你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
微代理安全警报
Defender for IoT 使用高级分析和威胁智能来持续分析 IoT 解决方案,在存在恶意活动时发出警报。 此外,你可以根据对预期设备行为的了解来创建自定义警报。 该警报用作潜在危害指标,应进行调查和修正。
本文提供了可在 IoT 设备上触发的内置警报的列表。
安全警报
高严重性
| 名称 | 严重性 | 数据源 | 说明 | 建议的修正步骤 | 警报类型 |
|---|---|---|---|---|---|
| 二进制命令行 | 高 | Defender-IoT-micro-agent | 检测到正在从命令行调用/执行的 LA Linux 二进制文件。 此过程可能是合法活动,或者表明设备遭到入侵。 | 与运行命令的用户一起查看该命令,检查该命令是否可在设备上合法运行。 否则,请将警报上报给信息安全团队。 | IoT_BinaryCommandLine |
| 禁用防火墙 | 高 | Defender-IoT-micro-agent | 检测到有人可能对主机上的防火墙进行了操作。 恶意参与者通常会在尝试盗取数据时禁用主机上的防火墙。 | 与运行命令的用户一起查看该命令,确认这是否是设备上的合法预期活动。 否则,请将警报上报给信息安全团队。 | IoT_DisableFirewall |
| 端口转发检测 | 高 | Defender-IoT-micro-agent | 检测到有人启动了对外部 IP 地址的端口转发。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 | IoT_PortForwarding |
| 检测到有人可能尝试禁用审核日志记录 | 高 | Defender-IoT-micro-agent | Linux 审核系统提供了一种方法来跟踪系统上与安全相关的信息。 该系统尽可能多地记录了系统事件的相关信息。 此信息对于任务关键型环境非常重要,可以确定违反安全策略的人员及其执行的操作。 禁用审核日志记录可能妨碍你发现系统上使用的安全策略的违反行为。 | 请与设备所有者核实这是否是出于商业原因的合法活动。 如果不是,则此事件可能是恶意参与者的隐藏活动。 请立即将事件上报给你的信息安全团队。 | IoT_DisableAuditdLogging |
| 反向 shell | 高 | Defender-IoT-micro-agent | 设备的主机数据分析检测到潜在的反向 shell。 反向 shell 通常用于让被入侵的计算机回调到由恶意参与者控制的计算机中。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 | IoT_ReverseShell |
| 本地登录成功 | 高 | Defender-IoT-micro-agent | 检测到在本地成功登录到设备。 | 请确保已登录的用户是授权方。 | IoT_SucessfulLocalLogin |
| Web shell | 高 | Defender-IoT-micro-agent | 检测到可能存在 Web shell。 恶意参与者通常将 Web 外壳上传到被入侵的计算机,以获得暂留或进一步利用漏洞。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 | IoT_WebShell |
| 检测到与勒索软件类似的行为 | 高 | Defender-IoT-micro-agent | 执行类似于已知勒索软件的文件,这种勒索软件可能阻止用户访问系统或个人文件,并可能要求支付赎金才能恢复正常访问。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 | IoT_Ransomware |
| 加密硬币挖掘器映像 | 高 | Defender-IoT-micro-agent | 检测到有人执行了通常与数字货币挖掘关联的进程。 | 与运行该命令的用户一起验证这是否是设备上的合法活动。 否则,请将警报上报给信息安全团队。 | IoT_CryptoMiner |
| 新的 USB 连接 | 高 | Defender-IoT-micro-agent | 检测到 USB 设备连接。 这可能表示存在恶意活动。 | 请确认这是主机上合法的预期活动。 否则,请将警报上报给信息安全团队。 | IoT_USBConnection |
| USB 断开连接 | 高 | Defender-IoT-micro-agent | 检测到 USB 设备断开连接。 这可能表示存在恶意活动。 | 请确认这是主机上合法的预期活动。 否则,请将警报上报给信息安全团队。 | IoT_UsbDisconnection |
| 新的以太网连接 | 高 | Defender-IoT-micro-agent | 检测到新的以太网连接。 这可能表示存在恶意活动。 | 请确认这是主机上合法的预期活动。 否则,请将警报上报给信息安全团队。 | IoT_EthernetConnection |
| 以太网断开连接 | 高 | Defender-IoT-micro-agent | 检测到新的以太网断开连接。 这可能表示存在恶意活动。 | 请确认这是主机上合法的预期活动。 否则,请将警报上报给信息安全团队。 | IoT_EthernetDisconnection |
| 已创建新的文件 | 高 | Defender-IoT-micro-agent | 检测到新文件。 这可能表示存在恶意活动。 | 请确认这是主机上合法的预期活动。 否则,请将警报上报给信息安全团队。 | IoT_FileCreated |
| 已修改文件 | 高 | Defender-IoT-micro-agent | 检测到文件修改。 这可能表示存在恶意活动。 | 请确认这是主机上合法的预期活动。 否则,请将警报上报给信息安全团队。 | IoT_FileModified |
| 文件已删除 | 高 | Defender-IoT-micro-agent | 检测到文件删除。 这可能表示存在恶意活动。 | 请确认这是主机上合法的预期活动。 否则,请将警报上报给信息安全团队。 | IoT_FileDeleted |
中等严重性
| 名称 | 严重性 | 数据源 | 说明 | 建议的修正步骤 | 警报类型 |
|---|---|---|---|---|---|
| 检测到与常见的 Linux 机器人类似的行为 | 中 | Defender-IoT-micro-agent | 检测到有人执行了通常与常见的 Linux 僵尸网络有关的进程。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 | IoT_CommonBots |
| 检测到与 Fairware 勒索软件类似的行为 | 中 | Defender-IoT-micro-agent | 使用主机数据分析检测到有人针对可疑的位置执行了 rm -rf 命令。 由于 rm -rf 以递归方式删除文件,因此通常仅用于离散的文件夹。 在这种情况下,它会在可能删除大量数据的位置中使用。 我们知道,Fairware 勒索软件会在此文件夹中执行 rm -rf 命令。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 | IoT_FairwareMalware |
| 检测到加密硬币挖掘器容器映像 | 中 | Defender-IoT-micro-agent | 检测到正在运行已知数字货币挖掘映像的容器。 | 1. 如果不希望出现这种情况,请删除相关的容器映像。 2. 确保无法通过不安全的 TCP 套接字访问 Docker 守护程序。 3.请将警报上报给信息安全团队。 |
IoT_CryptoMinerContainer |
| 检测到对 nohup 命令的可疑使用 | 中 | Defender-IoT-micro-agent | 检测到主机上对 nohup 命令的可疑使用。 恶意参与者通常从临时目录运行 nohup 命令,从而有效地允许其可执行文件在后台运行。 对临时目录中的文件运行此命令不是预期或正常的行为。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 | IoT_SuspiciousNohup |
| 检测到对 useradd 命令的可疑使用 | 中 | Defender-IoT-micro-agent | 在设备上检测到对 useradd 命令的可疑使用。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 | IoT_SuspiciousUseradd |
| 由 TCP 套接字公开的 Docker 守护程序 | 中 | Defender-IoT-micro-agent | 计算机日志指示 Docker 守护程序 (dockerd) 公开了一个 TCP 套接字。 默认情况下,启用 TCP 套接字时,Docker 配置不会使用加密或身份验证。 默认 Docker 配置向任何有权访问相关端口的人授予 Docker 守护程序的完全访问权限。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 | IoT_ExposedDocker |
| 本地登录失败 | 中 | Defender-IoT-micro-agent | 检测到失败的设备本地登录尝试。 | 请确保没有任何未授权方具有对设备的物理访问权限。 | IoT_FailedLocalLogin |
| 检测到来自恶意来源的文件下载 | 中等 | Defender-IoT-micro-agent | 检测到自已知恶意来源的文件下载。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 | IoT_PossibleMalware |
| 检测到对 htaccess 文件的访问 | 中 | Defender-IoT-micro-agent | 主机数据分析检测到有人可能对 htaccess 文件进行了操作。 Htaccess 是一个功能强大的配置文件,使用该文件,可对运行 Apache Web 软件的 Web 服务器进行多项更改,包括基本的重定向功能以及更高级的功能,例如基本密码保护。 恶意参与者通常会在已遭入侵的计算机上修改 htaccess 文件,以实现持久入侵。 | 请确认这是主机上合法的预期活动。 否则,请将警报上报给信息安全团队。 | IoT_AccessingHtaccessFile |
| 已知攻击工具 | 中 | Defender-IoT-micro-agent | 检测到通常涉及恶意用户以某种方式攻击其他计算机的工具。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 | IoT_KnownAttackTools |
| 检测到本地主机侦查 | 中 | Defender-IoT-micro-agent | 检测到有人执行了通常与常见的 Linux 机器人侦查有关的命令。 | 查看可疑的命令行,确认它是由合法用户执行的。 否则,请将警报上报给信息安全团队。 | IoT_LinuxReconnaissance |
| 脚本解释器与文件扩展名不匹配 | 中 | Defender-IoT-micro-agent | 检测到脚本解释器和作为输入提供的脚本文件的扩展不匹配。 这种类型的不匹配通常与攻击者脚本执行相关联。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 | IoT_ScriptInterpreterMismatch |
| 检测到可能存在后门程序 | 中 | Defender-IoT-micro-agent | 已下载可疑文件,并在订阅中的主机上运行。 这种类型的活动通常与安装后门程序有关。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 | IoT_LinuxBackdoor |
| 检测到可能存在数据丢失 | 中等 | Defender-IoT-micro-agent | 使用主机数据分析检测到可能存在数据流出的情况。 恶意参与者通常会从已遭入侵的计算机中泄露数据。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 | IoT_EgressData |
| 检测到特权容器 | 中 | Defender-IoT-micro-agent | 计算机日志指示有特权 Docker 容器正在运行。 特权容器对主机的资源具有完全访问权限。 如果遭到入侵,恶意参与者可以使用特权容器获取对主机的访问权限。 | 如果容器无需在特权模式下运行,请从容器中删除权限。 | IoT_PrivilegedContainer |
| 检测到删除了系统日志文件 | 中 | Defender-IoT-micro-agent | 检测到主机上可疑的日志文件删除。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 | IoT_RemovelOfSystemLogs |
| 文件名后面的空格 | 中 | Defender-IoT-micro-agent | 使用主机数据分析检测到有人执行了具有可疑扩展名的进程。 可疑扩展可能会诱使用户认为打开文件是安全的,并且可能表明系统上存在恶意软件。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 | IoT_ExecuteFileWithTrailingSpace |
| 检测到通常用于恶意凭据访问的工具 | 中等 | Defender-IoT-micro-agent | 检测到有人使用了通常与恶意尝试访问凭据有关的工具。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 | IoT_CredentialAccessTools |
| 检测到可疑的编译 | 中 | Defender-IoT-micro-agent | 检测到可疑的编译。 恶意参与者通常会在已入侵的计算机上编译利用漏洞的内容以提升特权。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 | IoT_SuspiciousCompilation |
| 下载了可疑文件,然后执行了文件运行活动 | 中 | Defender-IoT-micro-agent | 主机数据分析检测到已下载并在同一命令中运行的文件。 恶意参与者通常使用这一技术将已感染病毒的文件转移到目标计算机上。 | 与运行该命令的用户一起检查这是否是你预期在设备上运行的合法活动。 否则,请将警报上报给信息安全团队。 | IoT_DownloadFileThenRun |
| 可疑的 IP 地址通信 | 中 | Defender-IoT-micro-agent | 检测到与可疑 IP 地址的通信。 | 请验证连接是否合法。 请考虑阻止与可疑 IP 的通信。 | IoT_TiConnection |
| 恶意域名请求 | 中 | Defender-IoT-micro-agent | 检测到可疑的网络活动。 此活动可能与利用已知恶意软件所用方法进行的攻击有关。 | 断开源与网络的连接。 执行事件响应。 | IoT_MaliciousNameQueriesDetection |
低严重性
| 名称 | 严重性 | 数据源 | 说明 | 建议的修正步骤 | 警报类型 |
|---|---|---|---|---|---|
| 已清空 Bash 历史记录 | 低 | Defender-IoT-micro-agent | 已清空 Bash 历史记录日志。 恶意参与者通常会擦除 bash 历史记录,以隐藏自己的命令,使其不会出现在日志中。 | 与运行该命令的用户一起检查该警报中的命令,判断该活动是否为合法管理活动。 否则,请将警报上报给信息安全团队。 | IoT_ClearHistoryFile |
后续步骤
- Defender for IoT 服务概述