Überwachung der Verhaltensweise nicht registrierter Geräte

Detect

AWS IoT Device Defender Detect ermöglicht es Ihnen, durch Überwachung des Verhaltens Ihrer Geräte ungewöhnliches Verhalten zu erkennen, das auf ein kompromittiertes Gerät hindeuten kann. Mithilfe einer Kombination von cloudseitigen Metriken (von AWS IoT) und geräteseitigen Metriken (von Agenten, die Sie auf Ihren Geräten installieren) können Sie Folgendes erkennen:

Änderungen in Verbindungsmustern.
Geräte, die mit nicht autorisierten oder nicht erkannten Endpunkten kommunizieren.
Änderungen der Muster des eingehenden und ausgehenden Datenverkehrs der Geräte.

Sie erstellen Sicherheitsprofile mit Definitionen der erwarteten Geräte-Verhaltensweisen und weisen sie einer Gruppe von Geräten oder allen Geräten in Ihrer Flotte zu. AWS IoT Device Defender Detect verwendet diese Sicherheitsprofile zum Erkennen von Anomalien und Senden von Alarmen über Amazon CloudWatch-Metriken und Amazon Simple Notification Service-Benachrichtigungen.

AWS IoT Device Defender Detect kann häufige Sicherheitsprobleme von verbundenen Geräten erkennen:

Datenverkehr von einem Gerät zu einer bekannten böswilligen IP-Adresse oder zu einem nicht autorisierten Endpunkt, der auf einen potenziell böswilligen Befehl und Kontrollkanal hindeutet.
Anomaler Datenverkehr, wie beispielsweise Verkehrsspitzen im ausgehenden Datenverkehr, der darauf hindeutet, dass ein Gerät an einem DDoS-Angriff beteiligt ist.
Geräte mit Remote-Management-Schnittstellen und Ports, auf die remote zugegriffen werden kann.
Ein Spitzenwert der Anzahl der an Ihr Konto gesendeten Nachrichten (z. B. von einem nicht autorisierten Gerät, was dazu führen kann, dass übermäßige Gebühren pro Nachricht anfallen).

Anwendungsfälle:

Messen der Angriffsfläche

Sie können mit AWS IoT Device Defender Detect die Angriffsfläche Ihrer Geräte messen. Sie können beispielsweise Geräte mit Service-Ports identifizieren, die häufig das Ziel von Angriffskampagnen sind (Ausführung von Telnet-Service auf Ports 23/2323, SSH-Service auf Port 22, HTTP/S-Services auf Ports 80/443/8080/8081). Obwohl der Einsatz dieser Service-Ports auf den Geräten gute Gründe haben kann, sind sie in der Regel aber auch Teil der Angriffsfläche für Angreifer und bergen die damit verbundenen Risiken. Nachdem AWS IoT Device Defender Detect Sie auf die Angriffsfläche aufmerksam gemacht hat, können Sie diese minimieren (indem Sie nicht verwendete Netzwerkdienste eliminieren) oder zusätzliche Bewertungen zur Identifizierung von Sicherheitslücken (z. B. Telnet-Konfiguration mit gemeinsamen, Standard- oder schwachen Passwörtern) durchführen.

Erkennen von Anomalien im Geräteverhalten mit möglichen die Sicherheit betreffenden Ursachen

Sie können sich von AWS IoT Device Defender Detect auf unerwartete Geräte-Verhaltensmetriken (die Anzahl der offenen Ports, die Anzahl der Verbindungen, ein unerwarteter offener Port, Verbindungen mit unerwarteten IP-Adressen) aufmerksam machen lassen, die auf eine Sicherheitsverletzung hindeuten können. Beispiel: eine höhere Anzahl von TCP-Verbindungen als erwartet könnte darauf hinweisen, dass ein Gerät für einen DDoS-Angriff verwendet wird. Ein Prozess, der einen anderen als den von Ihnen erwarteten Port überwacht, könnte auf eine auf dem Gerät für Remote-Steuerung installierte Backdoor hinweisen. Sie können mit AWS IoT Device Defender Detect den Zustand Ihrer Geräteflotte prüfen und Ihre Sicherheitsannahmen (z. B. kein Gerät überwacht Port 23 oder 2323) überprüfen.

Sie können die Machine Learning (ML)-basierte Bedrohungserkennung aktivieren, um potenzielle Bedrohungen automatisch zu identifizieren.

Erkennen eines nicht korrekt konfigurierten Geräts

Ein starker Anstieg in der Anzahl oder Größe der von einem Gerät zu Ihrem Konto gesendeten Nachrichten kann auf ein falsch konfiguriertes Gerät hinweisen. Bei Verwendung eines solchen Geräts könnten sich Ihre Gebühren pro Nachricht erhöhen. Ebenso könnte ein Gerät mit vielen Autorisierungsfehlern eine neu konfigurierte Richtlinie benötigen.

Überwachung der Verhaltensweise nicht registrierter Geräte

Mit AWS IoT Device Defender Detect können Sie ungewöhnliche Verhaltensweisen für Geräte identifizieren, die nicht in der AWS IoT-Registrierung registriert sind. Sie können Sicherheitsprofile speziell für einen der folgenden Zieltypen definieren:

Alle Geräte
Alle registrierten Geräte (Objekte in der AWS IoT-Registrierung)
Alle nicht registrierten Geräte
Geräte in einer Objektgruppe

Ein Sicherheitsprofil definiert eine Reihe von erwarteten Verhaltensweisen für Geräte in Ihrem Konto und legt die auszuführenden Aktionen fest, wenn eine Anomalie erkannt wird. Sicherheitsprofile sollten den spezifischsten Zielen angefügt werden, damit Sie präzise steuern können, welche Geräte anhand dieses Profils ausgewertet werden.

Nicht registrierte Geräte müssen eine konsistente MQTT-Client-ID oder einen konsistenten Objektnamen (für Geräte, die Gerätemetriken ausgeben) innerhalb der gesamten Lebensdauer des Geräts angeben, sodass alle Verstöße und Metriken dem demselben Gerät zugeordnet werden.

Wichtig

Gerätemeldungen werden abgelehnt, wenn der Objektname Steuerzeichen enthält oder wenn der Objektname länger als 128 Byte an UTF-8-codierten Zeichen ist.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Unterdrückungen von Prüfergebnissen

Anwendungsfälle für Sicherheit