Оповещения системы безопасности Defender для Центра Интернета вещей
Defender для Интернета вещей постоянно анализирует решение для Интернета вещей с помощью инструментов расширенной аналитики и аналитики угроз, чтобы оповещать вас о вредоносных действиях. Кроме того, можно создавать настраиваемые оповещения на основе знаний об ожидаемом поведении устройства. Оповещение служит индикатором потенциальной компрометации, поэтому нужно его исследовать и принять необходимые меры.
В этой статье приведен список встроенных оповещений, которые можно активировать в Центре Интернета вещей. Помимо встроенных оповещений, Defender для Интернета вещей позволяет создавать настраиваемые оповещения на основе ожидаемого поведения Центра Интернета вещей и (или) устройства. Дополнительные сведения см. в статье о настраиваемых оповещениях.
Встроенные оповещения для Центра Интернета вещей
Средняя серьезность
| Имя | Статус | Источник данных | Описание | Предлагаемые способы исправления | AlertType |
|---|---|---|---|---|---|
| В Центр Интернета вещей добавлен новый сертификат | Средн. | Центр Интернета вещей | В Центр Интернета вещей добавлен сертификат. Если эта операция не была выполнена полномочным лицом, она может указывать на вредоносные действия. | 1. Убедитесь, что сертификат добавлен полномочным лицом. 2. Если нет, удалите сертификат и эскалируйте оповещение в службу безопасности организации. |
IoT_CertificateSuccessfullyAddedToHub |
| Сертификат удален из Центра Интернета вещей | Средн. | Центр Интернета вещей | Из Центра Интернета вещей удален сертификат. Если эта операция не была выполнена полномочным лицом, она может указывать на вредоносные действия. | 1. Убедитесь, что сертификат удален полномочным лицом. 2. Если нет, добавьте сертификат обратно и эскалируйте оповещение в службу безопасности организации. |
IoT_CertificateSuccessfullyDeletedFromHub |
| Обнаружена неудачная попытка добавить сертификат в Центр Интернета вещей | Средн. | Центр Интернета вещей | Обнаружена неудачная попытка добавить сертификат в Центр Интернета вещей. Если эта операция не была выполнена полномочным лицом, она может указывать на вредоносные действия. | Убедитесь, что разрешения на изменение сертификатов предоставлены только полномочным лицам. | Hub_CertificateFailedToBeAddedToHub |
| Обнаружена неудачная попытка удалить сертификат из Центра Интернета вещей | Средн. | Центр Интернета вещей | Обнаружена неудачная попытка удалить сертификат из Центра Интернета вещей. Если эта операция не была выполнена полномочным лицом, она может указывать на вредоносные действия. | Убедитесь, что разрешения на изменение сертификатов предоставлены только полномочным лицам. | IoT.Hub_CertificateFailedToBeDeletedFromHub |
| Несоответствие отпечатка сертификата X.509 устройства | Средн. | Центр Интернета вещей | Отпечаток сертификата X.509 устройства не соответствует конфигурации. | Проверьте оповещения на устройствах. Никаких дополнительных действий не требуется. | IoT_Cert_Print_Mismatch |
| Истек срок действия сертификата X.509 | Средн. | Центр Интернета вещей | Истек срок действия сертификата X.509 устройства. | Это может быть подлинное устройство с просроченным сертификатом или попытка олицетворения подлинного устройства. Если допустимое устройство в настоящее время подключено надлежащим образом, вероятно, это попытка олицетворения. | IoT_Cert_Expired |
Низкая серьезность
| Имя | Статус | Источник данных | Описание | Предлагаемые способы исправления | AlertType |
|---|---|---|---|---|---|
| Обнаружена попытка добавить или изменить параметр диагностики Центра Интернета вещей | Низкий | Центр Интернета вещей | Обнаружена попытка добавить или изменить параметр диагностики Центра Интернета вещей. Параметры диагностики позволяют воссоздавать действия для анализа инцидентов безопасности или при компрометации сети. Если эта операция не была выполнена полномочным лицом, она может указывать на вредоносные действия. | 1. Убедитесь, что сертификат удален полномочным лицом. 2. Если нет, добавьте сертификат обратно и эскалируйте оповещение в службу информационной безопасности. |
IoT_DiagnosticSettingAddedOrEditedOnHub |
| Обнаружена попытка удалить параметр диагностики из Центра Интернета вещей | Низкий | Центр Интернета вещей | Обнаружена попытка добавить или изменить параметр диагностики Центра Интернета вещей. Параметры диагностики позволяют воссоздавать действия для анализа инцидентов безопасности или при компрометации сети. Если эта операция не была выполнена полномочным лицом, она может указывать на вредоносные действия. | Убедитесь, что разрешения на изменение параметров диагностики предоставлены только полномочным лицам. | IoT_DiagnosticSettingDeletedFromHub |
| Истек срок действия маркера SAS | Низкий | Центр Интернета вещей | Устройство использовало маркер SAS с истекшим сроком действия | Это может быть подлинное устройство с просроченным токеном или попытка олицетворения подлинного устройства. Если допустимое устройство в настоящее время подключено надлежащим образом, вероятно, это попытка олицетворения. | IoT_Expired_SAS_Token |
| Недопустимая подпись маркера SAS | Низкий | Центр Интернета вещей | У используемого устройством маркера SAS недопустимая подпись. Подпись не соответствует первичному или вторичному ключу. | Проверьте оповещения на устройствах. Никаких дополнительных действий не требуется. | IoT_Invalid_SAS_Token |