Alertas de segurança de dispositivos Legacy Defender para IoT
Nota
A Microsoft Defender do agente legado do IoT foi substituída pela nossa experiência de micro-agente mais recente. Para obter mais informações, veja Tutorial: Investigar alertas de segurança.
A partir de 31 de março de 2022, o agente legado é o sunset e não estão a ser desenvolvidas novas funcionalidades. O agente legado será totalmente descontinuado a 31 de março de 2023, altura em que deixaremos de fornecer correções de erros ou outro suporte para o agente legado.
O Defender para IoT analisa continuamente a sua solução de IoT com análises avançadas e informações sobre ameaças para alertá-lo para atividades maliciosas. Além disso, pode criar alertas personalizados com base no seu conhecimento do comportamento esperado do dispositivo. Um alerta funciona como um indicador de potencial compromisso e deve ser investigado e remediado.
Neste artigo, encontrará uma lista de alertas incorporados, que podem ser acionados nos seus dispositivos IoT. Além dos alertas incorporados, o Defender para IoT permite-lhe definir alertas personalizados com base no comportamento esperado do Hub IoT e/ou do dispositivo. Para obter mais informações, veja alertas personalizáveis.
Alertas de segurança baseados no agente
| Name | Gravidade | Origem de dados | Description | Passos de remediação sugeridos |
|---|---|---|---|---|
| Gravidade elevada | ||||
| Linha de Comandos Binária | Alto | Legacy Defender-IoT-micro-agent | Foi detetado um binário de LA Linux a ser chamado/executado a partir da linha de comandos. Este processo pode ser uma atividade legítima ou uma indicação de que o dispositivo está comprometido. | Reveja o comando com o utilizador que o executou e verifique se é algo legitimamente esperado para ser executado no dispositivo. Caso contrário, encaminhe o alerta para a sua equipa de segurança de informações. |
| Desativar firewall | Alto | Legacy Defender-IoT-micro-agent | Foi detetada uma possível manipulação da firewall no anfitrião. Os atores maliciosos desativam frequentemente a firewall no anfitrião numa tentativa de exfiltrar dados. | Reveja com o utilizador que executou o comando para confirmar se esta era uma atividade esperada legítima no dispositivo. Caso contrário, encaminhe o alerta para a sua equipa de segurança de informações. |
| Deteção do reencaminhamento de portas | Alto | Legacy Defender-IoT-micro-agent | Foi detetado o início do reencaminhamento de portas para um endereço IP externo. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. |
| Possível tentativa de desativar o Registo auditado detetado | Alto | Legacy Defender-IoT-micro-agent | O Sistema de auditoria do Linux fornece uma forma de controlar informações relevantes de segurança no sistema. O sistema regista o máximo de informações possível sobre os eventos que estão a ocorrer no seu sistema. Estas informações são cruciais para que os ambientes críticos da missão determinem quem violou a política de segurança e as ações que realizaram. Desativar o Registo auditado pode impedir a sua capacidade de detetar violações das políticas de segurança utilizadas no sistema. | Verifique junto do proprietário do dispositivo se esta atividade era legítima por motivos comerciais. Caso contrário, este evento pode estar a ocultar a atividade de atores maliciosos. Escalou imediatamente o incidente para a sua equipa de segurança de informações. |
| Inverter shells | Alto | Legacy Defender-IoT-micro-agent | A análise dos dados do anfitrião num dispositivo detetou uma potencial shell inversa. As shells inversas são frequentemente utilizadas para obter uma máquina comprometida para ligar de volta para uma máquina controlada por um ator malicioso. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. |
| Tentativa de Força Bruta bem-sucedida | Alto | Legacy Defender-IoT-micro-agent | Foram identificadas várias tentativas de início de sessão sem êxito, seguidas de um início de sessão bem-sucedido. A tentativa de ataque de força bruta pode ter sido bem-sucedida no dispositivo. | Reveja o alerta de força bruta SSH e a atividade nos dispositivos. Se a atividade foi maliciosa: Implementar a reposição de palavra-passe para contas comprometidas. Investigar e remediar (se forem encontrados) dispositivos para software maligno. |
| Início de sessão local bem-sucedido | Alto | Legacy Defender-IoT-micro-agent | Início de sessão local bem-sucedido no dispositivo detetado | Certifique-se de que o utilizador com sessão iniciada é uma parte autorizada. |
| Shell Web | Alto | Legacy Defender-IoT-micro-agent | Possível shell Web detetada. Normalmente, os atores maliciosos carregam uma shell Web para uma máquina comprometida para obter persistência ou para exploração adicional. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. |
| Gravidade média | ||||
| Comportamento semelhante aos bots do Linux comuns detetados | Médio | Legacy Defender-IoT-micro-agent | Execução de um processo normalmente associado a botnets do Linux comuns detetados. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. |
| Comportamento semelhante ao ransomware Fairware detetado | Médio | Legacy Defender-IoT-micro-agent | Execução de comandos rm -rf aplicados a localizações suspeitas detetadas através da análise de dados do anfitrião. Uma vez que rm -rf elimina ficheiros de forma recursiva, normalmente só é utilizado em pastas discretas. Neste caso, está a ser utilizado numa localização que pode remover uma grande quantidade de dados. O ransomware fairware é conhecido por executar comandos rm -rf nesta pasta. | Reveja com o utilizador que executou o comando que era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. |
| Comportamento semelhante ao ransomware detetado | Médio | Legacy Defender-IoT-micro-agent | Execução de ficheiros semelhante ao ransomware conhecido que pode impedir os utilizadores de aceder ao sistema ou ficheiros pessoais e pode exigir o pagamento do resgate para recuperar o acesso. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informações. |
| Imagem de contentor de mineiro de moeda criptográfica detetada | Médio | Legacy Defender-IoT-micro-agent | Contentor a detetar imagens de extração de moeda digital conhecidas em execução. | 1. Se este comportamento não for pretendido, elimine a imagem de contentor relevante. 2. Certifique-se de que o daemon do Docker não está acessível através de um socket TCP não seguro. 3. Reencale o alerta para a equipa de segurança de informações. |
| Imagem de mineiro de moeda criptográfica | Médio | Legacy Defender-IoT-micro-agent | A execução de um processo normalmente associado à extração de moeda digital foi detetada. | Verifique com o utilizador que executou o comando se esta era uma atividade legítima no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informações. |
| Foi detetada uma utilização suspeita do comando nohup | Médio | Legacy Defender-IoT-micro-agent | Utilização suspeita do comando nohup no anfitrião detetado. Normalmente, os atores maliciosos executam o comando nohup a partir de um diretório temporário, permitindo efetivamente que os executáveis sejam executados em segundo plano. Ver este comando ser executado em ficheiros localizados num diretório temporário não é esperado ou o comportamento habitual. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informações. |
| Foi detetada uma utilização suspeita do comando useradd | Médio | Legacy Defender-IoT-micro-agent | Utilização suspeita do comando useradd detetado no dispositivo. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informações. |
| Daemon do Docker exposto por socket TCP | Médio | Legacy Defender-IoT-micro-agent | Os registos de máquinas indicam que o daemon do Docker (dockerd) expõe um socket TCP. Por predefinição, a configuração do Docker não utiliza encriptação ou autenticação quando um socket TCP está ativado. A configuração predefinida do Docker permite o acesso total ao daemon do Docker, por qualquer pessoa com acesso à porta relevante. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informações. |
| Início de sessão local com falha | Médio | Legacy Defender-IoT-micro-agent | Foi detetada uma tentativa de início de sessão local falhada no dispositivo. | Certifique-se de que nenhuma parte não autorizada tem acesso físico ao dispositivo. |
| Transferências de ficheiros de uma origem maliciosa conhecida detetada | Médio | Legacy Defender-IoT-micro-agent | Transferência de um ficheiro a partir de uma origem de software maligno conhecida detetada. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informações. |
| acesso ao ficheiro htaccess detetado | Médio | Legacy Defender-IoT-micro-agent | A análise dos dados do anfitrião detetou uma possível manipulação de um ficheiro htaccess. O Htaccess é um ficheiro de configuração avançado que lhe permite efetuar múltiplas alterações a um servidor Web com software Apache Web, incluindo funcionalidades básicas de redirecionamento e funções mais avançadas, como a proteção básica de palavras-passe. Os atores maliciosos modificam frequentemente ficheiros htaccess em máquinas comprometidas para obter persistência. | Confirme se esta é uma atividade esperada legítima no anfitrião. Caso contrário, aumente o alerta para a sua equipa de segurança de informações. |
| Ferramenta de ataque conhecida | Médio | Legacy Defender-IoT-micro-agent | Uma ferramenta frequentemente associada a utilizadores maliciosos que atacam outras máquinas de alguma forma foi detetada. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informações. |
| O agente IoT tentou e não analisou a configuração do módulo duplo | Médio | Legacy Defender-IoT-micro-agent | O agente de segurança do Defender para IoT não analisou a configuração do módulo duplo devido a desencontros de tipo no objeto de configuração | Valide a configuração do módulo duplo no esquema de configuração do agente IoT e corrija todos os desajustes. |
| Reconhecimento de anfitrião local detetado | Médio | Legacy Defender-IoT-micro-agent | A execução de um comando normalmente associado ao reconhecimento de bots do Linux comum foi detetada. | Reveja a linha de comandos suspeita para confirmar que foi executada por um utilizador legítimo. Caso contrário, aumente o alerta para a sua equipa de segurança de informações. |
| Erro de correspondência entre o interpretador de script e a extensão de ficheiro | Médio | Legacy Defender-IoT-micro-agent | Erro de correspondência entre o interpretador de script e a extensão do ficheiro de script fornecido como entrada detetada. Este tipo de incompatibilidade está normalmente associado a execuções de scripts de atacantes. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informações. |
| Possível backdoor detetada | Médio | Legacy Defender-IoT-micro-agent | Um ficheiro suspeito foi transferido e, em seguida, executado num anfitrião na sua subscrição. Este tipo de atividade é normalmente associado à instalação de uma backdoor. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informações. |
| Potencial perda de dados detetados | Médio | Legacy Defender-IoT-micro-agent | Possível condição de saída de dados detetada com a análise de dados do anfitrião. Os atores maliciosos geralmente retiram dados de máquinas comprometidas. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informações. |
| Potencial substituição de ficheiros comuns | Médio | Legacy Defender-IoT-micro-agent | Executável comum substituído no dispositivo. Os atores maliciosos são conhecidos por substituir ficheiros comuns como forma de ocultar as suas ações ou como forma de obter persistência. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, aumente o alerta para a equipa de segurança de informações. |
| Contentor privilegiado detetado | Médio | Legacy Defender-IoT-micro-agent | Os registos do computador indicam que um contentor do Docker com privilégios está em execução. Um contentor com privilégios tem acesso total aos recursos de anfitrião. Se for comprometido, um ator malicioso pode utilizar o contentor com privilégios para obter acesso ao computador anfitrião. | Se o contentor não precisar de ser executado no modo privilegiado, remova os privilégios do contentor. |
| Remoção de ficheiros de registos do sistema detetados | Médio | Legacy Defender-IoT-micro-agent | Remoção suspeita de ficheiros de registo no anfitrião detetado. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. |
| Espaço após nome de ficheiro | Médio | Legacy Defender-IoT-micro-agent | Execução de um processo com uma extensão suspeita detetada através da análise de dados do anfitrião. As extensões suspeitas podem levar os utilizadores a pensar que os ficheiros são seguros para serem abertos e podem indicar a presença de software maligno no sistema. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. |
| Foram detetadas ferramentas de acesso a credenciais maliciosas suspeitas | Médio | Legacy Defender-IoT-micro-agent | Utilização de deteção de uma ferramenta normalmente associada a tentativas maliciosas de acesso a credenciais. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. |
| Compilação suspeita detetada | Médio | Legacy Defender-IoT-micro-agent | Compilação suspeita detetada. Os atores maliciosos compilam frequentemente exploits numa máquina comprometida para escalar privilégios. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. |
| Transferência de ficheiros suspeitas seguida de atividade de execução de ficheiros | Médio | Legacy Defender-IoT-micro-agent | A análise dos dados do anfitrião detetou um ficheiro que foi transferido e executado no mesmo comando. Esta técnica é geralmente utilizada por atores maliciosos para obter ficheiros infetados em máquinas da vítima. | Reveja com o utilizador que executou o comando se esta era uma atividade legítima que espera ver no dispositivo. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. |
| Comunicação de endereço IP suspeito | Médio | Legacy Defender-IoT-micro-agent | Comunicação com um endereço IP suspeito detetado. | Verifique se a ligação é legítima. Considere bloquear a comunicação com o IP suspeito. |
| Gravidade BAIXA | ||||
| Histórico do Bash limpo | Baixo | Legacy Defender-IoT-micro-agent | Registo do histórico do Bash limpo. Normalmente, os atores maliciosos apagam o histórico de bash para ocultar os seus próprios comandos de aparecerem nos registos. | Reveja com o utilizador que executou o comando que a atividade neste alerta para ver se reconhece isto como atividade administrativa legítima. Caso contrário, encaminhe o alerta para a equipa de segurança de informações. |
| Dispositivo silencioso | Baixo | Legacy Defender-IoT-micro-agent | O dispositivo não enviou dados telemétricos nas últimas 72 horas. | Certifique-se de que o dispositivo está online e a enviar dados. Verifique se o Agente de Segurança do Azure está em execução no dispositivo. |
| Tentativa de Força Bruta falhada | Baixo | Legacy Defender-IoT-micro-agent | Foram identificadas várias tentativas de início de sessão sem êxito. Potencial tentativa de ataque de força bruta falhou no dispositivo. | Reveja os alertas de força bruta SSH e a atividade no dispositivo. Não é necessária mais nenhuma ação. |
| Utilizador local adicionado a um ou mais grupos | Baixo | Legacy Defender-IoT-micro-agent | Novo utilizador local adicionado a um grupo neste dispositivo. As alterações aos grupos de utilizadores são invulgares e podem indicar que um ator malicioso pode estar a recolher permissões adicionais. | Verifique se a alteração é consistente com as permissões exigidas pelo utilizador afetado. Se a alteração for inconsistente, aumente para a sua equipa de Segurança de Informações. |
| Utilizador local eliminado de um ou mais grupos | Baixo | Legacy Defender-IoT-micro-agent | Um utilizador local foi eliminado de um ou mais grupos. Os atores maliciosos são conhecidos por utilizarem este método numa tentativa de negar o acesso a utilizadores legítimos ou de eliminar o histórico das respetivas ações. | Verifique se a alteração é consistente com as permissões exigidas pelo utilizador afetado. Se a alteração for inconsistente, aumente para a sua equipa de Segurança de Informações. |
| Eliminação de utilizador local detetada | Baixo | Legacy Defender-IoT-micro-agent | Eliminação de um utilizador local detetada. A eliminação de utilizadores locais é invulgar, um ator malicioso pode estar a tentar negar o acesso a utilizadores legítimos ou a eliminar o histórico das suas ações. | Verifique se a alteração é consistente com as permissões exigidas pelo utilizador afetado. Se a alteração for inconsistente, aumente para a sua equipa de Segurança de Informações. |
Passos seguintes
- Descrição Geral do serviço Defender para IoT
- Saiba como Aceder aos seus dados de segurança
- Saiba mais sobre Investigar um dispositivo