Conceitos

métrica

O AWS IoT Device Defender Detect usa métricas para detectar comportamentos anormais dos dispositivos.AWS IoT Device Defender O Detect compara o valor reportado de uma métrica com o valor esperado fornecido. Essas métricas podem ser obtidas de duas fontes: métricas no lado da nuvem e métricas no lado do dispositivo. O ML Detect é compatível com 6 métricas do lado da nuvem e 7 do lado do dispositivo. Para obter uma lista completa de métricas compatíveis com ML Detect, consulte Métricas compatíveis.

O comportamento anormal na rede da AWS IoT é detectado usando métricas no lado da nuvem, como o número de falhas de autorização, ou o número ou tamanho de mensagens que um dispositivo envia ou recebe por meio da AWS IoT.

O AWS IoT Device Defender Detect também pode coletar, agregar e monitorar dados de métricas gerados por dispositivos da AWS IoT (por exemplo, as portas em que um dispositivo está em escuta, o número de bytes ou pacotes enviados ou as conexões TCP do dispositivo).

Use o AWS IoT Device Defender Detect com métricas no lado da nuvem isoladamente. Para usar métricas no lado do dispositivo, primeiro é necessário implantar o SDK da AWS IoT nos dispositivos conectados à AWS IoT ou gateways de dispositivo para coletar as métricas e enviá-las à AWS IoT. Consulte Envio de métricas de dispositivos.

Perfil de segurança

Um perfil de segurança define comportamentos anormais para um grupo de dispositivos (um grupo de coisas estático) ou para todos os dispositivos na conta e especifica quais medidas tomar quando uma anomalia é detectada. Você pode usar comandos do console de AWS IoT ou da API para criar um Perfil de segurança e associá-lo a um grupo de dispositivos. AWS IoT Device Defender O Detect começa a registrar dados relacionados à segurança e usa os comportamentos definidos no Perfil de segurança para detectar anomalias no comportamento dos dispositivos.

comportamento

O comportamento informa ao AWS IoT Device Defender Detect como reconhecer quando um dispositivo está fazendo algo anormal. Qualquer ação de um dispositivo que não corresponder a um comportamento acionará um alerta. Um comportamento de regras do Detect consiste em uma métrica e um valor absoluto ou limite estatístico com um operador (por exemplo, menor ou igual a, maior ou igual a), que descrevem o comportamento esperado do dispositivo. Um comportamento do ML Detect consiste em uma métrica e uma configuração do ML Detect, que definem um modelo de ML para aprender o comportamento normal dos dispositivos.

Modelo de ML

Um modelo de ML é um modelo de machine learning criado para monitorar cada comportamento configurado pelo cliente. O modelo é treinado por padrões de dados de métrica de grupos de dispositivos específicos e gera três limites de confiança para (alto, médio e baixo) para um comportamento anômalo baseado em métricas. Ele infere a presença de anomalias com base nos dados métricos ingeridos no nível do dispositivo. No contexto do ML Detect, um modelo de ML é criado para avaliar um comportamento baseado em métricas. Para ter mais informações, consulte ML Detect.

nível de confiança

O ML Detect é compatível com três níveis de confiança: High, Medium e Low. O nível de confiança High significa baixa sensibilidade na avaliação de comportamento anômalo e frequentemente um menor número de alarmes; o Medium significa sensibilidade média; e Low, alta sensibilidade e frequentemente um maior número de alarmes.

dimensão

Você pode definir uma dimensão para ajustar o escopo de um comportamento. Por exemplo, você pode definir uma dimensão de filtro de tópico que aplica um comportamento a tópicos MQTT que correspondem a um padrão. Para obter informações sobre como definir uma dimensão para uso em um Perfil de segurança, consulte CreateDimension.

alarme

Quando uma anomalia é detectada, uma notificação de alarme pode ser enviada por meio de uma métrica do CloudWatch (consulte Monitorar alarmes e métricas do AWS IoT com o Amazon CloudWatch no Guia do desenvolvedor do AWS IoT Core) ou de uma notificação do SNS. Uma notificação de alarme também é exibida no console da AWS IoT junto com informações sobre o alarme e um histórico de alertas para o dispositivo. Um alarme também será enviado quando um dispositivo monitorado parar de exibir um comportamento anormal ou quando o alarme sendo gerado por um dispositivo para de ser relatado por um longo período.

estado de verificação de alarme

Depois que um alarme for criado, você conseguirá verificar se ele um é Verdadeiro positivo, Positivo benigno, Falso positivo ou Desconhecido. Você também pode adicionar uma descrição ao estado de verificação do alarme. Você pode visualizar, organizar e filtrar alarmes do AWS IoT Device Defender usando um dos quatro estados de verificação. Você pode usar estados de verificação de alarmes e descrições relacionadas para dar informações aos membros da sua equipe. Isso ajuda sua equipe a tomar medidas de acompanhamento, por exemplo, realizando ações de mitigação em alarmes Positivos verdadeiros, ignorando alarmes Positivos benignos ou investigando continuamente alarmes Desconhecidos. O estado de verificação padrão para todos os alarmes é Desconhecido.

supressão de alarmes

Gerencie as notificações do SNS para alarmes do Detect configurando a notificação para comportamentos como on ou suppressed. A supressão de alarmes não impede o Detect de realizar avaliações de comportamento do dispositivo; o Detect continua sinalizando comportamentos anômalos como alarmes de violação. No entanto, os alarmes suprimidos não são encaminhados para as notificações do SNS. Eles podem ser acessados somente por meio do console de AWS IoT ou da API.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Casos de uso de segurança

Comportamentos