Detect - AWS IoT Core

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Detect

AWS IoT Device Defender Detect lets you identify unusual behavior that might indicate a compromised device by monitoring the behavior of your devices. Using a combination of cloud-side metrics (from AWS IoT) and device-side metrics (from agents that you install on your devices) you can detect:

  • 接続パターンの変更。

  • 認証されていないエンドポイントまたは認識されていないエンドポイントと通信するデバイス。

  • インバウンドおよびアウトバウンドのデバイストラフィックパターンの変更。

予期されるデバイス動作の定義が含まれるセキュリティプロファイルを作成し、フリート内のデバイスのグループまたはすべてのデバイスに割り当てます。AWS IoT Device Defender Detect uses these security profiles to detect anomalies and send alarms through Amazon CloudWatch metrics and Amazon Simple Notification Service notifications.

AWS IoT Device Defender Detect can detect security issues frequently found in connected devices:

  • 潜在的な悪意のあるコマンドおよびコントロールチャネルを示す、既知の悪意のある IP アドレスまたは許可されていないエンドポイントへのデバイスからのトラフィック。

  • デバイスが DDoS 攻撃に関与していることを示す、アウトバウンドトラフィックのスパイクなど、変則的なトラフィック。

  • リモートでアクセスできるリモート管理インターフェイスとポートを持つデバイス。

  • アカウントに送信されるメッセージ量のスパイク (たとえば、メッセージあたりの料金が過剰になる可能性のある非認証デバイスから)。

ユースケース:

攻撃領域を測定する

You can use AWS IoT Device Defender Detect to measure the attack surface of your devices. たとえば、攻撃キャンペーンの対象となりやすいサービスポートを持つデバイスを特定できます (ポート 23/2323 で実行される telnet サービス、ポート 22 で実行される SSH サービス、ポート 80/443/8080/8081 で実行される HTTP/S サービス)。デバイスでこれらのサービスポートを使用する正当な理由がある場合もありますが、攻撃者やキャリア関連のリスクによって攻撃領域の一部ともよくなります。After AWS IoT Device Defender Detect alarms you to the attack surface, you can minimize it (by eliminating unused network services) or run additional assessments to identify security weaknesses (for example, telnet configured with common, default, or weak passwords).

セキュリティの根本原因を使用したデバイス動作の異常の検出

You can use AWS IoT Device Defender Detect to alarm you to unexpected device behavioral metrics (the number of open ports, number of connections, an unexpected open port, connections to unexpected IP addresses) that might indicate a security breach. たとえば、TCP 接続の数が予想より多くなった場合、デバイスが DDoS 攻撃に使用されていることを示している可能性があります。予期されるポート以外のポートでリッスンしているプロセスは、リモート制御のためにバックドアがデバイスにインストールされていることを示している可能性があります。You can use AWS IoT Device Defender Detect to probe the health of your device fleets and verify your security assumptions (for example, no device is listening on port 23 or 2323).

機械学習 (ML) ベースの脅威検出を有効にして、潜在的な脅威を自動的に識別できます。

正しく設定されていないデバイスを検出する

デバイスからアカウントに送信されるメッセージの数またはサイズのスパイクは、正しく設定されていないデバイスを示している可能性があります。そのようなデバイスがあると、メッセージ単位の料金が上昇する可能性があります。同様に、認証エラーの多いデバイスには、再設定されたポリシーが必要になる可能性があります。

未登録のデバイスの動作をモニタリングする

AWS IoT Device Defender Detect makes it possible to identify unusual behaviors for devices that are not registered in the AWS IoT registry. 以下のいずれかのターゲットタイプに固有のセキュリティプロファイルを定義することができます。

  • すべてのデバイス

  • All registered devices (things in the AWS IoT registry)

  • 未登録のすべてのデバイス

  • モノグループ内のデバイス

セキュリティプロファイルは、アカウントの予期されるデバイスの動作を定義し、異常が検出されたときに実行するアクションを指定します。セキュリティプロファイルは、そのプロファイルに対して評価するデバイスをきめ細かく制御できるように、最も合ったターゲットにアタッチする必要があります。

未登録のデバイスの場合は、すべての違反やメトリクスが同じデバイスとして扱われるように、デバイスの有効期間にわたって一貫した MQTT クライアント識別子またはモノの名前 (デバイスメトリクスをレポートするデバイス用) を指定する必要があります。

重要

モノ名に制御文字が含まれている場合、またはモノ名が 128 バイトの UTF-8 エンコード文字より長い場合、デバイスによって報告されたメッセージは拒否されます。