Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Os agentes de segurança do Defender para IoT recolhem dados e eventos do sistema a partir do seu dispositivo local e enviam os dados para a cloud Azure para processamento.
Nota
O Defender para IoT planeia extinguir o micro agente a 1 de agosto de 2025.
Se tiver configurado e ligado uma área de trabalho do Log Analytics, verá estes eventos no Log Analytics. Para obter mais informações, veja Tutorial: Investigar alertas de segurança.
O micro agente do Defender para IoT recolhe vários tipos de eventos de dispositivos, incluindo novos processos e todos os novos eventos de ligação. Tanto o novo processo como os novos eventos de ligação podem ocorrer frequentemente num dispositivo. No entanto, esta capacidade é importante para uma segurança abrangente. No entanto, o número de mensagens que os agentes de segurança enviam pode cumprir ou exceder rapidamente a quota de Hub IoT e os limites de custos. Estas mensagens e eventos contêm informações de segurança altamente valiosas que são cruciais para proteger o seu dispositivo.
Para reduzir o número de mensagens e custos enquanto mantém a segurança do dispositivo, os agentes do Defender para IoT agregam os seguintes tipos de eventos:
Processar eventos (apenas Linux)
Eventos de atividade de rede
Eventos do sistema de ficheiros
Eventos de estatísticas
Para obter mais informações, veja Agregação de eventos para recoletores de processos e de rede.
Os recoletores baseados em eventos são recoletores que são acionados com base na atividade correspondente a partir do dispositivo. Por exemplo, a process was started in the device.
Os recoletores baseados no acionador são recoletores que são acionados de forma agendada com base nas configurações do cliente.
Processar eventos (recoletor baseado em eventos)
Os eventos de processo são suportados em sistemas operativos Linux.
Os eventos de processo são considerados idênticos quando a linha de comandos e o userid são idênticos.
A memória intermédia predefinida para eventos de processo é 256 processos. Quando este limite é atingido, a memória intermédia irá circular e o evento de processo mais antigo é eliminado para dar espaço ao evento processado mais recente. Será registado um aviso para aumentar o tamanho da cache.
Os dados recolhidos para cada evento são:
| Parâmetro | Descrição |
|---|---|
| Carimbo de data/hora | A primeira vez que o processo foi observado. |
| process_id | O PID Linux. |
| parent_process_id | O Linux PID principal, se existir. |
| Linha de comandos | A linha de comandos. |
| Tipo | Pode ser fork, ou exec. |
| hit_count | A contagem agregada. O número de execuções do mesmo processo, durante o mesmo período de tempo, até que os eventos sejam enviados para a cloud. |
Eventos de Atividade de Rede (recoletor baseado em eventos)
Os eventos de atividade de rede são considerados idênticos quando a porta local, a porta remota, o protocolo de transporte, o endereço local e o endereço remoto são idênticos.
A memória intermédia predefinida para um evento de atividade de rede é 256. Para situações em que a cache está cheia:
Dispositivos Eclipse ThreadX: não serão colocados em cache novos eventos de rede até que o próximo ciclo de coleção seja iniciado.
Linux dispositivos: o evento mais antigo será substituído por cada novo evento. Será registado um aviso para aumentar o tamanho da cache.
Para dispositivos Linux, só é suportado IPv4.
Os dados recolhidos para cada evento são:
| Parâmetro | Descrição |
|---|---|
| Endereço local | O endereço de origem da ligação. |
| Endereço remoto | O endereço de destino da ligação. |
| Porta local | A porta de origem da ligação. |
| Porta remota | A porta de destino da ligação. |
| Bytes_in | O total de bytes RX agregados da ligação. |
| Bytes_out | O total de bytes TX agregados da ligação. |
| Transport_protocol | Pode ser TCP, UDP ou ICMP. |
| Protocolo da aplicação | O protocolo de aplicação associado à ligação. |
| Propriedades expandidas | Os Detalhes adicionais da ligação. Por exemplo, host name. |
| Contagem de resultados | A contagem de pacotes observados |
Recoletor de início de sessão (recoletor baseado em eventos)
O recoletor de Início de Sessão recolhe inícios de sessão do utilizador, inícios de sessão e tentativas de início de sessão falhadas.
O Recoletor de início de sessão suporta os seguintes tipos de métodos de coleção:
UTMP e SYSLOG. A UTMP deteta eventos interativos SSH, eventos telnet e inícios de sessão de terminais, bem como todos os eventos de início de sessão falhados do SSH, telnet e terminal. Se o SYSLOG estiver ativado no dispositivo, o Recoletor de início de sessão também recolhe eventos de início de sessão SSH através do ficheiro SYSLOG denominado auth.log.
Módulos de Autenticação Plug-able (PAM). Recolhe eventos de início de sessão SSH, telnet e local. Para obter mais informações, veja Configurar Módulos de Autenticação Plug-able (PAM) para auditar eventos de início de sessão.
São recolhidos os seguintes dados:
| Parâmetro | Descrição |
|---|---|
| operação | Uma das seguintes opções: Login, , LogoutLoginFailed |
| process_id | O PID Linux. |
| user_name | O utilizador Linux. |
| executável | O dispositivo terminal. Por exemplo, tty1..6 ou pts/n. |
| remote_address | A origem da ligação, um endereço IP remoto no formato IPv6 ou IPv4 ou 127.0.0.1/0.0.0.0 para indicar a ligação local. |
Informações do Sistema (recoletor baseado no acionador)
Os dados recolhidos para cada evento são:
| Parâmetro | Descrição |
|---|---|
| hardware_vendor | O nome do fornecedor do dispositivo. |
| hardware_model | O número de modelo do dispositivo. |
| os_dist | A distribuição do sistema operativo. Por exemplo, Linux. |
| os_version | A versão do sistema operativo. Por exemplo, Windows 10, ou Ubuntu 20.04.1. |
| os_platform | O SO do dispositivo. |
| os_arch | A arquitetura do SO. Por exemplo, x86_64. |
| agent_type | O tipo do agente (Edge/Autónomo). |
| agent_version | A versão do agente. |
| nics | O controlador de interface de rede. A lista completa de propriedades está listada abaixo. |
As propriedades nics são compostas pelo seguinte;
| Parâmetro | Descrição |
|---|---|
| tipo | Um dos seguintes valores: UNKNOWN, , ETHWIFI, MOBILEou SATELLITE. |
| vlans | A lan virtual associada à interface de rede. |
| fornecedor | O fornecedor do controlador de rede. |
| informações | IPS e MACs associados ao controlador de rede. Isto inclui os seguintes campos; - ipv4_address: o endereço IPv4. - ipv6_address: o endereço IPv6. - mac: o endereço MAC. |
Linha de base (recoletor baseado no acionador)
O recoletor de linha de base efetua verificações CIS periódicas e os resultados da verificação de passagem e de ignorar falha são enviados para o serviço cloud do Defender para IoT. O Defender para IoT agrega os resultados e fornece recomendações com base em quaisquer falhas.
Os dados recolhidos para cada evento são:
| Parâmetro | Descrição |
|---|---|
| Verificar ID | No formato CIS. Por exemplo, CIS-debian-9-Filesystem-1.1.2. |
| Verificar o resultado | Pode ser Fail, Pass, Skipou Error. Por exemplo, Error numa situação em que a verificação não pode ser executada. |
| Erro | As informações e a descrição do erro. |
| Descrição | A descrição da verificação do CIS. |
| Remediação | A recomendação de remediação do CIS. |
| Gravidade | O nível de gravidade. |
SBoM (recoletor baseado no acionador)
O recoletor SBoM (Fatura de Materiais de Software) recolhe periodicamente os pacotes instalados no dispositivo.
Os dados recolhidos em cada pacote incluem:
| Parâmetro | Descrição |
|---|---|
| Nome | O nome do pacote. |
| Versão | A versão do pacote. |
| Fornecedor | O fornecedor do pacote, que é o campo Responsável pela Manutenção em pacotes deb. |
Eventos periféricos (recoletor baseado em eventos)
O recoletor de eventos periféricos recolhe ligações e desligamentos de eventos USB e Ethernet.
Os campos recolhidos dependem do tipo de evento:
Eventos USB
| Parâmetro | Descrição |
|---|---|
| Carimbo de data/hora | A hora em que o evento ocorreu. |
| ActionType | Se o evento foi uma ligação ou um evento de desativação. |
| bus_number | Identificador de controlador específico, cada dispositivo USB pode ter vários. |
| kernel_device_number | Representação no kernel do dispositivo, não exclusivo e pode sempre que o dispositivo estiver ligado. |
| device_class | Identificador que especifica a classe do dispositivo. |
| device_subclass | Identificador que especifica o tipo de dispositivo. |
| device_protocol | Identificador a especificar o protocolo do dispositivo. |
| interface_class | Caso a classe do dispositivo seja 0, indique o tipo de dispositivo. |
| interface_subclass | Caso a classe do dispositivo seja 0, indique o tipo de dispositivo. |
| interface_protocol | Caso a classe do dispositivo seja 0, indique o tipo de dispositivo. |
Eventos Ethernet
| Parâmetro | Descrição |
|---|---|
| Carimbo de data/hora | A hora em que o evento ocorreu. |
| ActionType | Se o evento foi uma ligação ou um evento de desativação. |
| bus_number | Identificador de controlador específico, cada dispositivo USB pode ter vários. |
| Nome da interface | O nome da interface. |
Eventos do sistema de ficheiros (recoletor baseado em eventos)
O recoletor de eventos do sistema de ficheiros recolhe eventos sempre que existirem alterações nos diretórios de monitorização para: criação, eliminação, movimentação e modificação de diretórios e ficheiros. Para definir os diretórios e ficheiros que pretende monitorizar, veja Definições específicas do recoletor de informações do sistema.
São recolhidos os seguintes dados:
| Parâmetro | Descrição |
|---|---|
| Carimbo de data/hora | A hora em que o evento ocorreu. |
| Máscara | Linux inotificar a máscara relacionada com o evento do sistema de ficheiros, a máscara identifica o tipo da ação e pode ser uma das seguintes: Acesso/Modificado/Metadados alterados/Fechados/Abertos/Movidos/Criados/Eliminados. |
| Caminho | Caminho do diretório/ficheiro para o qual o evento foi gerado. |
| Hitcount | Número de vezes que este evento foi agregado. |
Dados de estatísticas (recoletor baseado no acionador)
O recoletor de Estatísticas gera várias estatísticas nos diferentes recoletores de micro-agentes. Estas estatísticas fornecem informações sobre o desempenho dos recoletores no ciclo de coleção anterior. Exemplos de estatísticas possíveis incluem o número de eventos enviados com êxito e o número de eventos que foram removidos, juntamente com as razões das falhas.
Campos recolhidos:
| Parâmetro | Descrição |
|---|---|
| Carimbo de data/hora | A hora em que o evento ocorreu. |
| Nome | Nome do recoletor. |
| Eventos | Uma matriz de pares formatados como JSON com descrição e contagem de resultados. |
| Descrição | Se a mensagem foi enviada/removida e o motivo da remoção. |
| Hitcount | Número de mensagens respetivas. |
Agregação de eventos para recoletores de Processos e de Rede
Como funciona a agregação de eventos para os Eventos de processo e eventos de Atividade de Rede:
Os agentes do Defender para IoT agregam eventos durante o intervalo de envio definido na configuração de frequência de mensagens para cada recoletor, como Process_MessageFrequency ou NetworkActivity_MessageFrequency. Assim que o período de intervalo de envio tiver passado, o agente envia os eventos agregados para a cloud Azure para uma análise mais aprofundada. Os eventos agregados são armazenados na memória até serem enviados para a cloud Azure.
Quando o agente recolhe eventos semelhantes aos que já estão armazenados na memória, o agente aumentará a contagem de resultados deste evento específico para reduzir a quantidade de memória do agente. Quando a janela de tempo de agregação passa, o agente envia a contagem de resultados de cada tipo de evento que ocorreu. A agregação de eventos é a agregação das contagens de resultados de eventos semelhantes. Por exemplo, a atividade de rede com o mesmo anfitrião remoto e na mesma porta é agregada como um evento, em vez de como um evento separado para cada pacote.
Nota
Por predefinição, o micro agente envia registos e telemetria para a cloud para fins de resolução de problemas e monitorização. Este comportamento pode ser configurado ou desativado através do duplo.
Passos seguintes
Para mais informações, consulte: