你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Defender for IoT 中心安全警报

Defender for IoT 使用高级分析和威胁智能来持续分析 IoT 解决方案，在存在恶意活动时发出警报。 此外，你可以根据对预期设备行为的了解来创建自定义警报。 该警报用作潜在危害指标，应进行调查和修正。

本文提供了可在 IoT 中心上触发的内置警报的列表。 除内置警报外，借助 Defender for IoT 还可以根据预期 IoT 中心和/或设备行为定义自定义警报。 有关详细信息，请参阅可自定义的警报。

IoT 中心的内置警报

中等严重性

名称	严重性	数据源	说明	建议的补救措施	AlertType
将新证书添加到 IoT 中心	中	IoT 中心	已将证书添加到 IoT 中心。 如果此操作是由未授权方执行的，则可能表明存在恶意活动。	1.请确保证书由授权方添加。 2.如果该证书不是由授权方添加的，请删除该证书并将警报上报给组织安全团队。	IoT_CertificateSuccessfullyAddedToHub
从 IoT 中心删除证书	中	IoT 中心	已从 IoT 中心删除证书。 如果此操作是由未授权方执行的，则可能表明存在恶意活动。	1.请确保证书已由授权方删除。 2.如果该证书不是由授权方删除的，请添加回该证书并将警报上报给组织安全团队。	IoT_CertificateSuccessfullyDeletedFromHub
检测到将证书添加到 IoT 中心的尝试失败	中	IoT 中心	尝试将证书添加到 IoT 中心失败。 如果此操作是由未授权方执行的，则可能表明存在恶意活动。	请确保仅向授权方授予更改证书的权限。	Hub_CertificateFailedToBeAddedToHub
检测到从 IoT 中心删除证书的尝试失败	中	IoT 中心	尝试从 IoT 中心删除证书失败。 如果此操作是由未授权方执行的，则可能表明存在恶意活动。	请确保仅向授权方授予更改证书的权限。	IoT.Hub_CertificateFailedToBeDeletedFromHub
x.509 设备证书指纹不匹配	中	IoT 中心	x.509 设备证书指纹与配置不匹配。	查看设备上的警报。 无需进一步操作。	IoT_Cert_Print_Mismatch
x.509 证书已过期	中	IoT 中心	X.509 设备证书已过期。	可能是合法设备的证书已过期，也可能是尝试模拟合法设备。 如果合法设备当前通信正确，这可能是一次模拟尝试。	IoT_Cert_Expired

低严重性

名称	严重性	数据源	说明	建议的补救措施	AlertType
检测到尝试添加或编辑 IoT 中心的诊断设置	低	IoT 中心	检测到尝试添加或编辑 IoT 中心的诊断设置。 通过诊断设置，可以在发生安全事件或网络遭到入侵时重新创建活动线索，以用于调查目的。 如果此操作不是由授权方执行的，则可能表明存在恶意活动。	1.请确保证书已由授权方删除。 2.如果该证书不是由授权方删除的，请添加回该证书并将警报上报给信息安全团队。	IoT_DiagnosticSettingAddedOrEditedOnHub
检测到尝试从 IoT 中心删除诊断设置	低	IoT 中心	检测到尝试添加或编辑 IoT 中心的诊断设置。 通过诊断设置，可以在发生安全事件或网络遭到入侵时重新创建活动线索，以用于调查目的。 如果此操作不是由授权方执行的，则可能表明存在恶意活动。	请确保仅向授权方授予更改诊断设置的权限。	IoT_DiagnosticSettingDeletedFromHub
SAS 令牌已过期	低	IoT 中心	设备使用的 SAS 令牌已过期	可能是合法设备的令牌已过期，也可能是尝试模拟合法设备。 如果合法设备当前通信正确，这可能是一次模拟尝试。	IoT_Expired_SAS_Token
SAS 令牌签名无效	低	IoT 中心	设备使用的 SAS 令牌具有无效的签名。 签名与主密钥或辅助密钥不匹配。	查看设备上的警报。 无需进一步操作。	IoT_Invalid_SAS_Token

后续步骤

• Defender for IoT 服务概述