適用於 IoT 中樞的 Defender 安全性警示
適用於 IoT 的 Defender 會使用進階分析和威脅情報,持續分析 IoT 解決方案,提醒您發生惡意活動。 此外,您可以根據預期裝置行為的知識來建立自訂警示。 警示有如潛在入侵的指標,應該調查並補救。
在本文章中,您將找到可在 IoT 中樞上觸發的內建警示清單。 適用於 IoT 的 Defender 可讓您根據預期的 IoT 中樞和/或裝置行為來定義自訂警示。 如需詳細資訊,請參閱可自訂的警示。
IoT 中樞的內建警示
中嚴重性
| 名稱 | 嚴重性 | 資料來源 | 描述 | 建議的補救措施 | AlertType |
|---|---|---|---|---|---|
| 新憑證已新增至 IoT 中樞 | 中 | IoT 中樞 | 憑證已新增至 IoT 中樞。 如果此動作由未經授權者執行,可能表示有惡意活動。 | 1.請確定憑證由獲授權者新增。 2.如果憑證不是由獲授權者新增,請移除憑證,並將警示呈報給組織安全性小組。 |
IoT_CertificateSuccessfullyAddedToHub |
| 已從 IoT 中樞刪除憑證 | 中 | IoT 中樞 | 已從 IoT 中樞刪除憑證。 如果此動作由未經授權人士執行,可能表示有惡意活動。 | 1.請確定憑證由獲授權者移除。 2.如果憑證不是由獲授權者移除,請加回憑證,並將警示呈報給組織安全性小組。 |
IoT_CertificateSuccessfullyDeletedFromHub |
| 偵測到嘗試將憑證新增至 IoT 中樞失敗 | 中 | IoT 中樞 | 嘗試將憑證新增至 IoT 中樞失敗。 如果此動作由未經授權者執行,可能表示有惡意活動。 | 請確定憑證的變更權限僅授與獲授權者。 | Hub_CertificateFailedToBeAddedToHub |
| 偵測到嘗試從 IoT 中樞刪除憑證失敗 | 中 | IoT 中樞 | 嘗試從 IoT 中樞刪除憑證失敗。 如果此動作由未經授權者執行,可能表示有惡意活動。 | 請確定憑證的變更權限僅授與獲授權者。 | IoT.Hub_CertificateFailedToBeDeletedFromHub |
| x.509 裝置憑證指紋不符 | 中 | IoT 中樞 | x.509 裝置憑證指紋不符合設定。 | 檢閱裝置上的警示。 不需要採取任何動作。 | IoT_Cert_Print_Mismatch |
| x.509 憑證過期 | 中 | IoT 中樞 | X.509 裝置憑證已過期。 | 這可能是合法裝置的憑證過期,或嘗試模擬合法裝置。 如果合法裝置目前正確通訊,這可能就是模擬嘗試。 | IoT_Cert_Expired |
低嚴重性
| 名稱 | 嚴重性 | 資料來源 | 描述 | 建議的補救措施 | AlertType |
|---|---|---|---|---|---|
| 偵測到嘗試新增或編輯 IoT 中樞的診斷設定 | 低 | IoT 中樞 | 已偵測到嘗試新增或編輯 IoT 中樞的診斷設定。 在發生安全性事件或網路遭入侵時,診斷設定可讓您重建活動軌跡以利於調查。 如果此動作不是獲授權者執行,可能表示有惡意活動。 | 1.請確定憑證由獲授權者移除。 2.如果憑證不是由獲授權者移除,請加回憑證,並將警示呈報給資訊安全性小組。 |
IoT_DiagnosticSettingAddedOrEditedOnHub |
| 偵測到嘗試從 IoT 中樞刪除診斷設定 | 低 | IoT 中樞 | 已偵測到嘗試新增或編輯 IoT 中樞的診斷設定。 在發生安全性事件或網路遭入侵時,診斷設定可讓您重建活動軌跡以利於調查。 如果此動作不是獲授權者執行,可能表示有惡意活動。 | 請確定診斷設定的變更權限僅授與獲授權者。 | IoT_DiagnosticSettingDeletedFromHub |
| SAS 權杖過期 | 低 | IoT 中樞 | 裝置使用的 SAS 權杖過期 | 可能是合法裝置的權杖過期,或嘗試模擬合法裝置。 如果合法裝置目前正確通訊,這可能就是模擬嘗試。 | IoT_Expired_SAS_Token |
| SAS 權杖簽章無效 | 低 | IoT 中樞 | 裝置使用的 SAS 權杖是無效簽章。 簽章不符合主要或次要金鑰。 | 檢閱裝置上的警示。 不需要採取任何動作。 | IoT_Invalid_SAS_Token |
下一步
- 適用於 IoT 的 Defender 服務概觀