Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Defender per IoT analizza continuamente la soluzione IoT usando analisi avanzate e intelligence sulle minacce per avvisare l'utente di attività dannose. Inoltre, è possibile creare avvisi personalizzati in base alla conoscenza del comportamento previsto del dispositivo. Un avviso funge da indicatore di potenziale compromissione e deve essere analizzato e corretto.
In questo articolo è disponibile un elenco di avvisi predefiniti che possono essere attivati nel hub IoT. Oltre agli avvisi predefiniti, Defender per IoT consente di definire avvisi personalizzati in base al comportamento previsto hub IoT e/o dispositivo. Per altre informazioni, vedere Avvisi personalizzabili.
Avvisi predefiniti per hub IoT
Gravità media
| Nome | Gravità | Origine dati | Descrizione | Correzione suggerita | AlertType |
|---|---|---|---|---|---|
| Nuovo certificato aggiunto a un hub IoT | Medio | hub IoT | È stato aggiunto un certificato a un hub IoT. Se questa azione è stata eseguita da una parte non autorizzata, può indicare attività dannose. | 1. Assicurarsi che il certificato sia stato aggiunto da una parte autorizzata. 2. Se non è stato aggiunto da una parte autorizzata, rimuovere il certificato ed inoltrare l'avviso al team di sicurezza dell'organizzazione. |
IoT_CertificateSuccessfullyAddedToHub |
| Certificato eliminato da un hub IoT | Medio | hub IoT | Un certificato è stato eliminato da un hub IoT. Se questa azione è stata eseguita da una parte non autorizzata, può indicare un'attività dannosa. | 1. Assicurarsi che il certificato sia stato rimosso da una parte autorizzata. 2. Se il certificato non è stato rimosso da una parte autorizzata, aggiungere nuovamente il certificato ed inoltrare l'avviso al team di sicurezza dell'organizzazione. |
IoT_CertificateSuccessfullyDeletedFromHub |
| Tentativo non riuscito di aggiungere un certificato a un hub IoT | Medio | hub IoT | Tentativo non riuscito di aggiungere un certificato a un hub IoT. Se questa azione è stata eseguita da una parte non autorizzata, può indicare attività dannose. | Assicurarsi che le autorizzazioni per modificare i certificati siano concesse solo alle parti autorizzate. | Hub_CertificateFailedToBeAddedToHub |
| Tentativo non riuscito di eliminare un certificato da un hub IoT | Medio | hub IoT | Tentativo non riuscito di eliminare un certificato da un hub IoT. Se questa azione è stata eseguita da una parte non autorizzata, può indicare attività dannose. | Assicurarsi che le autorizzazioni per modificare i certificati siano concesse solo a una parte autorizzata. | IoT.Hub_CertificateFailedToBeDeletedFromHub |
| Mancata corrispondenza dell'identificazione personale del certificato del dispositivo x.509 | Medio | hub IoT | L'identificazione personale del certificato del dispositivo x.509 non corrisponde alla configurazione. | Esaminare gli avvisi nei dispositivi. Nessuna altra azione richiesta. | IoT_Cert_Print_Mismatch |
| Certificato x.509 scaduto | Medio | hub IoT | Il certificato del dispositivo X.509 è scaduto. | Potrebbe trattarsi di un dispositivo legittimo con un certificato scaduto o di un tentativo di rappresentare un dispositivo legittimo. Se il dispositivo legittimo sta attualmente comunicando correttamente, si tratta probabilmente di un tentativo di rappresentazione. | IoT_Cert_Expired |
Gravità bassa
| Nome | Gravità | Origine dati | Descrizione | Correzione suggerita | AlertType |
|---|---|---|---|---|---|
| Tentativo di aggiungere o modificare un'impostazione di diagnostica di un hub IoT rilevato | Bassa | hub IoT | È stato rilevato un tentativo di aggiungere o modificare le impostazioni di diagnostica di un hub IoT. Le impostazioni di diagnostica consentono di ricreare i percorsi attività a scopo di indagine quando si verifica un evento imprevisto di sicurezza o la rete è compromessa. Se questa azione non è stata eseguita da una parte autorizzata, può indicare attività dannose. | 1. Assicurarsi che il certificato sia stato rimosso da una parte autorizzata. 2. Se il certificato non è stato rimosso da una parte autorizzata, aggiungere nuovamente il certificato ed inoltrare l'avviso al team di sicurezza delle informazioni. |
IoT_DiagnosticSettingAddedOrEditedOnHub |
| Tentativo di eliminare un'impostazione di diagnostica da un hub IoT rilevato | Bassa | hub IoT | È stato rilevato un tentativo di aggiungere o modificare le impostazioni di diagnostica di un hub IoT. Le impostazioni di diagnostica consentono di ricreare i percorsi attività a scopo di indagine quando si verifica un evento imprevisto di sicurezza o la rete è compromessa. Se questa azione non è stata eseguita da una parte autorizzata, può indicare attività dannose. | Assicurarsi che le autorizzazioni per modificare le impostazioni di diagnostica siano concesse solo a una parte autorizzata. | IoT_DiagnosticSettingDeletedFromHub |
| Token di firma di accesso condiviso scaduto | Bassa | hub IoT | Token di firma di accesso condiviso scaduto usato da un dispositivo | Può essere un dispositivo legittimo con un token scaduto o un tentativo di rappresentare un dispositivo legittimo. Se il dispositivo legittimo sta attualmente comunicando correttamente, si tratta probabilmente di un tentativo di rappresentazione. | IoT_Expired_SAS_Token |
| Firma del token di firma di accesso condiviso non valida | Bassa | hub IoT | Un token di firma di accesso condiviso usato da un dispositivo ha una firma non valida. La firma non corrisponde alla chiave primaria o secondaria. | Esaminare gli avvisi nei dispositivi. Nessuna altra azione richiesta. | IoT_Invalid_SAS_Token |
Passaggi successivi
- Panoramica del servizio Defender per IoT