Amazon IoT Device Defender 文档

Amazon IoT Device Defender 是一项完全托管的服务，可帮助您审核和监控连接到 Amazon IoT 的设备。该服务设计为可评测 IoT 设备实例集的云配置，通过规则检测和 ML 检测功能持续监控设备活动，在检测到审核违规或行为异常时触发警报，并使您能够通过内置缓解措施快速解决问题。

审核

Amazon IoT Device Defender 旨在根据 Amazon IoT 安全最佳实践（例如，每台设备的最低权限或唯一身份原则）审核您的设备相关资源（例如，X.509 证书、IoT 策略和客户端 ID）。根据设计，Amazon IoT Device Defender 会报告不符合安全最佳实践的配置，例如，使用相同身份的多台设备，或者使用允许一台设备读取和更新多台其他设备数据的过于宽松的策略。

规则检测

Amazon IoT Device Defender 旨在通过监控来自设备和 Amazon IoT Core 的高价值安全指标（例如设备上侦听 TCP 端口的数量或授权失败次数），来检测可能表明存在危害的异常设备行为。您可以通过为这些指标设置行为（规则）来为一组设备指定正常设备行为。Amazon IoT Device Defender 设计为可根据用户定义的行为（规则）监控和评估为这些指标报告的每个数据点，并在检测到异常时向您发出提醒。

ML 检测

Amazon IoT Device Defender 旨在使用机器学习（ML）模型监控和识别某些云端指标（例如授权失败次数、消息发送次数）和某些设备端指标（例如数据包数量、侦听 TCP 端口数）的异常数据点，并在检测到异常时触发警报。Amazon IoT Device Defender 有助于减轻您定义设备准确行为的需求，因为它设计为利用指定追踪时间段内的设备数据，通过机器学习（ML）模型设定此类行为。该服务还设计为每天重新训练模型（只要有足够的数据可供再训练），以根据最新的指定跟踪时间段刷新预期的设备行为。ML Detect 则让监控的上手过程变得简单。

缓解措施

Amazon IoT Device Defender 的设计让您可以使用内置的缓解措施来应对审核和检测警报，例如把物体（设备）加入物体（设备）组、替换默认策略版本和更新设备证书。

警报

根据设计，如果您将 SNS 主题配置为接收 Device Defender 警报，Amazon IoT Device Defender 会将警报发布到 Amazon IoT 控制台、Amazon IoT Device Defender API、Amazon CloudWatch 和 Amazon SNS。

指标集成

借助 Amazon IoT Device Defender ListMetricValues API，您可以通过开源 API 可视化互联设备的设备端指标、云端指标和自定义指标，并将这些指标集成到任何自定义控制面板中，从而了解部署情况。

有关服务控制、安全特性及功能的其他信息，包括有关存储、检索、修改、限制和删除数据的信息，请参见 https://docs.amazonaws.cn/。以上链接包含的信息不构成光环新网关于亚马逊云科技（北京区域）的客户协议或西云数据关于亚马逊云科技（宁夏区域）的客户协议的“文档”的一部分，也不构成您与光环新网或西云数据亚马逊云科技之间就您使用亚马逊云科技中国区域服务达成的其他协议的任何部分。