Como usar o AWS IoT Device Defender Detect

1. Você pode usar o AWS IoT Device Defender Detect apenas com métricas no lado da nuvem, mas se planeja usar métricas informadas pelo dispositivo, primeiro é necessário implantar o SDK da AWS IoT nos dispositivos conectados da AWS IoT ou gateways de dispositivo. Para ter mais informações, consulte Envio de métricas de dispositivos.

2. Considere visualizar as métricas que os dispositivos geram antes de definir comportamentos e criar alertas. A AWS IoT pode coletar métricas dos dispositivos para que você possa primeiro identificar comportamentos comuns ou incomuns em um grupo de dispositivos ou em todos os dispositivos da sua conta. Use CreateSecurityProfile, mas especifique apenas aqueles additionalMetricsToRetain em que você está interessado. Não especifique behaviors neste ponto.

   Use o console da AWS IoT para ver as métricas de dispositivo para ver o que constitui um comportamento típico para seus dispositivos.

3. Crie um conjunto de comportamentos para seu perfil de segurança. Comportamentos contêm métricas que especificam um comportamento normal para um grupo de dispositivos ou para todos os dispositivos em sua conta. Para obter mais informações e exemplos, consulte Métricas do lado da nuvem e Métricas do lado do dispositivo. Depois de criar um conjunto de comportamentos, é possível validá-los com ValidateSecurityProfileBehaviors.

4. Use a ação CreateSecurityProfile para criar um perfil de segurança que inclua os comportamentos. Você pode usar o parâmetro alertTargets para fazer com que alarmes sejam enviados para um destino (um tópico SNS) quando um dispositivo violar um comportamento. (Se você enviar alertas usando o SNS, lembre-se de que eles são contabilizados na cota de tópicos do SNS da sua Conta da AWS. Uma grande explosão de violações pode exceder sua cota de tópicos do SNS. Você também pode usar as métricas do CloudWatch para verificar a existência de violações. Consulte mais informações em Monitorar alarmes e métricas do AWS IoT com o Amazon CloudWatch no Guia do usuário do AWS IoT Core.

5. Use a ação AttachSecurityProfile para anexar o perfil de segurança a um grupo de dispositivos (um grupo de objetos), todas as objetos registradas em sua conta, todas as objetos não registradas ou todos os dispositivos AWS IoT Device Defender. O Detect inicia a verificação de comportamento anormal e, se forem detectadas violações de comportamento, envia alarmes. Você pode querer anexar um perfil de segurança a todas as objetos não registradas se, por exemplo, você espera interagir com dispositivos móveis que não estão no registro de objetos de sua conta. Você pode definir diferentes conjuntos de comportamentos para diferentes grupos de dispositivos para atender às suas necessidades.

   Para anexar um perfil de segurança a um grupo de dispositivos, é necessário especificar o ARN do grupo de objetos que os contém. O ARN de um grupo de objetos tem o seguinte formato.

   arn:aws:iot:region:account-id:thinggroup/thing-group-name

   Para anexar um perfil de segurança a todas as objetos registradas em uma Conta da AWS (ignorando objetos não registradas), você deve especificar um ARN com o seguinte formato:

   arn:aws:iot:region:account-id:all/registered-things

   Para anexar um perfil de segurança a todas as objetos não registradas, você deve especificar um ARN com o seguinte formato.

   arn:aws:iot:region:account-id:all/unregistered-things

   Para anexar um perfil de segurança a todos os dispositivos, você deve especificar um ARN com o seguinte formato.

   arn:aws:iot:region:account-id:all/things

6. Também é possível acompanhar as violações com a ação ListActiveViolations, que permite ver quais violações foram detectadas para determinado perfil de segurança ou dispositivo de destino.

   Use a ação ListViolationEvents para ver quais violações foram detectadas durante um período especificado. Você pode filtrar esses resultados por perfil de segurança, dispositivo ou estado de verificação de alarme.

7. Você pode verificar, organizar e gerenciar seus alarmes marcando o estado de verificação e fornecendo uma descrição desse estado usando a ação PutVerificationStateOnViolation.

8. Se seus dispositivos violarem os comportamentos definidos, com muita frequência, ou não com frequência suficiente, você deverá ajustar as definições de comportamento.

9. Para revisar os perfis de segurança que você configurou e os dispositivos que estão sendo monitorados, use as ações ListSecurityProfiles, ListSecurityProfilesForTarget e ListTargetsForSecurityProfile.

   Use a ação DescribeSecurityProfile para obter mais detalhes sobre um perfil de segurança.

10. Para atualizar um perfil de segurança, use a ação UpdateSecurityProfile. Use a ação DetachSecurityProfile para desanexar um perfil de segurança de uma conta ou grupo de objetos de destino. Use a ação DeleteSecurityProfile para excluir completamente um perfil de segurança.