Rilevamento ML

Con il rilevamento di Machine Learning (ML Detect), puoi creare profili di sicurezza che utilizzano l'apprendimento automatico per apprendere i comportamenti previsti dei dispositivi creando automaticamente modelli basati sui dati cronologici dei dispositivi e assegnare questi profili a un gruppo di dispositivi o a tutti i dispositivi del tuo parco istanze. AWS IoT Device Defender identificherà quindi le anomalie e attiverà gli allarmi utilizzando i modelli ML.

Per ulteriori informazioni su come iniziare a utilizzare ML Detect, consulta Guida a ML Detect.

Casi d'uso di ML Detect

È possibile utilizzare ML Detect per monitorare i dispositivi del parco istanze nel caso in cui sia difficile impostare i comportamenti previsti dei dispositivi. Ad esempio, per monitorare i parametri del numero di disconnessioni, potrebbe non essere chiaro quale sia considerata una soglia accettabile. In questo caso, è possibile abilitare ML Detect per identificare i datapoint dei parametri di disconnessione anomala in base ai dati cronologici segnalati dai dispositivi.

Un altro caso d'uso di ML Detect consiste nel monitorare i comportamenti dei dispositivi che cambiano dinamicamente nel tempo. ML Detect apprende in modo periodico i comportamenti dinamici attesi del dispositivo, in base alle modifiche dei modelli di dati forniti dai dispositivi. Ad esempio, se il volume di messaggi inviati dal dispositivo registra variazioni tra i giorni feriali e i fine settimana, ML Detect apprenderà questo comportamento dinamico.

Come funziona ML Detect

Utilizzando ML Detect, è possibile creare comportamenti per identificare anomalie operative e di sicurezza in 6 parametri sul lato cloud e 7 parametri lato dispositivo. Dopo il periodo iniziale di formazione del modello, ML Detect aggiorna i modelli ogni giorno in base ai dati degli ultimi 14 giorni. Monitora i datapoint per questi parametri con i modelli ML e attiva un allarme se viene rilevata un'anomalia.

Il funzionamento di ML Detect può essere migliorato se si collega un profilo di sicurezza a una raccolta di dispositivi con comportamenti attesi simili. Ad esempio, se alcuni dei tuoi dispositivi vengono utilizzati nelle case dei clienti e altri dispositivi negli uffici aziendali, i modelli di comportamento del dispositivo potrebbero differire significativamente tra i due gruppi. È possibile organizzare i dispositivi in un gruppo di oggetti dispositivo home e un gruppo di oggetti dispositivo da ufficio. Per una migliore efficacia del rilevamento delle anomalie, collega ogni gruppo di elementi a un profilo di sicurezza ML Detect separato.

Per costruire il modello iniziale, ML Detect richiede 14 giorni e un minimo di 25.000 datapoint per parametro nel periodo dei 14 giorni per generare un modello. Successivamente, aggiorna il modello ogni giorno in cui è presente un numero minimo di datapoint dei parametri. Se il requisito minimo non viene soddisfatto, ML Detect tenta di creare il modello il giorno successivo. Il tentativo sarà ripetuto ogni giorno per i successivi 30 giorni, dopodiché il modello verrà interrotto per le opportune valutazioni.

Requisiti minimi

Per la formazione e la creazione del modello ML iniziale, ML Detect possiede i seguenti requisiti minimi.

Periodo di formazione minimo

Occorrono 14 giorni prima che i modelli iniziali vengano creati. Successivamente, il modello viene aggiornato ogni giorno con i dati dei parametri di un periodo finale di 14 giorni.

Totale minimo di datapoint

I datapoint minimi necessari per creare un modello ML sono 25.000 per metrica per gli ultimi 14 giorni. Per la formazione continua e l'aggiornamento del modello, ML Detect richiede che i dispositivi monitorati soddisfino i dati minimi. È all'incirca l'equivalente delle seguenti configurazioni:

• 60 dispositivi che si connettono e hanno attività su AWS IoT ad intervalli di 45 minuti.

• 40 dispositivi a intervalli di 30 minuti.

• 15 dispositivi a intervalli di 10 minuti.

• 7 dispositivi a intervalli di 5 minuti.

Obiettivi del gruppo di dispositivi

Per raccogliere i dati, è necessario disporre di oggetti nei gruppi di oggetti di destinazione per il profilo di sicurezza.

Dopo la creazione del modello iniziale, i modelli ML si aggiornano ogni giorno e richiedono almeno 25.000 datapoint per un periodo di 14 giorni.

Limitazioni

È possibile utilizzare ML Detect con le dimensioni sui seguenti parametri lato cloud:

• Errori di autorizzazione (aws:num-authorization-failures)

• Messaggi ricevuti (aws:num-messages-received)

• Messaggi inviati (aws:num-messages-sent)

• Dimensioni del messaggio (aws:message-byte-size)

I seguenti parametri non sono supportati con ML Detect.

Parametri sul lato cloud non supportati con ML Detect:

• IP di origine (aws:source-ip-address)

Parametri sul lato dispositivo non supportati con ML Detect:

• IP di destinazione (aws:destination-ip-addresses)

• Porte TCP in ascolto (aws:listening-tcp-ports)

• Porte UDP in ascolto (aws:listening-udp-ports)

I parametri personalizzati supportano solo il tipo numero.

Contrassegno di falsi positivi e altri stati di verifica degli allarmi

Se durante l'indagine risulta che un allarme ML Detect in realtà è un falso positivo, è possibile impostare lo stato di verifica dell'allarme su False positive (Falso positivo). Questo aiuta te e il tuo team a identificare gli allarmi da ignorare. È inoltre possibile contrassegnare gli allarmi come True positive (Vero positivo), Benign positive (Benigno positivo) o Unknown (Sconosciuto).

È possibile contrassegnare gli allarmi tramite la console AWS IoT Device Defender o attraverso l'operazione API PutVerificationStateOnViolation.

Parametri supportati

Puoi utilizzare i seguenti parametri sul lato cloud con ML Detect:

• Errori di autorizzazione (aws:num-authorization-failures)

• Tentativi di connessione (aws:num-connection-attempts)

• Disconnessioni (aws:num-disconnects)

• Dimensioni del messaggio (aws:message-byte-size)

• Messaggi inviati (aws:num-messages-sent)

• Messaggi ricevuti (aws:num-messages-received)

Puoi utilizzare i seguenti parametri sul lato dispositivo con ML Detect:

• Byte in uscita (aws:all-bytes-out)

• Byte in entrata (aws:all-bytes-in)

• Conteggio di porte TCP in ascolto (aws:num-listening-tcp-ports)

• Conteggio porte UDP in ascolto (aws:num-listening-udp-ports)

• Pacchetti in uscita (aws:all-packets-out)

• Pacchetti in entrata (aws:all-packets-in)

• Conteggio delle connessioni TCP stabilite (aws:num-established-tcp-connections)

Quote del servizio

Per informazioni su ML Detect quote e limiti di servizio, consulta AWS IoT Device Defender endpoint e quote.

Comandi dell'interfaccia a riga di comando di ML Detect

Puoi utilizzare i comandi CLI; seguenti per creare e gestire ML Detect.

• create-security-profile

• attach-security-profile

• list-security-profiles

• describe-security-profile

• update-security-profile

• delete-security-profile

• get-behavior-model-training-summaries

• list-active-violations

• list-violation-events

API di ML Detect

Le seguenti API possono essere utilizzate per creare e gestire profili di sicurezza di ML Detect.

• CreateSecurityProfile

• AttachSecurityProfile

• ListSecurityProfiles

• DescribeSecurityProfile

• UpdateSecurityProfile

• DeleteSecurityProfile

• GetBehaviorModelTrainingSummaries

• ListActiveViolations

• ListViolationEvents

• PutVerificationStateOnViolation

Sospendere o eliminare un profilo di sicurezza ML Detect

È possibile sospendere il profilo di sicurezza ML Detect per interrompere temporaneamente il monitoraggio dei comportamenti dei dispositivi oppure eliminare il profilo di sicurezza ML Detect per interrompere il monitoraggio dei comportamenti dei dispositivi per un periodo di tempo prolungato.

Sospensione del profilo di sicurezza ML Detect utilizzando la console

Per mettere in pausa un profilo di sicurezza ML Detect utilizzando la console, è necessario disporre di un gruppo di oggetti vuoto. Per creare un gruppo di oggetti vuoto, consulta Gruppi di oggetti statici nella Guida per gli sviluppatori di AWS IoT Core. Se è stato creato un gruppo di oggetti vuoto, impostalo come destinazione del profilo di sicurezza ML Detect.

Nota

Devi impostare la destinazione del tuo profilo di sicurezza su un gruppo di dispositivi entro 30 giorni o, altrimenti, non sarà possibile riattivare il profilo di sicurezza.

Eliminazione del profilo di sicurezza ML Detect utilizzando la console

Per eliminare un profilo di sicurezza, attieniti alla seguente procedura:

1. Nella console di navigazione AWS IoT sulla barra laterale, scegli la sezione Defend (Protezione).

2. In Defend (Protezione), scegli Detect (Rilevamento) e poi Security Profiles (Profili di sicurezza).

3. Scegli il profilo di sicurezza ML Detect da eliminare.

4. Scegli Actions (Operazioni) e poi Delete (Elimina) dalle opzioni.

Nota

Dopo aver eliminato un profilo di sicurezza ML Detect, non sarà possibile riattivarlo.

Sospensione del profilo di sicurezza ML Detect utilizzando l'interfaccia a riga di comando

Per mettere in pausa un profilo di sicurezza ML Detect utilizzando l'interfaccia della riga di comando, utilizza il comando detach-security-security-profile:

$aws iot detach-security-profile --security-profile-name SecurityProfileName --security-profile-target-arn arn:aws:iot:us-east-1:123456789012:all/registered-things

Nota

Questa caratteristica è disponibile solo nella versione CLI dei servizi AWS. In modo analogo rispetto al flusso di lavoro della console, è necessario impostare la destinazione del profilo di sicurezza su un gruppo di dispositivi entro 30 giorni, altrimenti non sarà possibile riattivare il profilo di sicurezza. Per collegare un profilo di sicurezza a un gruppo di dispositivi, utilizza il comando attach-security-profile.

Eliminazione del profilo di sicurezza ML Detect utilizzando l'interfaccia a riga di comando

È possibile eliminare un profilo di sicurezza utilizzando il seguente comando delete-security-profile:

delete-security-profile --security-profile-name SecurityProfileName

Nota

Dopo aver eliminato un profilo di sicurezza ML Detect, non sarà possibile riattivare il profilo di sicurezza.