AWS IoT Device Defender 是全受管服務,可針對連線至 AWS IoT 的裝置進行稽核與監控。這會評估 IoT 裝置機群的雲端組態,透過規則和 ML 式偵測功能持續監控裝置活動、發現違反稽核情況或行為異常時觸發警示,以及讓您能透過內建緩解動作快速處理問題。
稽核
AWS IoT Device Defender 會根據 AWS IoT 安全最佳實務 (例如最低權限原則或每個裝置的唯一身分) 來稽核裝置相關資源 (例如 X.509 憑證、IoT 政策和用戶端 ID)。AWS IoT Device Defender 會回報不符合安全最佳實務合規性的組態 (例如多個裝置使用相同身分),或是允許某個裝置讀取和更新許多其他裝置資料的過度寬鬆政策。
Rules Detect
AWS IoT Device Defender 會持續監控裝置和 AWS IoT Core 的高價值安全指標 (例如裝置上接聽 TCP 連接埠的數量或授權失敗計數),以偵測可能指示存在危害的裝置異常行為。您可以針對這些指標設定行為 (規則),為一組裝置指定正常的裝置行為。AWS IoT Device Defender 會根據使用者定義的行為 (規則) 監控和評估針對這些指標回報的每個資料點,並在偵測到異常時提醒您。
ML Detect
AWS IoT Device Defender 會使用機器學習 (ML) 模型,針對六個雲端指標 (如授權失敗次數、傳送訊息次數) 和七個裝置端指標 (如封包傳出,監聽 TCP 連接埠計數) 監控和識別異常資料點,並在偵測到異常時觸發警示。AWS IoT Device Defender 讓您無需定義裝置的確切行為,並以使用您裝置過去 14 天資料的 ML 模型,即可自動設定裝置行為。接著會每天重新訓練模型 (只要有足夠資料量可重新訓練),根據最近 14 天重新整理預期裝置行為。ML Detect 讓開始監測變得簡單。
緩解動作
AWS IoT Device Defender 可讓您使用內建緩解動作,針對稽核和偵測警示採取動作,例如新增物件至物件群組、更換預設政策版本和更新裝置憑證。
提醒功能
如果您設定 SNS 主題以接收 Device Defender 警示,AWS IoT Device Defender 會將警示發佈至 AWS IoT 主控台、AWS IoT Device Defender API、Amazon CloudWatch 和 Amazon SNS。
指標整合
憑藉 AWS IoT Device Defender ListMetricValues API,您可以透過開放的 API 來視覺化來自連網裝置的裝置端、雲端和自訂指標,並將這些指標輕鬆整合至您的任何自訂儀表板,以全面了解您的部署概觀。資料視覺化也可見並整合至 AWS IoT Device Management。
