本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Detect
Amazon IoT Device Defender Detect 允许您通过监控设备行为来识别可能表明设备遭到入侵的异常行为。使用云端指标(来自 Amazon IoT)和设备端指标(来自您在设备上安装的代理)的组合,您可以检测到:
-
连接模式的变化。
-
与未经授权或无法识别的终端节点通信的设备。
-
入站和出站设备流量模式的变化。
您可以创建安全配置文件,其中包含预期设备行为的定义,然后将其分配给一组设备或队列中的所有设备。 Amazon IoT Device Defender Detect 使用这些安全配置文件来检测异常情况,并通过亚马逊 CloudWatch 指标和亚马逊简单通知服务通知发送警报。
Amazon IoT Device Defender Detect 可以检测联网设备中经常发现的安全问题:
-
从设备到已知恶意 IP 地址,或表示潜在恶意命令和控制渠道的未经授权终端节点的流量。
-
表明设备正在参与 DDoS 攻击的恶意流量,例如出站流量高峰。
-
其远程管理接口和端口支持远程访问的设备。
-
发送到您账户的消息速率激增 (例如,来自可能导致过量按每条消息收费的流氓设备)。
使用案例:
- 评估攻击面
-
您可以使用 D Amazon IoT Device Defender etect 来测量设备的攻击面。例如,可以识别服务端口通常成为攻击活动目标的设备(在端口 23/2323 上运行的 telnet 服务,在端口 22 上运行的 SSH 服务,在端口 80/443/8080/8081 上运行的 HTTP/S 服务)。虽然在设备上使用这些服务端口可能有合法的原因,但是它们也通常是敌人攻击面的一部分,并且具有相关风险。在 D Amazon IoT Device Defender etect 向您发出攻击面警报后,您可以将其最小化(通过消除未使用的网络服务),或者进行其他评估以识别安全漏洞(例如,使用常用、默认或弱密码配置的 telnet)。
- 检测设备行为异常以及可能的安全根本原因
-
你可以使用 Det Amazon IoT Device Defender ect 向你发出警报,提醒你注意可能表明存在安全漏洞的意外设备行为指标(打开的端口数、连接数、意外打开的端口、与意外 IP 地址的连接)。例如,TCP 连接数量高于预期,可能表明设备正被用于 DDoS 攻击。侦听的端口不是预计的端口,可能表明设备上安装了用以进行远程控制的后门。您可以使用 Det Amazon IoT Device Defender ect 来探测设备队列的运行状况并验证您的安全假设(例如,没有设备在端口 23 或 2323 上侦听)。
您可以启用基于机器学习 (ML) 的威胁检测,以自动识别潜在威胁。
- 检测配置错误的设备
-
从设备发送到账户的信息数量或大小激增,可能表明设备配置错误。此类设备可能会增加每条消息的费用。同样,如果设备多次授权失败,则可能要求重新配置策略。
监控未注册设备的行为
Amazon IoT Device Defender 通过检测,可以识别未在注册 Amazon IoT 表中注册的设备的异常行为。您可以定义特定于以下目标类型之一的安全配置文件:
-
所有设备
-
所有已注册的设备( Amazon IoT 注册表中的东西)
-
所有未注册的设备
-
事物组中的设备
安全配置文件为账户中的设备定义一组预期行为,并指定在检测到异常时要执行的操作。安全配置文件应附加到最具体的目标,以便您精细控制要针对该配置文件评估哪些设备。
未注册的设备在整个设备生命周期内必须提供一致的 MQTT 客户端标识符或事物名称(对于报告设备指标的设备),以便所有违规和指标都归属到相同设备。
重要
如果事物名称包含控制字符,或事物名称的长度超过 128 字节的 UTF-8 编码字符,则将拒绝设备报告的消息。