Alertas de segurança do Defender para o Hub IoT
O Defender para IoT analisa as soluções IoT continuamente usando análise avançada e inteligência contra ameaças para alertar você sobre atividades mal-intencionadas. Além disso, você pode criar alertas personalizados com base no seu conhecimento do comportamento esperado dos dispositivos. Um alerta atua como um indicador de possível comprometimento e deve ser investigado e o problema corrigido.
Neste artigo, você encontrará uma lista de alertas internos, que podem ser disparados no seu Hub IoT. Além dos alertas internos, o Defender para IoT permite que você defina alertas personalizados de acordo com o comportamento esperado do Hub IoT e/ou do dispositivo. Para obter mais informações, veja Alertas personalizáveis.
Alertas internos do Hub IoT
Severidade média
| Nome | Severidade | fonte de dados | Descrição | Correção sugerida | AlertType |
|---|---|---|---|---|---|
| Novo certificado adicionado a um Hub IoT | Médio | Hub IoT | Um certificado foi adicionado a um Hub IoT do Azure. Se essa ação foi feita por uma parte não autorizada, ela pode indicar atividade mal-intencionada. | 1. Garanta que o certificado foi adicionado por uma parte autorizada. 2. Se ele não tiver sido adicionado por uma parte autorizada, remova o certificado e escalone o alerta para a equipe de segurança organizacional. |
IoT_CertificateSuccessfullyAddedToHub |
| Certificado excluído de um Hub IoT | Médio | Hub IoT | Um certificado foi excluído de um Hub IoT do Azure. Se essa ação foi feita por uma parte não autorizada, ela pode indicar atividade mal-intencionada. | 1. Garanta que o certificado foi removido por uma parte autorizada. 2. Se o certificado não foi removido por uma parte autorizada, adicione o certificado novamente e escalone o alerta para a equipe de segurança organizacional. |
IoT_CertificateSuccessfullyDeletedFromHub |
| Tentativa malsucedida de adicionar um certificado a um Hub IoT detectada | Médio | Hub IoT | Houve uma tentativa malsucedida de adicionar um certificado a um Hub IoT do Azure. Se essa ação foi feita por uma parte não autorizada, ela pode indicar atividade mal-intencionada. | Certifique-se de que as permissões para alterar certificados sejam concedidas somente a partes autorizadas. | Hub_CertificateFailedToBeAddedToHub |
| Tentativa malsucedida de excluir um certificado de um Hub IoT detectada | Médio | Hub IoT | Houve uma tentativa malsucedida de excluir um certificado de um Hub IoT do Azure. Se essa ação foi feita por uma parte não autorizada, ela pode indicar atividade mal-intencionada. | Certifique-se de que as permissões para alterar certificados sejam concedidas somente a partes autorizadas. | IoT.Hub_CertificateFailedToBeDeletedFromHub |
| Incompatibilidade da impressão digital do certificado de dispositivo x.509 | Médio | Hub IoT | A impressão digital do certificado de dispositivo x.509 não correspondeu à configuração. | Revise os alertas nos dispositivos. Nenhuma ação adicional é necessária. | IoT_Cert_Print_Mismatch |
| Certificado x.509 expirado | Médio | Hub IoT | O certificado de dispositivo x.509 expirou. | Esse pode ser um dispositivo legítimo com um certificado expirado ou uma tentativa de representar um dispositivo legítimo. Se o dispositivo legítimo estiver atualmente se comunicando corretamente, isso provavelmente é uma tentativa de representação. | IoT_Cert_Expired |
Severidade baixa
| Nome | Severidade | fonte de dados | Descrição | Correção sugerida | AlertType |
|---|---|---|---|---|---|
| Tentativa de adicionar ou editar uma configuração de diagnóstico de um Hub IoT detectada | Baixo | Hub IoT | Foi detectada uma tentativa de adicionar ou editar as configurações de diagnóstico de um Hub IoT. As configurações de diagnóstico permitem que você recrie trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida. Se essa ação foi feita por uma parte não autorizada, ela pode indicar atividade mal-intencionada. | 1. Garanta que o certificado foi removido por uma parte autorizada. 2. Se o certificado não foi removido por uma parte autorizada, adicione o certificado novamente e escalone o alerta para a equipe de segurança organizacional. |
IoT_DiagnosticSettingAddedOrEditedOnHub |
| Tentativa de excluir uma configuração de diagnóstico de um Hub IoT detectada | Baixo | Hub IoT | Foi detectada uma tentativa de adicionar ou editar as configurações de diagnóstico de um Hub IoT. As configurações de diagnóstico permitem que você recrie trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida. Se essa ação foi feita por uma parte não autorizada, ela pode indicar atividade mal-intencionada. | Verifique se as permissões para alterar as configurações de diagnóstico são concedidas somente a uma parte autorizada. | IoT_DiagnosticSettingDeletedFromHub |
| Token SAS expirado | Baixo | Hub IoT | Token SAS expirado usado por um dispositivo | Esse pode ser um dispositivo legítimo com um token expirado ou uma tentativa de representar um dispositivo legítimo. Se o dispositivo legítimo estiver atualmente se comunicando corretamente, isso provavelmente é uma tentativa de representação. | IoT_Expired_SAS_Token |
| Assinatura de token SAS inválida | Baixo | Hub IoT | Um token SAS usado por um dispositivo tem uma assinatura inválida. A assinatura não corresponde à chave primária ou secundária. | Revise os alertas nos dispositivos. Nenhuma ação adicional é necessária. | IoT_Invalid_SAS_Token |
Próximas etapas
- Visão geral do serviço Defender para IoT