ML Detect

Avec le machine learning Detect (ML Detect), vous créez des profils de sécurité qui utilisent l'apprentissage automatique pour connaître les comportements attendus des appareils en créant automatiquement des modèles basés sur les données historiques des appareils, et vous attribuez ces profils à un groupe d'appareils ou à tous les appareils de votre flotte. AWS IoT Device Defenderidentifie ensuite les anomalies et déclenche des alarmes à l'aide des modèles ML.

Pour de plus amples informations sur comment débuter avec ML Detect, veuillez consulter Guide de ML Detect.

Cas d'utilisation de ML Detect

Vous pouvez utiliser ML Detect pour surveiller les appareils de votre flotte lorsqu'il est difficile de définir les comportements attendus des appareils. Par exemple, pour surveiller la métrique du nombre de déconnexions, il se peut que le seuil considéré comme acceptable ne soit pas clair. Dans ce cas, vous pouvez activer ML Detect pour identifier les points de données métriques de déconnexion anormaux sur la base des données historiques communiquées par les appareils.

Un autre cas d'utilisation de ML Detect consiste à surveiller les comportements des appareils qui changent de manière dynamique au fil du temps. ML Detect apprend régulièrement les comportements dynamiques attendus des appareils en fonction de l'évolution des modèles de données des appareils. Par exemple, le volume de messages envoyés par l'appareil peut varier entre les jours de semaine et les week-ends, et ML Detect apprendra ce comportement dynamique.

Comment fonctionne ML Detect

ML Detect vous permet de créer des comportements pour identifier les anomalies opérationnelles et de sécurité à l’aide de 6 métriques côté cloud et 7 métriques côté appareil. Après la période de formation initiale du modèle, ML Detect actualise quotidiennement les modèles en fonction des 14 derniers jours de données. Il surveille les points de données pour ces métriques à l'aide des modèles ML et déclenche une alarme si une anomalie est détectée.

ML Detect fonctionne mieux si vous associez un profil de sécurité à un ensemble d'appareils présentant des comportements attendus similaires. Par exemple, si certains de vos appareils sont utilisés au domicile des clients et d’autres dans des bureaux professionnels, les modèles de comportement des appareils peuvent différer considérablement entre les deux groupes. Vous pouvez organiser les appareils en un groupe d'objets pour appareils domestiques et un groupe d'objets pour appareils de bureau. Pour une détection des anomalies optimale, associez chaque groupe d'objets à un profil de sécurité ML Detect distinct.

Pendant que ML Detect construit le modèle initial, il faut 14 jours et un minimum de 25 000 points de données par métrique au cours des 14 derniers jours pour générer un modèle. Ensuite, il met à jour le modèle chaque jour où il existe un nombre minimum de points de données métriques. Si l'exigence minimale n'est pas remplie, ML Detect tente de créer le modèle le jour suivant et réessaiera quotidiennement pendant les 30 prochains jours avant de mettre le modèle à des fins d'évaluation.

Configuration requise

Pour la formation et la création du modèle ML initial, ML Detect répond aux exigences minimales suivantes.

Durée de formation minimale

Il faut 14 jours pour que les premiers modèles soient construits. Ensuite, le modèle est actualisé chaque jour avec les données métriques d'une période de 14 jours.

Nombre total de points de données minimaux

Le nombre minimum de points de données requis pour créer un modèle ML est de 25 000 points de données par métrique au cours des 14 derniers jours. Pour la formation continue et l'actualisation du modèle, ML Detect exige que les points de données minimaux soient atteints par les appareils surveillés. C'est à peu près l'équivalent des configurations suivantes :

• 60 appareils connectés et actifs sur AWS IoT toutes les 45 minutes.

• 40 appareils à intervalles de 30 minutes.

• 15 appareils à intervalles de 10 minutes.

• 7 appareils à intervalles de 5 minutes.

Groupes d'appareils cibles

Pour collecter des données, vous devez avoir des éléments dans les groupes d'objets cibles du profil de sécurité.

Une fois le modèle initial créé, les modèles ML sont actualisés tous les jours et nécessitent au moins 25 000 points de données pour une période de suivi de 14 jours.

Limites

Vous pouvez utiliser ML Detect avec des dimensions correspondant aux métriques suivantes côté cloud :

• Échecs d'autorisation (aws:num-authorization-failures)

• Messages reçus (aws:num-messages-received)

• Messages envoyés (aws:num-messages-sent)

• Taille du message (aws:message-byte-size)

Les métriques suivantes ne sont pas prises en charge par ML Detect.

Les métriques côté cloud ne sont pas prises en charge par ML Detect :

• IP source (aws:source-ip-address)

Les métriques côté appareil ne sont pas prises en charge par ML Detect :

• IP de destination (aws:destination-ip-addresses)

• Ports TCP d’écoute (aws:listening-tcp-ports)

• Ports UDP d’écoute (aws:listening-udp-ports)

Les métriques personnalisées ne prennent en charge que le type de numéro.

Marquage des faux positifs et autres états de vérification dans les alarmes

Si vous vérifiez qu'une alarme ML Detect est un faux positif au cours de votre enquête, vous pouvez régler l'état de vérification de l'alarme sur Faux positif. Cela peut vous aider, vous et votre équipe, à identifier les alarmes auxquelles vous n'avez pas à répondre. Vous pouvez également marquer les alarmes comme étant positif, positif bénin ou inconnu.

Vous pouvez marquer les alarmes via la AWS IoT Device Defenderconsole ou à l'aide de l'action API PutVerificationStateOnViolation.

Métriques prises en charge

Vous pouvez utiliser les métriques côté cloud suivantes avec ML Detect :

• Échecs d'autorisation (aws:num-authorization-failures)

• Tentatives de connexion (aws:num-connection-attempts)

• Déconnexions (aws:num-disconnects)

• Taille du message (aws:message-byte-size)

• Messages envoyés (aws:num-messages-sent)

• Messages reçus (aws:num-messages-received)

Vous pouvez utiliser les métriques suivantes côté appareil avec ML Detect :

• Octets en sortie (aws:all-bytes-out)

• Octets entrants (aws:all-bytes-in)

• Nombre de ports TCP d'écoute (aws:num-listening-tcp-ports)

• Nombre de ports UDP d'écoute (aws:num-listening-udp-ports)

• Paquets sortis (aws:all-packets-out)

• Paquets entrants (aws:all-packets-in)

• Nombre de connexions TCP établies (aws:num-established-tcp-connections)

Quotas de service

Pour plus d’informations sur les quotas et les limites du service ML Detect, consultez Points de terminaison et quotas AWS IoT Device Defender.

Commandes CLI de ML Detect

Vous pouvez utiliser les commandes CLI suivantes pour créer et gérer ML Detect.

• create-security-profile

• attach-security-profile

• list-security-profiles

• describe-security-profile

• update-security-profile

• delete-security-profile

• get-behavior-model-training-summaries

• list-active-violations

• list-violation-events

API de ML Detect

Les API suivantes peuvent être utilisées pour créer et gérer les profils de sécurité ML Detect.

• CreateSecurityProfile

• AttachSecurityProfile

• ListSecurityProfiles

• DescribeSecurityProfile

• UpdateSecurityProfile

• DeleteSecurityProfile

• GetBehaviorModelTrainingSummaries

• ListActiveViolations

• ListViolationEvents

• PutVerificationStateOnViolation

Suspendre ou supprimer un profil de sécurité ML Detect

Vous pouvez suspendre votre profil de sécurité ML Detect pour arrêter temporairement la surveillance des comportements des appareils, ou supprimer votre profil de sécurité ML Detect pour arrêter de surveiller les comportements des appareils pendant une période prolongée.

Suspendre le profil de sécurité ML Detect à l'aide de la console

Pour suspendre un profil de sécurité ML Detect à l'aide de la console, vous devez d'abord disposer d'un groupe d'objets vide. Pour créer un groupe d’objets vide, consultez Groupes d’objets statiques dans le Guide du développeur AWS IoT Core. Si vous avez créé un groupe d'objets vide, définissez-le comme cible du profil de sécurité ML Detect.

Note

Vous devez redéfinir l'objectif de votre profil de sécurité sur un groupe d'appareils comprenant des appareils dans les 30 jours, sinon vous ne pourrez pas réactiver le profil de sécurité.

Supprimer le profil de sécurité ML Detect à l'aide de la console

Pour supprimer un profil de sécurité, suivez ces étapes :

1. Dans la AWS IoT console, accédez à la barre latérale et choisissez la section Defend.

2. Sous Defend, sélectionnez Detect puis Security Profiles.

3. Choisissez le profil de sécurité de ML Detect que vous voulez supprimer.

4. Choisissez Actions, puis parmi les options, choisissez Supprimer.

Note

Une fois le profil de sécurité ML Detect supprimé, vous ne pourrez pas le réactiver.

Suspendre un profil de sécurité ML Detect à l'aide de la CLI

Pour suspendre un profil de sécurité ML Detect à l'aide de la CLI, utilisez la commande detach-security-security-profile :

$aws iot detach-security-profile --security-profile-name SecurityProfileName --security-profile-target-arn arn:aws:iot:us-east-1:123456789012:all/registered-things

Note

Cette option est uniquement disponible en CLI AWS. Semblable au flux de travail de la console, vous devez redéfinir la cible de votre profil de sécurité sur un groupe d'appareils comprenant des appareils dans un délai de 30 jours, sinon vous ne pourrez pas réactiver le profil de sécurité. Pour attacher un profil de sécurité à un groupe d’appareils, utilisez la commande attach-security-profile.

Supprimer le profil de sécurité ML Detect à l'aide de la CLI

Vous pouvez supprimer un profil de sécurité à l'aide de la commande delete-security-profile ci-dessous :

delete-security-profile --security-profile-name SecurityProfileName

Note

Une fois le profil de sécurité ML Detect supprimé, vous ne pourrez pas le réactiver.