Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Defender für IoT analysiert Ihre IoT-Lösung kontinuierlich mithilfe von erweiterten Analysen und Threat Intelligence, um Sie vor schädlichen Aktivitäten zu warnen. Darüber hinaus können Sie benutzerdefinierte Warnungen basierend auf Ihren Kenntnissen über das erwartete Geräteverhalten erstellen. Eine Warnung dient als Indikator für eine potenzielle Gefährdung und sollte untersucht und behoben werden.
In diesem Artikel finden Sie eine Liste der integrierten Warnungen, die auf Ihrem IoT Hub ausgelöst werden können. Zusätzlich zu den integrierten Warnungen können Sie mit Defender für IoT benutzerdefinierte Warnungen basierend auf dem erwarteten IoT Hub und/oder Geräteverhalten definieren. Weitere Informationen finden Sie unter Anpassbare Warnungen.
Integrierte Warnungen für IoT Hub
Mittlerer Schweregrad
| Name | Severity | Datenquelle | Beschreibung | Empfohlene Korrektur | AlertType |
|---|---|---|---|---|---|
| Neues Zertifikat zu einem IoT Hub hinzugefügt | Mittel | IoT Hub | Einem IoT Hub wurde ein Zertifikat hinzugefügt. Wenn diese Aktion von einer nicht autorisierten Partei durchgeführt wurde, kann dies auf schädliche Aktivitäten hinweisen. | 1. Stellen Sie sicher, dass das Zertifikat von einer autorisierten Partei hinzugefügt wurde. 2. Wenn es nicht von einer autorisierten Partei hinzugefügt wurde, entfernen Sie das Zertifikat, und eskalieren Sie die Warnung an das Sicherheitsteam der Organisation. |
IoT_CertificateSuccessfullyAddedToHub |
| Aus einem IoT Hub gelöschtes Zertifikat | Mittel | IoT Hub | Ein Zertifikat wurde aus einem IoT Hub gelöscht. Wenn diese Aktion von einer nicht autorisierten Partei durchgeführt wurde, kann dies auf eine böswillige Aktivität hinweisen. | 1. Stellen Sie sicher, dass das Zertifikat von einer autorisierten Partei entfernt wurde. 2. Wenn das Zertifikat nicht von einer autorisierten Partei entfernt wurde, fügen Sie das Zertifikat wieder hinzu, und eskalieren Sie die Warnung an das Sicherheitsteam der Organisation. |
IoT_CertificateSuccessfullyDeletedFromHub |
| Es wurde ein nicht erfolgreicher Versuch erkannt, einem IoT Hub ein Zertifikat hinzuzufügen. | Mittel | IoT Hub | Es wurde ein nicht erfolgreicher Versuch unternommen, einem IoT Hub ein Zertifikat hinzuzufügen. Wenn diese Aktion von einer nicht autorisierten Partei durchgeführt wurde, kann dies auf schädliche Aktivitäten hinweisen. | Stellen Sie sicher, dass Berechtigungen zum Ändern von Zertifikaten nur autorisierten Parteien erteilt werden. | Hub_CertificateFailedToBeAddedToHub |
| Erfolgloser Versuch zum Löschen eines Zertifikats aus einem IoT Hub | Mittel | IoT Hub | Der Versuch, ein Zertifikat aus einem IoT Hub zu löschen, war nicht erfolgreich. Wenn diese Aktion von einer nicht autorisierten Partei durchgeführt wurde, kann dies auf schädliche Aktivitäten hinweisen. | Stellen Sie sicher, dass Berechtigungen zum Ändern von Zertifikaten nur einer autorisierten Partei gewährt werden. | IoT.Hub_CertificateFailedToBeDeletedFromHub |
| x.509 Gerätezertifikatfingerabdruck stimmt nicht überein | Mittel | IoT Hub | Der x.509-Gerätezertifikatfingerabdruck stimmte nicht mit der Konfiguration überein. | Überprüfen Sie warnungen auf den Geräten. Keine weiteren Maßnahmen erforderlich. | IoT_Cert_Print_Mismatch |
| x.509-Zertifikat abgelaufen | Mittel | IoT Hub | Das X.509-Gerätezertifikat ist abgelaufen. | Dies kann ein legitimes Gerät mit einem abgelaufenen Zertifikat oder ein Versuch sein, die Identität eines legitimen Geräts zu annehmen. Wenn das legitime Gerät derzeit ordnungsgemäß kommuniziert, handelt es sich wahrscheinlich um einen Identitätswechselversuch. | IoT_Cert_Expired |
Niedriger Schweregrad
| Name | Severity | Datenquelle | Beschreibung | Empfohlene Korrektur | AlertType |
|---|---|---|---|---|---|
| Versuch, eine Diagnoseeinstellung eines erkannten IoT Hub hinzuzufügen oder zu bearbeiten | Niedrig | IoT Hub | Es wurde versucht, die Diagnoseeinstellungen eines IoT Hub hinzuzufügen oder zu bearbeiten. Diagnoseeinstellungen ermöglichen es Ihnen, Aktivitätspfade zu Untersuchungszwecken neu zu erstellen, wenn ein Sicherheitsvorfall auftritt oder Ihr Netzwerk kompromittiert wird. Wenn diese Aktion nicht von einer autorisierten Partei durchgeführt wurde, kann dies auf böswillige Aktivitäten hinweisen. | 1. Stellen Sie sicher, dass das Zertifikat von einer autorisierten Partei entfernt wurde. 2. Wenn das Zertifikat nicht von einer autorisierten Partei entfernt wurde, fügen Sie das Zertifikat zurück, und eskalieren Sie die Warnung an Ihr Informationssicherheitsteam. |
IoT_DiagnosticSettingAddedOrEditedOnHub |
| Versuch, eine Diagnoseeinstellung aus einem erkannten IoT Hub zu löschen | Niedrig | IoT Hub | Es wurde versucht, die Diagnoseeinstellungen eines IoT Hub hinzuzufügen oder zu bearbeiten. Diagnoseeinstellungen ermöglichen es Ihnen, Aktivitätspfade zu Untersuchungszwecken neu zu erstellen, wenn ein Sicherheitsvorfall auftritt oder Ihr Netzwerk kompromittiert wird. Wenn diese Aktion nicht von einer autorisierten Partei durchgeführt wurde, kann dies auf böswillige Aktivitäten hinweisen. | Stellen Sie sicher, dass Berechtigungen zum Ändern Diagnose Einstellungen nur einer autorisierten Partei gewährt werden. | IoT_DiagnosticSettingDeletedFromHub |
| Abgelaufenes SAS-Token | Niedrig | IoT Hub | Abgelaufenes SAS-Token, das von einem Gerät verwendet wird | Kann ein legitimes Gerät mit einem abgelaufenen Token oder ein Versuch sein, die Identität eines legitimen Geräts zu annehmen. Wenn das legitime Gerät derzeit ordnungsgemäß kommuniziert, handelt es sich wahrscheinlich um einen Identitätswechselversuch. | IoT_Expired_SAS_Token |
| Ungültige SAS-Tokensignatur | Niedrig | IoT Hub | Ein von einem Gerät verwendetes SAS-Token weist eine ungültige Signatur auf. Die Signatur stimmt weder mit dem Primärschlüssel noch mit dem sekundären Schlüssel überein. | Überprüfen Sie die Warnungen auf den Geräten. Keine weiteren Maßnahmen erforderlich. | IoT_Invalid_SAS_Token |
Nächste Schritte
- Übersicht über den Defender für IoT-Dienst