Conceptos - AWS IoT Device Defender

Conceptos

métrica

AWS IoT Device Defender Detect usa métricas para detectar comportamientos anómalos de dispositivos. AWS IoT Device Defender Detect compara el valor registrado de una métrica con el valor esperado que proporciona el usuario. Estas métricas se pueden obtener de dos fuentes: de las métricas del lado de la nube y de las métricas del lado del dispositivo: ML Detect admite 6 métricas del lado de la nube y 7 métricas del lado del dispositivo. Para obtener una lista de las métricas admitidas para ML Detect, consulte Métricas admitidas.

El comportamiento anómalo en la red de AWS IoT se detecta mediante el uso de métricas del lado de la nube, como el número de errores de autorización o el número o el tamaño de mensajes que un dispositivo envía o recibe a través de AWS IoT.

AWS IoT Device Defender Detect también puede recopilar, agregar y monitorizar datos de métricas generados por dispositivos AWS IoT (por ejemplo, los puertos en los que escucha un dispositivo, la cantidad de bytes o paquetes enviados o las conexiones TCP del dispositivo).

Puede usar AWS IoT Device Defender Detect solo con métricas del lado de la nube. Para usar las métricas del lado del dispositivo, primero debe implementar el SDK de AWS IoT en sus dispositivos conectados a AWS IoT o en las gateways de los dispositivos para recopilar las métricas y enviarlas a AWS IoT. Consulte Envío de métricas desde dispositivos.

Perfil de seguridad

Un perfil de seguridad define comportamientos anómalos para un grupo de dispositivos (un grupo de objetos estáticos) o para todos los dispositivos de su cuenta, y especifica qué acciones adoptar cuando se detecta una anomalía. Puede utilizar la consola de AWS IoT o los comandos de la API para crear un perfil de seguridad y asociarlo a un grupo de dispositivos. AWS IoT Device Defender Detect comienza a registrar datos relacionados con la seguridad y utiliza los comportamientos definidos en el perfil de seguridad para detectar anomalías en el comportamiento de los dispositivos.

comportamiento

Un comportamiento indica a AWS IoT Device Defender Detect cómo puede saber cuándo un dispositivo realiza alguna actividad anómala. Todas las acciones del dispositivo que no coinciden con un comportamiento desencadenan una alerta. Un comportamiento de Rules Detect consiste en una métrica y un valor absoluto o un umbral estadístico con un operador (por ejemplo, menor o igual que, mayor o igual a), que describe el comportamiento esperado del dispositivo. El comportamiento de ML Detect consta de una métrica y una configuración de ML Detect, que establecen un modelo de ML para conocer el comportamiento normal de los dispositivos.

modelo de ML

Un modelo de ML es un modelo de machine learning creado para monitorizar cada comportamiento que configura un cliente. El modelo se basa en los patrones de datos métricos de los grupos de dispositivos específicos y genera tres umbrales de confianza en las anomalías (alto, medio y bajo) para el comportamiento basado en métricas. Deduce anomalías en función de los datos métricos ingeridos a nivel de dispositivo. En el contexto de ML Detect, se crea un modelo de machine learning para evaluar un comportamiento basado en métricas. Para obtener más información, consulte ML Detect.

nivel de confianza

ML Detect admite tres niveles de confianza: High, Medium y Low. Un nivel de confianza High significa baja sensibilidad en la evaluación del comportamiento anómalo y, con frecuencia, un número menor de alarmas. El nivel de confianza Medium significa sensibilidad media y el nivel de confianza Low significa sensibilidad alta y, con frecuencia, un número mayor de alarmas.

dimensión

Puede definir una dimensión para ajustar el ámbito de un comportamiento. Por ejemplo, puede definir una dimensión de filtrado de temas que aplique un comportamiento a los temas de MQTT que coincidan con un patrón. Para obtener información sobre la definición de una dimensión para su uso en un perfil de seguridad, consulte CreateDimension.

alarma

Cuando se detecta una anomalía, se puede enviar una notificación de alarma mediante una métrica de CloudWatch (consulte Monitorización de alarmas y métricas de AWS IoT con Amazon CloudWatch, en la Guía para desarrolladores de AWS IoT Core) o una notificación de SNS. También se muestra una notificación de alarma en la consola de AWS IoT junto con información sobre dicha alarma y un historial de las alarmas del dispositivo. También se envía una alarma cuando un dispositivo monitorizado deja de exhibir un comportamiento anómalo o cuando ha estado generando una alarma, pero deja de informar durante un período prolongado.

estado de verificación de la alarma

Una vez creada una alarma, puede verificar que la alarma tenga los estados Verdadero positivo, Positiva benigno, Falso positivo o Desconocido. También puede agregar una descripción al estado de verificación de la alarma. Puede ver, organizar y filtrar alarmas de AWS IoT Device Defender mediante uno de los cuatro estados de verificación. Puede usar los estados de verificación de las alarmas y las descripciones relacionadas para informar a los miembros de su equipo. Esto ayuda al equipo a tomar medidas de seguimiento, por ejemplo, tomar medidas de mitigación en el caso de las alarmas verdaderas positivas, omitir las alarmas positivas benignas o continuar investigando las alarmas desconocidas. El estado de verificación predeterminado para todas las alarmas es Desconocido.

supresión de alarmas

Administre las notificaciones de SNS de alarma de Detect configurando la notificación de comportamiento en on o en suppressed. La supresión de las alarmas no impide que Detect evalúe el comportamiento de los dispositivos; Detect sigue marcando los comportamientos anómalos como alarmas de infracción. Sin embargo, las alarmas suprimidas no se reenviarían para ser notificadas por SNS. Solo se puede acceder a ellas a través de la consola de AWS IoT o la API.