AWS IoT Device Defender 是一项用于审核和监控与 AWS IoT 连接的设备的全托管服务。它可以评估您的 IoT 设备队列的云配置,通过基于规则和机器学习的检测功能持续监控设备活动,当发现审核违规或行为异常时触发警报,并让您能够通过内置的缓解措施快速解决问题。
审核
AWS IoT Device Defender 可以根据 AWS IoT 安全最佳实践(例如,最低权限或每个设备唯一身份原则)审核与设备相关的资源(例如 X.509 证书、IoT 策略和客户端 ID)。AWS IoT Device Defender 会报告不符合安全最佳实践的配置,例如多个设备使用同一身份或者策略权限过度宽松(允许一个设备读取和更新许多其他设备的数据)。
规则检测
AWS IoT Device Defender 通过持续监控来自设备和 AWS IoT Core 的高价值安全指标(例如,设备上侦听 TCP 端口的数量或授权失败计数),检测可能表明存在危害的异常设备行为。您可以通过为这些指标设置行为(规则),为一组设备指定正常的设备行为。AWS IoT Device Defender 根据用户定义的行为(规则)监控和评估每一个报告的指标数据点,并在检测到异常时向您发出警报。
ML 检测
AWS IoT Device Defender 使用机器学习 (ML) 模型监控和识别六个云端指标(例如,授权失败次数、消息发送次数)和七个设备端指标(例如,数据包输出、侦听 TCP 端口计数)的异常数据点,并在检测到异常时触发警报。AWS IoT Device Defender 消除了定义精确设备行为的需要,而是通过机器学习模型,使用最近 14 天的设备数据自动设置设备行为。然后,它每天对这些模型进行再训练(只要有足够的数据量用来再训练),以根据最新的最近 14 天数据刷新预期的设备行为。ML 检测功能简化了监控的启用。
缓解措施
AWS IoT Device Defender 让您可以使用内置的缓解措施来应对审核和检测警报,例如把物体(设备)加入物体(设备)组、替换默认策略版本和更新设备证书。
警报
AWS IoT Device Defender 会将警报发布到 AWS IoT 控制台、AWS IoT Device Defender API、Amazon CloudWatch;如果您配置了接收 Device Defender 警报的 SNS 主题,AWS IoT Device Defender 警报也可以发布到 Amazon SNS。
指标集成
使用 AWS IoT Device Defender ListMetricValues API,您可以通过一个开放的 API 来可视化设备端、云端和自定义指标,并轻松地将这些指标集成到您的任何自定义控制面板中,以获得对您的部署的完整概述。数据的可视化也是可见的,并集成在 AWS IoT Device Management 的机群中心。
