Compartilhar via


Alertas de segurança do Defender para o Hub IoT

O Defender para IoT analisa as soluções IoT continuamente usando análise avançada e inteligência contra ameaças para alertar você sobre atividades mal-intencionadas. Além disso, você pode criar alertas personalizados com base no seu conhecimento do comportamento esperado dos dispositivos. Um alerta atua como um indicador de possível comprometimento e deve ser investigado e o problema corrigido.

Neste artigo, você encontrará uma lista de alertas internos, que podem ser disparados no seu Hub IoT. Além dos alertas internos, o Defender para IoT permite que você defina alertas personalizados de acordo com o comportamento esperado do Hub IoT e/ou do dispositivo. Para obter mais informações, veja Alertas personalizáveis.

Alertas internos do Hub IoT

Severidade média

Nome Severidade fonte de dados Descrição Correção sugerida AlertType
Novo certificado adicionado a um Hub IoT Médio Hub IoT Um certificado foi adicionado a um Hub IoT do Azure. Se essa ação foi feita por uma parte não autorizada, ela pode indicar atividade mal-intencionada. 1. Garanta que o certificado foi adicionado por uma parte autorizada.
2. Se ele não tiver sido adicionado por uma parte autorizada, remova o certificado e escalone o alerta para a equipe de segurança organizacional.
IoT_CertificateSuccessfullyAddedToHub
Certificado excluído de um Hub IoT Médio Hub IoT Um certificado foi excluído de um Hub IoT do Azure. Se essa ação foi feita por uma parte não autorizada, ela pode indicar atividade mal-intencionada. 1. Garanta que o certificado foi removido por uma parte autorizada.
2. Se o certificado não foi removido por uma parte autorizada, adicione o certificado novamente e escalone o alerta para a equipe de segurança organizacional.
IoT_CertificateSuccessfullyDeletedFromHub
Tentativa malsucedida de adicionar um certificado a um Hub IoT detectada Médio Hub IoT Houve uma tentativa malsucedida de adicionar um certificado a um Hub IoT do Azure. Se essa ação foi feita por uma parte não autorizada, ela pode indicar atividade mal-intencionada. Certifique-se de que as permissões para alterar certificados sejam concedidas somente a partes autorizadas. Hub_CertificateFailedToBeAddedToHub
Tentativa malsucedida de excluir um certificado de um Hub IoT detectada Médio Hub IoT Houve uma tentativa malsucedida de excluir um certificado de um Hub IoT do Azure. Se essa ação foi feita por uma parte não autorizada, ela pode indicar atividade mal-intencionada. Certifique-se de que as permissões para alterar certificados sejam concedidas somente a partes autorizadas. IoT.Hub_CertificateFailedToBeDeletedFromHub
Incompatibilidade da impressão digital do certificado de dispositivo x.509 Médio Hub IoT A impressão digital do certificado de dispositivo x.509 não correspondeu à configuração. Revise os alertas nos dispositivos. Nenhuma ação adicional é necessária. IoT_Cert_Print_Mismatch
Certificado x.509 expirado Médio Hub IoT O certificado de dispositivo x.509 expirou. Esse pode ser um dispositivo legítimo com um certificado expirado ou uma tentativa de representar um dispositivo legítimo. Se o dispositivo legítimo estiver atualmente se comunicando corretamente, isso provavelmente é uma tentativa de representação. IoT_Cert_Expired

Severidade baixa

Nome Severidade fonte de dados Descrição Correção sugerida AlertType
Tentativa de adicionar ou editar uma configuração de diagnóstico de um Hub IoT detectada Baixo Hub IoT Foi detectada uma tentativa de adicionar ou editar as configurações de diagnóstico de um Hub IoT. As configurações de diagnóstico permitem que você recrie trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida. Se essa ação foi feita por uma parte não autorizada, ela pode indicar atividade mal-intencionada. 1. Garanta que o certificado foi removido por uma parte autorizada.
2. Se o certificado não foi removido por uma parte autorizada, adicione o certificado novamente e escalone o alerta para a equipe de segurança organizacional.
IoT_DiagnosticSettingAddedOrEditedOnHub
Tentativa de excluir uma configuração de diagnóstico de um Hub IoT detectada Baixo Hub IoT Foi detectada uma tentativa de adicionar ou editar as configurações de diagnóstico de um Hub IoT. As configurações de diagnóstico permitem que você recrie trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida. Se essa ação foi feita por uma parte não autorizada, ela pode indicar atividade mal-intencionada. Verifique se as permissões para alterar as configurações de diagnóstico são concedidas somente a uma parte autorizada. IoT_DiagnosticSettingDeletedFromHub
Token SAS expirado Baixo Hub IoT Token SAS expirado usado por um dispositivo Esse pode ser um dispositivo legítimo com um token expirado ou uma tentativa de representar um dispositivo legítimo. Se o dispositivo legítimo estiver atualmente se comunicando corretamente, isso provavelmente é uma tentativa de representação. IoT_Expired_SAS_Token
Assinatura de token SAS inválida Baixo Hub IoT Um token SAS usado por um dispositivo tem uma assinatura inválida. A assinatura não corresponde à chave primária ou secundária. Revise os alertas nos dispositivos. Nenhuma ação adicional é necessária. IoT_Invalid_SAS_Token

Próximas etapas