Concetti

parametro

AWS IoT Device Defender Detect usa i parametri per rilevare un comportamento anomalo. AWS IoT Device Defender Detect confronta il valore segnalato per un parametro con il valore previsto fornito. Questi parametri possono essere ricavati da due origini: parametri lato cloud e parametri lato dispositivo. ML Detect supporta 6 metriche lato cloud e 7 metriche lato dispositivo. Per un elenco delle metriche supportate per ML Detect, consulta Parametri supportati.

Un comportamento anomalo nella rete AWS IoT viene rilevato usando i parametri lato cloud, come il numero di errori di autorizzazione oppure il numero o la dimensione dei messaggi inviati o ricevuti da un dispositivo mediante AWS IoT.

AWS IoT Device Defender Detect, inoltre, è in grado di raccogliere, aggregare e monitorare i dati delle metriche generate dai dispositivi AWS IoT (ad esempio le porte su cui un dispositivo è in ascolto, il numero di byte o di pacchetti inviati o le connessioni TCP del dispositivo).

Puoi usare AWS IoT Device Defender Detect solo con i parametri lato cloud. Per usare i parametri lato dispositivo, devi prima distribuire un SDK AWS IoT nei gateway dei dispositivi o nei dispositivi connessi a AWS IoT per raccogliere i parametri e inviarli a AWS IoT. Per informazioni, consulta Invio di parametri dai dispositivi.

Profilo di sicurezza

Un profilo di sicurezza definisce i comportamenti anomali per un gruppo di dispositivi (un gruppo di oggetti statici) o per tutti i dispositivi nell'account e specifica le operazioni da eseguire quando viene rilevata un'anomalia. È possibile utilizzare l’AWS IoT console o i comandi API per creare un profilo di sicurezza e associarlo a un gruppo di dispositivi. AWS IoT Device Defender Detect avvia la registrazione dei dati correlati alla sicurezza e usa i comportamenti definiti nel profilo di sicurezza per rilevare le anomalie nel comportamento dei dispositivi.

comportamento

Un comportamento indica a AWS IoT Device Defender Detect come riconoscere un comportamento anomalo di un dispositivo. Qualsiasi operazione del dispositivo che non corrisponde a un comportamento, attiva un avviso. Un comportamento Rules Detect è costituito da un parametro e da una soglia di valore assoluto o statistica con un operatore (ad esempio, minore o uguale a, maggiore o uguale a), che descrivono il comportamento previsto del dispositivo. Un comportamento ML Detector consiste in un parametro e una configurazione che definisce un modello ML per apprendere il normale comportamento dei dispositivi.

modello di ML

Un modello ML è un modello di machine learning creato per monitorare ogni comportamento configurato dal cliente. Il modello si allena su modelli di dati di parametri provenienti da gruppi di dispositivi mirati e genera tre soglie di confidenza delle anomalie (alta, media e bassa) per il comportamento basato sui parametri. Induce anomalie in base ai dati di parametri ingeriti a livello di dispositivo. Nel contesto di ML Detect, viene creato un modello ML per valutare un comportamento basato sui parametri. Per ulteriori informazioni, consultare Rilevamento ML.

livello di confidenza

ML Detect supporta tre livelli di confidenza: High, Medium, e Low. High fiducia significa bassa sensibilità nella valutazione del comportamento anomalo e spesso un numero inferiore di allarmi. Medium fiducia significa sensibilità media e Low fiducia significa alta sensibilità e frequentemente un maggior numero di allarmi.

dimensione

È possibile definire una dimensione per regolare l'ambito di un comportamento. Ad esempio, è possibile definire una dimensione del filtro argomento che applica un comportamento agli argomenti MQTT corrispondenti a un modello. Per informazioni sulla definizione di una dimensione da utilizzare in un profilo di sicurezza, consulta CreateDimension.

allarme

Quando viene rilevata un'anomalia, è possibile inviare una notifica di allarme tramite un parametro CloudWatch (consulta Monitorare allarmi e metriche di AWS IoT utilizzando Amazon CloudWatch nella Guida per gli sviluppatori di AWS IoT Core) o una notifica SNS. Una notifica di allarme viene visualizzata anche nell’AWS IoT console insieme a informazioni aggiuntive sull'allarme e a una cronologia degli allarmi per il dispositivo. Viene inviato un allarme anche quando un dispositivo monitorato smette di presentare un comportamento anomalo oppure quando ha provocato la generazione di un allarme ma la segnalazione non avviene più per un lungo periodo di tempo.

stato di verifica dell'allarme

Dopo aver creato un allarme, è possibile classificarlo come True positive (Vero positivo), Benign positive (Benigno positivo), False positive (Falso positivo) o Unknown (Sconosciuto). Puoi anche aggiungere una descrizione allo stato di verifica dell'allarme. È possibile visualizzare, organizzare e filtrare gli allarmi AWS IoT Device Defender utilizzando uno dei quattro stati di verifica. Puoi utilizzare gli stati di verifica degli allarmi e le relative descrizioni per informare i membri del tuo team. Questo aiuta il tuo team a intraprendere azioni di follow-up, ad esempio eseguire azioni di mitigazione su allarmi veri positivi, ignorare allarmi positivi benigni o continuare le verifiche su allarmi sconosciuti. Lo stato di verifica di default per tutti gli allarmi è Unknown (Sconosciuto).

Soppressione degli allarmi

Gestisci Rileva notifiche SNS di allarme impostando la notifica di comportamento su on o suppressed. La soppressione degli allarmi non impedisce a Detect di eseguire valutazioni sul comportamento dei dispositivi; Detect continua a contrassegnare i comportamenti anomali come allarmi di violazione. Tuttavia, gli allarmi soppressi non verranno inoltrati per la notifica SNS. Sono accessibili solo tramite l’AWS IoT console o API.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Casi d'uso della sicurezza

Comportamenti