Come utilizzare AWS IoT Device Defender Detect - AWS IoT Device Defender

Come utilizzare AWS IoT Device Defender Detect

  1. Puoi usare AWS IoT Device Defender Detect con solo i parametri lato cloud, ma se prevedi di usare parametri segnalati dai dispositivi, dovrai innanzitutto distribuire un SDK AWS IoT nei gateway dei dispositivi o nei dispositivi connessi a AWS IoT. Per ulteriori informazioni, consultare Invio di parametri dai dispositivi.

  2. Considerare di visualizzare le metriche generate dai dispositivi prima di definire i comportamenti e creare gli allarmi. AWS IoT è in grado di raccogliere i parametri dai tuoi dispositivi in modo da identificare innanzitutto un comportamento consueto o insolito per un gruppo di dispositivi o per tutti i dispositivi nel tuo account. Utilizza CreateSecurityProfile, ma specifica solo i parametri additionalMetricsToRetain di interesse. Non specificare behaviors a questo punto.

    Utilizza la console AWS IoT per vedere i parametri del tuo dispositivo e definire in cosa consiste il comportamento tipico dei tuoi dispositivi.

  3. Crea un set di comportamenti per il profilo di sicurezza. I comportamenti contengono parametri che specificano il comportamento normale per un gruppo di dispositivi o per tutti i dispositivi nell'account. Per ulteriori informazioni ed esempi, consulta Parametri sul lato cloud e Device-side metrics. Dopo aver creato un set di comportamenti, puoi convalidarli con ValidateSecurityProfileBehaviors.

  4. Usa l’operazione CreateSecurityProfile per creare un profilo di sicurezza che includa i comportamenti. Puoi fare in modo che vengano inviati allarmi a un target (un argomento SNS) quando un dispositivo viola un comportamento utilizzando il parametro alertTargets. Se invii allarmi tramite SNS, tieni presente che verranno conteggiati per il raggiungimento della quota SNS per l'account Account AWS. È possibile che una grande quantità di violazioni possa determinare il superamento della quota di argomenti SNS. È inoltre possibile utilizzare i parametri CloudWatch per verificare la presenza di violazioni. Per ulteriori informazioni, consulta Monitorare allarmi e metriche di AWS IoT utilizzando Amazon CloudWatch nella Guida per gli sviluppatori di AWS IoT Core.

  5. Utilizza l’operazione AttachSecurityProfile per collegare il profilo di sicurezza a un gruppo di dispositivi (un gruppo di oggetti), tutti gli oggetti registrati nel tuo account, tutti gli oggetti non registrati o tutti i dispositivi. AWS IoT Device Defender Detect inizia a verificare la presenza di comportamenti anomali e, se viene rilevato il comportamento di eventuali violazioni, invia allarmi. È possibile allegare un profilo di sicurezza a tutti gli oggetti non registrati se, ad esempio, si prevede di interagire con dispositivi mobili che non sono nel registro degli oggetti del tuo account. È possibile definire comportamenti diversi per i diversi gruppi di dispositivi per soddisfare le tue esigenze.

    Per collegare un profilo di sicurezza a un gruppo di dispositivi, è necessario specificare l'ARN del gruppo di oggetti che li contiene. L'ARN di un gruppo di oggetti ha il formato seguente.

    arn:aws:iot:region:account-id:thinggroup/thing-group-name

    Per collegare un profilo di sicurezza a tutti gli oggetti registrati in un account Account AWS (ignorando gli oggetti non registrati), è necessario specificare un ARN con il seguente formato.

    arn:aws:iot:region:account-id:all/registered-things

    Per allegare un profilo di sicurezza a tutti gli oggetti non registrati, è necessario specificare un ARN con il seguente formato.

    arn:aws:iot:region:account-id:all/unregistered-things

    Per allegare un profilo di sicurezza a tutti i dispositivi, è necessario specificare un ARN con il seguente formato.

    arn:aws:iot:region:account-id:all/things

  6. È anche possibile tenere traccia delle violazioni con l’operazione ListActiveViolations, che consente di visualizzare le violazioni rilevate per un determinato profilo di sicurezza o dispositivo target.

    Utilizzare l'operazione ListViolationEvents per vedere quali violazioni sono state rilevate durante un periodo di tempo specificato. È possibile filtrare i risultati in base a un determinato profilo, dispositivo o stato di verifica dall'allarme.

  7. È possibile verificare, organizzare e gestire gli allarmi, contrassegnandone lo stato di verifica e fornendo una descrizione dello stato di verifica, utilizzando l'operazione PutVerificationStateOnViolation.

  8. Se i tuoi dispositivi violano i comportamenti definiti troppo spesso o non abbastanza spesso, è consigliabile affinare le definizioni del comportamento.

  9. Per esaminare i profili di sicurezza configurati e i dispositivi monitorati, utilizza le operazioni ListSecurityProfiles, ListSecurityProfilesForTarget, e ListTargetsForSecurityProfile.

    Utilizza l’operazione DescribeSecurityProfile per ottenere ulteriori dettagli su un profilo di sicurezza.

  10. Per aggiornare un profilo di sicurezza, utilizza l'operazione UpdateSecurityProfile. Utilizza l’operazione DetachSecurityProfile per distaccare un profilo di sicurezza da parte di un account o di un gruppo di oggetti target. Utilizza l’operazione DeleteSecurityProfile per eliminare completamente un profilo di sicurezza.