Defender for IoT Hub のセキュリティ アラート
Defender for IoT では、高度な分析と脅威インテリジェンスを使用して IoT ソリューションを継続的に分析し、悪意のあるアクティビティに関するアラートを受け取ることができます。 さらに、期待されるデバイスの動作の知識に基づいて、カスタム アラートを作成できます。 アラートは侵害のリスクのインジケーターとして機能し、調査して修復する必要があります。
この記事では、IoT Hub でトリガーできる組み込みアラートの一覧を示します。 組み込みアラートのほかに、Defender for IoT を使用すると、IoT Hub やデバイスの予想される動作に基づいてカスタム アラートを定義することもできます。 詳細については、カスタマイズ可能なアラートに関する記事を参照してください。
IoT Hub 用の組み込みアラート
重要度レベル** 中**
| 名前 | 重大度 | Data Source | 説明 | 推奨される修復方法 | AlertType |
|---|---|---|---|---|---|
| 新しい証明書が IoT Hub に追加されました | Medium | IoT Hub | 証明書が IoT Hub に追加されました。 このアクションが未承認のパーティーによって行われた場合、悪意のあるアクティビティであることを示している可能性があります。 | 1.承認済みのパーティーによって証明書が追加されたことを確認してください。 2.追加したのが承認済みのパーティではない場合は、証明書を削除して、組織のセキュリティ チームにアラートをエスカレートしてください。 |
IoT_CertificateSuccessfullyAddedToHub |
| 証明書が IoT Hub から削除されました | Medium | IoT Hub | 証明書が IoT Hub から削除されました。 このアクションが未承認のパーティーによって行われた場合、悪意のあるアクティビティであることを示している可能性があります。 | 1.承認済みのパーティーによって証明書が削除されたことを確認してください。 2.証明書を削除したのが承認済みのパーティではない場合は、証明書を再び追加して、組織のセキュリティ チームにアラートをエスカレートしてください。 |
IoT_CertificateSuccessfullyDeletedFromHub |
| 証明書を IoT ハブに追加しようとして失敗したことが検出されました | Medium | IoT Hub | 証明書を IoT Hub に追加しようとして失敗しました。 このアクションが未承認のパーティーによって行われた場合、悪意のあるアクティビティであることを示している可能性があります。 | 証明書を変更するアクセス許可が承認済みのパーティーにのみ付与されていることを確認してください。 | Hub_CertificateFailedToBeAddedToHub |
| 証明書を IoT ハブから削除しようとして失敗したことが検出されました | Medium | IoT Hub | 証明書を IoT Hub から削除しようとして失敗しました。 このアクションが未承認のパーティーによって行われた場合、悪意のあるアクティビティであることを示している可能性があります。 | 証明書を変更するアクセス許可が承認済みのパーティーにのみ付与されていることを確認してください。 | IoT.Hub_CertificateFailedToBeDeletedFromHub |
| x.509 デバイス証明書の拇印が一致しません | Medium | IoT Hub | x.509 デバイス証明書の拇印は、構成と一致しませんでした。 | デバイスでアラートを確認してください。 これ以上必要な操作はありません。 | IoT_Cert_Print_Mismatch |
| x.509 証明書の有効期限が切れました | Medium | IoT Hub | X.509 デバイス証明書の有効期限が切れました。 | 証明書の有効期限が切れた正当なデバイスである可能性もありますが、正当なデバイスを偽装しようとする試みである可能性もあります。 現在、正当なデバイスが正しく通信しているようであれば、偽装の試みである可能性が高くなります。 | IoT_Cert_Expired |
重大度: 低
| 名前 | 重大度 | Data Source | 説明 | 推奨される修復方法 | AlertType |
|---|---|---|---|---|---|
| IoT ハブの診断設定を追加または編集しようとしたことが検出されました | 低 | IoT Hub | IoT ハブの診断設定を追加または編集しようとしたことが検出されました。 診断設定により、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 このアクションが承認されたパーティーによって行われたのでない場合、悪意のあるアクティビティであることを示している可能性があります。 | 1.承認済みのパーティーによって証明書が削除されたことを確認してください。 2.証明書を削除したのが承認済みのパーティではない場合は、証明書を再び追加して、セキュリティ チームにアラートをエスカレートしてください。 |
IoT_DiagnosticSettingAddedOrEditedOnHub |
| IoT ハブから診断設定を削除しようとしたことが検出されました | 低 | IoT Hub | IoT ハブの診断設定を追加または編集しようとしたことが検出されました。 診断設定により、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 このアクションが承認されたパーティーによって行われたのでない場合、悪意のあるアクティビティであることを示している可能性があります。 | 診断設定を変更するアクセス許可が、承認済みのパーティーにのみ付与されていることを確認してください。 | IoT_DiagnosticSettingDeletedFromHub |
| SAS トークンの有効期限が切れています | 低 | IoT Hub | 有効期限切れの SAS トークンがデバイスによって使用されました | トークンの有効期限が切れた正当なデバイスである可能性もありますが、正当なデバイスを偽装しようとする試みである可能性もあります。 現在、正当なデバイスが正しく通信しているようであれば、偽装の試みである可能性が高くなります。 | IoT_Expired_SAS_Token |
| SAS トークン署名が無効です | 低 | IoT Hub | デバイスによって使用される SAS トークンに、無効な署名があります。 この署名は、プライマリ キーとセカンダリ キーのどちらとも一致しません。 | デバイスのアラートを確認してください。 これ以上必要な操作はありません。 | IoT_Invalid_SAS_Token |
次のステップ
- Defender for IoT サービスの
[ 概要](overview.md)