Alertas de seguridad de dispositivos de Defender para IoT heredadas
Nota
El agente heredado de Microsoft Defender para IoT se ha reemplazado por nuestra experiencia de microcontrolador más reciente. Para más información, consulte Tutorial: Investigación de alertas de seguridad.
A partir del 31 de marzo de 2022, el agente heredado está a la puesta de sol y no se están desarrollando características nuevas. El agente heredado se retirará por completo el 31 de marzo de 2023, momento en el que ya no proporcionaremos correcciones de errores u otra compatibilidad con el agente heredado.
Defender para IoT analiza continuamente la solución de IoT mediante análisis avanzados e inteligencia de amenazas para alertarle de cualquier actividad malintencionada. Además, puede crear alertas personalizadas según su conocimiento del comportamiento esperado del dispositivo. Una alerta sirve como indicador de un posible peligro, y debe investigarse y corregirse.
En este artículo encontrará una lista de alertas integradas que pueden activarse en dispositivos IoT. Además de las alertas integradas, Defender para IoT le permite definir alertas personalizadas basadas en el comportamiento esperado de IoT Hub o del dispositivo. Para obtener más información, consulte las alertas personalizables.
Alertas de seguridad basadas en agente
| Nombre | severity | Origen de datos | Descripción | Pasos de la corrección sugerida |
|---|---|---|---|---|
| Gravedad alta | ||||
| Binary Command Line (Línea de comandos de binario) | Alto | Microagente de Defender para IoT heredado | Se detectó una llamada a un binario de LA Linux o la ejecución de dicho binario desde la línea de comandos. Este proceso puede ser una actividad permitida o un indicio de que el dispositivo está en peligro. | Revise el comando con el usuario que lo ejecutó y compruebe si es algo que se espera que se ejecute de forma legítima en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Disable firewall (Deshabilitar firewall) | Alto | Microagente de Defender para IoT heredado | Se ha detectado una posible manipulación del firewall de host. Los actores malintencionados suelen deshabilitar el firewall en el host para intentar el filtrado de datos. | Revise con el usuario que ejecutó el comando para confirmar si se trataba de una actividad legítima esperada en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Port forwarding detection (Detección de enrutamiento de puerto) | Alto | Microagente de Defender para IoT heredado | Se ha detectado la iniciación de un enrutamiento de puerto a una dirección IP externa. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Possible attempt to disable Auditd logging detected (Detección de posible intento de deshabilitar el registro de Auditd) | Alto | Microagente de Defender para IoT heredado | El sistema Linux Auditd proporciona una manera de hacer un seguimiento de información relacionada con la seguridad en el sistema. El sistema registra tanta información como sea posible sobre los eventos que se producen en el sistema. Esta información es fundamental para que los entornos de misión crítica puedan descubrir al infractor de la directiva de seguridad y las acciones que ha llevado a cabo. Si deshabilita los registros de Auditd puede impedir la capacidad de detectar infracciones de las directivas de seguridad usadas en el sistema. | Compruebe con el propietario del dispositivo si se trataba de una actividad legítima con razones empresariales. Si no es así, es posible que este evento esté ocultando la actividad de actores malintencionados. Escale inmediatamente el incidente al equipo de seguridad de la información. |
| Reverse shells (Shells inversos) | Alto | Microagente de Defender para IoT heredado | Un análisis de los datos del host en un dispositivo detectó el uso de un shell inverso posible. Los shells inversos se suelen usar para obtener una máquina en peligro para volver a llamar a una máquina controlada por un actor malintencionado. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Intento de ataque por fuerza bruta correcto | Alto | Microagente de Defender para IoT heredado | Se detectaron varios intentos de inicio de sesión incorrectos, seguidos de un inicio de sesión correcto. El intento de ataque por fuerza bruta puede haber prosperado en el dispositivo. | Revise la alerta de ataque por fuerza bruta en SSH y la actividad en los dispositivos. Si la actividad era malintencionada: implemente el restablecimiento de contraseña para las cuentas en peligro. Investigue los dispositivos (si los encuentra) por si hubiera problemas de malware y corríjalos. |
| Successful local login (Inicio de sesión local correcto) | Alto | Microagente de Defender para IoT heredado | Inicio de sesión local correcto detectado en el dispositivo | Asegúrese de que el usuario que ha iniciado sesión es una entidad autorizada. |
| Web shell (Shell web) | Alto | Microagente de Defender para IoT heredado | Se ha detectado un posible shell web. Normalmente, los actores malintencionados cargan un shell web en una máquina en peligro para obtener persistencia o para aprovechar mejor sus puntos vulnerables. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Gravedad media | ||||
| Behavior similar to common Linux bots detected (Detección de comportamiento similar a bots comunes de Linux) | Media | Microagente de Defender para IoT heredado | Se ha detectado la ejecución de un proceso que normalmente se asocia con botnets comunes de Linux. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Behavior similar to Fairware ransomware detected (Detección de comportamiento similar a ransomware Fairware) | Media | Microagente de Defender para IoT heredado | Se detectó la ejecución de comandos rm -rf aplicados a ubicaciones sospechosas mediante el análisis de los datos del host. Dado que rm -rf elimina archivos de manera recursiva, normalmente solo se usa en carpetas independientes. En este caso, se usa en una ubicación que podría quitar una gran cantidad de datos. El ransomware Fairware es conocido por ejecutar comandos de rm -rf en esta carpeta. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Behavior similar to ransomware detected (Detección de comportamiento similar a ransomware) | Media | Microagente de Defender para IoT heredado | Ejecución de archivos similares a ransomware conocido que puede impedir que los usuarios accedan al sistema o a archivos personales, y puede solicitar el pago de un rescate para recuperar el acceso. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Crypto coin miner container image detected (Se ha detectado una imagen de contenedor de minería de criptomoneda) | Media | Microagente de Defender para IoT heredado | Contenedor que detecta la ejecución de imágenes de minería de moneda digital conocidas. | 1. Si este comportamiento no es el previsto, elimine la imagen de contenedor pertinente. 2. Asegúrese de que el demonio de Docker no es accesible a través de un socket TCP no seguro. 3. Escale la alerta al equipo de seguridad de la información. |
| Crypto coin miner image (Imagen de minería de criptomoneda) | Media | Microagente de Defender para IoT heredado | Se detectó la ejecución de un proceso que normalmente se asocia con la minería de datos de monedas digitales. | Verifique con el usuario que ejecutó el comando si se trataba de una actividad legítima en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Detected suspicious use of the nohup command (Detección de uso sospechoso del comando nohup) | Media | Microagente de Defender para IoT heredado | Se ha detectado el uso sospechoso del comando nohup en el host. Los actores malintencionados suelen ejecutar el comando nohup desde un directorio temporal, lo que permite que sus ejecutables se ejecuten en segundo plano. La ejecución de este comando en archivos ubicados en un directorio temporal no es lo esperado ni un comportamiento normal. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Detected suspicious use of the useradd command (Detección de uso sospechoso del comando useradd) | Media | Microagente de Defender para IoT heredado | Se ha detectado el uso sospechoso del comando useradd en el dispositivo. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Exposed Docker daemon by TCP socket (Demonio de Docker expuesto por socket TCP) | Media | Microagente de Defender para IoT heredado | Los registros de la máquina indican que el demonio de Docker (dockerd) expone un socket TCP. De manera predeterminada, la configuración de Docker no usa cifrado ni autenticación cuando un socket TCP está habilitado. La configuración de Docker predeterminada permite el acceso total al demonio de Docker a cualquier persona con acceso al puerto pertinente. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Failed local login (Inicio de sesión local con error) | Media | Microagente de Defender para IoT heredado | Se ha detectado un intento de inicio de sesión local con errores en el dispositivo. | Asegúrese de que ninguna persona no autorizada tenga acceso físico al dispositivo. |
| File downloads from a known malicious source detected (Detección de descargas de archivos desde un origen malintencionado conocido) | Media | Microagente de Defender para IoT heredado | Se detectó la descarga de un archivo desde un origen de malware conocido. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| htaccess file access detected (Se ha detectado un acceso a un archivo htaccess) | Media | Microagente de Defender para IoT heredado | El análisis de los datos del host ha detectado una posible manipulación de un archivo htaccess. Htaccess es un archivo de configuración eficaz que le permite hacer varios cambios en un servidor web que ejecuta software web Apache, incluida la funcionalidad básica de redireccionamiento, y funciones más avanzadas, como la protección de contraseña básica. A menudo, los actores malintencionados modificarán los archivos htaccess en máquinas en peligro a fin de lograr persistencia. | Confirme que se trata de una actividad legítima esperada en el host. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Known attack tool (Herramienta de ataque conocida) | Media | Microagente de Defender para IoT heredado | Se ha detectado una herramienta a menudo asociada con usuarios malintencionados que atacan otros equipos de alguna manera. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| IoT agent attempted and failed to parse the module twin configuration (El agente de IoT intentó analizar la configuración del módulo gemelo pero no pudo) | Media | Microagente de Defender para IoT heredado | El agente de seguridad de Defender para IoT no pudo analizar la configuración del módulo gemelo debido a errores de coincidencia de tipos en el objeto de configuración. | Valide la configuración del módulo gemelo con el esquema de configuración del agente de IoT y corrija todas las discrepancias. |
| Local host reconnaissance detected (Detección de reconocimiento de host local) | Media | Microagente de Defender para IoT heredado | Se detectó la ejecución de un comando que normalmente se asocia con el reconocimiento de bots comunes de Linux. | Revise la línea de comandos sospechosa para confirmar que lo ejecutó un usuario legítimo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Mismatch between script interpreter and file extension (Error de coincidencia entre el intérprete del script y la extensión del archivo) | Media | Microagente de Defender para IoT heredado | Se ha detectado un error de coincidencia entre el intérprete del script y la extensión del archivo de script proporcionado como entrada. Este tipo de discrepancia normalmente se asocia con las ejecuciones de scripts de un atacante. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Possible backdoor detected (Detección de posible puerta trasera) | Media | Microagente de Defender para IoT heredado | Se descargó un archivo sospechoso y luego se ejecutó en un host de su suscripción. Este tipo de actividad se asocia normalmente con la instalación de una puerta trasera. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Potential loss of data detected (Detección de posible pérdida de datos) | Media | Microagente de Defender para IoT heredado | Posible condición de salida de datos detectada mediante el análisis de los datos del host. A menudo, los actores malintencionados extraen datos de máquinas en peligro. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Potential overriding of common files (Posible invalidación de archivos comunes) | Media | Microagente de Defender para IoT heredado | Un archivo ejecutable común se ha sobrescrito en el dispositivo. Se sabe que los actores malintencionados sobrescriben los archivos comunes como una forma de ocultar sus acciones o de adquirir persistencia. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Privileged container detected (Detección de contenedor con privilegios) | Media | Microagente de Defender para IoT heredado | Los registros de la máquina indican que se está ejecutando un contenedor de Docker con privilegios. Un contenedor con privilegios tiene acceso total a los recursos del host. Si se pone en peligro, un actor malintencionado puede usar el contenedor con privilegios para acceder a la máquina host. | Si el contenedor no necesita ejecutarse en modo con privilegios, quite los privilegios del contenedor. |
| Removal of system logs files detected (Detección de eliminación de archivos de registro del sistema) | Media | Microagente de Defender para IoT heredado | Se ha detectado la eliminación sospechosa de archivos del registro en el host. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Space after filename (Espacio luego de nombre de archivo) | Media | Microagente de Defender para IoT heredado | Se detectó la ejecución de un proceso con una extensión sospechosa mediante el análisis de los datos del host. Las extensiones sospechosas pueden engañar a los usuarios para que piensen que es seguro abrir los archivos y pueden indicar la presencia de malware en el sistema. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Suspected malicious credentials access tools detected (Se han detectado presuntas herramientas malintencionadas de acceso con credenciales) | Media | Microagente de Defender para IoT heredado | Se ha detectado el uso de una herramienta que habitualmente se asocia con intentos malintencionados de acceso a las credenciales. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Suspicious compilation detected (Detección de compilación sospechosa) | Media | Microagente de Defender para IoT heredado | Se ha detectado una compilación sospechosa. A menudo, los actores malintencionados compilan vulnerabilidades de seguridad en una máquina en peligro a fin de elevar los privilegios. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Suspicious file download followed by file run activity (Descarga de archivo sospechosa seguida de una actividad de ejecución de archivo) | Media | Microagente de Defender para IoT heredado | El análisis de los datos del host detectó la descarga y ejecución de un archivo en el mismo comando. Los actores malintencionados suelen usar esta técnica para obtener archivos infectados en equipos víctimas. | Revise con el usuario que ejecutó el comando si se trataba de una actividad legítima que espera ver en el dispositivo. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Suspicious IP address communication (Comunicación con dirección IP sospechosa) | Media | Microagente de Defender para IoT heredado | Se ha detectado una comunicación con una dirección IP sospechosa. | Compruebe si la conexión es legítima. Considere la posibilidad de bloquear la comunicación con la dirección IP sospechosa. |
| Gravedad baja | ||||
| Bash history cleared (Historial de Bash borrado) | Bajo | Microagente de Defender para IoT heredado | El registro del historial de Bash se ha borrado. Los actores malintencionados suelen borrar el historial de Bash para ocultar sus propios comandos para que no aparezcan en los registros. | Revise con el usuario que ejecutó el comando la actividad de esta alerta para ver si usted la reconoce como actividad administrativa legítima. Si no es así, escale la alerta al equipo de seguridad de la información. |
| Device Silent (Dispositivo silencioso) | Bajo | Microagente de Defender para IoT heredado | El dispositivo no ha enviado datos de telemetría en las últimas 72 horas. | Asegúrese de que el dispositivo está en línea y enviando datos. Compruebe que el agente de seguridad de Azure se está ejecutando en el dispositivo. |
| Failed bruteforce attempt (Intento de ataque por fuerza bruta erróneo) | Bajo | Microagente de Defender para IoT heredado | Se han detectado varios intentos de inicio de sesión incorrectos. Posible error de intento de ataque por fuerza bruta en el dispositivo. | Revise las alertas de ataque por fuerza bruta en SSH y la actividad en el dispositivo. No se requiere ninguna acción adicional. |
| Local user added to one or more groups (Usuario local agregado a uno o varios grupos) | Bajo | Microagente de Defender para IoT heredado | Se ha agregado un nuevo usuario local a un grupo de este dispositivo. Los cambios en los grupos de usuarios no son frecuentes y pueden indicar que un actor malintencionado está recopilando permisos adicionales. | Compruebe si el cambio es coherente con los permisos requeridos por el usuario afectado. Si el cambio no es coherente, escálelo al equipo de seguridad de la información. |
| Local user deleted from one or more groups (Usuario local eliminado de uno o varios grupos) | Bajo | Microagente de Defender para IoT heredado | Se eliminó un usuario local de uno o varios grupos. Se sabe que los actores malintencionados usan este método en un intento de denegar el acceso a usuarios legítimos o de eliminar el historial de sus acciones. | Compruebe si el cambio es coherente con los permisos requeridos por el usuario afectado. Si el cambio no es coherente, escálelo al equipo de seguridad de la información. |
| Local user deletion detected (Se ha detectado la eliminación de un usuario local) | Bajo | Microagente de Defender para IoT heredado | Se ha detectado la eliminación de un usuario local. La eliminación de usuarios locales es poco común, puede que un actor malintencionado esté intentando denegar el acceso a usuarios legítimos o eliminar el historial de sus acciones. | Compruebe si el cambio es coherente con los permisos requeridos por el usuario afectado. Si el cambio no es coherente, escálelo al equipo de seguridad de la información. |
Pasos siguientes
- Información general del servicio Defender para IoT
- Aprenda a acceder a los datos de seguridad
- Más información sobre cómo investigar un dispositivo