Cómo utilizar AWS IoT Device Defender Detect - AWS IoT Device Defender

Cómo utilizar AWS IoT Device Defender Detect

  1. Puede usar AWS IoT Device Defender Detect solo con las métricas del lado de la nube, pero si pretende usar métricas notificadas por el dispositivo, primero debe implementar el SDK de AWS IoT en sus dispositivos conectados a AWS IoT o en las gateways de dispositivos. Para obtener más información, consulte Envío de métricas desde dispositivos.

  2. Considere la posibilidad de ver las métricas que sus dispositivos generan antes de definir comportamientos y crear alarmas. AWS IoT puede recopilar métricas de sus dispositivos, por lo que puede identificar en primer lugar un comportamiento habitual o inusual de un grupo de dispositivos o de todos los dispositivos de su cuenta. Use CreateSecurityProfile, pero especifique solo aquellos additionalMetricsToRetain que le interesen. No especifique behaviors en este punto.

    Utilice la consola de AWS IoT para analizar sus métricas de dispositivos y determinar qué constituye un comportamiento típico para sus dispositivos.

  3. Cree un conjunto de comportamientos para el perfil de seguridad. Los comportamientos contienen métricas que especifican el comportamiento normal de un grupo de dispositivos o de todos los dispositivos de su cuenta. Para obtener más información y ejemplos, consulte Métricas del lado de la nube y Métricas del lado del dispositivo. Después de crear un conjunto de comportamientos, puede validarlos con ValidateSecurityProfileBehaviors.

  4. Utilice la acción CreateSecurityProfile para crear un perfil de seguridad que incluya los comportamientos. Puede utilizar el parámetro alertTargets para enviar alarmas a un destino (un tema de SNS) cuando un dispositivo vulnere un comportamiento. (Si envía alarmas usando SNS, tenga en cuenta que estas se tendrán en cuenta para calcular la cuota de temas de SNS de su Cuenta de AWS. Si se produce una gran oleada de infracciones, podría superarse la cuota de temas de SNS. También puede utilizar las métricas de CloudWatch para comprobar las vulneraciones. Para obtener más información, consulte Monitor AWS IoT alarms and metrics using Amazon CloudWatch, en la Guía para desarrolladores de AWS IoT Core.

  5. Utilice la acción AttachSecurityProfile para asociar el perfil de seguridad a un grupo de dispositivos (un grupo de objetos), a todos los objetos registrados en la cuenta, a todos los objetos no registrados o a todos los dispositivos AWS IoT Device Defender. Detect comienza comprobando si hay un comportamiento anómalo, y si se detectan vulneraciones del comportamiento, envía alarmas. Es posible que desee asociar un perfil de seguridad a todos los objetos no registrados si, por ejemplo, tiene previsto interactuar con dispositivos móviles que no están en el registro de objetos de su cuenta. Puede definir diferentes conjuntos de comportamientos para diferentes grupos de dispositivos para satisfacer sus necesidades.

    Para asociar un perfil de seguridad a un grupo de dispositivos, debe especificar el ARN del grupo de objetos que los contiene. El ARN de un grupo de objetos tiene el siguiente formato:

    arn:aws:iot:region:account-id:thinggroup/thing-group-name

    Para asociar un perfil de seguridad a todos los objetos registrados en una Cuenta de AWS (y omitir los objetos no registrados), debe especificar un ARN con el siguiente formato.

    arn:aws:iot:region:account-id:all/registered-things

    Para asociar un perfil de seguridad a todos los objetos no registrados, debe especificar un ARN con el siguiente formato:

    arn:aws:iot:region:account-id:all/unregistered-things

    Para asociar un perfil de seguridad a todos los dispositivos, debe especificar un ARN con el siguiente formato:

    arn:aws:iot:region:account-id:all/things
  6. También puede realizar un seguimiento de las infracciones con la acción ListActiveViolations , que le permite ver qué infracciones se han detectado en un perfil de seguridad o dispositivo de destino determinado.

    Utilice la acción ListViolationEvents para ver qué infracciones se detectaron durante un período de tiempo especificado. Puede filtrar estos resultados por perfil de seguridad, dispositivo o estado de verificación de alarma.

  7. Puede verificar, organizar y administrar sus alarmas marcando su estado de verificación y proporcionando una descripción de ese estado de verificación mediante la acción PutVerificationStateOnViolation.

  8. Si sus dispositivos infringen los comportamientos definidos con demasiada frecuencia o no lo suficiente, debe ajustar el comportamiento.

  9. Para revisar los perfiles de seguridad que ha configurado y los dispositivos que se están monitorizando, utilice las acciones ListSecurityProfiles, ListSecurityProfilesForTarget y ListTargetsForSecurityProfile.

    Utilice la acción DescribeSecurityProfile para obtener más detalles sobre un perfil de seguridad.

  10. Para actualizar un perfil de seguridad, utilice la acción UpdateSecurityProfile. Utilice la acción DetachSecurityProfile para desconectar un perfil de seguridad de destino de una cuenta o grupo de objetos. Utilice la acción DeleteSecurityProfile para eliminar completamente un perfil de seguridad.