Comportamenti

Un profilo di sicurezza contiene un set di comportamenti. Ciascun comportamento contiene un parametro che specifica il comportamento normale per un gruppo di dispositivi o per tutti i dispositivi nell'account. I comportamenti rientrano in due categorie: comportamenti Rules Detect e ML Detect. Con Rules Detect comportamenti è possibile definire il comportamento dei dispositivi mentre ML Detect utilizza modelli ML basati su dati cronologici dei dispositivi per valutarne il comportamento.

Un profilo di sicurezza può avere uno dei due tipi di soglia: ML o Basato su regole. I profili di sicurezza ML rilevano automaticamente le anomalie operative e di sicurezza a livello di dispositivo nel parco istanze, imparando dai dati passati. I profili di sicurezza basati su regole richiedono l'impostazione manuale di regole statiche, utili a monitorare i comportamenti del dispositivo.

Di seguito sono descritti alcuni dei campi utilizzati nella definizione di behavior:

Comune a Rules Detect e ML Detect

name

Il nome per il comportamento.

metric

Il nome del parametro utilizzato (ovvero, ciò che è misurato dal comportamento).

consecutiveDatapointsToAlarm

Se un dispositivo viola un comportamento per un numero specificato di datapoint consecutivi, viene attivato un allarme. Se il valore non viene specificato, viene usato il valore predefinito 1.

consecutiveDatapointsToClear

Se si è verificato un allarme e il dispositivo in questione non viola più il comportamento per il numero specificato di datapoint consecutivi, l'allarme viene cancellato. Se il valore non viene specificato, viene usato il valore predefinito 1.

threshold type

Un profilo di sicurezza può avere uno tra questi due tipi di soglia: ML (Machine Learning) o Rules based (Basato su regole). I profili di sicurezza ML rilevano automaticamente le anomalie operative e di sicurezza a livello di dispositivo nel parco istanze imparando dai dati passati. I profili di sicurezza basati su regole richiedono l'impostazione manuale di regole statiche, utili a monitorare i comportamenti del dispositivo.

alarm suppressions

Puoi gestire Rileva notifiche SNS di allarme impostando la notifica di comportamento su on o suppressed. La soppressione degli allarmi non impedisce a Detect di eseguire valutazioni sul comportamento dei dispositivi; Detect continua a contrassegnare i comportamenti anomali come allarmi di violazione. Tuttavia, gli allarmi soppressi non vengono inoltrati per la notifica Amazon SNS. È possibile accedervi solo attraverso l’AWS IoT console o API.

Rules Detect

dimension

È possibile definire una dimensione per regolare l'ambito di un comportamento. Ad esempio, è possibile definire una dimensione del filtro argomento che applica un comportamento agli argomenti MQTT corrispondenti a un modello. Per definire una dimensione da utilizzare in un profilo di sicurezza, consulta CreateDimension. Si applica solo a Rules Detect.

criteria

Criteri che determinano se un dispositivo presenta un comportamento normale in relazione a metric.

Nota

Nella console AWS IoT, puoi scegliere Avvisami per ricevere una notifica tramite Amazon SNS quando AWS IoT Device Defender rileva che un dispositivo si comporta in modo anomalo.

comparisonOperator

Operatore che mette in correlazione l'oggetto misurato (metric) e i criteri (value o statisticalThreshold).

I possibili valori sono: "less-than", "less-than-equals", "greater-than", "greater-than-equals", "in-cidr-set", "not-in-cidr-set", "in-port-set", and "not-in-port-set". Non tutti gli operatori sono validi per ogni parametro. Operatori per set di CIDR e porte sono solo per l'uso con i parametri che riguardano tali entità.

value

Valore da confrontare con metric. A seconda del tipo di parametro, questo dovrebbe contenere un count (un valore), cidrs (un elenco di CIDR) o ports (un elenco di porte).

statisticalThreshold

La soglia statistica in base alla quale viene determinata una violazione del comportamento. Il campo contiene un campo statistic che dispone dei seguenti valori possibili: "p0", "p0.1", "p0.01", "p1", "p10", "p50", "p90", "p99", "p99.9", "p99.99" o "p100".

statistic indica un percentile. Restituisce un valore in base al quale viene determinata la conformità con il comportamento. I parametri vengono raccolti una o più volte nell'arco della durata specificata (durationSeconds) da tutti i dispositivi di segnalazione associati a questo profilo di sicurezza e le percentuali vengono calcolate in base a tali dati. Dopodiché, le misure vengono raccolte per un dispositivo e accumulate nell'arco della stessa durata. Se il valore risultante per il dispositivo è sopra o sotto (comparisonOperator) il valore associato al percentile specificato, il dispositivo è considerato conforme al comportamento. In caso contrario, il dispositivo è considerato in violazione del comportamento.

Un percentile indica la percentuale di tutte le misurazioni considerate che sono inferiori al valore associato. Ad esempio, se il valore associato a "p90" (il novantesimo percentile) è 123, il 90% di tutte le misurazioni è inferiore a 123.

durationSeconds

Usa questo parametro per specificare il periodo di tempo durante cui viene valutato il comportamento, per i criteri che hanno una dimensione temporale (ad esempio, NUM_MESSAGES_SENT). Per un confronto di parametri statisticalThreshhold, questo è il periodo di tempo durante il quale le misurazioni vengono raccolte per tutti i dispositivi per determinare i valori statisticalThreshold e quindi per ogni dispositivo per determinare come si posiziona il comportamento nel confronto.

ML Detect

ML Detect confidence

ML Detect supporta tre livelli di confidenza: High, Medium, e Low. High fiducia significa bassa sensibilità nella valutazione del comportamento anomalo e spesso un numero inferiore di allarmi, Medium fiducia significa sensibilità media, e Low fiducia significa alta sensibilità e frequentemente un maggior numero di allarmi.