Alerty zabezpieczeń usługi Defender for IoT Hub
Usługa Defender dla IoT stale analizuje rozwiązanie IoT przy użyciu zaawansowanej analizy i analizy zagrożeń, aby otrzymywać alerty o złośliwych działaniach. Ponadto można tworzyć alerty niestandardowe na podstawie wiedzy o oczekiwanym zachowaniu urządzenia. Alert działa jako wskaźnik potencjalnego naruszenia i powinien zostać zbadany i skorygowany.
W tym artykule znajdziesz listę wbudowanych alertów, które mogą być wyzwalane na IoT Hub. Oprócz wbudowanych alertów usługa Defender dla IoT umożliwia definiowanie alertów niestandardowych na podstawie oczekiwanych IoT Hub i/lub zachowania urządzenia. Aby uzyskać więcej informacji, zobacz dostosowywanie alertów.
Wbudowane alerty dla IoT Hub
Średnia ważność
| Nazwa | Ważność | Źródło danych | Opis | Sugerowane korygowanie | AlertType |
|---|---|---|---|---|---|
| Nowy certyfikat dodany do IoT Hub | Śred. | Usługa IoT Hub | Certyfikat został dodany do IoT Hub. Jeśli ta akcja została wykonana przez nieautoryzowaną osobę, może to oznaczać złośliwe działanie. | 1. Upewnij się, że certyfikat został dodany przez autoryzowaną osobę. 2. Jeśli nie został dodany przez autoryzowaną osobę, usuń certyfikat i przeprowadź eskalację alertu do zespołu ds. zabezpieczeń organizacji. |
IoT_CertificateSuccessfullyAddedToHub |
| Certyfikat usunięty z IoT Hub | Śred. | Usługa IoT Hub | Certyfikat został usunięty z IoT Hub. Jeśli ta akcja została wykonana przez nieautoryzowaną osobę, może to oznaczać złośliwe działanie. | 1. Upewnij się, że certyfikat został usunięty przez autoryzowaną osobę. 2. Jeśli certyfikat nie został usunięty przez autoryzowaną osobę, dodaj certyfikat z powrotem i przeprowadź eskalację alertu do zespołu ds. zabezpieczeń organizacji. |
IoT_CertificateSuccessfullyDeletedFromHub |
| Wykryto nieudaną próbę dodania certyfikatu do IoT Hub | Śred. | Usługa IoT Hub | Nastąpiła nieudana próba dodania certyfikatu do IoT Hub. Jeśli ta akcja została wykonana przez nieautoryzowaną osobę, może to oznaczać złośliwe działanie. | Upewnij się, że uprawnienia do zmiany certyfikatów są przyznawane tylko autoryzowanym stronom. | Hub_CertificateFailedToBeAddedToHub |
| Wykryto nieudaną próbę usunięcia certyfikatu z IoT Hub | Śred. | Usługa IoT Hub | Wystąpiła nieudana próba usunięcia certyfikatu z IoT Hub. Jeśli ta akcja została wykonana przez nieautoryzowaną osobę, może to oznaczać złośliwe działanie. | Upewnij się, że uprawnienia do zmiany certyfikatów są przyznawane tylko autoryzowanej osobie. | IoT.Hub_CertificateFailedToBeDeletedFromHub |
| Niezgodność odcisku palca certyfikatu urządzenia x.509 | Śred. | Usługa IoT Hub | Odcisk palca certyfikatu urządzenia x.509 nie był zgodny z konfiguracją. | Przejrzyj alerty na urządzeniach. Nie są wymagane żadne dalsze działania. | IoT_Cert_Print_Mismatch |
| Certyfikat x.509 wygasł | Śred. | Usługa IoT Hub | Certyfikat urządzenia X.509 wygasł. | Może to być uzasadnione urządzenie z wygasłym certyfikatem lub próba personifikacji wiarygodnego urządzenia. Jeśli prawidłowe urządzenie komunikuje się obecnie poprawnie, prawdopodobnie jest to próba personifikacji. | IoT_Cert_Expired |
Niska ważność
| Nazwa | Ważność | Źródło danych | Opis | Sugerowane korygowanie | AlertType |
|---|---|---|---|---|---|
| Próba dodania lub edytowania ustawienia diagnostycznego wykrytego IoT Hub | Niski | Usługa IoT Hub | Wykryto próbę dodania lub edytowania ustawień diagnostycznych IoT Hub. Ustawienia diagnostyczne umożliwiają ponowne tworzenie śladów aktywności na potrzeby badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci. Jeśli ta akcja nie została wykonana przez autoryzowaną stronę, może to oznaczać złośliwe działanie. | 1. Upewnij się, że certyfikat został usunięty przez autoryzowaną osobę. 2. Jeśli certyfikat nie został usunięty przez autoryzowaną osobę, dodaj certyfikat z powrotem i eskaluj alert do zespołu ds. zabezpieczeń informacji. |
IoT_DiagnosticSettingAddedOrEditedOnHub |
| Próba usunięcia ustawienia diagnostycznego z wykrytego IoT Hub | Niski | Usługa IoT Hub | Wykryto próbę dodania lub edytowania ustawień diagnostycznych IoT Hub. Ustawienia diagnostyczne umożliwiają ponowne tworzenie śladów aktywności na potrzeby badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci. Jeśli ta akcja nie została wykonana przez autoryzowaną stronę, może to oznaczać złośliwe działanie. | Upewnij się, że uprawnienia do zmiany ustawień diagnostycznych są przyznawane tylko autoryzowanej osobie. | IoT_DiagnosticSettingDeletedFromHub |
| Wygasły token SAS | Niski | Usługa IoT Hub | Wygasły token SAS używany przez urządzenie | Może być legalnym urządzeniem z wygasłym tokenem lub próbą personifikacji wiarygodnego urządzenia. Jeśli prawidłowe urządzenie komunikuje się obecnie poprawnie, prawdopodobnie jest to próba personifikacji. | IoT_Expired_SAS_Token |
| Nieprawidłowy podpis tokenu SAS | Niski | Usługa IoT Hub | Token SAS używany przez urządzenie ma nieprawidłowy podpis. Podpis nie jest zgodny z kluczem podstawowym lub pomocniczym. | Przejrzyj alerty na urządzeniach. Nie są wymagane żadne dalsze działania. | IoT_Invalid_SAS_Token |
Następne kroki
- Omówienie usługi Defender for IoT