Säkerhetsaviseringar för Defender för IoT Hub
Defender for IoT analyserar kontinuerligt din IoT-lösning med hjälp av avancerad analys och hotinformation för att varna dig om skadlig aktivitet. Dessutom kan du skapa anpassade aviseringar baserat på dina kunskaper om förväntat enhetsbeteende. En avisering fungerar som en indikator på potentiella kompromisser och bör undersökas och åtgärdas.
I den här artikeln hittar du en lista över inbyggda aviseringar som kan utlösas på din IoT Hub. Förutom inbyggda aviseringar kan du med Defender för IoT definiera anpassade aviseringar baserat på förväntat IoT Hub och/eller enhetsbeteende. Mer information finns i Anpassningsbara aviseringar.
Inbyggda aviseringar för IoT Hub
Medelhög allvarlighetsgrad
| Name | Allvarlighetsgrad | Datakälla | Beskrivning | Föreslagen reparation | AlertType |
|---|---|---|---|---|---|
| Nytt certifikat har lagts till i en IoT Hub | Medel | IoT Hub | Ett certifikat har lagts till i en IoT Hub. Om den här åtgärden har utförts av en obehörig part kan det tyda på skadlig aktivitet. | 1. Kontrollera att certifikatet har lagts till av en behörig part. 2. Om den inte har lagts till av en behörig part tar du bort certifikatet och eskalerar aviseringen till organisationens säkerhetsteam. |
IoT_CertificateSuccessfullyAddedToHub |
| Certifikatet har tagits bort från en IoT Hub | Medel | IoT Hub | Ett certifikat har tagits bort från en IoT Hub. Om den här åtgärden har utförts av en obehörig part kan det tyda på en skadlig aktivitet. | 1. Kontrollera att certifikatet har tagits bort av en behörig part. 2. Om certifikatet inte har tagits bort av en behörig part lägger du tillbaka certifikatet och eskalerar aviseringen till organisationens säkerhetsteam. |
IoT_CertificateSuccessfullyDeletedFromHub |
| Ett misslyckat försök har upptäckts att lägga till ett certifikat i en IoT Hub | Medel | IoT Hub | Ett misslyckat försök gjordes att lägga till ett certifikat i en IoT Hub. Om den här åtgärden har utförts av en obehörig part kan det tyda på skadlig aktivitet. | Kontrollera att behörigheter för att ändra certifikat endast beviljas till behöriga parter. | Hub_CertificateFailedToBeAddedToHub |
| Ett misslyckat försök har upptäckts att ta bort ett certifikat från en IoT Hub | Medel | IoT Hub | Ett misslyckat försök gjordes att ta bort ett certifikat från en IoT Hub. Om den här åtgärden har utförts av en obehörig part kan det tyda på skadlig aktivitet. | Kontrollera att behörigheter för att ändra certifikat endast beviljas till en behörig part. | IoT.Hub_CertificateFailedToBeDeletedFromHub |
| tumavtrycksmatchning för x.509-enhetscertifikat | Medel | IoT Hub | Tumavtrycket för x.509-enhetscertifikatet matchade inte konfigurationen. | Granska aviseringar på enheterna. Ingen ytterligare åtgärd krävs. | IoT_Cert_Print_Mismatch |
| x.509-certifikatet har upphört att gälla | Medel | IoT Hub | X.509-enhetscertifikatet har upphört att gälla. | Detta kan vara en legitim enhet med ett utgånget certifikat eller ett försök att personifiera en legitim enhet. Om den legitima enheten kommunicerar korrekt är det troligtvis ett personifieringsförsök. | IoT_Cert_Expired |
Låg allvarlighetsgrad
| Name | Allvarlighetsgrad | Datakälla | Beskrivning | Föreslagen reparation | AlertType |
|---|---|---|---|---|---|
| Försök att lägga till eller redigera en diagnostikinställning för en IoT Hub har identifierats | Låg | IoT Hub | Försök att lägga till eller redigera diagnostikinställningarna för en IoT Hub har identifierats. Med diagnostikinställningar kan du återskapa aktivitetsloggar i undersökningssyfte när en säkerhetsincident inträffar eller om nätverket har komprometterats. Om den här åtgärden inte har utförts av en behörig part kan det tyda på skadlig aktivitet. | 1. Kontrollera att certifikatet har tagits bort av en behörig part. 2. Om certifikatet inte har tagits bort av en behörig part lägger du tillbaka certifikatet och eskalerar aviseringen till ditt informationssäkerhetsteam. |
IoT_DiagnosticSettingAddedOrEditedOnHub |
| Försök att ta bort en diagnostikinställning från en IoT Hub har identifierats | Låg | IoT Hub | Försök att lägga till eller redigera diagnostikinställningarna för en IoT Hub har identifierats. Med diagnostikinställningar kan du återskapa aktivitetsloggar i undersökningssyfte när en säkerhetsincident inträffar eller om nätverket har komprometterats. Om den här åtgärden inte har utförts av en behörig part kan det tyda på skadlig aktivitet. | Kontrollera att behörigheter för att ändra diagnostikinställningar endast beviljas till en behörig part. | IoT_DiagnosticSettingDeletedFromHub |
| SAS-token har upphört att gälla | Låg | IoT Hub | SAS-token som har upphört att gälla som används av en enhet | Kan vara en legitim enhet med en token som har upphört att gälla eller ett försök att personifiera en legitim enhet. Om den legitima enheten kommunicerar korrekt är det troligtvis ett personifieringsförsök. | IoT_Expired_SAS_Token |
| Ogiltig SAS-tokensignatur | Låg | IoT Hub | En SAS-token som används av en enhet har en ogiltig signatur. Signaturen matchar inte den primära eller sekundära nyckeln. | Granska aviseringarna på enheterna. Ingen ytterligare åtgärd krävs. | IoT_Invalid_SAS_Token |
Nästa steg
- Översikt över Defender för IoT-tjänsten