你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
旧版 Defender for IoT 设备安全警报
注意
Microsoft Defender for IoT 旧版代理已替换为更新的微代理体验。 有关详细信息,请参阅教程:调查安全警报。
自 2022 年 3 月 31 日起,停用旧版代理,且不开发任何新功能。 旧版代理将于 2023 年 3 月 31 日完全停用,届时将不再为旧版代理提供 bug 修复或其他支持。
Defender for IoT 使用高级分析和威胁智能来持续分析 IoT 解决方案,在存在恶意活动时发出警报。 此外,你可以根据对预期设备行为的了解来创建自定义警报。 该警报用作潜在危害指标,应进行调查和修正。
本文提供了可在 IoT 设备上触发的内置警报的列表。 除内置警报外,借助 Defender for IoT 还可以根据预期 IoT 中心和/或设备行为定义自定义警报。 有关详细信息,请参阅可自定义的警报。
基于代理的安全警报
| 名称 | 严重性 | 数据源 | 说明 | 建议的修正步骤 |
|---|---|---|---|---|
| 高严重性 | ||||
| 二进制命令行 | 高 | 旧版 Defender-IoT-micro-agent | 检测到正在从命令行调用/执行的 LA Linux 二进制文件。 此过程可能是合法活动,或者表明设备遭到入侵。 | 与运行命令的用户一起查看该命令,检查该命令是否可在设备上合法运行。 否则,请将警报上报给信息安全团队。 |
| 禁用防火墙 | 高 | 旧版 Defender-IoT-micro-agent | 检测到有人可能对主机上的防火墙进行了操作。 恶意参与者通常会在尝试盗取数据时禁用主机上的防火墙。 | 与运行命令的用户一起查看该命令,确认这是否是设备上的合法预期活动。 否则,请将警报上报给信息安全团队。 |
| 端口转发检测 | 高 | 旧版 Defender-IoT-micro-agent | 检测到有人启动了对外部 IP 地址的端口转发。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 |
| 检测到有人可能尝试禁用审核日志记录 | 高 | 旧版 Defender-IoT-micro-agent | Linux 审核系统提供了一种方法来跟踪系统上与安全相关的信息。 该系统尽可能多地记录了系统事件的相关信息。 此信息对于任务关键型环境非常重要,可以确定违反安全策略的人员及其执行的操作。 禁用审核日志记录可能妨碍你发现系统上使用的安全策略的违反行为。 | 请与设备所有者核实这是否是出于商业原因的合法活动。 如果不是,则此事件可能是恶意参与者的隐藏活动。 请立即将事件上报给你的信息安全团队。 |
| 反向 shell | 高 | 旧版 Defender-IoT-micro-agent | 设备的主机数据分析检测到潜在的反向 shell。 反向 shell 通常用于让被入侵的计算机回调到由恶意参与者控制的计算机中。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 |
| 成功的暴力攻击尝试 | 高 | 旧版 Defender-IoT-micro-agent | 识别出多个不成功的登录尝试,最终成功登录。 在设备上尝试的暴力攻击可能已成功。 | 查看设备上的 SSH 暴力攻击警报和活动。 如果活动为恶意活动: 请向遭到入侵的帐户推出密码重置。 调查设备中的恶意软件并修正(如果找到)。 |
| 本地登录成功 | 高 | 旧版 Defender-IoT-micro-agent | 检测到有人成功在本地登录设备 | 请确保已登录的用户是授权方。 |
| Web shell | 高 | 旧版 Defender-IoT-micro-agent | 检测到可能存在 Web shell。 恶意参与者通常将 Web 外壳上传到被入侵的计算机,以获得暂留或进一步利用漏洞。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 |
| 中等严重性 | ||||
| 检测到与常见的 Linux 机器人类似的行为 | 中 | 旧版 Defender-IoT-micro-agent | 检测到有人执行了通常与常见的 Linux 僵尸网络有关的进程。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 |
| 检测到与 Fairware 勒索软件类似的行为 | 中 | 旧版 Defender-IoT-micro-agent | 使用主机数据分析检测到有人针对可疑的位置执行了 rm -rf 命令。 由于 rm -rf 以递归方式删除文件,因此通常用于离散的文件夹。 在这种情况下,它会在可能删除大量数据的位置中使用。 我们知道,Fairware 勒索软件会在此文件夹中执行 rm -rf 命令。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 |
| 检测到与勒索软件类似的行为 | 中 | 旧版 Defender-IoT-micro-agent | 执行类似于已知勒索软件的文件,这种勒索软件可能阻止用户访问系统或个人文件,并可能要求支付赎金才能恢复正常访问。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 |
| 检测到加密硬币挖掘器容器映像 | 中 | 旧版 Defender-IoT-micro-agent | 检测到正在运行已知数字货币挖掘映像的容器。 | 1.如果不希望出现这种情况,请删除相关的容器映像。 2.请确保无法通过不安全的 TCP 套接字访问 Docker 守护程序。 3.请将警报上报给信息安全团队。 |
| 加密硬币挖掘器映像 | 中 | 旧版 Defender-IoT-micro-agent | 检测到有人执行了通常与数字货币挖掘关联的进程。 | 与运行该命令的用户一起验证这是否是设备上的合法活动。 否则,请将警报上报给信息安全团队。 |
| 检测到对 nohup 命令的可疑使用 | 中 | 旧版 Defender-IoT-micro-agent | 检测到主机上对 nohup 命令的可疑使用。 恶意参与者通常从临时目录运行 nohup 命令,从而有效地允许其可执行文件在后台运行。 对临时目录中的文件运行此命令不是预期或正常的行为。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 |
| 检测到对 useradd 命令的可疑使用 | 中 | 旧版 Defender-IoT-micro-agent | 在设备上检测到对 useradd 命令的可疑使用。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 |
| 由 TCP 套接字公开的 Docker 守护程序 | 中 | 旧版 Defender-IoT-micro-agent | 计算机日志指示 Docker 守护程序 (dockerd) 公开了一个 TCP 套接字。 默认情况下,启用 TCP 套接字时,Docker 配置不会使用加密或身份验证。 默认 Docker 配置向任何有权访问相关端口的人授予 Docker 守护程序的完全访问权限。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 |
| 本地登录失败 | 中 | 旧版 Defender-IoT-micro-agent | 检测到失败的设备本地登录尝试。 | 请确保没有任何未授权方具有对设备的物理访问权限。 |
| 检测到自已知恶意来源的文件下载 | 中 | 旧版 Defender-IoT-micro-agent | 检测到自已知恶意来源的文件下载。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 |
| 检测到对 htaccess 文件的访问 | 中 | 旧版 Defender-IoT-micro-agent | 主机数据分析检测到有人可能对 htaccess 文件进行了操作。 Htaccess 是一个功能强大的配置文件,使用该文件,可对运行 Apache Web 软件的 Web 服务器进行多项更改,包括基本的重定向功能以及更高级的功能,例如基本密码保护。 恶意参与者通常会在已遭入侵的计算机上修改 htaccess 文件,以实现持久入侵。 | 请确认这是主机上合法的预期活动。 否则,请将警报上报给信息安全团队。 |
| 已知攻击工具 | 中 | 旧版 Defender-IoT-micro-agent | 检测到通常涉及恶意用户以某种方式攻击其他计算机的工具。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 |
| 已尝试 IoT 代理,但未能分析模块孪生配置 | 中 | 旧版 Defender-IoT-micro-agent | 由于配置对象中的类型不匹配,Defender for IoT 安全代理无法解析模块孪生配置 | 针对 IoT 代理配置架构验证模块孪生配置,修复所有不匹配项。 |
| 检测到本地主机侦查 | 中 | 旧版 Defender-IoT-micro-agent | 检测到有人执行了通常与常见的 Linux 机器人侦查有关的命令。 | 查看可疑的命令行,确认它是由合法用户执行的。 否则,请将警报上报给信息安全团队。 |
| 脚本解释器与文件扩展名不匹配 | 中 | 旧版 Defender-IoT-micro-agent | 检测到脚本解释器和作为输入提供的脚本文件的扩展不匹配。 这种类型的不匹配通常与攻击者脚本执行相关联。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 |
| 检测到可能存在后门程序 | 中 | 旧版 Defender-IoT-micro-agent | 已下载可疑文件,并在订阅中的主机上运行。 这种类型的活动通常与安装后门程序有关。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 |
| 检测到可能存在数据丢失 | 中 | 旧版 Defender-IoT-micro-agent | 使用主机数据分析检测到可能存在数据流出的情况。 恶意参与者通常会从已遭入侵的计算机中泄露数据。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 |
| 常见文件的潜在替代活动 | 中 | 旧版 Defender-IoT-micro-agent | 在设备上覆盖常见可执行文件。 众所周知,恶意参与者会覆盖公用文件,以隐藏其行为或实现持久入侵。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 |
| 检测到特权容器 | 中 | 旧版 Defender-IoT-micro-agent | 计算机日志指示有特权 Docker 容器正在运行。 特权容器对主机的资源具有完全访问权限。 如果遭到入侵,恶意参与者可以使用特权容器获取对主机的访问权限。 | 如果容器无需在特权模式下运行,请从容器中删除权限。 |
| 检测到删除了系统日志文件 | 中 | 旧版 Defender-IoT-micro-agent | 检测到主机上可疑的日志文件删除。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 |
| 文件名后面的空格 | 中 | 旧版 Defender-IoT-micro-agent | 使用主机数据分析检测到有人执行了具有可疑扩展名的进程。 可疑扩展可能会诱使用户认为打开文件是安全的,并且可能表明系统上存在恶意软件。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 |
| 检测到可疑的恶意凭据访问工具 | 中 | 旧版 Defender-IoT-micro-agent | 检测到有人使用了通常与恶意尝试访问凭据有关的工具。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 |
| 检测到可疑的编译 | 中 | 旧版 Defender-IoT-micro-agent | 检测到可疑的编译。 恶意参与者通常会在已入侵的计算机上编译利用漏洞的内容以提升特权。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 |
| 下载了可疑文件,然后执行了文件运行活动 | 中 | 旧版 Defender-IoT-micro-agent | 主机数据分析检测到已下载并在同一命令中运行的文件。 恶意参与者通常使用这一技术将已感染病毒的文件转移到目标计算机上。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 |
| 可疑的 IP 地址通信 | 中 | 旧版 Defender-IoT-micro-agent | 检测到与可疑 IP 地址的通信。 | 请验证连接是否合法。 请考虑阻止与可疑 IP 的通信。 |
| 低严重性 | ||||
| 已清空 Bash 历史记录 | 低 | 旧版 Defender-IoT-micro-agent | 已清空 Bash 历史记录日志。 恶意参与者通常会擦除 bash 历史记录,以隐藏自己的命令,使其不会出现在日志中。 | 与运行该命令的用户一起检查该警报中的命令,判断该活动是否为合法管理活动。 否则,请将警报上报给信息安全团队。 |
| 设备无提示 | 低 | 旧版 Defender-IoT-micro-agent | 设备在过去 72 小时内未发送任何遥测数据。 | 请确保设备已联机并正在发送数据。 检查 Azure 安全代理是否正在设备上运行。 |
| 失败的 Bruteforce 尝试 | 低 | 旧版 Defender-IoT-micro-agent | 识别出多个失败的登录尝试。 设备上可能的暴力攻击尝试失败。 | 查看设备上的 SSH 暴力攻击警报和活动。 无需进一步操作。 |
| 将本地用户添加到一个或多个组 | 低 | 旧版 Defender-IoT-micro-agent | 将新的本地用户添加到此设备上的组。 对用户组进行更改并不常见,这可能表明恶意参与者正在收集额外的权限。 | 请验证更改是否与受影响用户所需的权限一致。 如果更改不一致,请上报给信息安全团队。 |
| 从一个或多个组删除本地用户 | 低 | 旧版 Defender-IoT-micro-agent | 已从一个或多个组删除本地用户。 已知恶意参与者会使用此方法尝试拒绝合法用户的访问或删除其操作的历史记录。 | 请验证更改是否与受影响用户所需的权限一致。 如果更改不一致,请上报给信息安全团队。 |
| 检测到本地用户删除 | 低 | 旧版 Defender-IoT-micro-agent | 检测到删除了本地用户。 删除本地用户并不常见,恶意参与者可能试图拒绝合法用户的访问或删除其操作的历史记录。 | 请验证更改是否与受影响用户所需的权限一致。 如果更改不一致,请上报给信息安全团队。 |