Výstrahy zabezpečení defenderu pro IoT Hub
Defender for IoT průběžně analyzuje vaše řešení IoT pomocí pokročilých analýz a analýzy hrozeb, aby vás upozornil na škodlivou aktivitu. Kromě toho můžete vytvářet vlastní upozornění na základě vašich znalostí očekávaného chování zařízení. Výstraha funguje jako indikátor potenciálního ohrožení zabezpečení a měla by se prošetřit a napravit.
V tomto článku najdete seznam předdefinovaných upozornění, která se dají aktivovat na IoT Hub. Kromě integrovaných upozornění vám Defender for IoT umožňuje definovat vlastní výstrahy na základě očekávaného IoT Hub nebo chování zařízení. Další informace najdete v tématu přizpůsobitelná upozornění.
Předdefinované výstrahy pro IoT Hub
Střední závažnost
| Name | Závažnost | Zdroj dat | Popis | Navrhovaná náprava | Typ výstrahy |
|---|---|---|---|---|---|
| Přidání nového certifikátu do IoT Hub | Střední | IoT Hub | Certifikát byl přidán do IoT Hub. Pokud tuto akci provedla neoprávněná strana, může to znamenat škodlivou aktivitu. | 1. Ujistěte se, že certifikát přidala autorizovaná strana. 2. Pokud ho nepřidá autorizovaná strana, odeberte certifikát a předejte výstrahu týmu zabezpečení organizace. |
IoT_CertificateSuccessfullyAddedToHub |
| Certifikát odstraněný ze IoT Hub | Střední | IoT Hub | Certifikát byl odstraněn z IoT Hub. Pokud tuto akci provedla neoprávněná strana, může to znamenat škodlivou aktivitu. | 1. Ujistěte se, že certifikát odebrala autorizovaná strana. 2. Pokud certifikát neodebrala autorizovaná strana, přidejte certifikát zpět a předejte výstrahu týmu zabezpečení organizace. |
IoT_CertificateSuccessfullyDeletedFromHub |
| Byl zjištěn neúspěšný pokus o přidání certifikátu do IoT Hub | Střední | IoT Hub | Došlo k neúspěšným pokusům o přidání certifikátu do IoT Hub. Pokud tuto akci provedla neoprávněná strana, může to znamenat škodlivou aktivitu. | Ujistěte se, že oprávnění ke změně certifikátů jsou udělena pouze oprávněným stranám. | Hub_CertificateFailedToBeAddedToHub |
| Byl zjištěn neúspěšný pokus o odstranění certifikátu z IoT Hub | Střední | IoT Hub | Došlo k neúspěšným pokusům o odstranění certifikátu z IoT Hub. Pokud tuto akci provedla neoprávněná strana, může to znamenat škodlivou aktivitu. | Ujistěte se, že oprávnění ke změně certifikátů jsou udělena pouze oprávněné straně. | IoT.Hub_CertificateFailedToBeDeletedFromHub |
| Neshoda kryptografického otisku certifikátu zařízení x.509 | Střední | IoT Hub | Kryptografický otisk certifikátu zařízení x.509 neodpovídá konfiguraci. | Zkontrolujte upozornění na zařízeních. Nevyžaduje se žádná další akce. | IoT_Cert_Print_Mismatch |
| Platnost certifikátu x.509 vypršela | Střední | IoT Hub | Platnost certifikátu zařízení X.509 vypršela. | Může se jednat o legitimní zařízení s prošlým certifikátem nebo pokus o zosobnění legitimního zařízení. Pokud legitimní zařízení aktuálně komunikuje správně, jedná se pravděpodobně o pokus o zosobnění. | IoT_Cert_Expired |
Nízká závažnost
| Name | Závažnost | Zdroj dat | Popis | Navrhovaná náprava | Typ výstrahy |
|---|---|---|---|---|---|
| Pokus o přidání nebo úpravu nastavení diagnostiky zjištěného IoT Hub | Nízká | IoT Hub | Byl zjištěn pokus o přidání nebo úpravu nastavení diagnostiky IoT Hub. Nastavení diagnostiky umožňuje znovu vytvořit trasu aktivit pro účely šetření, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. Pokud tato akce nebyla provedena autorizovanou stranou, může to znamenat škodlivou aktivitu. | 1. Ujistěte se, že certifikát odebrala autorizovaná strana. 2. Pokud certifikát neodebrala autorizovaná strana, přidejte certifikát zpět a předejte výstrahu týmu pro zabezpečení informací. |
IoT_DiagnosticSettingAddedOrEditedOnHub |
| Pokus o odstranění nastavení diagnostiky ze zjištěného IoT Hub | Nízká | IoT Hub | Byl zjištěn pokus o přidání nebo úpravu nastavení diagnostiky IoT Hub. Nastavení diagnostiky umožňuje znovu vytvořit trasu aktivit pro účely šetření, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. Pokud tato akce nebyla provedena autorizovanou stranou, může to znamenat škodlivou aktivitu. | Ujistěte se, že oprávnění ke změně nastavení diagnostiky jsou udělena pouze oprávněné straně. | IoT_DiagnosticSettingDeletedFromHub |
| Platnost tokenu SAS vypršela | Nízká | IoT Hub | Vypršení platnosti tokenu SAS používaného zařízením | Může se jednat o legitimní zařízení s prošlým tokenem nebo pokus o zosobnění legitimního zařízení. Pokud legitimní zařízení aktuálně komunikuje správně, pravděpodobně se jedná o pokus o zosobnění. | IoT_Expired_SAS_Token |
| Neplatný podpis tokenu SAS | Nízká | IoT Hub | Token SAS používaný zařízením má neplatný podpis. Podpis neodpovídá primárnímu ani sekundárnímu klíči. | Zkontrolujte upozornění na zařízeních. Nevyžaduje se žádná další akce. | IoT_Invalid_SAS_Token |
Další kroky
- Přehled služby Defender for IoT