تنبيهات أمان جهاز Legacy Defender لأجهزة إنترنت الأشياء
ملاحظة
تم استبدال وكيل Microsoft Defender for IoT القديم بتجربة الوكيل الصغير الأحدث لدينا. لمزيد من المعلومات، راجع البرنامج التعليمي: التحقيق في تنبيهات الأمان.
اعتبارا من 31 مارس 2022 ، أصبح الوكيل القديم غروب الشمس ولا يتم تطوير أي ميزات جديدة. سيتم إيقاف الوكيل القديم بالكامل في 31 مارس 2023 ، وعند هذه النقطة لن نقدم بعد الآن إصلاحات للأخطاء أو أي دعم آخر للوكيل القديم.
تقوم Defender for IoT باستمرار بتحليل حل إنترنت الأشياء الخاص بك باستخدام التحليلات المتقدمة وذكاء التهديدات لتنبيهك إلى النشاط الضار. بالإضافة إلى ذلك، يمكنك إنشاء تنبيهات مخصصة استنادًا إلى معرفتك بسلوك الجهاز المتوقع. ويعمل التنبيه كمؤشر على إمكانية التوصل إلى حل وسط، وينبغي التحقيق فيه وإصلاحه.
في هذه المقالة ، ستجد قائمة بالتنبيهات المضمنة ، والتي يمكن تشغيلها على أجهزة إنترنت الأشياء الخاصة بك. بالإضافة إلى التنبيهات المضمنة، يتيح لك Defender for IoT تحديد تنبيهات مخصصة استنادا إلى مركز إنترنت الأشياء المتوقع و/أو سلوك الجهاز. لمزيد من المعلومات، راجع التنبيهات القابلة للتخصيص.
تنبيهات الأمان المستندة إلى الوكيل
| الاسم | الخطورة | مصدر البيانات | الوصف | خطوات المعالجة المُقترحة |
|---|---|---|---|---|
| شدة عالية | ||||
| خط الأمر الثنائي | درجة عالية | Legacy Defender-IoT-micro-agent | يُكشف ويُستدعى LA Linux / يُنفذ من سطر الأمر. قد تكون هذه العملية نشاطا مشروعًا، أو إشارة إلى تعرض جهازك للخطر. | راجع الأمر مع المستخدم الذي قام بتشغيله وتحقق مما إذا كان هذا شيئا متوقعا بشكل مشروع لتشغيله على الجهاز. إذا لم يكن الأمر كذلك، فصعد التنبيه إلى فريق أمان المعلومات. |
| تعطيل جدار الحماية | درجة عالية | Legacy Defender-IoT-micro-agent | تم الكشف عن معالجة محتملة لجدار الحماية على المضيف. غالبا ما يقوم المستخدمون الضارون بتعطيل جدار الحماية على المضيف في محاولة لتسريب البيانات. | راجع مع المستخدم الذي قام بتشغيل الأمر لتأكيد ما إذا كان هذا النشاط المتوقع شرعيًا على الجهاز. إذا لم يكن الأمر كذلك، فصعد التنبيه إلى فريق أمان المعلومات. |
| الكشف عن إعادة توجيه المنفذ | درجة عالية | Legacy Defender-IoT-micro-agent | تم الكشف عن بدء إعادة توجيه المنفذ إلى عنوان IP خارجي. | راجع مع المستخدم الذي قام بتشغيل الأمر إذا كان هذا النشاط شرعيًا تتوقع رؤيته على الجهاز. إذا لم يكن كذلك، تصعيد التنبيه إلى فريق أمان المعلومات. |
| محاولة محتملة لتعطيل التسجيل المدقق الذي تم اكتشافه | درجة عالية | Legacy Defender-IoT-micro-agent | يوفر نظام Linux Auditd طريقة لتتبع المعلومات المتعلقة بالأمان على النظام. يسجل النظام أكبر قدر ممكن من المعلومات حول الأحداث التي تحدث على النظام الخاص بك. وهذه المعلومات حاسمة بالنسبة للبيئات الحرجة في المهام لتحديد من انتهك السياسة الأمنية والإجراءات التي قاموا بها. قد يؤدي تعطيل التسجيل المدقق إلى منع قدرتك على اكتشاف انتهاكات سياسات الأمان المستخدمة على النظام. | تحقق مع مالك الجهاز إذا كان هذا النشاط المشروع لأسباب تجارية. إذا لم يكن الأمر كذلك، قد يكون هذا الحدث إخفاء نشاط من قبل مستخدمين ضارين. على الفور تصاعد الحادث إلى فريق أمن المعلومات الخاص بك. |
| shells العكسية | درجة عالية | Legacy Defender-IoT-micro-agent | كشف تحليل بيانات المضيف على جهاز عن shells العكسية المحتملة. وغالبا ما تستخدم shells العكسية للحصول على جهاز للخطر لاستدعاء مرة أخرى إلى جهاز تسيطر عليها مستخدم ضار. | راجع مع المستخدم الذي قام بتشغيل الأمر إذا كان هذا النشاط شرعيًا تتوقع رؤيته على الجهاز. إذا لم يكن كذلك، تصعيد التنبيه إلى فريق أمان المعلومات. |
| محاولة ناجحة للقوة الغاشمة | درجة عالية | Legacy Defender-IoT-micro-agent | تم التعرف على عدة محاولات تسجيل دخول غير ناجحة، متبوعة بتسجيل دخول ناجح. قد تكون محاولة هجوم القوة الغاشمة قد نجحت على الجهاز. | مراجعة تنبيه القوة الغاشمة SSH والنشاط على الأجهزة. إذا كان النشاط ضارا: طرح إعادة تعيين كلمة المرور للحسابات المخترقة. التحقيق في الأجهزة (إذا وجدت) وإصلاحها للبرامج الضارة. |
| تسجيل دخول محلي ناجح | درجة عالية | Legacy Defender-IoT-micro-agent | تم اكتشاف تسجيل الدخول المحلي الناجح إلى الجهاز | تأكد من أن المستخدم الذي تم تسجيل الدخول له طرف مخول. |
| واجهة ويب | درجة عالية | Legacy Defender-IoT-micro-agent | قذيفة ويب المحتمل الكشف عنها. يقوم المستخدمين الضارين عادة بتحميل واجهة ويب إلى جهاز معرض للخطر للحصول على المثابرة أو لمزيد من الاستغلال. | راجع مع المستخدم الذي قام بتشغيل الأمر إذا كان هذا النشاط شرعيًا تتوقع رؤيته على الجهاز. إذا لم يكن كذلك، تصعيد التنبيه إلى فريق أمان المعلومات. |
| متوسطة الخطورة | ||||
| سلوك مشابه لروبوتات الدردشة Linux الشائعة التي تم اكتشافها | متوسط | Legacy Defender-IoT-micro-agent | تنفيذ عملية ترتبط عادة مع برامج الكمبيوتر المتصلة بالإنترنت Linux الشائعة التي تم اكتشافها. | راجع مع المستخدم الذي قام بتشغيل الأمر إذا كان هذا النشاط شرعيًا تتوقع رؤيته على الجهاز. إذا لم يكن كذلك، تصعيد التنبيه إلى فريق أمان المعلومات. |
| تم الكشف عن سلوك مشابه لبرامج الفدية الضارة Fairware | متوسط | Legacy Defender-IoT-micro-agent | تنفيذ أوامر rm-rf المطبقة على المواقع المشبوهة التي تم اكتشافها باستخدام تحليل بيانات المضيف. لأن rm-rf حذف الملفات بشكل متكرر، فإنه عادة ما يتم استخدامه فقط على المجلدات المنفصلة. في هذه الحالة، يتم استخدامه في موقع يمكن إزالة كم كبير من البيانات. ومن المعروف عن برنامج الفدية الضارة Fairware انتزاع الفدية لتنفيذ أوامر RM-RF في هذا المجلد. | راجع مع المستخدم الذي قام بتشغيل الأمر، وكان هذا النشاط مشروعًا بأنك تتوقع رؤيته على الجهاز. إذا لم يكن كذلك، تصعيد التنبيه إلى فريق أمان المعلومات. |
| تم الكشف عن سلوك مشابه للكشف عن برامج الفدية الضارة | متوسط | Legacy Defender-IoT-micro-agent | تنفيذ ملفات مشابهة لمعرفة برامج الفدية الضارة التي قد تمنع المستخدمين من الوصول إلى نظامهم، أو الملفات الشخصية، وقد تتطلب دفع فدية لاستعادة الوصول. | راجع مع المستخدم الذي قام بتشغيل الأمر إذا كان هذا النشاط شرعيًا تتوقع رؤيته على الجهاز. إذا لم يكن كذلك، تصعيد التنبيه إلى فريق أمان المعلومات. |
| تم الكشف عن صورة حاوية جامع عملة التشفير | متوسط | Legacy Defender-IoT-micro-agent | حاوية الكشف عن تشغيل صور التنقيب عن العملات الرقمية المعروفة. | 1. إذا لم يكن هذا السلوك مقصودا، فاحذف صورة الحاوية ذات الصلة. 2. تأكد من عدم إمكانية الوصول إلى برنامج Docker الخفي عبر مقبس TCP غير آمن. 3. تصعيد التنبيه إلى فريق أمن المعلومات. |
| صورة جامع عملة التشفير | متوسط | Legacy Defender-IoT-micro-agent | تنفيذ عملية ترتبط عادة مع اكتشاف التنقيب عن العملات الرقمية. | تحقق مع المستخدم الذي قام بتشغيل الأمر إذا كان هذا النشاط شرعيًا على الجهاز أم لا. إذا لم يكن كذلك، تصعيد التنبيه إلى فريق أمان المعلومات. |
| اكتشاف استخدام مشبوه لأمر nohup | متوسط | Legacy Defender-IoT-micro-agent | الكشف عن الاستخدام المشبوه لأمر nohup على المضيف. عادة ما يشغل المستخدمون الضارون الأمر nohup من دليل مؤقت، مما يسمح بشكل فعال للتنفيذات الخاصة بهم لتشغيل في الخلفية. مشاهدة هذا الأمر تشغيل على الملفات الموجودة في دليل مؤقت غير متوقع أو السلوك المعتاد. | راجع مع المستخدم الذي قام بتشغيل الأمر إذا كان هذا النشاط شرعيًا تتوقع رؤيته على الجهاز. إذا لم يكن كذلك، تصعيد التنبيه إلى فريق أمان المعلومات. |
| اكتشاف استخدام مشبوه للأمر useradd | متوسط | Legacy Defender-IoT-micro-agent | الكشف عن استخدام مشبوه للأمر useradd على الجهاز. | راجع مع المستخدم الذي قام بتشغيل الأمر إذا كان هذا النشاط شرعيًا تتوقع رؤيته على الجهاز. إذا لم يكن كذلك، تصعيد التنبيه إلى فريق أمان المعلومات. |
| الكشف عن عامل الإرساء عبر مأخذ توصيل بروتوكول تحكم الإرسال | متوسط | Legacy Defender-IoT-micro-agent | تشير سجلات الجهاز إلى أن الخفي إلى أن عامل الإرساء يكشف عبر مأخذ توصيل بروتوكول تحكم الإرسال. بشكل افتراضي، تكوين عامل الإرساء لا يستخدم التشفير أو المصادقة عند تمكين مأخذ توصيل بروتوكول تحكم الإرسال. يتيح تكوين عامل الإرساء الافتراضي الوصول الكامل إلى عامل الإرساء الخفي، من قبل أي شخص لديه حق الوصول إلى المنفذ ذي الصلة. | راجع مع المستخدم الذي قام بتشغيل الأمر إذا كان هذا النشاط شرعيًا تتوقع رؤيته على الجهاز. إذا لم يكن كذلك، تصعيد التنبيه إلى فريق أمان المعلومات. |
| فشل تسجيل الدخول المحلي | متوسط | Legacy Defender-IoT-micro-agent | الكشف عن محاولة تسجيل دخول محلية فاشلة للجهاز. | تأكد من عدم وجود طرف غير مصرح له لديه حق الوصول الفعلي إلى الجهاز. |
| الكشف عن تنزيلات الملفات من مصدر ضار معروف | متوسط | Legacy Defender-IoT-micro-agent | الكشف عن تنزيل ملف من مصدر معروف للبرامج الضارة. | راجع مع المستخدم الذي قام بتشغيل الأمر إذا كان هذا النشاط شرعيًا تتوقع رؤيته على الجهاز. إذا لم يكن كذلك، تصعيد التنبيه إلى فريق أمان المعلومات. |
| الكشف عن الوصول لملف htaccess | متوسط | Legacy Defender-IoT-micro-agent | كشف تحليل بيانات المضيف عن التلاعب المحتمل بملف htaccess. Htaccess هو ملف تكوين قوي يسمح لك بإجراء تغييرات متعددة على خادم ويب يعمل على برنامج Apache Web، بما في ذلك وظائف إعادة التوجيه الأساسية، والوظائف الأكثر تقدمًا، مثل حماية كلمة المرور الأساسية. غالبا ما يقوم المستخدمون الضارون بتعديل ملفات htaccess على الأجهزة المخترقة للحصول على الاستمرارية. | تأكد من أن هذا نشاط متوقع شرعي على المضيف. إذا لم يكن الأمر كذلك، فصعد التنبيه إلى فريق أمان المعلومات. |
| أداة الهجوم المعروفة | متوسط | Legacy Defender-IoT-micro-agent | الكشف عن أداة غالبا ما ترتبط بالمستخدمين الضارين الذين يهاجمون أجهزة أخرى بطريقة ما. | راجع مع المستخدم الذي قام بتشغيل الأمر إذا كان هذا النشاط شرعيًا تتوقع رؤيته على الجهاز. إذا لم يكن كذلك، تصعيد التنبيه إلى فريق أمان المعلومات. |
| حاول عامل IoT وفشل في توزيع تكوين الوحدة النمطية المزدوجة | متوسط | Legacy Defender-IoT-micro-agent | فشل وكيل أمان Defender for IoT في تحليل التكوين المزدوج للوحدة النمطية بسبب عدم تطابق النوع في كائن التكوين | التحقق من صحة التكوين المزدوج للوحدة النمطية مقابل مخطط تكوين عامل IoT، وإصلاح كل ما يتعلق بعدم التطابق. |
| الكشف عن استكشاف المضيف المحلي | متوسط | Legacy Defender-IoT-micro-agent | تنفيذ أمر يرتبط عادة مع الكشف عن استكشاف روبوت الدردشة Linux المشترك. | راجع سطر الأوامر المشبوه للتأكد من أنه نُفِذ من قبل مستخدم شرعي. إذا لم يكن الأمر كذلك، فصعد التنبيه إلى فريق أمان المعلومات. |
| عدم التطابق بين مترجم البرنامج النصي وملحق الملف | متوسط | Legacy Defender-IoT-micro-agent | عدم التطابق بين مترجم البرنامج النصي وملحق ملف البرنامج النصي المتوفر كإدخال تم اكتشافه. يرتبط هذا النوع من عدم التطابق عادة بتنفيذات البرنامج النصي للمهاجم. | راجع مع المستخدم الذي قام بتشغيل الأمر إذا كان هذا النشاط شرعيًا تتوقع رؤيته على الجهاز. إذا لم يكن كذلك، تصعيد التنبيه إلى فريق أمان المعلومات. |
| اكتشاف الباب الخلفي المحتمل | متوسط | Legacy Defender-IoT-micro-agent | تم تنزيل ملف مشبوه ثم تشغيله على مضيف في اشتراكك. ويرتبط هذا النوع من النشاط عادة مع تركيب الباب الخلفي. | راجع مع المستخدم الذي قام بتشغيل الأمر إذا كان هذا النشاط شرعيًا تتوقع رؤيته على الجهاز. إذا لم يكن كذلك، تصعيد التنبيه إلى فريق أمان المعلومات. |
| اكتشاف احتمالية فقدان البيانات | متوسط | Legacy Defender-IoT-micro-agent | حالة خروج البيانات المحتملة التي تم اكتشافها باستخدام تحليل بيانات المضيف. غالبا ما يتجاوز المستخدمون الضارون البيانات من الأجهزة المخترقة. | راجع مع المستخدم الذي قام بتشغيل الأمر إذا كان هذا النشاط شرعيًا تتوقع رؤيته على الجهاز. إذا لم يكن كذلك، تصعيد التنبيه إلى فريق أمان المعلومات. |
| تجاوز محتمل للملفات الشائعة | متوسط | Legacy Defender-IoT-micro-agent | المشتركة والقابلة للتنفيذ كتابةً على الجهاز. ومن المعروف أن المستخدمين الضارين يكتبون الملفات الشائعة كوسيلة لإخفاء إجراءات أو كوسيلة للحصول على الاستمرارية. | راجع مع المستخدم الذي قام بتشغيل الأمر إذا كان هذا النشاط شرعيًا تتوقع رؤيته على الجهاز. إذا لم يكن كذلك، تصعيد التنبيه إلى فريق أمان المعلومات. |
| الكشف عن حاوية مميزة | متوسط | Legacy Defender-IoT-micro-agent | تشير سجلات الجهاز إلى تشغيل حاوية عامل الإرساء المميزة. للحاوية المميزة على حق الوصول الكامل إلى موارد المضيف. إذا تم اختراقها، يمكن لمستخدم ضار استخدام الحاوية المميزة للوصول إلى الجهاز المضيف. | إذا لم تكن الحاوية بحاجة إلى التشغيل في وضع متميز، قم بإزالة الامتيازات من الحاوية. |
| إزالة ملفات سجلات النظام التي تم اكتشافها | متوسط | Legacy Defender-IoT-micro-agent | الكشف عن إزالة مشبوهه لملفات السجل على المضيف. | راجع مع المستخدم الذي قام بتشغيل الأمر إذا كان هذا النشاط شرعيًا تتوقع رؤيته على الجهاز. إذا لم يكن كذلك، تصعيد التنبيه إلى فريق أمان المعلومات. |
| مساحة بعد اسم الملف | متوسط | Legacy Defender-IoT-micro-agent | تنفيذ العملية مع كشف التمديد المشبوه عن استخدام تحليل البيانات المضيف. قد تخدع الإضافات المشبوهة المستخدمين إلى التفكير في أن الملفات آمنة لفتحها، ويمكن أن تشير إلى وجود برامج ضارة على النظام. | راجع مع المستخدم الذي قام بتشغيل الأمر إذا كان هذا النشاط شرعيًا تتوقع رؤيته على الجهاز. إذا لم يكن كذلك، تصعيد التنبيه إلى فريق أمان المعلومات. |
| الكشف عن أدوات الوصول إلى بيانات الاعتماد الضارة المشبوهة | متوسط | Legacy Defender-IoT-micro-agent | الكشف عن استخدام أداة مرتبطة عادة بمحاولات ضارة للوصول إلى بيانات الاعتماد. | راجع مع المستخدم الذي قام بتشغيل الأمر إذا كان هذا النشاط شرعيًا تتوقع رؤيته على الجهاز. إذا لم يكن كذلك، تصعيد التنبيه إلى فريق أمان المعلومات. |
| الكشف عن تجميع مشبوه | متوسط | Legacy Defender-IoT-micro-agent | الكشف عن تجميع مشبوه. غالبا ما يقوم المستخدمون الضارون بتجميع مآثر على جهاز مخترق لتصعيد الامتيازات. | راجع مع المستخدم الذي قام بتشغيل الأمر إذا كان هذا النشاط شرعيًا تتوقع رؤيته على الجهاز. إذا لم يكن كذلك، تصعيد التنبيه إلى فريق أمان المعلومات. |
| تحميل ملف مشبوه متبوعًا بنشاط تشغيل الملف | متوسط | Legacy Defender-IoT-micro-agent | تحليل كشف بيانات المضيف عن ملف تم تنزيله وتشغيله بنفس الأمر. وتستخدم هذه التقنية عادة من قبل المستخدمون الضارون للحصول على الملفات المصابة على أجهزة الضحية. | راجع مع المستخدم الذي قام بتشغيل الأمر إذا كان هذا النشاط شرعيًا تتوقع رؤيته على الجهاز. إذا لم يكن كذلك، تصعيد التنبيه إلى فريق أمان المعلومات. |
| اتصال عنوان IP المشبوه | متوسط | Legacy Defender-IoT-micro-agent | الكشف عن الاتصال مع عنوان IP مشبوه. | تحقق مما إذا كان الاتصال شرعيًا. النظر في حظر الاتصال مع IP المشبوه. |
| شدة منخفضة | ||||
| محفوظات الاختبار ممسوحة | منخفض | Legacy Defender-IoT-micro-agent | سجل تاريخ الاختبار ممسوح. قوم المستخدمون الضارون عادة بمسح تاريخ الاختبار لإخفاء أوامرهم الخاصة من الظهور في السجلات. | راجع مع المستخدم الذي قام بتشغيل الأمر أن النشاط في هذا التنبيه لمراجعة ما إذا كنت تعرف هذا النشاط كنشاط إداري شرعي أم لا. إذا لم يكن كذلك، تصعيد التنبيه إلى فريق أمان المعلومات. |
| جهاز صامت | منخفض | Legacy Defender-IoT-micro-agent | لم يرسل الجهاز أي بيانات تتبع الاستخدام خلال الـ 72 ساعة الماضية. | تأكد من اتصال الجهاز وإرسال البيانات. افحص عامل أمان Azure قيد التشغيل على الجهاز. |
| محاولة فاشلة للقوة الغاشمة | منخفض | Legacy Defender-IoT-micro-agent | التعرف على عدة محاولات تسجيل دخول غير ناجحة. فشلت محاولة هجوم القوة الغاشمة المحتملة على الجهاز. | مراجعة تنبيهات القوة الغاشمة SSH والنشاط على الجهاز. لا يلزم اتخاذ أي إجراء آخر. |
| إضافة مستخدم محلي إلى مجموعة واحدة أو أكثر | منخفض | Legacy Defender-IoT-micro-agent | مستخدم محلي جديد تمت إضافته إلى مجموعة على هذا الجهاز. التغييرات التي تطرأ على مجموعات المستخدمين غير شائعة، ويمكن أن تشير إلى أن جهة فاعلة ضارة قد تجمع أذونات إضافية. | تحقق مما إذا كان التغيير متناسقًا مع أذونات الوصول المطلوبة من قبل المستخدم المتأثر. إذا كان التغيير غير متناسق، فقم بالتصعيد إلى فريق أمان المعلومات. |
| حذف المستخدم المحلي من مجموعة واحدة أو أكثر | منخفض | Legacy Defender-IoT-micro-agent | حذف مستخدم محلي من مجموعة واحدة أو أكثر. ومن المعروف أن المستخدمون الضارون يستخدموا هذا الأسلوب في محاولة لرفض الوصول إلى المستخدمين الشرعيين أو لحذف تاريخ أعمالهم. | تحقق مما إذا كان التغيير متناسقًا مع أذونات الوصول المطلوبة من قبل المستخدم المتأثر. إذا كان التغيير غير متناسق، فقم بالتصعيد إلى فريق أمان المعلومات. |
| الكشف عن حذف المستخدم المحلي | منخفض | Legacy Defender-IoT-micro-agent | الكشف عن حذف مستخدم محلي. حذف المستخدم المحلي غير شائع، قد يحاول أحد المستخدمين الضارين رفض الوصول إلى المستخدمين الشرعيين أو حذف محفوظات إجراءاتهم. | تحقق مما إذا كان التغيير متناسقًا مع أذونات الوصول المطلوبة من قبل المستخدم المتأثر. إذا كان التغيير غير متناسق، فقم بالتصعيد إلى فريق أمان المعلومات. |
الخطوات التالية
- نظرة عامة على خدمة Defender for IoT
- تعرف على كيفية الوصول إلى بيانات الأمان
- مزيد من المعلومات حول التحقيق في جهاز