レガシ Defender for IoT デバイスのセキュリティ アラート
Note
Microsoft Defender for IoT レガシ エージェントは、新しいマイクロ エージェント エクスペリエンスに置き換えられました。 詳しくは、「チュートリアル: セキュリティ アラートを調査する」を参照してください。
2022 年 3 月 31 日の時点で、レガシ エージェントは廃止間近ですが、新しい機能は開発されていません。 レガシ エージェントは 2023 年 3 月 31 日に完全に廃止される予定で、この時点で、レガシ エージェントに関するバグの修正やその他のサポートは提供されなくなります。
Defender for IoT では、高度な分析と脅威インテリジェンスを使用して IoT ソリューションを継続的に分析し、悪意のあるアクティビティに関するアラートを受け取ることができます。 さらに、期待されるデバイスの動作の知識に基づいて、カスタム アラートを作成できます。 アラートは侵害のリスクのインジケーターとして機能し、調査して修復する必要があります。
この記事では、IoT デバイスでトリガーできる組み込みアラートの一覧を示します。 組み込みアラートのほかに、Defender for IoT を使用すると、IoT Hub やデバイスの予想される動作に基づいてカスタム アラートを定義することもできます。 詳細については、カスタマイズ可能なアラートに関する記事を参照してください。
エージェント ベースのセキュリティ アラート
| 名前 | 重大度 | Data Source | 説明 | 推奨される修復手順 |
|---|---|---|---|---|
| 重要度レベル |
||||
| バイナリ コマンド ライン | 高 | レガシ Defender for IoT マイクロ エージェント | コマンド ラインからの LA Linux バイナリの呼び出しまたは実行が検出されました。 このプロセスは正当なアクティビティである場合もあれば、デバイスのセキュリティが侵害されたことを示している可能性もあります。 | コマンドについて、それを実行したユーザーに確認し、そのデバイス上での実行が見込まれる正当な行為であるかどうかを確認します。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| ファイアウォールの無効化 | 高 | レガシ Defender for IoT マイクロ エージェント | ホスト上のファイアウォールに対して操作が実行されている可能性が検出されました。 データの抜き取りを試みる悪意のあるアクターによって、ホスト上のファイアウォールが無効にされることは少なくありません。 | コマンドを実行したユーザーに、それがデバイス上で見込まれる正当なアクティビティであったかどうかを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| ポート フォワーディングの検出 | 高 | レガシ Defender for IoT マイクロ エージェント | 外部 IP アドレスへのポート フォワーディングの開始が検出されました。 | コマンドを実行したユーザーに、それがデバイス上で見込まれる正当なアクティビティであったかどうかを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| Auditd ログ記録を無効にする試みが行われている可能性があることが検出されました | 高 | レガシ Defender for IoT マイクロ エージェント | Linux Auditd システムは、システムに関するセキュリティ関連情報を追跡する手段を提供しています。 このシステムは、自分のシステムで発生しているイベントについて、可能な限り多くの情報を記録します。 この情報は、ミッション クリティカルな環境でセキュリティ ポリシーの違反者を特定し、違反者が実行するアクションを把握するうえで非常に重要です。 Auditd ログ記録を無効にすると、システムで使用されているセキュリティ ポリシーの違反を検出できなくなる可能性があります。 | それがビジネス上の理由から正当なアクティビティであったかどうかをデバイスの所有者に確認してください。 そうではなかった場合、このイベントは、悪意のあるアクターによる隠蔽のアクティビティである可能性があります。 情報セキュリティ チームに直ちにインシデントをエスカレートしてください。 |
| リバース シェル | 高 | レガシ Defender for IoT マイクロ エージェント | デバイス上のホスト データの分析で、リバース シェルの可能性が検出されました。 リバース シェルは、セキュリティが侵害されたマシンに、悪意のあるアクターが制御するマシンをコール バックさせる目的で使用されることが少なくありません。 | コマンドを実行したユーザーに、それがデバイス上で見込まれる正当なアクティビティであったかどうかを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| ブルートフォース試行の成功 | 高 | レガシ Defender for IoT マイクロ エージェント | 複数回の失敗したログイン試行に続き、ログインの成功が確認されました。 デバイス上で試行されたブルート フォース攻撃が成功した可能性があります。 | デバイス上の SSH ブルート フォース アラートとアクティビティを確認してください。 悪意のあるアクティビティであった場合は、 セキュリティが侵害されたアカウントについて、パスワードのリセットをロールアウトします。 デバイスにマルウェアがないか調査し、(見つかった場合は) 修復してください。 |
| ローカル ログインの成功 | 高 | レガシ Defender for IoT マイクロ エージェント | デバイスへのローカル サインインが成功したことが検出されました | サインイン ユーザーが承認済みのパーティーであることを確認してください。 |
| Web シェル | 高 | レガシ Defender for IoT マイクロ エージェント | Web シェルが使用されている可能性があることが検出されました。 一般に、悪意のあるアクターは、セキュリティを侵害したマシンに Web シェルをアップロードして、持続性を獲得したり、さらに悪用したりします。 | コマンドを実行したユーザーに、それがデバイス上で見込まれる正当なアクティビティであったかどうかを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| 重要度レベル中 | ||||
| 一般的な Linux ボットに似た動作が検出されました | Medium | レガシ Defender for IoT マイクロ エージェント | 一般的な Linux ボットネットに関連付けられたプロセスの実行が検出されました。 | コマンドを実行したユーザーに、それがデバイス上で見込まれる正当なアクティビティであったかどうかを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| Fairware ランサムウェアに似た動作が検出されました | Medium | レガシ Defender for IoT マイクロ エージェント | 不審な場所に適用された rm -rf コマンドの実行が、ホスト データの分析を使用して検出されました。 rm rf は再帰的にファイルを削除するものであるため、通常は個別のフォルダーでしか使用されません。 このケースでは、大量のデータが削除される可能性のある場所で使用されています。 Fairware ランサムウェアは、このフォルダーで rm -rf コマンドを実行することが知られています。 | コマンドを実行したユーザーに、それがデバイス上で見込まれる正当なアクティビティであったことを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| ランサムウェア検出に似た動作が検出されました | Medium | レガシ Defender for IoT マイクロ エージェント | ユーザーが自分のシステムや個人用ファイルにアクセスできないようにしたり、再びアクセスできるようにする代わりに身代金の支払いを要求したりする可能性のある既知のランサムウェアに似たファイルが実行されました。 | コマンドを実行したユーザーに、それがデバイス上で見込まれる正当なアクティビティであったかどうかを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| 暗号コイン マイナーのコンテナー イメージが検出されました | Medium | レガシ Defender for IoT マイクロ エージェント | 既知のデジタル通貨マイニング イメージを実行するコンテナーが検出されました。 | 1.意図した動作ではない場合、関連するコンテナー イメージを削除してください。 2.安全でない TCP ソケット経由では Docker デーモンにアクセスできないことを確認してください。 3.情報セキュリティ チームにアラートをエスカレートしてください。 |
| 暗号コイン マイナーのイメージ | Medium | レガシ Defender for IoT マイクロ エージェント | 通常はデジタル通貨マイニングに関連するプロセスの実行が検出されました。 | コマンドを実行したユーザーに、それがデバイス上の正当なアクティビティであったかどうかを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| nohup コマンドの疑わしい使用が検出されました | Medium | レガシ Defender for IoT マイクロ エージェント | ホスト上で nohup コマンドの不審な使用が検出されました。 一般に、悪意のあるアクターは、一時ディレクトリから nohup コマンドを実行して、その実行可能ファイルをバックグラウンドで効果的に実行できるようにします。 一時ディレクトリにあるファイルに対してこのコマンドが実行されることはあり得ないか、通常の動作ではありません。 | コマンドを実行したユーザーに、それがデバイス上で見込まれる正当なアクティビティであったかどうかを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| useradd コマンドの疑わしい使用が検出されました | Medium | レガシ Defender for IoT マイクロ エージェント | useradd コマンドの不審な使用がデバイスで検出されました。 | コマンドを実行したユーザーに、それがデバイス上で見込まれる正当なアクティビティであったかどうかを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| TCP ソケットによる公開 Docker デーモン | Medium | レガシ Defender for IoT マイクロ エージェント | マシンのログは、Docker デーモン (dockerd) が TCP ソケットを公開していることを示します。 既定では、Docker の構成は、TCP ソケットが有効である場合には暗号化または認証は使用しません。 既定の Docker 構成では、該当するポートへのアクセス権さえ持っていればだれでも、Docker デーモンへのフル アクセスが可能です。 | コマンドを実行したユーザーに、それがデバイス上で見込まれる正当なアクティビティであったかどうかを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| ローカル ログインに失敗しました | Medium | レガシ Defender for IoT マイクロ エージェント | デバイスへのローカル ログインの試行の失敗が検出されました。 | デバイスへの物理的なアクセス権がない第三者がいないことを確認してください。 |
| 既知の悪意のあるソースからのファイルのダウンロードが検出されました | Medium | レガシ Defender for IoT マイクロ エージェント | 既知のマルウェア ソースからのファイルのダウンロードが検出されました。 | コマンドを実行したユーザーに、それがデバイス上で見込まれる正当なアクティビティであったかどうかを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| htaccess ファイルへのアクセスが検出されました | Medium | レガシ Defender for IoT マイクロ エージェント | ホスト データの分析で、htaccess ファイルが操作された可能性が検出されました。 htaccess は、基本的なリダイレクト機能や、基本パスワード保護をはじめとするさらに高度な機能など、Apache Web ソフトウェアを実行する Web サーバーに複数の変更を加えることができる強力な構成ファイルです。 悪意のあるアクターは持続性を獲得するために、セキュリティを侵害したマシン上の htaccess ファイルに変更を加えることがよくあります。 | それがホスト上で見込まれる正当なアクティビティであることを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| 既知の攻撃ツール | Medium | レガシ Defender for IoT マイクロ エージェント | なんらかの方法で他のマシンを攻撃する悪意のあるユーザーに関連していることの多いツールが検出されました。 | コマンドを実行したユーザーに、それがデバイス上で見込まれる正当なアクティビティであったかどうかを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| IoT エージェントがモジュール ツイン構成を試行しましたが、解析できませんでした | Medium | レガシ Defender for IoT マイクロ エージェント | 構成オブジェクトの型の不一致により、Defender for IoT セキュリティ エージェントでモジュール ツイン構成を解析できませんでした | IoT エージェントの構成スキーマに対してモジュール ツイン構成を検証し、すべての不一致を修正してください。 |
| ローカル ホスト偵察が検出されました | Medium | レガシ Defender for IoT マイクロ エージェント | 通常は一般的な Linux ボット偵察に関連するコマンドの実行が検出されました。 | 不審なコマンド ラインを調査して、正当なユーザーによって実行されたものであることを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| スクリプト インタープリターとファイル名拡張子が一致しません | Medium | レガシ Defender for IoT マイクロ エージェント | スクリプト インタープリターと、入力として与えられたスクリプト ファイルの拡張子の間で不一致が検出されました。 一般に、このタイプの不一致は、攻撃者によるスクリプトの実行と関係があります。 | コマンドを実行したユーザーに、それがデバイス上で見込まれる正当なアクティビティであったかどうかを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| バックドアの可能性が検出されました | Medium | レガシ Defender for IoT マイクロ エージェント | ご利用のサブスクリプション内のホストに不審なファイルがダウンロードされて実行されました。 これは一般に、バックドアのインストールに関連したタイプのアクティビティです。 | コマンドを実行したユーザーに、それがデバイス上で見込まれる正当なアクティビティであったかどうかを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| データが損失した可能性があることが検出されました | Medium | レガシ Defender for IoT マイクロ エージェント | データ エグレス条件の疑いが、ホスト データの分析を使用して検出されました。 悪意のあるアクターは、セキュリティを侵害したマシンからデータを取り出すことがよくあります。 | コマンドを実行したユーザーに、それがデバイス上で見込まれる正当なアクティビティであったかどうかを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| 共通ファイルの潜在的な上書き | Medium | レガシ Defender for IoT マイクロ エージェント | デバイス上の共通実行可能ファイルが上書きされています。 悪意のあるアクターは、そのアクションを隠したり持続性を獲得したりするための手段として、共通ファイルを上書きすることが知られています。 | コマンドを実行したユーザーに、それがデバイス上で見込まれる正当なアクティビティであったかどうかを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| 特権コンテナーが検出されました | Medium | レガシ Defender for IoT マイクロ エージェント | マシンのログは、アクセス許可された Docker コンテナーが実行していることを示しています。 特権コンテナーには、ホストのリソースへのフル アクセス権があります。 セキュリティが侵害された場合、悪意のあるアクターは特権コンテナーを使用して、ホスト マシンにアクセスすることができます。 | コンテナーを特権モードで実行する必要がない場合は、コンテナーから特権を削除してください。 |
| システム ログ ファイルの削除が検出されました | Medium | レガシ Defender for IoT マイクロ エージェント | ホスト上のログ ファイルの不審な削除が検出されました。 | コマンドを実行したユーザーに、それがデバイス上で見込まれる正当なアクティビティであったかどうかを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| ファイル名の後のスペース | Medium | レガシ Defender for IoT マイクロ エージェント | 不審な拡張子を持ったプロセスの実行が、ホスト データの分析を使用して検出されました。 不審な拡張子は、ファイルを開いても安全であるとユーザーを欺くことがあります。また、システム上にマルウェアが存在することを示す場合があります。 | コマンドを実行したユーザーに、それがデバイス上で見込まれる正当なアクティビティであったかどうかを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| 悪意のある疑いがある資格情報へのアクセス ツールが検出されました | Medium | レガシ Defender for IoT マイクロ エージェント | 悪意を持って資格情報にアクセスしようとする行為に一般に関連するツールの使用が検出されました。 | コマンドを実行したユーザーに、それがデバイス上で見込まれる正当なアクティビティであったかどうかを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| 不審なコンパイルが検出されました | Medium | レガシ Defender for IoT マイクロ エージェント | 不審なコンパイルが検出されました。 悪意のあるアクターは、権限を昇格させるために、セキュリティを侵害したマシンでエクスプロイトをコンパイルすることがよくあります。 | コマンドを実行したユーザーに、それがデバイス上で見込まれる正当なアクティビティであったかどうかを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| 不審なファイルのダウンロードと、それに続くファイルの実行アクティビティ | Medium | レガシ Defender for IoT マイクロ エージェント | ホスト データの分析で、同じコマンドでダウンロードされて実行されたファイルが検出されました。 これは、悪意のあるアクターが犠牲者のマシンに感染ファイルを送り込む際に用いる一般的な手法です。 | コマンドを実行したユーザーに、それがデバイス上で見込まれる正当なアクティビティであったかどうかを確認してください。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| 疑わしい IP アドレスの通信 | Medium | レガシ Defender for IoT マイクロ エージェント | 不審な IP アドレスとの通信が検出されました。 | 接続が正当なものであるかどうかを確認してください。 不審な IP との通信はブロックすることを検討してください。 |
| 重要度レベル低 | ||||
| Bash 履歴がクリアされました | 低 | レガシ Defender for IoT マイクロ エージェント | Bash 履歴ログがクリアされました。 一般に、悪意のあるアクターは、自身のコマンドがログに残らないよう Bash 履歴を消去します。 | コマンドを実行したユーザーにこのアラートのアクティビティを確認し、正当な管理アクティビティと見てよいかどうかを確認します。 そうではない場合、情報セキュリティ チームにアラートをエスカレートしてください。 |
| サイレントのデバイス | 低 | レガシ Defender for IoT マイクロ エージェント | デバイスは過去 72 時間以内に利用統計情報をまったく送信していません。 | デバイスがオンラインであり、データを送信していることを確認します。 Azure セキュリティ エージェントがデバイスで実行されていることを確認してください。 |
| ブルートフォース試行の失敗 | 低 | レガシ Defender for IoT マイクロ エージェント | 複数の失敗したログイン試行が識別されました。 デバイスに対し、ブルート フォース攻撃が試行されて失敗した可能性があります。 | デバイス上の SSH ブルート フォース アラートとアクティビティを確認してください。 これ以上必要な操作はありません。 |
| ローカル ユーザーが 1 つ以上のグループに追加されました | 低 | レガシ Defender for IoT マイクロ エージェント | 新しいローカル ユーザーがこのデバイスのグループに追加されました。 ユーザー グループに対する変更はめったにないことであり、悪意のあるアクターによって追加のアクセス許可が収集されている可能性があることを示しています。 | 変更が、影響を受けるユーザーに必要なアクセス許可と整合性があるかどうかを確認してください。 変更に整合性がない場合、情報セキュリティ チームにエスカレートしてください。 |
| ローカル ユーザーが 1 つ以上のグループから削除されました | 低 | レガシ Defender for IoT マイクロ エージェント | ローカル ユーザーが 1 つ以上のグループから削除されました。 悪意のあるアクターは、正当なユーザーへのアクセスを拒否したり、そのアクションの履歴を削除したりするために、この方法を使用することが確認されています。 | 変更が、影響を受けるユーザーに必要なアクセス許可と整合性があるかどうかを確認してください。 変更に整合性がない場合、情報セキュリティ チームにエスカレートしてください。 |
| ローカル ユーザーの削除が検出されました | 低 | レガシ Defender for IoT マイクロ エージェント | ローカル ユーザーの削除が検出されました。 ローカル ユーザーの削除はめったにないことであり、悪意のあるアクターが、正当なユーザーへのアクセスを拒否したりそのアクションの履歴を削除したりしようとしている可能性があります。 | 変更が、影響を受けるユーザーに必要なアクセス許可と整合性があるかどうかを確認してください。 変更に整合性がない場合、情報セキュリティ チームにエスカレートしてください。 |
次のステップ
- Defender for IoT サービスの
[ 概要](overview.md) [ セキュリティ データにアクセスする](how-to-security-data-access.md) 方法を学習ぶ[ デバイスの調査](how-to-investigate-device.md) について学ぶ