Defender for IoT は、Azure リソースと IoT デバイスをスキャンし、攻撃対象領域を減らすためのセキュリティに関する推奨事項を提供します。 セキュリティに関する推奨事項は実用的であり、お客様がセキュリティのベスト プラクティスに準拠するのを支援することを目的としています。
この記事では、IoT Hubでトリガーできる推奨事項の一覧を示します。
IoT Hubに組み込まれている推奨事項
推奨事項アラートは、環境のセキュリティ態勢を改善するためのアクションに関する分析情報と提案を提供します。
重大度が高い
| 重要度 | 名前 | データ ソース | 説明 | RecommendationType |
|---|---|---|---|---|
| 高 | 複数のデバイスで使用される同じ認証資格情報 | IoT Hub | IoT Hub認証資格情報は、複数のデバイスで使用されます。 これは、不正なデバイスが正当なデバイスを偽装していることを示し、悪意のあるアクターによるデバイス偽装のリスクも公開している可能性があります。 | IoT_SharedCredentials |
| 高 | IoT Edge モジュールのモデル ツインIoT Edge構成された高レベルのアクセス許可 | IoT Hub | IoT Edge モジュールは、広範なLinux機能またはホスト レベルのネットワーク アクセス (ホスト コンピューターへのデータの送受信) を使用して、特権モードで実行するように構成されています。 | IoT_PrivilegedDockerOptions |
重大度が中程度
| 重要度 | 名前 | データ ソース | 説明 | RecommendationType |
|---|---|---|---|---|
| 中 | ACR リポジトリで使用されないサービス プリンシパル | IoT Hub | ACR リポジトリからIoT Edge モジュールをプルするために使用される認証スキーマでは、サービス プリンシパル認証は使用されません。 | IoT_ACRAuthentication |
| 中 | TLS 暗号スイートのアップグレードが必要 | IoT Hub | セキュリティで保護されていない TLS 構成が検出されました。 TLS 暗号スイートの即時アップグレードをお勧めします。 | IoT_VulnerableTLSCipherSuite |
| 中 | 既定の IP フィルター ポリシーは拒否する必要があります | IoT Hub | 既定では、IP フィルター構成には許可されるトラフィックに対して定義された規則が必要であり、他のすべてのトラフィックを拒否する必要があります。 | IoT_IPFilter_DenyAll |
| 中 | IP フィルター規則には、大きな IP 範囲が含まれています | IoT Hub | IP フィルター 規則ソースの許容 IP 範囲が大きすぎます。 規則が過度に制限されると、悪意のあるアクターにIoT Hubが公開される可能性があります。 | IoT_IPFilter_PermissiveRule |
| 中 | IP フィルターの推奨規則 | IoT Hub | IP フィルターは、IotHub の動作によって取得される次の規則に変更することをお勧めします | IoT_RecommendedIpRulesByBaseLine |
| 中 | SecurityGroup に一貫性のないモジュール設定がある | IoT Hub | このデバイス セキュリティ グループ内では、異常なデバイスは、セキュリティ グループの残りの部分と比較して、モジュール設定IoT Edge一貫性がありません。 | IoT_InconsistentModuleSettings |
重大度が低い
| 重要度 | 名前 | データ ソース | 説明 | RecommendationType |
|---|---|---|---|---|
| 低 | IoT Edge Hub メモリを最適化できます | IoT Hub | ソリューション内の Edge モジュールで使用されていないプロトコルのプロトコル ヘッドをオフにして、IoT Edge Hub のメモリ使用量を最適化します。 | IoT_EdgeHubMemOptimize |
| 低 | IoT Edge モジュールに対してログ記録が構成されていません | IoT Hub | このIoT Edge モジュールのログ記録は無効になっています。 | IoT_EdgeLoggingOptions |