Mikro aracı olay koleksiyonu
IoT için Defender güvenlik aracıları yerel cihazınızdan veri ve sistem olaylarını toplar ve verileri işlenmek üzere Azure buluta gönderir.
Log Analytics çalışma alanını yapılandırıp bağladıysanız bu olayları Log Analytics'te görürsünüz. Daha fazla bilgi için bkz . Öğretici: Güvenlik uyarılarını araştırma.
IoT için Defender mikro aracısı, yeni işlemler ve tüm yeni bağlantı olayları dahil olmak üzere birçok tür cihaz olayı toplar. Bir cihazda hem yeni işlem hem de yeni bağlantı olayları sık sık gerçekleşebilir. Bu özellik kapsamlı güvenlik için önemlidir, ancak güvenlik aracılarının gönderdiği iletilerin sayısı IoT Hub kotanızı ve maliyet sınırlarınızı hızla karşılar veya aşabilir. Bu iletiler ve olaylar, cihazınızı korumak için çok önemli olan yüksek değerli güvenlik bilgilerini içerir.
Cihazınızın güvenliğini korurken ileti sayısını ve maliyetleri azaltmak için IoT için Defender aracıları aşağıdaki olay türlerini toplar:
İşlem olayları (yalnızca Linux)
Ağ etkinliği olayları
Dosya sistemi olayları
İstatistik olayları
Daha fazla bilgi için bkz . işlem ve ağ toplayıcıları için olay toplama.
Olay tabanlı toplayıcılar, cihazın içinden ilgili etkinliğe göre tetiklenen toplayıcılardır. Örneğin, a process was started in the device.
Tetikleyici tabanlı toplayıcılar, müşterinin yapılandırmalarına göre zamanlanmış bir şekilde tetiklenen toplayıcılardır.
İşlem olayları (olay tabanlı toplayıcı)
İşlem olayları Linux işletim sistemlerinde desteklenir.
Komut satırı ve kullanıcı kimliği aynı olduğunda işlem olayları aynı kabul edilir.
İşlem olayları için varsayılan arabellek 256 işlemdir. Bu sınır karşılandığında arabellek döngü yapar ve en yeni işlenen olaya yer açmak için en eski işlem olayı atılır. Önbellek boyutunu artırmaya yönelik bir uyarı günlüğe kaydedilir.
Her olay için toplanan veriler:
| Parametre | Açıklama |
|---|---|
| Zaman damgası | İşlem ilk kez gözlemlendi. |
| process_id | The Linux PID. |
| parent_process_id | Varsa Linux üst PID'i. |
| Commandline | Komut satırı. |
| Tür | veya olabilirforkexec. |
| hit_count | Toplama sayısı. Olaylar buluta gönderilene kadar aynı zaman diliminde aynı işlemin yürütme sayısı. |
Ağ Etkinliği olayları (olay tabanlı toplayıcı)
Yerel bağlantı noktası, uzak bağlantı noktası, aktarım protokolü, yerel adres ve uzak adres aynı olduğunda ağ etkinliği olayları aynı kabul edilir.
Ağ etkinliği olayı için varsayılan arabellek 256'dır. Önbelleğin dolu olduğu durumlar için:
Eclipse ThreadX cihazları: Bir sonraki koleksiyon döngüsü başlayana kadar yeni ağ olayları önbelleğe alınmaz.
Linux cihazları: En eski olay, her yeni olayla değiştirilir. Önbellek boyutunu artırmaya yönelik bir uyarı günlüğe kaydedilir.
Linux cihazları için yalnızca IPv4 desteklenir.
Her olay için toplanan veriler:
| Parametre | Açıklama |
|---|---|
| Yerel adres | Bağlantının kaynak adresi. |
| Uzak adres | Bağlantının hedef adresi. |
| Yerel bağlantı noktası | Bağlantının kaynak bağlantı noktası. |
| Uzak bağlantı noktası | Bağlantının hedef bağlantı noktası. |
| Bytes_in | Bağlantının toplam toplam RX bayt sayısı. |
| Bytes_out | Bağlantının toplam toplam TX bayt sayısı. |
| Transport_protocol | TCP, UDP veya ICMP olabilir. |
| Uygulama protokolü | Bağlantıyla ilişkili uygulama protokolü. |
| Genişletilmiş özellikler | Bağlantının Ek ayrıntıları. Örneğin, host name. |
| İsabet sayısı | Gözlemlenen paket sayısı |
Oturum açma toplayıcısı (olay tabanlı toplayıcı)
Oturum açma toplayıcısı kullanıcı oturum açma, oturum kapatma ve başarısız oturum açma girişimlerini toplar.
Oturum açma toplayıcısı aşağıdaki koleksiyon yöntemi türlerini destekler:
UTMP ve SYSLOG. UTMP, SSH etkileşimli olayları, telnet olayları ve terminal oturum açma bilgilerinin yanı sıra SSH, telnet ve terminalden tüm başarısız oturum açma olaylarını yakalar. Cihazda SYSLOG etkinleştirildiyse Oturum açma toplayıcısı, auth.log adlı SYSLOG dosyası aracılığıyla SSH oturum açma olaylarını da toplar.
Eklenebilir Kimlik Doğrulama Modülleri (PAM)... SSH, telnet ve yerel oturum açma olaylarını toplar. Daha fazla bilgi için bkz . Oturum açma olaylarını denetlemek için Eklenebilir Kimlik Doğrulama Modüllerini (PAM) Yapılandırma.
Aşağıdaki veriler toplanır:
| Parametre | Açıklama |
|---|---|
| Işlem | Aşağıdakilerden biri: Login, Logout, LoginFailed |
| process_id | The Linux PID. |
| Kullanıcı_adı | Linux kullanıcısı. |
| Yürütüle -bilir | Terminal cihazı. Örneğin, tty1..6 veya pts/n. |
| remote_address | Bağlantının kaynağı, IPv6 veya IPv4 biçiminde bir uzak IP adresi ya da 127.0.0.1/0.0.0.0 yerel bağlantıyı belirtmek için. |
Sistem Bilgileri (tetikleyici tabanlı toplayıcı)
Her olay için toplanan veriler:
| Parametre | Açıklama |
|---|---|
| hardware_vendor | Cihazın satıcısının adı. |
| hardware_model | Cihazın model numarası. |
| os_dist | İşletim sisteminin dağılımı. Örneğin, Linux. |
| os_version | İşletim sisteminin sürümü. Örneğin, Windows 10veya Ubuntu 20.04.1. |
| os_platform | Cihazın işletim sistemi. |
| os_arch | İşletim sisteminin mimarisi. Örneğin, x86_64. |
| Agent_type | Aracının türü (Edge/Tek Başına). |
| agent_version | Aracının sürümü. |
| Nıc | Ağ arabirimi denetleyicisi. Özelliklerin tam listesi aşağıda listelenmiştir. |
nics özellikleri aşağıdakilerden oluşur;
| Parametre | Açıklama |
|---|---|
| type | Aşağıdaki değerlerden biri: UNKNOWN, ETH, WIFI, MOBILEveya SATELLITE. |
| Vlan | Ağ arabirimiyle ilişkilendirilmiş sanal lan. |
| Satıcı | Ağ denetleyicisinin satıcısı. |
| Bilgi | Ağ denetleyicisiyle ilişkili IPS ve MAC'ler. Bu, aşağıdaki alanları içerir; - ipv4_address: IPv4 adresi. - ipv6_address: IPv6 adresi. - mac: MAC adresi. |
Temel (tetikleyici tabanlı toplayıcı)
Temel toplayıcı düzenli CIS denetimleri gerçekleştirir ve başarısız, geçiş ve atlama denetimi sonuçları IoT için Defender bulut hizmetine gönderilir. IoT için Defender sonuçları toplar ve hatalara göre öneriler sağlar.
Her olay için toplanan veriler:
| Parametre | Açıklama |
|---|---|
| Kimliği Denetle | CIS biçiminde. Örneğin, CIS-debian-9-Filesystem-1.1.2. |
| Sonucu denetleme | , , PassSkipveya ErrorolabilirFail. Örneğin, Error denetimin çalıştırılamadığı bir durumda. |
| Hata | Hatanın bilgileri ve açıklaması. |
| Açıklama | CIS'den gelen denetimin açıklaması. |
| Düzeltme | CIS'den düzeltme önerisi. |
| Önem Derecesi | Önem düzeyi. |
SBoM (tetikleyici tabanlı toplayıcı)
SBoM (Yazılım Malzeme Listesi) toplayıcısı, cihaza yüklenen paketleri düzenli aralıklarla toplar.
Her pakette toplanan veriler şunları içerir:
| Parametre | Veri Akışı Açıklaması |
|---|---|
| Adı | Paket adı. |
| Sürüm | Paket sürümü. |
| Satıcı | Paket satıcısıdır ve deb paketlerindeki Bakımcı alanıdır. |
Çevre birimi olayları (olay tabanlı toplayıcı)
Çevre birimi olayları toplayıcısı, USB ve Ethernet olaylarının bağlantılarını ve bağlantılarını toplar.
Toplanan alanlar olayın türüne bağlıdır:
USB olayları
| Parametre | Açıklama |
|---|---|
| Zaman damgası | Olayın oluşma saati. |
| ActionType | Olayın bir bağlantı veya bağlantı kesme olayı olup olmadığı. |
| bus_number | Belirli denetleyici tanımlayıcısı, her USB cihazında birkaç tane olabilir. |
| kernel_device_number | Cihazın çekirdeğindeki gösterim, benzersiz değildir ve cihaz her bağlanışında olabilir. |
| device_class | Cihaz sınıfını belirten tanımlayıcı. |
| device_subclass | Cihaz türünü belirten tanımlayıcı. |
| device_protocol | Cihaz protokollerini belirten tanımlayıcı. |
| interface_class | Cihaz sınıfının 0 olması durumunda cihaz türünü belirtin. |
| interface_subclass | Cihaz sınıfının 0 olması durumunda cihaz türünü belirtin. |
| interface_protocol | Cihaz sınıfının 0 olması durumunda cihaz türünü belirtin. |
Ethernet olayları
| Parametre | Açıklama |
|---|---|
| Zaman damgası | Olayın oluşma saati. |
| ActionType | Olayın bir bağlantı veya bağlantı kesme olayı olup olmadığı. |
| bus_number | Belirli denetleyici tanımlayıcısı, her USB cihazında birkaç tane olabilir. |
| Arabirim adı | Arabirim adı. |
Dosya sistemi olayları (olay tabanlı toplayıcı)
Dosya sistemi olay toplayıcısı, dizinler ve dosyaların oluşturulması, silinmesi, taşınması ve değiştirilmesi gibi izleme dizinleri altında her değişiklik olduğunda olayları toplar. İzlemek istediğiniz dizinleri ve dosyaları tanımlamak için bkz . Sistem bilgileri toplayıcıya özgü ayarlar.
Aşağıdaki veriler toplanır:
| Parametre | Açıklama |
|---|---|
| Zaman damgası | Olayın oluşma saati. |
| Maske | Dosya sistemi olayıyla ilgili Linux inotify maskesi, maske eylemin türünü tanımlar ve şunlardan biri olabilir: Access/Modified/Metadata changed/Closed/Opened/Moved/Created/Deleted. |
| Yol | Olayın oluşturulduğu dizin/dosya yolu. |
| Hitcount | Bu olayın toplanma sayısı. |
İstatistik verileri (tetikleyici tabanlı toplayıcı)
İstatistik toplayıcısı, farklı mikro aracı toplayıcıları üzerinde çeşitli istatistikler oluşturur. Bu istatistikler, önceki koleksiyon döngüsündeki toplayıcıların performansı hakkında bilgi sağlar. Olası istatistiklere örnek olarak başarıyla gönderilen olayların sayısı ve bırakılan olayların sayısı ile hataların nedenleri verilebilir.
Toplanan alanlar:
| Parametre | Açıklama |
|---|---|
| Zaman damgası | Olayın oluşma saati. |
| Ad | Toplayıcının adı. |
| Etkinlikler | Açıklama ve isabet sayısı ile JSON olarak biçimlendirilmiş çift dizisi. |
| Açıklama | İletinin gönderilip gönderilmediği/bırakılıp bırakılmadığı ve bırakma nedeni. |
| Hitcount | İlgili ileti sayısı. |
İşlem ve Ağ toplayıcıları için olay toplama
İşlem olayları ve Ağ Etkinliği olayları için olay toplama nasıl çalışır:
IoT için Defender aracıları, Process_MessageFrequency veya NetworkActivity_MessageFrequency gibi her toplayıcı için ileti sıklığı yapılandırmasında tanımlanan gönderme aralığı sırasında olayları toplar. Gönderme aralığı geçtikten sonra aracı toplanan olayları daha fazla analiz için Azure buluta gönderir. Toplanan olaylar, Azure buluta gönderilene kadar bellekte depolanır.
Aracı, bellekte depolanan olaylara benzer olayları topladığında aracı, aracının bellek ayak izini azaltmak için bu özel olayın isabet sayısını artırır. Toplama zaman penceresi geçtiğinde aracı, gerçekleşen her olay türünün isabet sayısını gönderir. Olay toplama, benzer olayların isabet sayılarının toplamıdır. Örneğin, aynı uzak ana bilgisayar ve aynı bağlantı noktasında bulunan ağ etkinliği, her paket için ayrı bir olay olarak değil, tek bir olay olarak toplanır.
Not
Varsayılan olarak, mikro aracı sorun giderme ve izleme amacıyla günlükleri ve telemetri verilerini buluta gönderir. Bu davranış, ikiz aracılığıyla yapılandırılabilir veya kapatılabilir.
Sonraki adımlar
Daha fazla bilgi için bkz.
- Mikro aracı yapılandırmaları
- IoT için Defender güvenlik uyarılarınızı denetleyin.