Defender per gli avvisi di sicurezza hub IoT
Defender per IoT analizza continuamente la soluzione IoT usando analisi avanzate e intelligence sulle minacce per avvisare l'utente di attività dannose. È anche possibile creare avvisi personalizzati in base alla conoscenza del comportamento previsto del dispositivo. Un avviso funge da indicatore di potenziale compromissione e deve dare il via a ulteriori operazioni di indagine e correzione.
In questo articolo è disponibile un elenco di avvisi predefiniti, che possono essere attivati nel hub IoT. Oltre agli avvisi predefiniti, Defender per IoT consente di definire avvisi personalizzati in base al comportamento previsto hub IoT e/o del dispositivo. Per altre informazioni, vedere avvisi personalizzabili.
Avvisi predefiniti per l'hub IoT
Gravità media
| Nome | Gravità | origine dati | Descrizione | Correzione consigliata | AlertType |
|---|---|---|---|---|---|
| Nuovo certificato aggiunto a un hub IoT | Medio | Hub IoT | Un certificato è stato aggiunto a un hub IoT. Se questa azione è stata eseguita da un'entità non autorizzata, può indicare attività dannose. | 1. Assicurarsi che il certificato sia stato aggiunto da una parte autorizzata. 2. Se non è stato aggiunto da una parte autorizzata, rimuovere il certificato e inoltrare l'avviso al team di sicurezza dell'organizzazione. |
IoT_CertificateSuccessfullyAddedToHub |
| Certificato eliminato da un hub IoT | Medio | Hub IoT | Un certificato è stato eliminato da un hub IoT. Se questa azione è stata eseguita da un'entità non autorizzata, può indicare un'attività dannosa. | 1. Assicurarsi che il certificato sia stato rimosso da una parte autorizzata. 2. Se il certificato non è stato rimosso da una parte autorizzata, aggiungere nuovamente il certificato ed eseguire l'escalation dell'avviso al team di sicurezza dell'organizzazione. |
IoT_CertificateSuccessfullyDeletedFromHub |
| Tentativo non riuscito rilevato di aggiungere un certificato a un hub IoT | Medio | Hub IoT | Si è verificato un tentativo non riuscito di aggiungere un certificato a un hub IoT. Se questa azione è stata eseguita da un'entità non autorizzata, può indicare attività dannose. | Assicurarsi che le autorizzazioni per la modifica dei certificati vengano concesse solo a entità autorizzate. | Hub_CertificateFailedToBeAddedToHub |
| Tentativo non riuscito rilevato di eliminare un certificato da un hub IoT | Medio | Hub IoT | Si è verificato un tentativo non riuscito di eliminare un certificato da un hub IoT. Se questa azione è stata eseguita da un'entità non autorizzata, può indicare attività dannose. | Assicurarsi che le autorizzazioni per la modifica dei certificati vengano concesse solo a un'entità autorizzata. | IoT.Hub_CertificateFailedToBeDeletedFromHub |
| Mancata corrispondenza dell'identificazione personale del certificato del dispositivo x.509 | Medio | Hub IoT | L'identificazione personale del certificato X.509 del dispositivo non corrisponde alla configurazione. | Esaminare gli avvisi nei dispositivi. Non è necessaria alcuna azione. | IoT_Cert_Print_Mismatch |
| Certificato x.509 scaduto | Medio | Hub IoT | Il certificato X.509 del dispositivo è scaduto. | Potrebbe trattarsi di un dispositivo legittimo con un certificato scaduto o un tentativo di rappresentare un dispositivo legittimo. Se il dispositivo legittimo sta attualmente comunicando correttamente, è probabile che un tentativo di rappresentazione. | IoT_Cert_Expired |
Gravità bassa
| Nome | Gravità | origine dati | Descrizione | Correzione consigliata | AlertType |
|---|---|---|---|---|---|
| Tentativo di aggiungere o modificare un'impostazione di diagnostica di un hub IoT rilevato | Basso | Hub IoT | È stato rilevato un tentativo di aggiungere o modificare le impostazioni di diagnostica di un hub IoT. Le impostazioni di diagnostica consentono di ricreare la traccia delle attività a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa. Se questa azione non è stata eseguita da un'entità autorizzata, può indicare attività dannose. | 1. Assicurarsi che il certificato sia stato rimosso da una parte autorizzata. 2. Se il certificato non è stato rimosso da una parte autorizzata, aggiungere nuovamente il certificato ed eseguire l'escalation dell'avviso al team di sicurezza delle informazioni. |
IoT_DiagnosticSettingAddedOrEditedOnHub |
| Tentare di eliminare un'impostazione di diagnostica da un hub IoT rilevato | Basso | Hub IoT | È stato rilevato un tentativo di aggiungere o modificare le impostazioni di diagnostica di un hub IoT. Le impostazioni di diagnostica consentono di ricreare la traccia delle attività a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa. Se questa azione non è stata eseguita da un'entità autorizzata, può indicare attività dannose. | Assicurarsi che le autorizzazioni per la modifica delle impostazioni di diagnostica vengano concesse solo a un'entità autorizzata. | IoT_DiagnosticSettingDeletedFromHub |
| Token di firma di accesso condiviso scaduto | Basso | Hub IoT | Token di firma di accesso condiviso scaduto usato da un dispositivo | Potrebbe trattarsi di un dispositivo legittimo con un token scaduto o un tentativo di rappresentare un dispositivo legittimo. Se il dispositivo legittimo sta attualmente comunicando correttamente, questo è probabilmente un tentativo di rappresentazione. | IoT_Expired_SAS_Token |
| Firma del token di firma di firma di accesso condiviso non valida | Basso | Hub IoT | Un token di firma di accesso condiviso usato da un dispositivo ha una firma non valida. La firma non corrisponde alla chiave primaria o secondaria. | Esaminare gli avvisi nei dispositivi. Non è necessaria alcuna azione. | IoT_Invalid_SAS_Token |
Passaggi successivi
- Panoramica del servizio Defender per IoT