Defender voor IoT Hub-beveiligingswaarschuwingen
Defender for IoT analyseert continu uw IoT-oplossing met behulp van geavanceerde analyses en bedreigingsinformatie om u te waarschuwen voor schadelijke activiteiten. Daarnaast kunt u aangepaste waarschuwingen maken op basis van uw kennis van het verwachte gedrag van het apparaat. Een waarschuwing fungeert als een indicator van mogelijke inbreuk en moet worden onderzocht en hersteld.
In dit artikel vindt u een lijst met ingebouwde waarschuwingen, die kunnen worden geactiveerd op uw IoT Hub. Naast ingebouwde waarschuwingen kunt u met Defender for IoT aangepaste waarschuwingen definiƫren op basis van verwachte IoT Hub en/of apparaatgedrag. Zie Aanpasbare waarschuwingen voor meer informatie.
Ingebouwde waarschuwingen voor IoT Hub
Gemiddelde ernst
| Naam | Ernst | Gegevensbron | Description | Voorgestelde herstelbewerking | AlertType |
|---|---|---|---|---|---|
| Nieuw certificaat toegevoegd aan een IoT Hub | Normaal | IoT Hub | Er is een certificaat toegevoegd aan een IoT Hub. Als deze actie is uitgevoerd door een onbevoegde partij, kan dit duiden op schadelijke activiteiten. | 1. Controleer of het certificaat is toegevoegd door een geautoriseerde partij. 2. Als het niet is toegevoegd door een geautoriseerde partij, verwijdert u het certificaat en escaleert u de waarschuwing naar het beveiligingsteam van de organisatie. |
IoT_CertificateSuccessfullyAddedToHub |
| Certificaat verwijderd uit een IoT Hub | Normaal | IoT Hub | Een certificaat is verwijderd uit een IoT Hub. Als deze actie is uitgevoerd door een onbevoegde partij, kan dit duiden op een schadelijke activiteit. | 1. Controleer of het certificaat is verwijderd door een geautoriseerde partij. 2. Als het certificaat niet is verwijderd door een geautoriseerde partij, voegt u het certificaat weer toe en escaleert u de waarschuwing naar het beveiligingsteam van de organisatie. |
IoT_CertificateSuccessfullyDeletedFromHub |
| Mislukte poging gedetecteerd om een certificaat toe te voegen aan een IoT Hub | Normaal | IoT Hub | Er is een mislukte poging om een certificaat toe te voegen aan een IoT Hub. Als deze actie is uitgevoerd door een onbevoegde partij, kan dit duiden op schadelijke activiteiten. | Zorg ervoor dat machtigingen voor het wijzigen van certificaten alleen worden verleend aan geautoriseerde partijen. | Hub_CertificateFailedToBeAddedToHub |
| Mislukte poging om een certificaat te verwijderen uit een IoT Hub | Normaal | IoT Hub | Er is een mislukte poging om een certificaat te verwijderen uit een IoT Hub. Als deze actie is uitgevoerd door een onbevoegde partij, kan dit duiden op schadelijke activiteiten. | Zorg ervoor dat machtigingen voor het wijzigen van certificaten alleen worden verleend aan een geautoriseerde partij. | IoT.Hub_CertificateFailedToBeDeletedFromHub |
| Vingerafdruk van x.509-apparaatcertificaat komt niet overeen | Normaal | IoT Hub | De vingerafdruk van het x.509-apparaatcertificaat komt niet overeen met de configuratie. | Controleer waarschuwingen op de apparaten. Er is geen verdere actie vereist. | IoT_Cert_Print_Mismatch |
| x.509-certificaat verlopen | Normaal | IoT Hub | X.509-apparaatcertificaat is verlopen. | Dit kan een legitiem apparaat zijn met een verlopen certificaat of een poging om een legitiem apparaat te imiteren. Als het legitieme apparaat momenteel correct communiceert, is dit waarschijnlijk een imitatiepoging. | IoT_Cert_Expired |
Lage ernst
| Naam | Ernst | Gegevensbron | Description | Voorgestelde herstelbewerking | AlertType |
|---|---|---|---|---|---|
| Er is een poging om een diagnostische instelling van een IoT Hub gedetecteerd toe te voegen of te bewerken | Beperkt | IoT Hub | Er is een poging gedetecteerd om de diagnostische instellingen van een IoT Hub toe te voegen of te bewerken. Met diagnostische instellingen kunt u activiteitentrails opnieuw maken voor onderzoeksdoeleinden wanneer er een beveiligingsincident optreedt of wanneer uw netwerk is gecompromitteerd. Als deze actie niet is uitgevoerd door een geautoriseerde partij, kan dit duiden op schadelijke activiteiten. | 1. Controleer of het certificaat is verwijderd door een geautoriseerde partij. 2. Als het certificaat niet is verwijderd door een geautoriseerde partij, voegt u het certificaat terug en escaleert u de waarschuwing naar uw informatiebeveiligingsteam. |
IoT_DiagnosticSettingAddedOrEditedOnHub |
| Poging om een diagnostische instelling te verwijderen uit een IoT Hub gedetecteerd | Beperkt | IoT Hub | Er is een poging gedetecteerd om de diagnostische instellingen van een IoT Hub toe te voegen of te bewerken. Met diagnostische instellingen kunt u activiteitentrails opnieuw maken voor onderzoeksdoeleinden wanneer er een beveiligingsincident optreedt of wanneer uw netwerk is gecompromitteerd. Als deze actie niet is uitgevoerd door een geautoriseerde partij, kan dit duiden op schadelijke activiteiten. | Zorg ervoor dat machtigingen voor het wijzigen van diagnostische instellingen alleen worden verleend aan een geautoriseerde partij. | IoT_DiagnosticSettingDeletedFromHub |
| Verlopen SAS-token | Beperkt | IoT Hub | Verlopen SAS-token dat wordt gebruikt door een apparaat | Dit kan een legitiem apparaat zijn met een verlopen token of een poging om een legitiem apparaat te imiteren. Als het legitieme apparaat momenteel correct communiceert, is dit waarschijnlijk een imitatiepoging. | IoT_Expired_SAS_Token |
| Ongeldige SAS-tokenhandtekening | Beperkt | IoT Hub | Een SAS-token dat door een apparaat wordt gebruikt, heeft een ongeldige handtekening. De handtekening komt niet overeen met de primaire of secundaire sleutel. | Controleer de waarschuwingen op de apparaten. Er is geen verdere actie vereist. | IoT_Invalid_SAS_Token |
Volgende stappen
- Overzicht van Defender for IoT-service