마이크로 에이전트 보안 경고
Defender for IoT는 고급 분석과 위협 인텔리전스를 사용해 IoT 솔루션을 지속적으로 분석하여 악의적인 활동을 경고합니다. 또한 예상되는 디바이스 동작에 대한 정보를 기반으로 사용자 지정 경고를 만들 수 있습니다. 경고는 잠재적 손상을 나타내는 표시기 역할을 하며, 조사를 거쳐 수정해야 합니다.
참고 항목
Defender for IoT는 2025년 8월 1일에 마이크로 에이전트를 사용 중지할 계획입니다.
이 문서에서는 IoT 디바이스에서 트리거할 수 있는 기본 제공 경고 목록을 찾을 수 있습니다.
보안 경고
높은 심각도
| 이름 | 심각도 | 데이터 원본 | 설명 | 제안되는 수정 단계 | 경고 유형 |
|---|---|---|---|---|---|
| 이진 명령줄 | 높음 | Defender-IoT-micro-agent | 명령줄에서 호출/실행되는 LA Linux 이진 파일이 검색되었습니다. 이 프로세스는 정상적 활동일 수도 있고 디바이스가 손상되었다는 표시일 수도 있습니다. | 명령을 실행한 사용자와 함께 명령을 검토하고 디바이스에서 실행될 것으로 정상적으로 예상되는 프로세스인지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_BinaryCommandLine |
| 방화벽 해제 | 높음 | Defender-IoT-micro-agent | 온-호스트 방화벽의 조작 가능성이 검색됨 악의적인 행위자는 데이터를 탈취하기 위해 온-호스트 방화벽을 해제하는 경우가 많습니다. | 명령을 실행한 사용자와 함께 검토하여 이것이 디바이스에서 정상적으로 예상되는 작업인지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_DisableFirewall |
| 포트 전달 검색 | 높음 | Defender-IoT-micro-agent | 외부 IP 주소로 포트 전달이 시작된 것이 검색되었습니다. | 명령을 실행한 사용자와 함께 이것이 디바이스에서 볼 수 있는 정상적 활동인지 검토합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_PortForwarding |
| 감사 로깅을 해제하려는 시도 검색됨 | 높음 | Defender-IoT-micro-agent | Linux 감사 시스템은 시스템에서 보안 관련 정보를 추적하는 방법을 제공합니다. 시스템은 시스템에서 발생하는 이벤트에 대한 정보를 최대한 많이 기록합니다. 이 정보는 중요 업무용 환경에서 보안 정책을 위반한 사용자 및 수행한 작업을 확인하는 데 중요합니다. 감사 로깅을 사용하지 않도록 설정하면 시스템에서 사용되는 보안 정책을 발견하지 못할 수 있습니다. | 디바이스 소유자에게 이것이 비즈니스 이유가 있는 합법적인 활동인지 확인하세요. 그렇지 않다면 이 이벤트는 악의적인 행위자의 활동을 숨기는 것일 수 있습니다. 정보 보안 팀에 즉시 인시던트를 에스컬레이션합니다. | IoT_DisableAuditdLogging |
| 역방향 셸 | 높음 | Defender-IoT-micro-agent | 디바이스에서 호스트 데이터를 분석한 결과, 잠재적인 역방향 셸이 검색되었습니다. 역방향 셸은 보안이 손상된 컴퓨터가 악의적인 공격자가 제어하는 컴퓨터로 다시 호출하도록 하는 데 사용되는 경우가 많습니다 | 명령을 실행한 사용자와 함께 이것이 디바이스에서 볼 수 있는 정상적 활동인지 검토합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_ReverseShell |
| 로컬 로그인 성공 | 높음 | Defender-IoT-micro-agent | 디바이스에 대해 성공한 로컬 로그인이 감지되었습니다. | 로그인한 사용자가 권한 있는 주체인지 확인합니다. | IoT_SuccessfulLocalLogin |
| 웹 셸 | 높음 | Defender-IoT-micro-agent | 잠재적 웹 셸이 검색되었습니다. 악의적인 공격자는 지속성을 얻거나 추가로 악용하기 위해 보안이 손상된 컴퓨터로 웹 셸을 업로드하는 경우가 많습니다. | 명령을 실행한 사용자와 함께 이것이 디바이스에서 볼 수 있는 정상적 활동인지 검토합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_WebShell |
| 랜섬웨어와 비슷한 동작이 검색됨 | 높음 | Defender-IoT-micro-agent | 사용자가 시스템 또는 개인 파일에 액세스하는 것을 차단할 수 있고 액세스 권한을 되찾으려면 금액을 지불하라고 요구할 수 있는 알려진 랜섬웨어와 비슷한 파일이 실행되었습니다. | 명령을 실행한 사용자와 함께 이것이 디바이스에서 볼 수 있는 정상적 활동인지 검토합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_Ransomware |
| 암호 화폐 마이너 이미지 | 높음 | Defender-IoT-micro-agent | 일반적으로 디지털 화폐 마이닝과 관련된 프로세스 실행이 검색되었습니다. | 명령을 실행한 사용자와 함께 이것이 디바이스에서의 정상적 활동인지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_CryptoMiner |
| 새 USB 연결 | 높음 | Defender-IoT-micro-agent | USB 디바이스 연결이 발견되었습니다. 이는 악의적인 작업을 나타낼 수 있습니다. | 이것이 호스트에서 합법적으로 예상되는 작업인지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_USBConnection |
| USB 연결 끊기 | 높음 | Defender-IoT-micro-agent | USB 디바이스 연결 끊기가 발견되었습니다. 이는 악의적인 작업을 나타낼 수 있습니다. | 이것이 호스트에서 합법적으로 예상되는 작업인지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_UsbDisconnection |
| 새 이더넷 연결 | 높음 | Defender-IoT-micro-agent | 새 이더넷 연결이 발견되었습니다. 이는 악의적인 작업을 나타낼 수 있습니다. | 이것이 호스트에서 합법적으로 예상되는 작업인지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_EthernetConnection |
| 이더넷 연결 해제 | 높음 | Defender-IoT-micro-agent | 새로운 이더넷 연결 끊기가 발견되었습니다. 이는 악의적인 작업을 나타낼 수 있습니다. | 이것이 호스트에서 합법적으로 예상되는 작업인지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_EthernetDisconnection |
| 새 파일 생성됨 | 높음 | Defender-IoT-micro-agent | 새 파일이 발견되었습니다. 이는 악의적인 작업을 나타낼 수 있습니다. | 이것이 호스트에서 합법적으로 예상되는 작업인지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_FileCreated |
| 수정된 파일 | 높음 | Defender-IoT-micro-agent | 파일 수정이 발견되었습니다. 이는 악의적인 작업을 나타낼 수 있습니다. | 이것이 호스트에서 합법적으로 예상되는 작업인지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_FileModified |
| 파일이 삭제됨 | 높음 | Defender-IoT-micro-agent | 파일 삭제가 발견되었습니다. 이는 악의적인 작업을 나타낼 수 있습니다. | 이것이 호스트에서 합법적으로 예상되는 작업인지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_FileDeleted |
중간 심각도
| 이름 | 심각도 | 데이터 원본 | 설명 | 제안되는 수정 단계 | 경고 유형 |
|---|---|---|---|---|---|
| 일반적인 Linux 봇과 유사한 동작이 감지됨 | 중간 | Defender-IoT-micro-agent | 대개 일반적인 Linux 봇네트와 관련된 프로세스의 실행이 검색되었습니다. | 명령을 실행한 사용자와 함께 이것이 디바이스에서 볼 수 있는 정상적 활동인지 검토합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_CommonBots |
| Fairware 랜섬웨어와 유사한 동작이 감지됨 | 중간 | Defender-IoT-micro-agent | 호스트 데이터 분석 결과, 의심스러운 위치에 적용된 rm-rf 명령 실행이 검색되었습니다. rm -rf는 파일을 재귀적으로 삭제하므로 일반적으로 개별 폴더에만 사용됩니다. 이 경우에는 많은 데이터를 제거할 수 있는 위치에서 사용되고 있습니다. Fairware 랜섬웨어는 이 폴더에서 rm-rf 명령을 실행하는 것으로 알려져 있습니다. | 명령을 실행한 사용자와 함께 이것이 디바이스에서 볼 수 있는 정상적 활동인지 검토합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_FairwareMalware |
| 암호 화폐 마이너 컨테이너 이미지 검색됨 | 중간 | Defender-IoT-micro-agent | 컨테이너에서 알려진 디지털 화폐 마이닝 이미지가 실행되고 있음을 검색했습니다. | 1. 이러한 동작이 의도되지 않은 경우 관련 컨테이너 이미지를 삭제합니다. 2. 안전하지 않은 TCP 소켓을 통해 Docker 디먼에 액세스할 수 없는지 확인합니다. 3. 정보 보안 팀에게 경고를 에스컬레이션합니다. |
IoT_CryptoMinerContainer |
| Nohup 명령에 대한 의심스러운 사용이 감지됨 | 중간 | Defender-IoT-micro-agent | 호스트에서 의심스러운 nohup 명령 사용이 검색되었습니다. 악의적 행위자는 일반적으로 임시 디렉터리에서 nohup 명령을 실행하여 악의적 행위자의 실행 파일이 백그라운드에서 실행되도록 합니다. 이 명령이 임시 디렉터리에 있는 파일에서 실행되는 것은 예상되거나 정상적인 동작이 아닙니다. | 명령을 실행한 사용자와 함께 이것이 디바이스에서 볼 수 있는 정상적 활동인지 검토합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_SuspiciousNohup |
| Useradd 명령에 대한 의심스러운 사용이 감지됨 | 중간 | Defender-IoT-micro-agent | 디바이스에서 의심스러운 useradd 명령의 사용이 검색되었습니다. | 명령을 실행한 사용자와 함께 이것이 디바이스에서 볼 수 있는 정상적 활동인지 검토합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_SuspiciousUseradd |
| TCP 소켓에 의해 노출된 Docker 디먼 | 중간 | Defender-IoT-micro-agent | 컴퓨터 로그에 Docker 디먼(dockerd)이 TCP 소켓을 표시한다는 것으로 나타납니다. 기본적으로 Docker 구성은 TCP 소켓이 사용하도록 설정된 경우 암호화나 인증을 사용하지 않습니다. 기본 Docker 구성에서는 관련 포트에 액세스할 수 있는 사용자는 누구든지 Docker 디먼에 대한 모든 권한을 보유할 수 있습니다. | 명령을 실행한 사용자와 함께 이것이 디바이스에서 볼 수 있는 정상적 활동인지 검토합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_ExposedDocker |
| 실패한 로컬 로그인 | 중간 | Defender-IoT-micro-agent | 디바이스에 대해 실패한 로컬 로그인 시도가 검색되었습니다. | 권한이 없는 주체가 디바이스에 물리적으로 액세스할 수 없는지 확인합니다. | IoT_FailedLocalLogin |
| 악성 원본에서 파일 다운로드가 감지됨 | 중간 | Defender-IoT-micro-agent | 알려진 맬웨어 원본으로부터의 파일 다운로드가 검색되었습니다. | 명령을 실행한 사용자와 함께 이것이 디바이스에서 볼 수 있는 정상적 활동인지 검토합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_PossibleMalware |
| htaccess 파일 액세스 검색됨 | 중간 | Defender-IoT-micro-agent | 호스트 데이터를 분석한 결과, htaccess 파일의 잠재적 조작이 검색되었습니다. htaccess는 기본 리디렉션 기능과 기본 암호 보호와 같은 고급 기능을 포함하여 Apache 웹 소프트웨어를 실행하는 웹 서버를 여러 번 변경할 수 있는 강력한 구성 파일입니다. 악의적 행위자는 손상된 컴퓨터에서 htaccess 파일을 수정하여 지속성을 얻는 경우가 많습니다. | 이것이 호스트에서 정상적으로 예상되는 활동인지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_AccessingHtaccessFile |
| 알려진 공격 도구 | 중간 | Defender-IoT-micro-agent | 특정 방식으로 다른 컴퓨터를 공격하는 악성 사용자 관련 도구가 검색되었습니다. | 명령을 실행한 사용자와 함께 이것이 디바이스에서 볼 수 있는 정상적 활동인지 검토합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_KnownAttackTools |
| 로컬 호스트 정찰이 감지됨 | 중간 | Defender-IoT-micro-agent | 일반적인 Linux 봇 정찰과 관련된 명령의 실행이 검색되었습니다. | 의심스러운 명령줄을 검토하여 합법적인 사용자가 실행했는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_LinuxReconnaissance |
| 스크립트 인터프리터와 파일 확장명 불일치 | 중간 | Defender-IoT-micro-agent | 스크립트 인터프리터와 입력으로 제공된 스크립트 파일의 확장명의 불일치가 검색되었습니다. 이 유형의 불일치는 일반적으로 공격자 스크립트 실행과 관련이 있습니다. | 명령을 실행한 사용자와 함께 이것이 디바이스에서 볼 수 있는 정상적 활동인지 검토합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_ScriptInterpreterMismatch |
| 잠재적인 백도어 검색됨 | 중간 | Defender-IoT-micro-agent | 의심스러운 파일이 다운로드된 다음 구독의 호스트에서 실행되었습니다. 이 유형의 활동은 일반적으로 백도어 설치와 관련이 있습니다. | 명령을 실행한 사용자와 함께 이것이 디바이스에서 볼 수 있는 정상적 활동인지 검토합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_LinuxBackdoor |
| 잠재적인 데이터 손실 탐지됨 | 중간 | Defender-IoT-micro-agent | 호스트 데이터 분석 결과, 잠재적 데이터 송신 조건이 검색되었습니다. 악의적인 행위자는 손상된 컴퓨터에서 데이터를 송신하는 경우가 많습니다. | 명령을 실행한 사용자와 함께 이것이 디바이스에서 볼 수 있는 정상적 활동인지 검토합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_EgressData |
| 권한 있는 컨테이너가 검색됨 | 중간 | Defender-IoT-micro-agent | 컴퓨터 로그에 권한 있는 Docker 컨테이너가 실행 중인 것으로 나타납니다. 권한 있는 컨테이너는 호스트 리소스에 대한 모든 권한을 소유합니다. 손상될 경우 악의적인 행위자는 권한 있는 컨테이너를 사용하여 호스트 컴퓨터에 대한 액세스 권한을 얻을 수 있습니다. | 컨테이너를 권한 있는 모드에서 실행할 필요가 없는 경우 컨테이너에서 권한을 제거합니다. | IoT_PrivilegedContainer |
| 시스템 로그 파일의 제거가 검색됨 | 중간 | Defender-IoT-micro-agent | 호스트에서 로그 파일의 의심스러운 제거가 검색되었습니다. | 명령을 실행한 사용자와 함께 이것이 디바이스에서 볼 수 있는 정상적 활동인지 검토합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_RemovalOfSystemLogs |
| 파일 이름 뒤 공백 | 중간 | Defender-IoT-micro-agent | 호스트 데이터 분석 결과, 의심스러운 확장이 있는 프로세스 실행이 검색되었습니다. 의심스러운 확장은 파일을 열어도 안전하다고 생각하도록 사용자를 속이며 시스템에 맬웨어가 있음을 나타낼 수 있습니다. | 명령을 실행한 사용자와 함께 이것이 디바이스에서 볼 수 있는 정상적 활동인지 검토합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_ExecuteFileWithTrailingSpace |
| 악의적인 자격 증명 액세스에 일반적으로 사용되는 도구가 감지되었습니다. | 중간 | Defender-IoT-micro-agent | 자격 증명에 액세스하기 위한 악의적인 시도와 관련이 있는 것으로 간주되는 도구의 사용이 검색되었습니다. | 명령을 실행한 사용자와 함께 이것이 디바이스에서 볼 수 있는 정상적 활동인지 검토합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_CredentialAccessTools |
| 의심스러운 컴파일이 감지됨 | 중간 | Defender-IoT-micro-agent | 의심스러운 컴파일이 검색되었습니다. 악의적인 공격자는 보안이 손상된 컴퓨터에서 익스플로잇을 컴파일하여 권한을 승격하는 경우가 많습니다. | 명령을 실행한 사용자와 함께 이것이 디바이스에서 볼 수 있는 정상적 활동인지 검토합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_SuspiciousCompilation |
| 의심스러운 파일 다운로드 후 실행 활동 | 중간 | Defender-IoT-micro-agent | 호스트 데이터 분석 결과, 다운로드 후 동일한 명령에서 실행된 파일이 검색되었습니다. 이 방법은 악의적인 행위자가 공격을 받은 컴퓨터에 감염된 파일을 가져오는 데 주로 사용됩니다. | 명령을 실행한 사용자와 함께 이것이 디바이스에서 볼 수 있는 정상적 활동인지 검토합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_DownloadFileThenRun |
| 의심스러운 IP 주소 통신 | 중간 | Defender-IoT-micro-agent | 의심스러운 IP 주소와의 통신이 검색되었습니다. | 연결이 합법적인지 확인합니다. 의심스러운 IP와의 통신을 차단하는 것이 좋습니다. | IoT_TiConnection |
| 악의적인 도메인 이름 요청 | 중간 | Defender-IoT-micro-agent | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에 사용되는 메서드를 악용하는 공격과 연관이 있을 수 있습니다. | 네트워크에 원본 연결을 끊습니다. 인시던트 대응을 수행합니다. | IoT_MaliciousNameQueriesDetection |
낮은 심각도
| 이름 | 심각도 | 데이터 원본 | 설명 | 제안되는 수정 단계 | 경고 유형 |
|---|---|---|---|---|---|
| Bash 기록 지워짐 | 낮음 | Defender-IoT-micro-agent | Bash 기록 로그가 지워졌습니다. 악의적인 행위자는 자신의 명령이 로그에 나타나지 않도록 숨기기 위해 일반적으로 bash 기록을 지웁니다. | 명령을 실행한 사용자와 함께 이 경고의 활동을 검토하여 이를 정상적 관리 활동으로 볼 수 있는지 확인합니다. 그렇지 않다면 정보 보안 팀에게 경고를 에스컬레이션합니다. | IoT_ClearHistoryFile |
다음 단계
- Defender for IoT 서비스 개요