AWS IoT Device Defender – это полностью управляемый сервис для обеспечения аудита и мониторинга устройств, подключенных к AWS IoT. Он оценивает облачную конфигурацию парка устройств IoT, обеспечивает постоянный мониторинг работы устройств с помощью функций обнаружения на основе правил и машинного обучения, отправляет предупреждение при выявлении нарушений аудита или аномалий поведения и позволяет быстро устранять проблемы с помощью встроенных средств.
Аудит
AWS IoT Device Defender проверяет, соответствуют ли связанные с устройствами ресурсы (такие как сертификаты X.509, политики IoT и идентификаторы клиентов) рекомендациям по безопасности AWS IoT (например, принципу минимальных привилегий или правилу, согласно которому каждое устройство должно иметь уникальный идентификатор). AWS IoT Device Defender сообщает о конфигурациях, не соответствующих рекомендациям по безопасности, например об использовании одного идентификатора для нескольких устройств или о недостаточной строгости политик, которые, например, позволяют одному устройству считывать и изменять данные на многих других устройствах.
Обнаружение правил
AWS IoT Device Defender выявляет необычное поведение устройства, которое может быть признаком взлома, путем непрерывного мониторинга ключевых метрик безопасности на устройстве и в сервисе AWS IoT Core. К таким метрикам относится, например, количество TCP‑портов для входящих соединений на устройствах или число сбоев авторизации. Пользователи могут определить нормальное поведение для группы устройств, задав модели поведения (правила) для этих метрик. AWS IoT Device Defender выполняет мониторинг каждой точки данных, переданной для этих метрик, и определяет, соответствует ли она заданным моделям поведения (правилам). При обнаружении отклонений выдается предупреждение.
ML-обнаружение
С помощью моделей машинного обучения (ML) AWS IoT Device Defender отслеживает и выявляет аномальные точки данных для шести метрик на стороне облака (например, число сбоев авторизации, количество отправленных сообщений) и семи метрик на стороне устройства (например, отправка пакетов, отслеживание количества TCP-портов) и при обнаружении аномалии отправляет предупреждение. AWS IoT Device Defender устраняет необходимость в определении точного поведения устройств и автоматически устанавливает для них модели машинного обучения, используя данные устройства за последний 14-дневный период. Затем выполняется ежедневное повторное обучение модели (при условии, что для этого имеется достаточный объем данных) с целью обновить данные об ожидаемом поведении устройства на основе информации за последние 14 дней. Функция ML-обнаружения упрощает мониторинг.
Средства нейтрализации угроз
AWS IoT Device Defender позволяет использовать встроенные средства для нейтрализации угроз, вызвавших появление предупреждений аудита и обнаружения, например для добавления объектов в группу, замены версии политики по умолчанию и обновления сертификата устройства.
Выдача предупреждений
AWS IoT Device Defender публикует предупреждения в консоль AWS IoT, API AWS IoT Device Defender, Amazon CloudWatch и Amazon SNS, если настроить темы SNS для получения предупреждений Device Defender.
Интеграция метрик
С помощью AWS IoT Device Defender ListMetricValues API вы можете визуализировать показатели подключенных устройств со стороны устройства, облака и пользовательские метрики с помощью открытого API и легко интегрировать эти показатели в любые ваши пользовательские панели управления, чтобы получить полный обзор ваших развертываний. Визуализация данных также видна и интегрирована в Fleet Hub для AWS IoT Device Management.
Подробнее о ценах на AWS IoT Device Defender