Cloudseitige Metriken - AWS IoT Device Defender
Nachrichtengröße (aws:message-byte-size)Gesendete Nachrichten (aws:num-messages-sent)Empfangene Nachrichten (aws:num-messages-received)Autorisierungsfehler (aws:num-authorization-failures)Quell-IP (aws:source-ip-address)Verbindungsversuche (aws:num-connection-attempts)Unterbricht die Verbindung (aws:num-disconnects)Dauer der Verbindung (aws:disconnect-duration)

Cloudseitige Metriken

Bei der Erstellung eines Sicherheitsprofils können Sie das erwartete Verhalten Ihres IoT-Geräts festlegen, indem Sie Verhalten und Schwellenwerte für von IoT-Geräten generierte Metriken konfigurieren. Bei den folgenden Kennzahlen handelt es sich um cloudseitige Metriken, bei denen es sich um Metriken von AWS IoT handelt.

Nachrichtengröße (aws:message-byte-size)

Die Anzahl der Bytes in einer Nachricht. Mit dieser Metrik geben Sie die maximale oder minimale Größe (in Byte) der einzelnen von einem Gerät an AWS IoT übertragenen Nachrichten an.

Kompatibel mit: Rules Detect | ML Detect

Operatoren: less-than | less-than-equals | greater-than | greater-than-equals

Wert: eine nicht negative Ganzzahl

Einheiten: Byte

Beispiel 
{
  "name": "Max Message Size",
  "metric": "aws:message-byte-size",
  "criteria": {
    "comparisonOperator": "less-than-equals",
    "value": {
      "count": 1024
    },
    "consecutiveDatapointsToAlarm": 1,
    "consecutiveDatapointsToClear": 1
  },
  "suppressAlerts": true
}
Beispiel für die Nutzung von statisticalThreshold
{

  "name": "Large Message Size",
  "metric": "aws:message-byte-size",
  "criteria": {
    "comparisonOperator": "less-than-equals",
    "statisticalThreshold": {
      "statistic": "p90"
    },
    "durationSeconds": 300,
    "consecutiveDatapointsToAlarm": 1,
    "consecutiveDatapointsToClear": 1
  },
  "suppressAlerts": true
}
Beispiel mit ML Detect
{
  "name": "Message size ML behavior",
  "metric": "aws:message-byte-size",
  "criteria": {
	 "consecutiveDatapointsToAlarm": 1,
	 "consecutiveDatapointsToClear": 1,
	 "mlDetectionConfig": {
	   "confidenceLevel": "HIGH"
   }
	},
  "suppressAlerts": true
}

Für ein Gerät wird ein Alarm ausgegeben, wenn es während drei aufeinanderfolgender Fünf-Minuten-Zeiträume Nachrichten überträgt, deren kumulative Größe größer ist als bei 90 % aller anderen Geräte, die dieses Sicherheitsprofilverhalten protokollieren.

Gesendete Nachrichten (aws:num-messages-sent)

Die Anzahl der Nachrichten, die von einem Gerät während eines bestimmten Zeitraums gesendet werden.

Mit dieser Metrik geben Sie die maximale oder minimale Anzahl von Nachrichten an, die während eines bestimmten Zeitraums zwischen AWS IoT und jedem Gerät gesendet werden können.

Kompatibel mit: Rules Detect | ML Detect

Operatoren: less-than | less-than-equals | greater-than | greater-than-equals

Wert: eine nicht negative Ganzzahl

Einheiten: Nachrichten

Dauer: eine nicht negative Ganzzahl. Gültige Werte sind 300, 600, 900, 1800 oder 3600 Sekunden.

Beispiel 
{

  "name": "Out bound message count",
  "metric": "aws:num-messages-sent",
  "criteria": {
    "comparisonOperator": "less-than-equals",
    "value": {
      "count": 50
    },
    "durationSeconds": 300,
    "consecutiveDatapointsToAlarm": 1,
    "consecutiveDatapointsToClear": 1
    },
  "suppressAlerts": true
}
Beispiel für die Nutzung von statisticalThreshold
{

  "name": "Out bound message rate",
  "metric": "aws:num-messages-sent",
  "criteria": {
    "comparisonOperator": "less-than-equals",
    "statisticalThreshold": {
      "statistic": "p99"
    },
    "durationSeconds": 300,
    "consecutiveDatapointsToAlarm": 1,
    "consecutiveDatapointsToClear": 1
  },
  "suppressAlerts": true
}
Beispiel mit ML Detect
{
  "name": "Messages sent ML behavior",
  "metric": "aws:num-messages-sent",
  "criteria": {
    "consecutiveDatapointsToAlarm": 1,
    "consecutiveDatapointsToClear": 1,
    "mlDetectionConfig": {
      "confidenceLevel": "HIGH"
    }
  },
  "suppressAlerts": true
}

Empfangene Nachrichten (aws:num-messages-received)

Die Anzahl der Nachrichten, die von einem Gerät während eines bestimmten Zeitraums gesendet werden.

Mit dieser Metrik geben Sie die maximale oder minimale Anzahl von Nachrichten an, die während eines bestimmten Zeitraums zwischen AWS IoT und jedem Gerät empfangen werden können.

Kompatibel mit: Rules Detect | ML Detect

Operatoren: less-than | less-than-equals | greater-than | greater-than-equals

Wert: eine nicht negative Ganzzahl

Einheiten: Nachrichten

Dauer: eine nicht negative Ganzzahl. Gültige Werte sind 300, 600, 900, 1800 oder 3600 Sekunden.

Beispiel 
{
  "name": "In bound message count",
  "metric": "aws:num-messages-received",
  "criteria": {
    "comparisonOperator": "less-than-equals",
    "value": {
      "count": 50
    },
    "durationSeconds": 300,
    "consecutiveDatapointsToAlarm": 1,
    "consecutiveDatapointsToClear": 1
    },
  "suppressAlerts": true
}
Beispiel für die Nutzung von statisticalThreshold
{
  "name": "In bound message rate",
  "metric": "aws:num-messages-received",
  "criteria": {
    "comparisonOperator": "less-than-equals",
    "statisticalThreshold": {
      "statistic": "p99"
    },
    "durationSeconds": 300,
    "consecutiveDatapointsToAlarm": 1,
    "consecutiveDatapointsToClear": 1
  },
  "suppressAlerts": true
}
Beispiel mit ML Detect
{
  "name": "Messages received ML behavior",
  "metric": "aws:num-messages-received",
  "criteria": {
    "consecutiveDatapointsToAlarm": 1,
    "consecutiveDatapointsToClear": 1,
    "mlDetectionConfig": {
      "confidenceLevel": "HIGH"
    }
  },
  "suppressAlerts": true
}

Autorisierungsfehler (aws:num-authorization-failures)

Mit diesem Parameter geben Sie die maximale Anzahl an Autorisierungsfehlern an, die für jedes Gerät in einem bestimmten Zeitraum zulässig ist. Ein Autorisierungsfehler tritt auf, wenn eine Anforderung von einem Gerät an AWS IoT abgelehnt wird, z. B. wenn ein Gerät versucht, ein Thema zu veröffentlichen, für das es nicht über ausreichende Berechtigungen verfügt.

Kompatibel mit: Rules Detect | ML Detect

Einheit: Fehler

Operatoren: less-than | less-than-equals | greater-than | greater-than-equals

Wert: eine nicht negative Ganzzahl

Dauer: eine nicht negative Ganzzahl. Gültige Werte sind 300, 600, 900, 1800 oder 3600 Sekunden.

Beispiel 
{
  "name": "Authorization Failures",
  "metric": "aws:num-authorization-failures",
  "criteria": {
    "comparisonOperator": "less-than",
    "value": {
      "count": 5
    },
    "durationSeconds": 300,
    "consecutiveDatapointsToAlarm": 1,
    "consecutiveDatapointsToClear": 1
  },
  "suppressAlerts": true
}
Beispiel für die Nutzung von statisticalThreshold
{
  "name": "Authorization Failures",
  "metric": "aws:num-authorization-failures",
  "criteria": {
    "comparisonOperator": "less-than-equals",
    "statisticalThreshold": {
      "statistic": "p50"
    },
    "durationSeconds": 300,
    "consecutiveDatapointsToAlarm": 1,
    "consecutiveDatapointsToClear": 1
  },
  "suppressAlerts": true
}
Beispiel mit ML Detect
{
  "name": "Authorization failures ML behavior",
  "metric": "aws:num-authorization-failures",
  "criteria": {
    "consecutiveDatapointsToAlarm": 1,
    "consecutiveDatapointsToClear": 1,
    "mlDetectionConfig": {
      "confidenceLevel": "HIGH"
    }
  },
  "suppressAlerts": true
}

Quell-IP (aws:source-ip-address)

Die IP-Adresse, von der ein Gerät eine Verbindung zu AWS IoT hergestellt hat.

Mit dieser Metrik geben Sie einen Satz von zugelassenen (vormals als auf einer Whitelist stehend bezeichnet) bzw. verbotenen (vormals als auf einer Blacklist stehend bezeichnet) Classless Inter-Domain Routings (CIDR) an, von denen jedes Gerät eine Verbindung mit AWS IoT herstellen darf bzw. keine Verbindung herstellen darf.

Kompatibel mit: Rules Detect

Operatoren: in-cidr-set | not-in-cidr-set

Werte: eine Liste von CIDRs

Einheiten: –

Beispiel 
{
  "name": "Denied source IPs",
  "metric": "aws:source-ip-address",
  "criteria": {
    "comparisonOperator": "not-in-cidr-set",
    "value": {
      "cidrs": [ "12.8.0.0/16", "15.102.16.0/24" ]
    }
  },
  "suppressAlerts": true
}

Verbindungsversuche (aws:num-connection-attempts)

Gibt an, wie oft ein Gerät versucht, innerhalb eines bestimmten Zeitraums eine Verbindung herzustellen.

Mit dieser Metrik geben Sie die Höchst- oder Mindestanzahl an Verbindungsversuchen für jedes Gerät an. Erfolgreiche und fehlgeschlagene Versuche werden gezählt.

Kompatibel mit: Rules Detect | ML Detect

Operatoren: less-than | less-than-equals | greater-than | greater-than-equals

Wert: eine nicht negative Ganzzahl

Einheiten: Verbindungsversuche

Dauer: eine nicht negative Ganzzahl. Gültige Werte sind 300, 600, 900, 1800 oder 3600 Sekunden.

Beispiel 
{
  "name": "Connection Attempts",
  "metric": "aws:num-connection-attempts",
  "criteria": {
    "comparisonOperator": "less-than-equals",
    "value": {
      "count": 5
    },
    "durationSeconds": 600,
    "consecutiveDatapointsToAlarm": 1,
    "consecutiveDatapointsToClear": 1
  },
  "suppressAlerts": true
}
Beispiel für die Nutzung von statisticalThreshold
{
  "name": "Connection Attempts",
  "metric": "aws:num-connection-attempts",
  "criteria": {
    "comparisonOperator": "less-than-equals",
    "statisticalThreshold": {
      "statistic": "p10"
    },
    "durationSeconds": 300,
    "consecutiveDatapointsToAlarm": 1,
    "consecutiveDatapointsToClear": 1
  },
  "suppressAlerts": true
}
Beispiel mit ML Detect
{
  "name": "Connection attempts ML behavior",
  "metric": "aws:num-connection-attempts",
  "criteria": {
    "consecutiveDatapointsToAlarm": 1,
    "consecutiveDatapointsToClear": 1,
    "mlDetectionConfig": {
      "confidenceLevel": "HIGH"
    }
  },
  "suppressAlerts": false
}

Unterbricht die Verbindung (aws:num-disconnects)

Gibt an, wie oft die Verbindung eines Geräts mit AWS IoT innerhalb eines bestimmten Zeitraums getrennt wird.

Mit dieser Metrik geben Sie die Höchst- oder Mindestanzahl der getrennten Verbindungen eines Geräts mit AWS IoT innerhalb eines bestimmten Zeitraums an.

Kompatibel mit: Rules Detect | ML Detect

Operatoren: less-than | less-than-equals | greater-than | greater-than-equals

Wert: eine nicht negative Ganzzahl

Einheiten: getrennte Verbindungen

Dauer: eine nicht negative Ganzzahl. Gültige Werte sind 300, 600, 900, 1800 oder 3600 Sekunden.

Beispiel 
{
  "name": "Disconnections",
  "metric": "aws:num-disconnects",
  "criteria": {
    "comparisonOperator": "less-than-equals",
    "value": {
      "count": 5
    },
    "durationSeconds": 600,
    "consecutiveDatapointsToAlarm": 1,
    "consecutiveDatapointsToClear": 1
  },
  "suppressAlerts": true
}
Beispiel für die Nutzung von statisticalThreshold
{
  "name": "Disconnections",
  "metric": "aws:num-disconnects",
  "criteria": {
    "comparisonOperator": "less-than-equals",
    "statisticalThreshold": {
      "statistic": "p10"
    },
    "durationSeconds": 300,
    "consecutiveDatapointsToAlarm": 1,
    "consecutiveDatapointsToClear": 1
  },
  "suppressAlerts": true
}
Beispiel mit ML Detect
{
  "name": "Disconnects ML behavior",
  "metric": "aws:num-disconnects",
  "criteria": {
    "consecutiveDatapointsToAlarm": 1,
    "consecutiveDatapointsToClear": 1,
    "mlDetectionConfig": {
      "confidenceLevel": "HIGH"
    }
  },
  "suppressAlerts": true
}

Dauer der Verbindung (aws:disconnect-duration)

Die Dauer, für die ein Gerät von AWS IoT getrennt bleibt.

Verwenden Sie diese Metrik, um die maximale Dauer anzugeben, für die ein Gerät von AWS IoT getrennt bleibt.

Kompatibel mit: Rules Detect

Operatoren: weniger als | weniger als gleich

Wert: eine nicht negative Ganzzahl (in Minuten)

Beispiel 
{
"name": "DisconnectDuration",
  "metric": "aws:disconnect-duration",
  "criteria": {
"comparisonOperator": "less-than-equals",
    "value": {
"count": 5
    }
  },
  "suppressAlerts": true
}