共用方式為


適用於 IoT 中樞的 Defender 安全性警示

適用於 IoT 的 Defender 會使用進階分析和威脅情報,持續分析 IoT 解決方案,提醒您發生惡意活動。 此外,您可以根據預期裝置行為的知識來建立自訂警示。 警示有如潛在入侵的指標,應該調查並補救。

在本文章中,您將找到可在 IoT 中樞上觸發的內建警示清單。 適用於 IoT 的 Defender 可讓您根據預期的 IoT 中樞和/或裝置行為來定義自訂警示。 如需詳細資訊,請參閱可自訂的警示

IoT 中樞的內建警示

中嚴重性

名稱 嚴重性 資料來源 描述 建議的補救措施 AlertType
新憑證已新增至 IoT 中樞 IoT 中樞 憑證已新增至 IoT 中樞。 如果此動作由未經授權者執行,可能表示有惡意活動。 1.請確定憑證由獲授權者新增。
2.如果憑證不是由獲授權者新增,請移除憑證,並將警示呈報給組織安全性小組。
IoT_CertificateSuccessfullyAddedToHub
已從 IoT 中樞刪除憑證 IoT 中樞 已從 IoT 中樞刪除憑證。 如果此動作由未經授權人士執行,可能表示有惡意活動。 1.請確定憑證由獲授權者移除。
2.如果憑證不是由獲授權者移除,請加回憑證,並將警示呈報給組織安全性小組。
IoT_CertificateSuccessfullyDeletedFromHub
偵測到嘗試將憑證新增至 IoT 中樞失敗 IoT 中樞 嘗試將憑證新增至 IoT 中樞失敗。 如果此動作由未經授權者執行,可能表示有惡意活動。 請確定憑證的變更權限僅授與獲授權者。 Hub_CertificateFailedToBeAddedToHub
偵測到嘗試從 IoT 中樞刪除憑證失敗 IoT 中樞 嘗試從 IoT 中樞刪除憑證失敗。 如果此動作由未經授權者執行,可能表示有惡意活動。 請確定憑證的變更權限僅授與獲授權者。 IoT.Hub_CertificateFailedToBeDeletedFromHub
x.509 裝置憑證指紋不符 IoT 中樞 x.509 裝置憑證指紋不符合設定。 檢閱裝置上的警示。 不需要採取任何動作。 IoT_Cert_Print_Mismatch
x.509 憑證過期 IoT 中樞 X.509 裝置憑證已過期。 這可能是合法裝置的憑證過期,或嘗試模擬合法裝置。 如果合法裝置目前正確通訊,這可能就是模擬嘗試。 IoT_Cert_Expired

低嚴重性

名稱 嚴重性 資料來源 描述 建議的補救措施 AlertType
偵測到嘗試新增或編輯 IoT 中樞的診斷設定 IoT 中樞 已偵測到嘗試新增或編輯 IoT 中樞的診斷設定。 在發生安全性事件或網路遭入侵時,診斷設定可讓您重建活動軌跡以利於調查。 如果此動作不是獲授權者執行,可能表示有惡意活動。 1.請確定憑證由獲授權者移除。
2.如果憑證不是由獲授權者移除,請加回憑證,並將警示呈報給資訊安全性小組。
IoT_DiagnosticSettingAddedOrEditedOnHub
偵測到嘗試從 IoT 中樞刪除診斷設定 IoT 中樞 已偵測到嘗試新增或編輯 IoT 中樞的診斷設定。 在發生安全性事件或網路遭入侵時,診斷設定可讓您重建活動軌跡以利於調查。 如果此動作不是獲授權者執行,可能表示有惡意活動。 請確定診斷設定的變更權限僅授與獲授權者。 IoT_DiagnosticSettingDeletedFromHub
SAS 權杖過期 IoT 中樞 裝置使用的 SAS 權杖過期 可能是合法裝置的權杖過期,或嘗試模擬合法裝置。 如果合法裝置目前正確通訊,這可能就是模擬嘗試。 IoT_Expired_SAS_Token
SAS 權杖簽章無效 IoT 中樞 裝置使用的 SAS 權杖是無效簽章。 簽章不符合主要或次要金鑰。 檢閱裝置上的警示。 不需要採取任何動作。 IoT_Invalid_SAS_Token

下一步

  • 適用於 IoT 的 Defender 服務概觀