مجموعة أحداث العامل الصغير (معاينة)

  • مقالة
  • قراءة خلال 4 دقائق

يقوم وكلاء أمان Defender for IoT بجمع البيانات وأحداث النظام من جهازك المحلي، وإرسال البيانات إلى سحابة Azure للمعالجة والتحليلات. يجمع العامل الصغير Defender for IoT العديد من أنواع أحداث الجهاز بما في ذلك العمليات الجديدة وجميع أحداث الاتصال الجديدة. قد تحدث كل من العملية الجديدة وأحداث الاتصال الجديدة بشكل متكرر على الجهاز. هذه الإمكانية مهمة للأمان الشامل ، ومع ذلك ، فإن عدد الرسائل التي يرسلها وكلاء الأمان قد يجتمع بسرعة ، أو يتجاوز حصة IoT Hub الخاصة بك ، وحدود التكلفة. تحتوي هذه الرسائل والأحداث على معلومات أمان عالية القيمة ضرورية لحماية جهازك.

لتقليل عدد الرسائل والتكاليف مع الحفاظ على أمان جهازك، يقوم وكلاء Defender for IoT بتجميع أنواع الأحداث التالية:

  • ProcessCreate (لينكس فقط)

  • اتصال الشبكةإنشاء

جامعي الأحداث هم جامعي يتم تشغيلهم استنادا إلى النشاط المقابل من داخل الجهاز. على سبيل المثال، ⁧a process was started in the device⁩.

جامعي المستندة إلى التشغيل هم جامعي يتم تشغيلهم بطريقة مجدولة استنادا إلى تكوينات العميل.

كيف يعمل تجميع الأحداث؟

يقوم وكلاء Defender for IoT بتجميع الأحداث للفترة الفاصلة أو النافذة الزمنية. بمجرد مرور الفترة الفاصلة، يرسل العامل الأحداث المجمعة إلى سحابة Azure لمزيد من التحليل. يتم تخزين الأحداث المجمعة في الذاكرة حتى يتم إرسالها إلى سحابة Azure.

يقوم العامل بجمع أحداث مطابقة لتلك المخزنة بالفعل في الذاكرة. تؤدي هذه المجموعة إلى قيام العامل بزيادة عدد مرات ضرب هذا الحدث المحدد لتقليل بصمة الذاكرة الخاصة بالوكيل. عندما تمر النافذة الزمنية للتجميع، يرسل العامل عدد النتائج لكل نوع من أنواع الأحداث التي حدثت. تجميع الأحداث هو ببساطة تجميع عدد النتائج لكل نوع من أنواع الأحداث التي تم جمعها.

أحداث العملية (تستند إلى الحدث)

يتم دعم أحداث العملية على أنظمة تشغيل Linux.

تعتبر أحداث العملية متطابقة عندما يكون سطر الأوامر ، و userid متطابقة.

المخزن المؤقت الافتراضي لأحداث العملية هو 256 عملية. عند استيفاء هذا الحد، سيتم تدوير المخزن المؤقت، ويتم تجاهل أقدم حدث عملية من أجل إفساح المجال لأحدث حدث تمت معالجته. سيتم تسجيل تحذير لزيادة حجم ذاكرة التخزين المؤقت.

البيانات التي يتم جمعها لكل حدث هي:

المعلمة الوصف
الطابع الزمني في المرة الأولى التي لوحظت فيها العملية.
process_id لينكس PID.
parent_process_id PID الأصل لينكس، إذا كان موجودا.
سطر الأوامر سطر الأوامر.
النوع يمكن أن يكون إما fork، أو exec.
hit_count العدد الكلي. عدد عمليات التنفيذ لنفس العملية ، خلال نفس الإطار الزمني ، حتى يتم إرسال الأحداث إلى السحابة.

أحداث اتصال الشبكة (المجمع المستند إلى الأحداث)

تعتبر أحداث "اتصال الشبكة" متطابقة عندما يكون المنفذ المحلي والمنفذ البعيد وبروتوكول النقل والعنوان المحلي والعنوان البعيد متطابقين.

المخزن المؤقت الافتراضي لحدث اتصال شبكة هو 256. بالنسبة للحالات التي تكون فيها ذاكرة التخزين المؤقت ممتلئة:

  • أجهزة Azure RTOS: لن يتم تخزين أي أحداث جديدة للشبكة مؤقتا حتى تبدأ دورة التجميع التالية.

  • أجهزة Linux: سيتم استبدال الحدث الأقدم بكل حدث جديد. سيتم تسجيل تحذير لزيادة حجم ذاكرة التخزين المؤقت.

بالنسبة لأجهزة Linux ، يتم دعم IPv4 فقط.

البيانات التي يتم جمعها لكل حدث هي:

المعلمة الوصف
العنوان المحلي عنوان مصدر الاتصال.
عنوان الوصول من بعد عنوان الوجهة للاتصال.
المنفذ المحلي منفذ المصدر للاتصال.
منفذ بعيد منفذ الوجهة للاتصال.
Bytes_in إجمالي وحدات بايت RX المجمعة للاتصال.
Bytes_out إجمالي وحدات بايت TX المجمعة للاتصال.
Transport_protocol يمكن أن يكون TCP أو UDP أو ICMP.
بروتوكول التطبيق بروتوكول التطبيق المقترن بالاتصال.
خصائص موسعة التفاصيل الإضافية للاتصال. على سبيل المثال، ⁧host name⁩.
عدد زيارات DNS إجمالي عدد الزيارات لطلبات DNS

جامع تسجيل الدخول (جامع قائم على الأحداث)

يقوم جامع تسجيل الدخول بتجميع عمليات تسجيل دخول المستخدم وعمليات تسجيل الخروج ومحاولات تسجيل الدخول الفاشلة.

يدعم مجمع تسجيل الدخول الأنواع التالية من طرق التجميع:

يتم جمع البيانات التالية:

المعلمة الوصف
‏‏التشغيل واحد مما يلي: Login, , LogoutLoginFailed
process_id لينكس PID.
user_name مستخدم لينكس.
التنفيذي الجهاز الطرفي. على سبيل المثال، tty1..6 أو pts/n.
remote_address مصدر الاتصال، إما عنوان IP بعيد بتنسيق IPv6 أو IPv4، أو 127.0.0.1/0.0.0.0 للإشارة إلى الاتصال المحلي.

معلومات النظام (المجمع القائم على الزناد))

البيانات التي يتم جمعها لكل حدث هي:

المعلمة الوصف
hardware_vendor اسم بائع الجهاز.
hardware_model رقم طراز الجهاز.
os_dist توزيع نظام التشغيل. على سبيل المثال، ⁧Linux⁩.
os_version إصدار نظام التشغيل. على سبيل المثال، Windows 10، أو Ubuntu 20.04.1.
os_platform نظام التشغيل الخاص بالجهاز.
os_arch بنية نظام التشغيل. على سبيل المثال، ⁧x86_64⁩.
نيكس وحدة تحكم واجهة الشبكة. القائمة الكاملة للعقارات مدرجة أدناه.

تتكون خصائص nics مما يلي ؛

المعلمة الوصف
النوع إحدى القيم التالية: UNKNOWNأو , , , WIFIMOBILEأو ETHSATELLITE.
فلانس الشبكة المحلية الافتراضية المرتبطة بواجهة الشبكة.
بائع بائع وحدة تحكم الشبكة.
معلومات IPS و MACs المقترنة بوحدة تحكم الشبكة. ويشمل ذلك الحقول التالية:
- ipv4_address: عنوان IPv4.
- ipv6_address: عنوان IPv6.
- ماك: عنوان MAC.

خط الأساس (يستند إلى الزناد)

يقوم جامع خط الأساس بإجراء فحوصات رابطة الدول المستقلة بشكل دوري. يتم إرسال النتائج الفاشلة فقط إلى السحابة. تقوم السحابة بتجميع النتائج وتقديم التوصيات.

تجميع البيانات

البيانات التي يتم جمعها لكل حدث هي:

المعلمة الوصف
التحقق من الهوية في شكل رابطة الدول المستقلة. على سبيل المثال، ⁧CIS-debian-9-Filesystem-1.1.2⁩.
تحقق من النتيجة يمكن أن يكون Error، أو Fail. على سبيل المثال، Error في حالة تعذر تشغيل الشيك.
خطأ معلومات الخطأ ووصفه.
الوصف وصف الشيك من رابطة الدول المستقلة.
المعالجة التوصية بالمعالجة من رابطة الدول المستقلة.
الخطورة مستوى الخطورة.

SBoM (على أساس الزناد)

يقوم جامع SBoM (فاتورة المواد البرمجية) بجمع الحزم المثبتة على الجهاز بشكل دوري.

تتضمن البيانات التي يتم جمعها في كل باقة ما يلي:

المعلمة الوصف
الاسم اسم الحزمة
إصدار إصدار الحزمة
المورد بائع الحزمة، وهو حقل الصيانة في حزم ديب

الخطوات التالية

تحقق من Defender الخاص بك للحصول على تنبيهات أمان إنترنت الأشياء.