Defender for IoT は、高度な分析と脅威インテリジェンスを使用して IoT ソリューションを継続的に分析し、悪意のあるアクティビティを警告します。 さらに、予想されるデバイスの動作に関する知識に基づいてカスタム アラートを作成できます。 アラートは潜在的な侵害の指標として機能し、調査して修復する必要があります。
この記事では、IoT Hubでトリガーできる組み込みアラートの一覧を示します。 Defender for IoT では、組み込みのアラートに加えて、予想されるIoT Hubやデバイスの動作に基づいてカスタム アラートを定義できます。 詳細については、「 カスタマイズ可能なアラート」を参照してください。
IoT Hubの組み込みアラート
重大度が中程度
| 名前 | 重要度 | データ ソース | 説明 | 推奨される修復 | AlertType |
|---|---|---|---|---|---|
| IoT Hubに追加された新しい証明書 | 中 | IoT Hub | 証明書がIoT Hubに追加されました。 このアクションが承認されていないパーティによって行われた場合は、悪意のあるアクティビティを示している可能性があります。 | 1. 証明書が承認されたパーティによって追加されたことを確認します。 2. 承認されたパーティによって追加されなかった場合は、証明書を削除し、組織のセキュリティ チームにアラートをエスカレートします。 |
IoT_CertificateSuccessfullyAddedToHub |
| IoT Hubから削除された証明書 | 中 | IoT Hub | 証明書がIoT Hubから削除されました。 このアクションが未承認のパーティによって行われた場合は、悪意のあるアクティビティを示している可能性があります。 | 1. 証明書が承認されたパーティによって削除されたことを確認します。 2. 承認されたパーティによって証明書が削除されなかった場合は、証明書を再度追加し、アラートを組織のセキュリティ チームにエスカレートします。 |
IoT_CertificateSuccessfullyDeletedFromHub |
| 証明書をIoT Hubに追加できませんでした | 中 | IoT Hub | 証明書をIoT Hubに追加できませんでした。 このアクションが承認されていないパーティによって行われた場合は、悪意のあるアクティビティを示している可能性があります。 | 証明書を変更するためのアクセス許可が、承認されたパーティにのみ付与されていることを確認します。 | Hub_CertificateFailedToBeAddedToHub |
| IoT Hubから証明書を削除できませんでした | 中 | IoT Hub | IoT Hubから証明書を削除できませんでした。 このアクションが承認されていないパーティによって行われた場合は、悪意のあるアクティビティを示している可能性があります。 | 証明書を変更するためのアクセス許可が、承認されたパーティにのみ付与されていることを確認します。 | IoT.Hub_CertificateFailedToBeDeletedFromHub |
| x.509 デバイス証明書の拇印の不一致 | 中 | IoT Hub | x.509 デバイス証明書の拇印が構成と一致しませんでした。 | デバイスのアラートを確認します。 これ以上必要な操作はありません。 | IoT_Cert_Print_Mismatch |
| x.509 証明書の有効期限が切れています | 中 | IoT Hub | X.509 デバイス証明書の有効期限が切れています。 | これは、期限切れの証明書を持つ正当なデバイスか、正当なデバイスを偽装しようとする可能性があります。 正当なデバイスが現在正しく通信している場合、これは偽装の試みである可能性があります。 | IoT_Cert_Expired |
重大度が低い
| 名前 | 重要度 | データ ソース | 説明 | 推奨される修復 | AlertType |
|---|---|---|---|---|---|
| 検出されたIoT Hubの診断設定の追加または編集を試みる | 低 | IoT Hub | 検出されたIoT Hubの診断設定の追加または編集を試みます。 診断設定を使用すると、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ 証跡を再作成できます。 このアクションが承認されたパーティによって行われなかった場合は、悪意のあるアクティビティを示している可能性があります。 | 1. 証明書が承認されたパーティによって削除されたことを確認します。 2. 承認されたパーティによって証明書が削除されなかった場合は、証明書を再度追加し、アラートを情報セキュリティ チームにエスカレートします。 |
IoT_DiagnosticSettingAddedOrEditedOnHub |
| 検出されたIoT Hubから診断設定の削除を試みる | 低 | IoT Hub | 検出されたIoT Hubの診断設定の追加または編集を試みます。 診断設定を使用すると、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ 証跡を再作成できます。 このアクションが承認されたパーティによって行われなかった場合は、悪意のあるアクティビティを示している可能性があります。 | 診断設定を変更するためのアクセス許可が、承認されたパーティにのみ付与されていることを確認します。 | IoT_DiagnosticSettingDeletedFromHub |
| 有効期限が切れた SAS トークン | 低 | IoT Hub | デバイスで使用される有効期限が切れた SAS トークン | 期限切れのトークンを持つ正当なデバイス、または正当なデバイスを偽装しようとする可能性があります。 正当なデバイスが現在正しく通信している場合、これは偽装の試みである可能性があります。 | IoT_Expired_SAS_Token |
| 無効な SAS トークン署名 | 低 | IoT Hub | デバイスで使用される SAS トークンに無効な署名があります。 署名がプライマリ キーとセカンダリ キーのどちらにも一致しません。 | デバイスのアラートを確認します。 これ以上必要な操作はありません。 | IoT_Invalid_SAS_Token |
次の手順
- Defender for IoT サービス の概要