Amazon IoT Device Defender 是一项完全托管的服务,用于审核和监控连接到 Amazon IoT 的设备。该服务可评估 IoT 设备队列的云配置,通过规则检测和 ML 检测功能持续监控设备活动,在检测到审核违规或行为异常时触发警报,并使您能够通过内置缓解措施快速解决问题。
审核
Amazon IoT Device Defender 会根据 Amazon IoT 安全最佳实践(例如,每台设备的最低权限或唯一身份原则)审核您的设备相关资源(例如,X.509 证书、IoT 策略和客户端 ID)。Amazon IoT Device Defender 会报告不符合安全最佳实践的配置,例如,使用相同身份的多台设备,或者使用允许一台设备读取和更新多台其他设备数据的过于宽松的策略。
规则检测
Amazon IoT Device Defender 通过持续监控来自设备和 Amazon IoT Core 的高价值安全指标(例如设备上侦听 TCP 端口的数量或授权失败次数),来检测可能表明存在危害的异常设备行为。您可以通过为这些指标设置行为(规则)来为一组设备指定正常设备行为。Amazon IoT Device Defender 可根据用户定义的行为(规则)监控和评估为这些指标报告的每个数据点,并在检测到异常时向您发出提醒。
ML 检测
Amazon IoT Device Defender 使用机器学习 (ML) 模型监控和识别六个云端指标(例如授权失败次数、消息发送次数)和七个设备端指标(例如数据包数量、侦听 TCP 端口数)的异常数据点,并在检测到异常时触发警报。借助 Amazon IoT Device Defender,您无需定义设备的准确行为,该服务会使用 14 天内的设备数据通过 ML 模型自动设置这些行为。然后,该服务会根据最近14 天的数据每天重新训练模型,来刷新设备预期行为。ML 检测简化了监控启用。
缓解措施
Amazon IoT Device Defender 让您可以使用内置的缓解措施来应对审核和检测警报,例如把物体(设备)加入物体(设备)组、替换默认策略版本和更新设备证书。
警报
如果您将 SNS 主题配置为接收 Device Defender 警报,Amazon IoT Device Defender 会将警报发布到 Amazon IoT 控制台、Amazon IoT Device Defender API、Amazon CloudWatch 和 Amazon SNS。
指标集成
借助 Amazon IoT Device Defender ListMetricValues API,您可以通过开源 API 可视化互联设备的设备端指标、云端指标和自定义指标,并将这些指标轻松集成到任何自定义控制面板中,从而全面了解部署情况。