通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Defender for IoT 中心安全警报

  • 项目

Defender for IoT 使用高级分析和威胁智能来持续分析 IoT 解决方案,在存在恶意活动时发出警报。 此外,你可以根据对预期设备行为的了解来创建自定义警报。 该警报用作潜在危害指标,应进行调查和修正。

本文提供了可在 IoT 中心上触发的内置警报的列表。 除内置警报外,借助 Defender for IoT 还可以根据预期 IoT 中心和/或设备行为定义自定义警报。 有关详细信息,请参阅可自定义的警报

IoT 中心的内置警报

中等严重性

名称 严重性 数据源 说明 建议的补救措施 AlertType
将新证书添加到 IoT 中心 IoT 中心 已将证书添加到 IoT 中心。 如果此操作是由未授权方执行的,则可能表明存在恶意活动。 1.请确保证书由授权方添加。
2.如果该证书不是由授权方添加的,请删除该证书并将警报上报给组织安全团队。		 IoT_CertificateSuccessfullyAddedToHub
从 IoT 中心删除证书 IoT 中心 已从 IoT 中心删除证书。 如果此操作是由未授权方执行的,则可能表明存在恶意活动。 1.请确保证书已由授权方删除。
2.如果该证书不是由授权方删除的,请添加回该证书并将警报上报给组织安全团队。		 IoT_CertificateSuccessfullyDeletedFromHub
检测到将证书添加到 IoT 中心的尝试失败 IoT 中心 尝试将证书添加到 IoT 中心失败。 如果此操作是由未授权方执行的,则可能表明存在恶意活动。 请确保仅向授权方授予更改证书的权限。 Hub_CertificateFailedToBeAddedToHub
检测到从 IoT 中心删除证书的尝试失败 IoT 中心 尝试从 IoT 中心删除证书失败。 如果此操作是由未授权方执行的,则可能表明存在恶意活动。 请确保仅向授权方授予更改证书的权限。 IoT.Hub_CertificateFailedToBeDeletedFromHub
x.509 设备证书指纹不匹配 IoT 中心 x.509 设备证书指纹与配置不匹配。 查看设备上的警报。 无需进一步操作。 IoT_Cert_Print_Mismatch
x.509 证书已过期 IoT 中心 X.509 设备证书已过期。 可能是合法设备的证书已过期,也可能是尝试模拟合法设备。 如果合法设备当前通信正确,这可能是一次模拟尝试。 IoT_Cert_Expired

低严重性

名称 严重性 数据源 说明 建议的补救措施 AlertType
检测到尝试添加或编辑 IoT 中心的诊断设置 IoT 中心 检测到尝试添加或编辑 IoT 中心的诊断设置。 通过诊断设置,可以在发生安全事件或网络遭到入侵时重新创建活动线索,以用于调查目的。 如果此操作不是由授权方执行的,则可能表明存在恶意活动。 1.请确保证书已由授权方删除。
2.如果该证书不是由授权方删除的,请添加回该证书并将警报上报给信息安全团队。		 IoT_DiagnosticSettingAddedOrEditedOnHub
检测到尝试从 IoT 中心删除诊断设置 IoT 中心 检测到尝试添加或编辑 IoT 中心的诊断设置。 通过诊断设置,可以在发生安全事件或网络遭到入侵时重新创建活动线索,以用于调查目的。 如果此操作不是由授权方执行的,则可能表明存在恶意活动。 请确保仅向授权方授予更改诊断设置的权限。 IoT_DiagnosticSettingDeletedFromHub
SAS 令牌已过期 IoT 中心 设备使用的 SAS 令牌已过期 可能是合法设备的令牌已过期,也可能是尝试模拟合法设备。 如果合法设备当前通信正确,这可能是一次模拟尝试。 IoT_Expired_SAS_Token
SAS 令牌签名无效 IoT 中心 设备使用的 SAS 令牌具有无效的签名。 签名与主密钥或辅助密钥不匹配。 查看设备上的警报。 无需进一步操作。 IoT_Invalid_SAS_Token

后续步骤

  • Defender for IoT 服务概述