Alertas de segurança do Defender para Hub IoT
O Defender para IoT analisa continuamente a sua solução de IoT com análises avançadas e informações sobre ameaças para alertá-lo para atividades maliciosas. Além disso, pode criar alertas personalizados com base no seu conhecimento do comportamento esperado do dispositivo. Um alerta funciona como um indicador de potencial compromisso e deve ser investigado e remediado.
Neste artigo, encontrará uma lista de alertas incorporados, que podem ser acionados no seu Hub IoT. Além dos alertas incorporados, o Defender para IoT permite-lhe definir alertas personalizados com base no comportamento esperado do Hub IoT e/ou do dispositivo. Para obter mais informações, veja alertas personalizáveis.
Alertas incorporados para Hub IoT
Gravidade média
| Name | Gravidade | Origem de dados | Description | Remediação sugerida | Tipo de Alerta |
|---|---|---|---|---|---|
| Novo certificado adicionado a um Hub IoT | Médio | IoT Hub | Foi adicionado um certificado a um Hub IoT. Se esta ação tiver sido efetuada por uma parte não autorizada, poderá indicar atividade maliciosa. | 1. Certifique-se de que o certificado foi adicionado por uma entidade autorizada. 2. Se não tiver sido adicionado por uma entidade autorizada, remova o certificado e efetue o escalamento do alerta para a equipa de segurança organizacional. |
IoT_CertificateSuccessfullyAddedToHub |
| Certificado eliminado de um Hub IoT | Médio | IoT Hub | Um certificado foi eliminado de um Hub IoT. Se esta ação tiver sido efetuada por uma parte não autorizada, poderá indicar uma atividade maliciosa. | 1. Certifique-se de que o certificado foi removido por uma entidade autorizada. 2. Se o certificado não tiver sido removido por uma entidade autorizada, adicione o certificado novamente e reencalize o alerta para a equipa de segurança organizacional. |
IoT_CertificateSuccessfullyDeletedFromHub |
| Tentativa sem êxito detetada para adicionar um certificado a um Hub IoT | Médio | IoT Hub | Ocorreu uma tentativa falhada de adicionar um certificado a um Hub IoT. Se esta ação tiver sido efetuada por uma parte não autorizada, poderá indicar atividade maliciosa. | Certifique-se de que as permissões para alterar certificados só são concedidas a entidades autorizadas. | Hub_CertificateFailedToBeAddedToHub |
| Foi detetada uma tentativa sem êxito de eliminar um certificado de um Hub IoT | Médio | IoT Hub | Ocorreu uma tentativa falhada de eliminar um certificado de um Hub IoT. Se esta ação tiver sido efetuada por uma parte não autorizada, poderá indicar atividade maliciosa. | Certifique-se de que as permissões para alterar certificados só são concedidas a uma parte autorizada. | IoT.Hub_CertificateFailedToBeDeletedFromHub |
| erro de correspondência do thumbprint do certificado de dispositivo x.509 | Médio | IoT Hub | x.509 device certificate thumbprint did not match configuration. | Reveja os alertas nos dispositivos. Não é necessária mais nenhuma ação. | IoT_Cert_Print_Mismatch |
| certificado x.509 expirado | Médio | IoT Hub | O certificado de dispositivo X.509 expirou. | Pode ser um dispositivo legítimo com um certificado expirado ou uma tentativa de representar um dispositivo legítimo. Se o dispositivo legítimo estiver a comunicar corretamente, é provável que seja uma tentativa de representação. | IoT_Cert_Expired |
Baixa gravidade
| Name | Gravidade | Origem de dados | Description | Remediação sugerida | Tipo de Alerta |
|---|---|---|---|---|---|
| Tentativa de adicionar ou editar uma definição de diagnóstico de uma Hub IoT detetada | Baixo | IoT Hub | Foi detetada uma tentativa de adicionar ou editar as definições de diagnóstico de um Hub IoT. As definições de diagnóstico permitem-lhe recriar os registos de atividade para fins de investigação quando ocorre um incidente de segurança ou a sua rede fica comprometida. Se esta ação não tiver sido efetuada por uma parte autorizada, poderá indicar atividade maliciosa. | 1. Certifique-se de que o certificado foi removido por uma entidade autorizada. 2. Se o certificado não tiver sido removido por uma entidade autorizada, adicione novamente o certificado e reenpasse o alerta para a sua equipa de segurança de informações. |
IoT_DiagnosticSettingAddedOrEditedOnHub |
| Tentativa de eliminar uma definição de diagnóstico de uma Hub IoT detetada | Baixo | IoT Hub | Foi detetada uma tentativa de adicionar ou editar as definições de diagnóstico de um Hub IoT. As definições de diagnóstico permitem-lhe recriar os registos de atividade para fins de investigação quando ocorre um incidente de segurança ou a sua rede fica comprometida. Se esta ação não tiver sido efetuada por uma parte autorizada, poderá indicar atividade maliciosa. | Certifique-se de que as permissões para alterar as definições de diagnóstico são concedidas apenas a uma entidade autorizada. | IoT_DiagnosticSettingDeletedFromHub |
| Token de SAS expirado | Baixo | IoT Hub | Token de SAS expirado utilizado por um dispositivo | Pode ser um dispositivo legítimo com um token expirado ou uma tentativa de representar um dispositivo legítimo. Se o dispositivo legítimo estiver a comunicar corretamente, é provável que seja uma tentativa de representação. | IoT_Expired_SAS_Token |
| Assinatura de token de SAS inválida | Baixo | IoT Hub | Um token de SAS utilizado por um dispositivo tem uma assinatura inválida. A assinatura não corresponde à chave primária ou secundária. | Reveja os alertas nos dispositivos. Não é necessária mais nenhuma ação. | IoT_Invalid_SAS_Token |
Passos seguintes
- Descrição Geral do serviço Defender para IoT