Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Примечание.
Вместо устаревшего агента Microsoft Defender для Интернета вещей используется новый микроагент. Дополнительные сведения см. в статье Учебник: анализ оповещений системы безопасности.
С 31 марта 2022г. новые функции для устаревшего агента разрабатываться не будут. Поддержка устаревшего агента полностью прекращается с 31 марта 2023. После этой даты мы не будем выпускать исправления ошибок или предоставлять другую поддержку для устаревшего агента.
Defender для Интернета вещей постоянно анализирует решение для Интернета вещей с помощью инструментов расширенной аналитики и аналитики угроз, чтобы оповещать вас о вредоносных действиях. Кроме того, можно создавать настраиваемые оповещения на основе знаний об ожидаемом поведении устройства. Оповещение служит индикатором потенциальной компрометации, поэтому нужно его исследовать и принять необходимые меры.
В этой статье приведен список встроенных оповещений, которые можно активировать на устройствах Интернета вещей. Помимо встроенных оповещений, Defender для Интернета вещей позволяет создавать настраиваемые оповещения на основе ожидаемого поведения Центра Интернета вещей и (или) устройства. Дополнительные сведения см. в статье о настраиваемых оповещениях.
Оповещения системы безопасности на основе агента
| Имя. | Серьезность | Источник данных | Описание | Предлагаемые действия по исправлению |
|---|---|---|---|---|
| Высокая серьезность | ||||
| Двоичная командная строка | Высокая | Устаревший микроагент Defender для Интернета вещей | Обнаружен двоичный код Linux, вызываемый или выполняемый из командной строки. Этот процесс может быть допустимым действием или свидетельствовать о компрометации устройства. | Просмотрите команду вместе с пользователем, который ее запустил, и проверьте, является ли действие, выполняемое на устройстве, допустимым. Если это не так, эскалируйте оповещение в службу информационной безопасности. |
| Отключение брандмауэра | Высокая | Устаревший микроагент Defender для Интернета вещей | Обнаружены возможные манипуляции с брандмауэром на узле. Злоумышленники часто отключают брандмауэр на узле с целью похитить данные. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, выполняемое на устройстве, правомерным. Если это не было сделано, эскалируйте оповещение вашей команде информационной безопасности. |
| Обнаружение переадресации порта | Высокая | Устаревший микроагент Defender для Интернета вещей | Обнаружен запуск переадресации порта на внешний IP-адрес. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если нет, передайте оповещение команде информационной безопасности. |
| Обнаружена возможная попытка отключить ведение журнала Auditd | Высокая | Устаревший микроагент Defender для Интернета вещей | Система Auditd в Linux позволяет отслеживать сведения о безопасности в системе. Система записывает как можно больше сведений о событиях, происходящих в системе. Эта информация имеет большое значение для критически важных сред, чтобы определить, кто нарушил политику безопасности и какие действия были при этом выполнены. Отключение ведения журнала Auditd может помешать обнаруживать нарушения политик безопасности системы. | Уточните у владельца устройства, было ли это действие допустимым по веским причинам. В противном случае это событие может скрывать действия злоумышленников. Немедленно эскалируйте инцидент в службу информационной безопасности. |
| Реверс-шеллы | Высокая | Устаревший микроагент Defender для Интернета вещей | При анализе данных узла на устройстве обнаружено возможное использование обратной оболочки. Обратные оболочки часто используются для того, чтобы отправить команду скомпрометированному компьютеру связаться с компьютером, управляемым злоумышленником. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если нет, передайте оповещение команде информационной безопасности. |
| Успешная попытка брутфорс атаки | Высокая | Устаревший микроагент Defender для Интернета вещей | Обнаружено несколько неудачных попыток входа, предшествующих успешному входу. Возможно, попытка атаки на устройство методом грубой силы оказалась успешной. | Проверьте оповещение об атаке методом подбора SSH и действия на устройствах. Если действие вредоносное: Выполните сброс пароля для скомпрометированных учетных записей. Проверьте наличие последствий деятельности вредоносных программ на устройстве и устраните их (если необходимо). |
| Успешный локальный вход | Высокая | Устаревший микроагент Defender для Интернета вещей | Обнаружен успешный локальный вход в устройство | Убедитесь, что вошедший в систему пользователь является авторизованным. |
| Веб-оболочка. | Высокая | Устаревший микроагент Defender для Интернета вещей | Обнаружена возможная веб-оболочка. Злоумышленники обычно отправляют сценарий веб-оболочки на скомпрометированный компьютер, чтобы гарантировать сохраняемость или воспользоваться им в дальнейшем. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если нет, передайте оповещение в службу информационной безопасности. |
| Средняя серьезность | ||||
| Behavior similar to common Linux bots detected (Обнаружено поведение, похожее на распространенные программы-роботы Linux) | Средняя | Устаревший микроагент Defender для Интернета вещей | Обнаружено выполнение процесса, обычно связанного с распространенными ботнетами Linux. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если нет, передайте оповещение в службу информационной безопасности. |
| Обнаружено поведение, похожее на поведение программы-вымогателя Fairware. | Средняя | Устаревший микроагент Defender для Интернета вещей | При анализе данных узла обнаружено выполнение команд rm -rf, применяемых к подозрительным расположениям. Так как команда rm -rf рекурсивно удаляет файлы, она обычно используется только в дискретных папках. В этом случае она используется в расположении, где может быть удален большой объем данных. Известно, что программа-шантажист Fairware выполняет команды rm -rf в этой папке. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если нет, передайте оповещение в службу информационной безопасности. |
| Обнаружена реакция на событие, похожая на реакцию программы-шантажиста | Средняя | Устаревший микроагент Defender для Интернета вещей | Выполнение файлов, похожих на известные программы-шантажисты, которые могут препятствовать доступу пользователей к их системе или личным файлам, а также вымогать деньги за восстановление доступа. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если нет, передайте оповещение команде информационной безопасности. |
| Обнаружен образ контейнера криптовалютного майнера | Средняя | Устаревший микроагент Defender для Интернета вещей | В контейнере обнаружены работающие известные образы для майнинга цифровой валюты. | 1. Если такая реакция на событие не предполагалась, удалите соответствующий образ контейнера. 2. Убедитесь, что к управляющей программе Docker нельзя получить доступ через небезопасный TCP-сокет. 3. Эскалируйте оповещение в службу информационной безопасности. |
| Изображение криптовалютного майнера | Средняя | Устаревший микроагент Defender для Интернета вещей | Обнаружено выполнение процесса, обычно связанного с майнингом цифровой валюты. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие на устройстве правомерным. Если этого не произошло, эскалируйте оповещение в службу информационной безопасности. |
| Detected suspicious use of the nohup command (Обнаружено подозрительное использование команды nohup) | Средняя | Устаревший микроагент Defender для Интернета вещей | На узле обнаружено подозрительное использование команды nohup. Злоумышленники обычно запускают команду nohup из временного каталога, успешно обеспечивая выполнение своих исполняемых файлов в фоновом режиме. Выполнение этой команды для файлов, расположенных во временном каталоге, не является ожидаемым или обычным поведением. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если нет, передайте оповещение в службу информационной безопасности. |
| Detected suspicious use of the useradd command (Обнаружено подозрительное использование команды useradd) | Средняя | Устаревший микроагент Defender для Интернета вещей | На устройстве обнаружено подозрительное использование команды useradd. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если нет, передайте оповещение команде по информационной безопасности. |
| Демон Docker, открытый через TCP-сокет | Средняя | Устаревший микроагент Defender для Интернета вещей | Журналы системы указывают, что демон Docker (dockerd) предоставляет TCP-сокет. По умолчанию в конфигурации Docker не используется шифрование или проверка подлинности при включенном TCP-сокете. Конфигурация Docker по умолчанию обеспечивает полный доступ к управляющей программе Docker всем, у кого есть доступ к соответствующему порту. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если это не так, передайте оповещение в службу информационной безопасности. |
| Ошибка при локальном входе | Средняя | Устаревший микроагент Defender для Интернета вещей | Обнаружена неудачная попытка локального входа на устройство. | Убедитесь, что у посторонних лиц нет физического доступа к устройству. |
| Обнаружены скачивания файла из известного вредоносного источника | Средняя | Устаревший микроагент Defender для Интернета вещей | Обнаружено скачивание файла из известного источника вредоносных программ. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если нет, передайте оповещение в службу информационной безопасности. |
| Обнаружен доступ к файлу htaccess | Средняя | Устаревший микроагент Defender для Интернета вещей | Во время анализа данных узла была обнаружена возможная манипуляция с файлом htaccess. Htaccess — это мощный файл конфигурации, позволяющий вносить несколько изменений на веб-сервер, на котором работает программное обеспечение Apache, включая базовую функцию перенаправления и более сложные функции, такие как обычная защита паролем. Злоумышленники часто изменяют файлы htaccess на скомпрометированных компьютерах, чтобы гарантировать их сохраняемость. | Подтвердите, что это действие является легитимным и ожидаемым на хосте. Если это не так, передайте оповещение вашей команде информационной безопасности. |
| Известный инструмент атаки | Средняя | Устаревший микроагент Defender для Интернета вещей | Обнаружен инструмент, который обычно используется злоумышленниками для атаки других компьютеров. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если нет, перенаправьте оповещение команде информационной безопасности. |
| Агент Интернета вещей предпринял неудачную попытку проанализировать конфигурацию двойника модуля | Средняя | Устаревший микроагент Defender для Интернета вещей | Агенту Defender для безопасности Интернета вещей не удалось проанализировать конфигурацию двойника модуля из-за несовпадений типов в объекте конфигурации | Проверьте конфигурацию двойника модуля на соответствие схеме конфигурации агента Интернета вещей и исправьте все несоответствия. |
| Local host reconnaissance detected (Обнаружена атака методом рекогносцировки на локальном узле) | Средняя | Устаревший микроагент Defender для Интернета вещей | Обнаружено выполнение команды, обычно связанной с рекогносцировкой бота Linux. | Проверьте подозрительную командную строку и убедитесь, что она была выполнена правомерным пользователем. Если нет, передайте оповещение вашей команде информационной безопасности. |
| Несоответствие интерпретатора сценария и расширения файла | Средняя | Устаревший микроагент Defender для Интернета вещей | Обнаружено несоответствие между интерпретатором сценария и расширением файла сценария, предоставленного в качестве входных данных. Этот тип несоответствия обычно связан с выполнением сценариев злоумышленников. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если условие не выполнено, передайте оповещение в службу информационной безопасности. |
| Обнаружен возможный черный ход | Средняя | Устаревший микроагент Defender для Интернета вещей | На узле в вашей подписке скачан и запущен подозрительный файл. Этот тип активности обычно ассоциируется с установкой бэкдора. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если нет, эскалируйте оповещение в службу информационной безопасности. |
| Обнаружена потенциальная потеря данных | Средняя | Устаревший микроагент Defender для Интернета вещей | Обнаружено возможное условие утечки данных с использованием анализа данных узла. Злоумышленники часто используют исходящий трафик для кражи данных со скомпрометированных компьютеров. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если это не так, передайте оповещение в службу информационной безопасности. |
| Potential overriding of common files (Возможное переопределение общих файлов) | Средняя | Устаревший микроагент Defender для Интернета вещей | Стандартный исполняемый файл был перезаписан на устройстве. Известно, что злоумышленники перезаписывают общие файлы, чтобы скрыть свои действия или гарантировать сохраняемость. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если нет, передайте оповещение команде безопасности информации. |
| Обнаружен привилегированный контейнер | Средняя | Устаревший микроагент Defender для Интернета вещей | Журналы компьютера указывают на то, что работает привилегированный контейнер Docker. Привилегированный контейнер имеет полный доступ к ресурсам узла. В случае компрометации злоумышленник может использовать привилегированный контейнер для получения доступа к хост-компьютеру. | Если контейнер не нужно запускать в привилегированном режиме, удалите привилегии из контейнера. |
| Обнаружено удаление системных файлов журналов | Средняя | Устаревший микроагент Defender для Интернета вещей | Обнаружено подозрительное удаление файлов журнала на узле. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. В противном случае, передайте уведомление в службу информационной безопасности. |
| Пробел после имени файла | Средняя | Устаревший микроагент Defender для Интернета вещей | С помощью анализа данных узла обнаружено выполнение процесса с подозрительным расширением. Подозрительные расширения могут обманным путем заставить пользователей открыть якобы безопасные файлы, а также указывать на наличие вредоносных программ в системе. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если нет, передайте оповещение команде информационной безопасности. |
| Обнаружены потенциальные вредоносные инструменты доступа к учетным данным | Средняя | Устаревший микроагент Defender для Интернета вещей | Обнаружение использования инструмента, обычно связанного со злоумышленными попытками получения доступа к учетным данным. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если нет, эскалируйте оповещение в службу информационной безопасности. |
| Suspicious compilation detected (Обнаружена подозрительная компиляция) | Средняя | Устаревший микроагент Defender для Интернета вещей | Обнаружена подозрительная компиляция. Злоумышленники часто компилируют эксплойты на скомпрометированном компьютере, чтобы эскалировать привилегии. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если нет, передайте оповещение в службу информационной безопасности. |
| Скачивание подозрительного файла с последующим его запуском | Средняя | Устаревший микроагент Defender для Интернета вещей | При анализе данных узла обнаружен файл, который был скачан и запущен с помощью одной и той же команды. Этот метод обычно используется злоумышленниками для передачи зараженных файлов на компьютеры жертв. | Вместе с пользователем, выполнившим команду, проверьте, было ли действие, которое вы хотите обнаружить на устройстве, правомерным. Если условие не выполнено, передайте оповещение в службу информационной безопасности. |
| Связь с подозрительным IP-адресом | Средняя | Устаревший микроагент Defender для Интернета вещей | Обнаружена связь с подозрительным IP-адресом. | Проверьте, является ли подключение допустимым. Попробуйте заблокировать связь с подозрительным IP-адресом. |
| НИЗКАЯ серьезность | ||||
| Журнал Bash очищен | Низкая | Устаревший микроагент Defender для Интернета вещей | Журнал Bash очищен. Злоумышленники обычно удаляют журнал Bash, чтобы их команды не отображались в журналах. | Вместе с пользователем, выполнившим команду, проверьте, является ли действие, указанное в этом оповещении, правомерно административным. В противном случае передайте оповещение в службу информационной безопасности. |
| Устройство в беззвучном режиме | Низкая | Устаревший микроагент Defender для Интернета вещей | Устройство не отправляло данные телеметрии за последние 72 часа. | Убедитесь, что устройство подключено к сети и отправляет данные. Убедитесь, что на устройстве запущен агент безопасности Azure. |
| Неудачная попытка взлома методом подбора | Низкая | Устаревший микроагент Defender для Интернета вещей | Обнаружено несколько неудачных попыток входа. На устройстве не удалась возможная попытка атаки методом подбора пароля. | Проверьте оповещения об атаках методом грубой силы через SSH и активность на устройстве. Никаких дополнительных действий не требуется. |
| Локальный пользователь добавлен в одну или несколько групп | Низкая | Устаревший микроагент Defender для Интернета вещей | Новый локальный пользователь, добавленный в группу на этом устройстве. Изменения в группах пользователей являются редкими и могут указывать на то, что злоумышленник может собирать дополнительные разрешения. | Убедитесь, что изменение согласовано с разрешениями, требуемыми для затронутого пользователя. Если изменение несогласованно, обратитесь в службу информационной безопасности. |
| Локальный пользователь удален из одной или нескольких групп | Низкая | Устаревший микроагент Defender для Интернета вещей | Локальный пользователь удален из одной или нескольких групп. Известно, что злоумышленники используют этот метод при попытке запретить доступ полномочным пользователям или удалить историю своих действий. | Убедитесь, что изменение согласовано с разрешениями, требуемыми для затронутого пользователя. Если изменение несогласованно, обратитесь в службу информационной безопасности. |
| Обнаружено удаление локального пользователя | Низкая | Устаревший микроагент Defender для Интернета вещей | Обнаружено удаление локального пользователя. Удаление локального пользователя встречается редко, злоумышленник может попытаться запретить доступ полномочным пользователям или удалить журнал своих действий. | Убедитесь, что изменение согласовано с разрешениями, требуемыми для затронутого пользователя. Если изменение несогласованно, обратитесь в службу информационной безопасности. |
Следующие шаги
- Обзор службы "Defender для Интернета вещей"
- Инструкция по доступу к данным безопасности
- Подробнее об изучении устройства