Esaminare gli avvisi di sicurezza predefiniti
Microsoft Defender per IoT analizza continuamente la soluzione IoT usando funzionalità avanzate di analisi e intelligence sulle minacce per generare avvisi per attività dannose. Oltre agli avvisi predefiniti, è possibile creare avvisi personalizzati in base alla conoscenza dei comportamenti previsti. Un avviso funge da indicatore di potenziale compromissione e deve dare il via a ulteriori operazioni di indagine e correzione.
L'elenco seguente di avvisi predefiniti può essere attivato nell'hub IoT.
Avvisi predefiniti per l'hub IoT
Tipi di avviso
Descrizione
Correzione suggerita
Avvisi con gravità media
Nuovo certificato aggiunto a un hub IoT.
Un certificato denominato '%{DescCertificateName}' è stato aggiunto all'hub IoT '%{DescIoTHubName}'. Se questa azione è stata eseguita da un'entità non autorizzata, può indicare attività dannose.
- Assicurarsi che il certificato sia stato aggiunto da un'entità autorizzata.
- Se non è stato aggiunto da un'entità autorizzata, rimuovere il certificato ed eseguire l'escalation dell'avviso al team di sicurezza dell'organizzazione.
Certificato eliminato da un hub IoT.
Un certificato denominato '%{DescCertificateName}' è stato eliminato dall'hub IoT '%{DescIoTHubName}'. Se questa azione è stata eseguita da un'entità non autorizzata, può indicare un'attività dannosa.
- Assicurarsi che il certificato sia stato rimosso da un'entità autorizzata.
- Se il certificato non è stato rimosso da un'entità autorizzata, aggiungere nuovamente il certificato ed eseguire l'escalation dell'avviso al team responsabile della sicurezza dell'organizzazione.
Rilevamento di un tentativo non riuscito di aggiungere un certificato a un hub IoT.
È stato rilevato un tentativo non riuscito di aggiungere il certificato '%{DescCertificateName}' all'hub IoT '%{DescIoTHubName}'. Se questa azione è stata eseguita da un'entità non autorizzata, può indicare attività dannose.
Assicurarsi che le autorizzazioni per la modifica dei certificati vengano concesse solo a entità autorizzate.
Rilevamento di un tentativo non riuscito di eliminare un certificato da un hub IoT.
È stato rilevato un tentativo non riuscito di aggiungere il certificato '%{DescCertificateName}' all'hub IoT '%{DescIoTHubName}'. Se questa azione è stata eseguita da un'entità non autorizzata, può indicare attività dannose.
Assicurarsi che le autorizzazioni per la modifica dei certificati vengano concesse solo a un'entità autorizzata.
Mancata corrispondenza dell'identificazione personale del certificato X.509 del dispositivo.
L'identificazione personale del certificato X.509 del dispositivo non corrisponde alla configurazione.
Esaminare gli avvisi nei dispositivi. Non è necessaria alcuna azione.
Certificato X.509 scaduto.
Il certificato X.509 del dispositivo è scaduto.
Potrebbe trattarsi di un dispositivo legittimo con un certificato scaduto o un tentativo di rappresentare un dispositivo legittimo. Se il dispositivo legittimo sta comunicando correttamente, questo avviso è probabilmente un tentativo di rappresentazione.
Avvisi con gravità bassa
Rilevamento di un tentativo di aggiungere o modificare un'impostazione di diagnostica di un hub IoT.
È stato rilevato un tentativo di aggiungere o modificare le impostazioni di diagnostica di un hub IoT. Le impostazioni di diagnostica consentono di ricreare la traccia delle attività a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa. Se questa azione non è stata eseguita da un'entità autorizzata, può indicare attività dannose.
- Assicurarsi che il certificato sia stato rimosso da un'entità autorizzata.
- Se il certificato non è stato rimosso da un'entità autorizzata, aggiungere nuovamente il certificato ed eseguire l'escalation dell'avviso al team responsabile della sicurezza delle informazioni.
Rilevamento di un tentativo di eliminare un'impostazione di diagnostica da un hub IoT.
È stato rilevato un tentativo %{DescAttemptStatusMessage}' di aggiungere o eliminare le impostazioni di diagnostica '%{DescDiagnosticSettingName}' sull'hub IoT '%{DescIoTHubName}'. Le impostazioni di diagnostica consentono di ricreare la traccia delle attività a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa. Se questa azione non è stata eseguita da un'entità autorizzata, può indicare un'attività dannosa.
Assicurarsi che le autorizzazioni per la modifica delle impostazioni di diagnostica vengano concesse solo a un'entità autorizzata.
Token di firma di accesso condiviso scaduto.
Un token di firma di accesso condiviso usato da un dispositivo è scaduto.
Potrebbe trattarsi di un dispositivo legittimo con un token scaduto o un tentativo di rappresentare un dispositivo legittimo. Se il dispositivo legittimo sta comunicando correttamente, questo avviso è probabilmente un tentativo di rappresentazione.
Firma del token di firma di accesso condiviso non valida.
Un token di firma di accesso condiviso usato da un dispositivo ha una firma non valida. La firma non corrisponde alla chiave primaria o secondaria.
Esaminare gli avvisi nei dispositivi. Non è necessaria alcuna azione.
Avvisi personalizzati predefiniti per l'hub IoT
Microsoft Defender per IoT consente di definire avvisi personalizzati in base al comportamento previsto dell'hub IoT e/o del dispositivo.
Gravità
Avviso personalizzato
Descrizione
Basso
Avviso personalizzato - Il numero di messaggi da cloud a dispositivo nel protocollo AMQP non rientra nell'intervallo consentito.
Il numero di messaggi da cloud a dispositivo (protocollo AMQP) in un intervallo di tempo specifico non rientra nell'intervallo attualmente configurato e consentito.
Basso
Avviso personalizzato - Il numero di messaggi rifiutati da cloud a dispositivo nel protocollo AMQP non rientra nell'intervallo consentito.
Il numero di messaggi da cloud a dispositivo (protocollo AMQP) rifiutati dal dispositivo in un intervallo di tempo specifico non rientra nell'intervallo attualmente configurato e consentito.
Basso
Avviso personalizzato - Il numero di messaggi da dispositivo a cloud nel protocollo AMQP non rientra nell'intervallo consentito.
Il numero di messaggi da dispositivo a cloud (protocollo AMQP) in un intervallo di tempo specifico non rientra nell'intervallo attualmente configurato e consentito.
Basso
Avviso personalizzato - Il numero di volte in cui viene richiamato un metodo diretto non rientra nell'intervallo consentito.
Il numero di volte in cui un metodo diretto è stato richiamato in un intervallo di tempo specifico non rientra nell'intervallo attualmente configurato e consentito.
Basso
Avviso personalizzato - Il numero di caricamenti di file non rientra nell'intervallo consentito.
Il numero di caricamenti di file in un intervallo di tempo specifico non rientra nell'intervallo attualmente configurato e consentito.
Basso
Avviso personalizzato - Il numero di messaggi da cloud a dispositivo nel protocollo HTTP non rientra nell'intervallo consentito.
Il numero di messaggi da cloud a dispositivo (protocollo HTTP) in un intervallo di tempo non è compreso nell'intervallo consentito configurato.
Basso
Avviso personalizzato -Il numero di messaggi rifiutati da cloud a dispositivo nel protocollo HTTP non è compreso nell'intervallo consentito.
Il numero di messaggi da cloud a dispositivo (protocollo HTTP) in un intervallo di tempo specifico non rientra nell'intervallo attualmente configurato e consentito.
Basso
Avviso personalizzato - Il numero di messaggi da dispositivo a cloud nel protocollo HTTP non rientra nell'intervallo consentito.
Il numero di messaggi da dispositivo a cloud (protocollo HTTP) in un intervallo di tempo specifico non rientra nell'intervallo attualmente configurato e consentito.
Basso
Avviso personalizzato - Il numero di messaggi da cloud a dispositivo nel protocollo MQTT non rientra nell'intervallo consentito.
Il numero di messaggi da cloud a dispositivo (protocollo MQTT) in un intervallo di tempo specifico non rientra nell'intervallo attualmente configurato e consentito.
Basso
Avviso personalizzato - Il numero di messaggi rifiutati da cloud a dispositivo nel protocollo MQTT non rientra nell'intervallo consentito.
Il numero di messaggi da cloud a dispositivo (protocollo MQTT) rifiutati dal dispositivo in un intervallo di tempo specifico non rientra nell'intervallo attualmente configurato e consentito.
Basso
Avviso personalizzato - Il numero di messaggi da dispositivo a cloud nel protocollo MQTT non rientra nell'intervallo consentito.
Il numero di messaggi da dispositivo a cloud (protocollo MQTT) in un intervallo di tempo specifico non rientra nell'intervallo attualmente configurato e consentito.
Basso
Avviso personalizzato - Il numero di rimozioni della coda dei comandi non rientra nell'intervallo consentito.
Il numero di rimozioni della coda dei comandi in un intervallo di tempo specifico non rientra nell'intervallo attualmente configurato e consentito.
Basso
Avviso personalizzato - Il numero di aggiornamenti del modulo gemello non rientra nell'intervallo consentito.
Il numero di aggiornamenti di moduli gemelli in un intervallo di tempo specifico non rientra nell'intervallo attualmente configurato e consentito.
Basso
Avviso personalizzato - Il numero di operazioni non autorizzate non rientra nell'intervallo consentito.
Il numero di operazioni non autorizzate in un intervallo di tempo specifico non rientra nell'intervallo attualmente configurato e consentito.