Examen de las alertas integradas del agente de seguridad
Microsoft Defender para IoT analiza continuamente la solución de IoT mediante análisis avanzado e inteligencia sobre amenazas para alertar sobre actividades malintencionadas. Además, puede crear alertas personalizadas según su conocimiento del comportamiento esperado del dispositivo. Una alerta sirve como indicador de un posible peligro, y debe investigarse y corregirse.
La instalación y configuración de un agente de seguridad en los dispositivos IoT agrega un gran número de alertas a la solución de seguridad.
Nombre
Gravedad
Data Source (Origen de datos)
Descripción
Pasos de la corrección sugerida
Gravedad alta
Binary Command Line (Línea de comandos de binario)
Alto
Agente
Se detectó una llamada a un binario de LA Linux o la ejecución de dicho binario desde la línea de comandos. Este proceso puede ser una actividad permitida o un indicio de que el dispositivo está en peligro.
Revíselo con el usuario que ejecutó el comando. Compruebe que este comando está diseñado para ejecutarse en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
Disable firewall (Deshabilitar firewall)
Alto
Agente
Se ha detectado una posible manipulación del firewall de host. Los actores malintencionados suelen deshabilitar el firewall en el host para intentar el filtrado de datos.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
Port forwarding detection (Detección de enrutamiento de puerto)
Alto
Agente
Se ha detectado la iniciación de un enrutamiento de puerto a una dirección IP externa.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
Detección de un posible intento de deshabilitar el registro de auditoría
Alto
Agente
El sistema auditado de Linux proporciona una manera de realizar un seguimiento de información relevante para la seguridad del sistema. El sistema registra tanta información como sea posible sobre los eventos que se producen en el sistema. Esta información es fundamental para que los entornos de misión crítica puedan descubrir al infractor de la directiva de seguridad y las acciones que ha llevado a cabo. El hecho de deshabilitar el registro de auditoría puede impedir la detección de infracciones de las directivas de seguridad usadas en el sistema.
Consulte con el propietario del dispositivo para asegurarse de que se trata de una actividad esperada por motivos empresariales. Si no es así, es posible que este evento esté ocultando la actividad de actores malintencionados. Escale inmediatamente el incidente al equipo de seguridad de la información.
Reverse shells (Shells inversos)
Alto
Agente
Un análisis de los datos del host en un dispositivo detectó el uso de un shell inverso posible. Los shells inversos se suelen usar para obtener una máquina en peligro para volver a llamar a una máquina controlada por un actor malintencionado.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
Intento de ataque por fuerza bruta realizado correctamente
Alto
Agente
Se detectaron varios intentos de inicio de sesión incorrectos, seguidos de un inicio de sesión correcto. El intento de ataque por fuerza bruta puede haber prosperado en el dispositivo.
Revise la alerta de ataque por fuerza bruta en SSH y la actividad en los dispositivos. Si la actividad era malintencionada: implemente el restablecimiento de contraseña para las cuentas en peligro. Investigue los dispositivos (si los encuentra) por si hubiera problemas de malware y corríjalos.
Successful local login (Inicio de sesión local correcto)
Alto
Agente
Se ha detectado un inicio de sesión local correcto en el dispositivo.
Asegúrese de que el usuario que ha iniciado sesión es una entidad autorizada.
Web shell (Shell web)
Alto
Agente
Se ha detectado un posible shell web. Normalmente, los actores malintencionados cargan un shell web en una máquina en peligro para obtener persistencia o para aprovechar mejor sus puntos vulnerables.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
Gravedad media
Behavior similar to common Linux bots detected (Detección de comportamiento similar a bots comunes de Linux)
Media
Agente
Se ha detectado la ejecución de un proceso que normalmente se asocia con botnets comunes de Linux.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
Behavior similar to Fairware ransomware detected (Detección de comportamiento similar a ransomware Fairware)
Media
Agente
Se detectó la ejecución de comandos rm -rf aplicados a ubicaciones sospechosas mediante el análisis de los datos del host. Dado que rm -rf elimina archivos de manera recursiva, normalmente solo se usa en carpetas independientes. En este caso, se usa en una ubicación que podría quitar una gran cantidad de datos. El ransomware Fairware es conocido por ejecutar comandos de rm -rf en esta carpeta.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
Behavior similar to ransomware detected (Detección de comportamiento similar a ransomware)
Media
Agente
Ejecución de archivos similares a ransomware conocido que puede impedir que los usuarios accedan al sistema o a archivos personales, y puede solicitar el pago de un rescate para recuperar el acceso.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
Crypto coin miner container image detected (Se ha detectado una imagen de contenedor de minería de criptomoneda)
Media
Agente
Contenedor que detecta la ejecución de imágenes de minería de moneda digital conocidas.
- Si este comportamiento no es el previsto, elimine la imagen de contenedor pertinente. 2. Asegúrese de que el demonio de Docker no es accesible a través de un socket TCP no seguro. 3. Escale la alerta al equipo de seguridad de la información.
Crypto coin miner image (Imagen de minería de criptomoneda)
Media
Agente
Se detectó la ejecución de un proceso que normalmente se asocia con la minería de datos de monedas digitales.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
Detected suspicious use of the nohup command (Detección de uso sospechoso del comando nohup)
Media
Agente
Se ha detectado el uso sospechoso del comando nohup en el host. Los actores malintencionados suelen ejecutar el comando nohup desde un directorio temporal, lo que permite que sus ejecutables se ejecuten en segundo plano. La ejecución de este comando en archivos ubicados en un directorio temporal no es lo esperado ni un comportamiento normal.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
Detected suspicious use of the useradd command (Detección de uso sospechoso del comando useradd)
Media
Agente
Se ha detectado el uso sospechoso del comando useradd en el dispositivo.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
Exposed Docker daemon by TCP socket (Demonio de Docker expuesto por socket TCP)
Media
Agente
Los registros de la máquina indican que el demonio de Docker (dockerd) expone un socket TCP. De manera predeterminada, la configuración de Docker no usa cifrado ni autenticación cuando un socket TCP está habilitado. La configuración de Docker predeterminada permite el acceso total al demonio de Docker a cualquier persona con acceso al puerto pertinente.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
Failed local login (Inicio de sesión local con error)
Media
Agente
Se ha detectado un intento de inicio de sesión local con errores en el dispositivo.
Asegúrese de que ninguna persona no autorizada tenga acceso físico al dispositivo.
File downloads from a known malicious source detected (Detección de descargas de archivos desde un origen malintencionado conocido)
Media
Agente
Se detectó la descarga de un archivo desde un origen de malware conocido.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
htaccess file access detected (Se ha detectado un acceso a un archivo htaccess)
Media
Agente
El análisis de los datos del host ha detectado una posible manipulación de un archivo htaccess. Htaccess es un archivo de configuración eficaz que le permite hacer varios cambios en un servidor web que ejecuta software web Apache, incluida la funcionalidad básica de redireccionamiento, y funciones más avanzadas, como la protección de contraseña básica. A menudo, los actores malintencionados modificarán los archivos htaccess en máquinas en peligro a fin de lograr persistencia.
Confirme que se trata de una actividad esperada en el host. Si no es así, escale la alerta al equipo de seguridad de la información.
Known attack tool (Herramienta de ataque conocida)
Media
Agente
Se ha detectado una herramienta a menudo asociada con usuarios malintencionados que atacan otros equipos de alguna manera.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
IoT agent attempted and failed to parse the module twin configuration (El agente de IoT intentó analizar la configuración del módulo gemelo pero no pudo)
Media
Agente
El agente de seguridad de Microsoft Defender para IoT no ha podido analizar la configuración del módulo gemelo debido a errores de coincidencia de tipos en el objeto de configuración.
Valide la configuración del módulo gemelo con el esquema de configuración del agente de IoT y corrija todas las discrepancias.
Local host reconnaissance detected (Detección de reconocimiento de host local)
Media
Agente
Se detectó la ejecución de un comando que normalmente se asocia con el reconocimiento de bots comunes de Linux.
Revise la línea de comandos sospechosa para confirmar que lo ejecutó un usuario legítimo. Si no es así, escale la alerta al equipo de seguridad de la información.
Mismatch between script interpreter and file extension (Error de coincidencia entre el intérprete del script y la extensión del archivo)
Media
Agente
Se ha detectado un error de coincidencia entre el intérprete del script y la extensión del archivo de script proporcionado como entrada. Este tipo de discrepancia normalmente se asocia con las ejecuciones de scripts de un atacante.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
Possible backdoor detected (Detección de posible puerta trasera)
Media
Agente
Se descargó un archivo sospechoso y luego se ejecutó en un host de su suscripción. Este tipo de actividad se asocia normalmente con la instalación de una puerta trasera.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
Potential loss of data detected (Detección de posible pérdida de datos)
Media
Agente
Posible condición de salida de datos detectada mediante el análisis de los datos del host. A menudo, los actores malintencionados extraen datos de máquinas en peligro.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
Potential overriding of common files (Posible invalidación de archivos comunes)
Media
Agente
Un archivo ejecutable común se ha sobrescrito en el dispositivo. Se sabe que los actores malintencionados sobrescriben los archivos comunes como una forma de ocultar sus acciones o de adquirir persistencia.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
Privileged container detected (Detección de contenedor con privilegios)
Media
Agente
Los registros de la máquina indican que se está ejecutando un contenedor de Docker con privilegios. Un contenedor con privilegios tiene acceso total a los recursos del host. Si se pone en peligro, un actor malintencionado puede usar el contenedor con privilegios para acceder a la máquina host.
Si el contenedor no necesita ejecutarse en modo con privilegios, quite los privilegios del contenedor.
Removal of system logs files detected (Detección de eliminación de archivos de registro del sistema)
Media
Agente
Se ha detectado la eliminación sospechosa de archivos del registro en el host.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
Space after filename (Espacio luego de nombre de archivo)
Media
Agente
Se detectó la ejecución de un proceso con una extensión sospechosa mediante el análisis de los datos del host. Las extensiones sospechosas pueden engañar a los usuarios para que piensen que es seguro abrir los archivos y pueden indicar la presencia de malware en el sistema.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
Suspected malicious credentials access tools detected (Se han detectado presuntas herramientas malintencionadas de acceso con credenciales)
Media
Agente
Se ha detectado el uso de una herramienta que habitualmente se asocia con intentos malintencionados de acceso a las credenciales.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
Suspicious compilation detected (Detección de compilación sospechosa)
Media
Agente
Se ha detectado una compilación sospechosa. A menudo, los actores malintencionados compilan vulnerabilidades de seguridad en una máquina en peligro a fin de elevar los privilegios.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
Suspicious file download followed by file run activity (Descarga de archivo sospechosa seguida de una actividad de ejecución de archivo)
Media
Agente
El análisis de los datos del host detectó la descarga y ejecución de un archivo en el mismo comando. Los actores malintencionados suelen usar esta técnica para obtener archivos infectados en equipos víctimas.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
Suspicious IP address communication (Comunicación con dirección IP sospechosa)
Media
Agente
Se ha detectado una comunicación con una dirección IP sospechosa.
Compruebe si la conexión es legítima. Considere la posibilidad de bloquear la comunicación con la dirección IP sospechosa.
Gravedad baja
Bash history cleared (Historial de Bash borrado)
Bajo
Agente
El registro del historial de Bash se ha borrado. Los actores malintencionados suelen borrar el historial de Bash para ocultar sus propios comandos para que no aparezcan en los registros.
Revíselo con el usuario que ejecutó el comando. Compruebe que se trata de una actividad administrativa esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información.
Device Silent (Dispositivo silencioso)
Bajo
Agente
El dispositivo no ha enviado datos de telemetría en las últimas 72 horas.
Asegúrese de que el dispositivo está en línea y enviando datos. Compruebe que el agente de seguridad de Azure se está ejecutando en el dispositivo.
Intento por fuerza bruta erróneo
Bajo
Agente
Se han detectado varios intentos de inicio de sesión incorrectos. Posible error de intento de ataque por fuerza bruta en el dispositivo.
Revise las alertas de ataque por fuerza bruta en SSH y la actividad en el dispositivo. No se requiere ninguna acción adicional.
Local user added to one or more groups (Usuario local agregado a uno o varios grupos)
Bajo
Agente
Se ha agregado un nuevo usuario local a un grupo de este dispositivo. Los cambios en los grupos de usuarios son poco comunes y pueden indicar que un actor malintencionado está recopilando permisos de acceso.
Compruebe que el cambio sea coherente con los permisos requeridos por el usuario afectado. Si el cambio no es coherente, escálelo al equipo de seguridad de la información.
Local user deleted from one or more groups (Usuario local eliminado de uno o varios grupos)
Bajo
Agente
Se eliminó un usuario local de uno o varios grupos. Se sabe que los actores malintencionados usan este método en un intento de denegar el acceso a usuarios legítimos o de eliminar el historial de sus acciones.
Compruebe que el cambio sea coherente con los permisos requeridos por el usuario afectado. Si el cambio no es coherente, escálelo al equipo de seguridad de la información.
Local user deletion detected (Se ha detectado la eliminación de un usuario local)
Bajo
Agente
Se ha detectado la eliminación de un usuario local. La eliminación de usuarios locales es poco común, puede que un actor malintencionado esté intentando denegar el acceso a usuarios legítimos o eliminar el historial de sus acciones.
Compruebe que el cambio sea coherente con los permisos requeridos por el usuario afectado. Si el cambio no es coherente, escálelo al equipo de seguridad de la información.