto por socket TCP | Média | Defender-IoT-micro-agente | Os registos do computador indicam que o daemon do Docker (dockerd) expõe um socket TCP. Por predefinição, a configuração do Docker não utiliza encriptação ou autenticação quando um socket TCP está ativado. A configuração predefinida do Docker permite o acesso total ao daemon do Docker por qualquer pessoa com acesso à porta relevante. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. | IoT_ExposedDocker |
| Início de sessão local com falha | Média | Defender-IoT-micro-agente | Foi detetada uma tentativa de início de sessão local falhada no dispositivo. | Certifique-se de que nenhuma parte não autorizada tem acesso físico ao dispositivo. | IoT_FailedLocalLogin |
| Transferência de ficheiros detetada a partir de uma origem maliciosa | Média | Defender-IoT-micro-agente | Transferência de um ficheiro de uma origem de software maligno conhecida detetada. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. | IoT_PossibleMalware |
| acesso ao ficheiro htaccess detetado | Média | Defender-IoT-micro-agente | A análise dos dados do anfitrião detetou uma possível manipulação de um ficheiro htaccess. O Htaccess é um ficheiro de configuração avançado que lhe permite efetuar múltiplas alterações a um servidor Web com software Apache Web, incluindo funcionalidades de redirecionamento básicas e funções mais avançadas, como a proteção de palavras-passe básicas. Os atores maliciosos modificam frequentemente ficheiros htaccess em máquinas comprometidas para obter persistência. | Confirme que esta é uma atividade esperada legítima no anfitrião. Caso contrário, encaminhe o alerta para a sua equipa de segurança de informações. | IoT_AccessingHtaccessFile |
| Ferramenta de ataque conhecida | Média | Defender-IoT-micro-agente | Uma ferramenta frequentemente associada a utilizadores maliciosos que atacam outras máquinas de alguma forma foi detetada. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. | IoT_KnownAttackTools |
| Reconhecimento de anfitrião local detetado | Média | Defender-IoT-micro-agente | Execução de um comando normalmente associado a reconhecimento de bots de Linux comum detetado. | Reveja a linha de comandos suspeita para confirmar que foi executada por um utilizador legítimo. Caso contrário, encaminhe o alerta para a sua equipa de segurança de informações. | IoT_LinuxReconnaissance |
| Erro de correspondência entre o interpretador de script e a extensão de ficheiro | Média | Defender-IoT-micro-agente | Erro de correspondência entre o interpretador de script e a extensão do ficheiro de script fornecido como entrada detetada. Este tipo de erro de correspondência está normalmente associado a execuções de scripts de atacantes. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. | IoT_ScriptInterpreterMismatch |
| Possível backdoor detetada | Média | Defender-IoT-micro-agente | Foi transferido um ficheiro suspeito e, em seguida, executado num anfitrião na sua subscrição. Este tipo de atividade está normalmente associado à instalação de uma backdoor. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. | IoT_LinuxBackdoor |
| Possível perda de dados detetados | Média | Defender-IoT-micro-agente | Possível condição de saída de dados detetada através da análise de dados do anfitrião. Os atores maliciosos geralmente saídam de dados de máquinas comprometidas. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. | IoT_EgressData |
| Contentor privilegiado detetado | Média | Defender-IoT-micro-agente | Os registos do computador indicam que um contentor do Docker com privilégios está em execução. Um contentor com privilégios tem acesso total aos recursos de anfitrião. Se for comprometido, um ator malicioso pode utilizar o contentor com privilégios para obter acesso ao computador anfitrião. | Se o contentor não precisar de ser executado no modo privilegiado, remova os privilégios do contentor. | IoT_PrivilegedContainer |
| Remoção de ficheiros de registos do sistema detetados | Média | Defender-IoT-micro-agente | Remoção suspeita de ficheiros de registo no anfitrião detetado. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. | IoT_RemovalOfSystemLogs |
| Espaço após nome de ficheiro | Média | Defender-IoT-micro-agente | Execução de um processo com uma extensão suspeita detetada através da análise de dados do anfitrião. As extensões suspeitas podem levar os utilizadores a pensar que os ficheiros são seguros para serem abertos e podem indicar a presença de software maligno no sistema. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. | IoT_ExecuteFileWithTrailingSpace |
| Ferramentas frequentemente utilizadas para acesso a credenciais maliciosas detetadas | Média | Defender-IoT-micro-agente | Utilização de deteção de uma ferramenta normalmente associada a tentativas maliciosas de acesso a credenciais. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. | IoT_CredentialAccessTools |
| Compilação suspeita detetada | Média | Defender-IoT-micro-agente | Compilação suspeita detetada. Os atores maliciosos compilam frequentemente exploits numa máquina comprometida para escalar privilégios. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. | IoT_SuspiciousCompilation |
| Transferência de ficheiros suspeitos seguida de atividade de execução de ficheiros | Média | Defender-IoT-micro-agente | A análise dos dados do anfitrião detetou um ficheiro que foi transferido e executado no mesmo comando. Esta técnica é geralmente utilizada por atores maliciosos para obter ficheiros infetados em máquinas de vítimas. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. | IoT_DownloadFileThenRun |
| Comunicação de endereço IP suspeito | Média | Defender-IoT-micro-agente | Comunicação com um endereço IP suspeito detetado. | Verifique se a ligação é legítima. Considere bloquear a comunicação com o IP suspeito. | IoT_TiConnection |
| Pedido de Nome de Domínio Malicioso | Média | Defender-IoT-micro-agente | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método utilizado por software maligno conhecido. | Desligue a origem da rede. Executar resposta a incidentes. | IoT_MaliciousNameQueriesDetection |
Gravidade baixa
| Name | Gravidade | Origem de Dados | Descrição | Passos de remediação sugeridos | Tipo de alerta |
|---|---|---|---|---|---|
| Histórico do Bash limpo | Baixo | Defender-IoT-micro-agente | Registo do histórico do Bash limpo. Normalmente, os atores maliciosos apagam o histórico de bash para ocultar os seus próprios comandos de aparecerem nos registos. | Reveja com o utilizador que executou o comando que a atividade neste alerta para ver se reconhece isto como atividade administrativa legítima. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. | IoT_ClearHistoryFile |
Passos seguintes
- Descrição Geral do serviço Defender para IoT