AWS IoT Device Defender は、AWS IoT に接続されたデバイスを監査および監視するためのフルマネージドサービスです。IoT デバイスフリートのクラウド構成を評価し、ルールベースおよび ML ベースの検出機能を経由してデバイスアクティビティを継続的に監視し、監査違反または動作異常が識別されたときにアラームをトリガーして、組み込みの緩和アクションを使って問題に迅速に対処できるようにします。
監査
AWS IoT Device Defender では、AWS IoT のセキュリティベストプラクティス (デバイスごとの最小権限の原則や固有の設定など) に照らして、デバイス関連リソース (X.509 証明書、IoT ポリシー、顧客 ID など) を監査できます。また AWS IoT Device Defender は、同じ ID を使用する複数のデバイスや、1 つのデバイスで多くのデバイスのデータ読み込みや更新を許可する寛容すぎるポリシーなど、セキュリティのベストプラクティスを順守していない設定を報告します。
ルール検出
AWS IoT Device Defender では、デバイスおよび AWS IoT Core から送信される重要なセキュリティメトリクス (デバイスのリッスン状態の TCP ポートの数や、認証に失敗した回数など) を継続的にモニタリングすることで、セキュリティ侵害の兆候を示す、通常と異なるデバイスの動作を検出できます。メトリクスの動作 (ルール) を設定することで、一連のデバイスに対して通常動作をあらかじめ定義することができます。AWS IoT Device Defender では、それぞれのメトリクスについて受け取った各データポイントを、ユーザー定義の動作 (ルール) に照らしてモニタリングおよび評価し、異常が検出された場合にアラートで知らせます。
ML 検出
AWS IoT Device Defender は、機械学習 (ML) モデルを使用して 6 つのクラウド側のメトリクス (認証失敗カウント、メッセージ送信カウントなど) および 7 つのデバイス側のメトリクス (出力パケット数、リッスンしている TCP ポート数など) の異常なデータポイントを監視および識別し、異常が検出された場合にアラームをトリガーします。AWS IoT Device Defender では、デバイスの動作を正確に定義する必要がなく、直近 14 日間のデバイスデータを使用して ML モデルで動作を自動的に設定します。次に、モデルを毎日再トレーニングして (再トレーニングに十分な量のデータがある限り)、直近 14 日間に基づいて予想されるデバイスの動作を更新します。ML 検出を使用すれば、監視を簡単に開始できます。
緩和アクション
AWS IoT Device Defender を使用すると、組み込み緩和アクションを使用して、Thing グループへの モノの追加、デフォルトのポリシーバージョンの置き換え、デバイス証明書の更新などの監査および検出アラームの手順を実行できます。
アラート
AWS IoT Device Defender は、Device Defender アラームを受信するように SNS トピックを設定した場合、AWS IoT コンソール、AWS IoT Device Defender API、Amazon CloudWatch、および Amazon SNS にアラームを送信します。
メトリクスの統合
AWS IoT Device Defender ListMetricValues API を使用すると、オープン API を通じて接続デバイスからデバイス側、クラウド側、およびカスタムメトリクスを可視化し、これらのメトリクスを任意のカスタムダッシュボードに簡単に統合して、デプロイの完全な概要を把握することができます。また、データの可視化は、AWS IoT Device Management のフリートハブに統合され、可視化されます。
