Оповещения системы безопасности Defender для Центра Интернета вещей

Defender для Интернета вещей постоянно анализирует решение для Интернета вещей с помощью инструментов расширенной аналитики и аналитики угроз, чтобы оповещать вас о вредоносных действиях. Кроме того, можно создавать настраиваемые оповещения на основе знаний об ожидаемом поведении устройства. Оповещение служит индикатором потенциальной компрометации, поэтому нужно его исследовать и принять необходимые меры.

В этой статье приведен список встроенных оповещений, которые можно активировать в Центре Интернета вещей. Помимо встроенных оповещений, Defender для Интернета вещей позволяет создавать настраиваемые оповещения на основе ожидаемого поведения Центра Интернета вещей и (или) устройства. Дополнительные сведения см. в статье о настраиваемых оповещениях.

Встроенные оповещения для Центра Интернета вещей

Средняя серьезность

Имя Severity Источник данных Описание Предлагаемые способы исправления AlertType
В Центр Интернета вещей добавлен новый сертификат Средн. Центр Интернета вещей Сертификат добавлен в центр Интернета вещей. Если эта операция не была выполнена полномочным лицом, она может указывать на вредоносные действия. 1. Убедитесь, что сертификат добавлен полномочным лицом.
2. Если нет, удалите сертификат и эскалируйте оповещение в службу безопасности организации.
IoT_CertificateSuccessfullyAddedToHub
Сертификат удален из Центра Интернета вещей Средн. Центр Интернета вещей Сертификат удален из центра Интернета вещей. Если эта операция не была выполнена полномочным лицом, она может указывать на вредоносные действия. 1. Убедитесь, что сертификат удален полномочным лицом.
2. Если нет, добавьте сертификат обратно и эскалируйте оповещение в службу безопасности организации.
IoT_CertificateSuccessfullyDeletedFromHub
Обнаружена неудачная попытка добавить сертификат в Центр Интернета вещей Средн. Центр Интернета вещей Не удалось добавить сертификат в центр Интернета вещей. Если эта операция не была выполнена полномочным лицом, она может указывать на вредоносные действия. Убедитесь, что разрешения на изменение сертификатов предоставлены только полномочным лицам. Hub_CertificateFailedToBeAddedToHub
Обнаружена неудачная попытка удалить сертификат из Центра Интернета вещей Средн. Центр Интернета вещей Не удалось удалить сертификат из центра Интернета вещей. Если эта операция не была выполнена полномочным лицом, она может указывать на вредоносные действия. Убедитесь, что разрешения на изменение сертификатов предоставлены только полномочным лицам. IoT.Hub_CertificateFailedToBeDeletedFromHub
Несоответствие отпечатка сертификата X.509 устройства Средн. Центр Интернета вещей Отпечаток сертификата X.509 устройства не соответствует конфигурации. Проверьте оповещения на устройствах. Никаких дополнительных действий не требуется. IoT_Cert_Print_Mismatch
Истек срок действия сертификата X.509 Средн. Центр Интернета вещей Истек срок действия сертификата X.509 устройства. Это может быть легальное устройство с истекшим сроком действия сертификата или попытка олицетворения допустимого устройства. Если допустимое устройство в настоящее время подключено надлежащим образом, вероятно, это попытка олицетворения. IoT_Cert_Expired

Низкая степень серьезности

Имя Severity Источник данных Описание Предлагаемые способы исправления AlertType
Обнаружена попытка добавить или изменить параметр диагностики Центра Интернета вещей Низкий Центр Интернета вещей Обнаружена попытка добавить или изменить параметр диагностики Центра Интернета вещей. Параметры диагностики позволяют воссоздавать действия для анализа инцидентов безопасности или при компрометации сети. Если эта операция не была выполнена полномочным лицом, она может указывать на вредоносные действия. 1. Убедитесь, что сертификат удален полномочным лицом.
2. Если нет, добавьте сертификат обратно и эскалируйте оповещение в службу информационной безопасности.
IoT_DiagnosticSettingAddedOrEditedOnHub
Обнаружена попытка удалить параметр диагностики из Центра Интернета вещей Низкий Центр Интернета вещей Обнаружена попытка добавить или изменить параметр диагностики Центра Интернета вещей. Параметры диагностики позволяют воссоздавать действия для анализа инцидентов безопасности или при компрометации сети. Если эта операция не была выполнена полномочным лицом, она может указывать на вредоносные действия. Убедитесь, что разрешения на изменение параметров диагностики предоставлены только полномочным лицам. IoT_DiagnosticSettingDeletedFromHub
Истек срок действия маркера SAS Низкий Центр Интернета вещей Устройство использовало маркер SAS с истекшим сроком действия Может быть легальным устройством с просроченным маркером или попыткой выполнить олицетворение допустимого устройства. Если допустимое устройство в настоящее время подключено надлежащим образом, вероятно, это попытка олицетворения. IoT_Expired_SAS_Token
Недопустимая подпись маркера SAS Низкий Центр Интернета вещей У используемого устройством маркера SAS недопустимая подпись. Подпись не соответствует первичному или вторичному ключу. Проверьте оповещения на устройствах. Никаких дополнительных действий не требуется. IoT_Invalid_SAS_Token

Дальнейшие действия