Detect-Metrikexport - AWS IoT Device Defender
So funktioniert der Detect-MetrikenexportEinrichten des Detect-Metrikenexports auf der AWS IoT-KonsoleErstellen eines Sicherheitsprofils zum Aktivieren des MetrikexportsErstellen eines Sicherheitsprofils zum Aktivieren des Metrikexports (CLI)Aktualisieren eines Sicherheitsprofils zum Deaktivieren des Metrikexports (CLI)CLI-Befehle für den Export von MetrikenAPI-Operationen für den Metrikexport

Detect-Metrikexport

Mit dem Metrikexport können Sie cloudseitige, geräteseitige oder benutzerdefinierte Metriken aus AWS IoT Device Defender exportieren und sie in einem von Ihnen konfigurierten MQTT-Thema veröffentlichen. Dieses Feature unterstützt den Massenexport von Detect-Metriken, was nicht nur eine effizientere Datenberichterstattung und -analyse ermöglicht, sondern auch zur Kostenkontrolle beiträgt. Sie können Ihr MQTT-Thema als grundlegendes Thema der Erfassung von AWS IoT-Regeln auswählen oder Ihr eigenes MQTT-Thema erstellen und abonnieren. Konfigurieren Sie einen Metrikexport über die AWS IoT Device Defender-Konsole, die API oder die CLI. Diese Funktion ist in allen AWS Regionen verfügbar, in denen AWS IoT Device Defender verfügbar ist.

Die folgende Abbildung zeigt, wie Sie AWS IoT Device Defender für den Export von Metriken konfigurieren können. Das erste Diagramm zeigt, wie Sie den Metrikexport konfigurieren, um Metriken zu einem grundlegenden Thema der Erfassung zu exportieren. Anschließend können Sie die exportierten Metriken an verschiedene Ziele weiterleiten, die von AWS IoTRegeln unterstützt werden. Das zweite Diagramm zeigt, wie Sie AWS IoT Device Defender so konfigurieren, dass Daten in einem MQTT-Thema veröffentlicht werden. Der Client abonniert anschließend dieses MQTT-Thema: Sie können einen MQTT-Client in einem Container auf Amazon Elastic Container Service, Lambda oder einer Amazon EC2 EC2-Instance ausführen, die dasselbe MQTT-Thema abonniert. Wann immer AWS IoT Device Defender Daten veröffentlicht, werden sie vom MQTT-Client empfangen und verarbeitet. Weitere Informationen finden Sie unter MQTT-Themen.

Diagramm mit zwei Optionen zum Erkennen des Metrikenexportprozesses.

So funktioniert der Detect-Metrikenexport

Wenn Sie ein Sicherheitsprofil einrichten, wählen Sie die Metriken für den Export aus und geben das MQTT-Thema an. Sie konfigurieren auch eine IAM-Rolle, die AWS IoT Device Defender Detect die erforderlichen Berechtigungen zum Veröffentlichen von Nachrichten im konfigurierten MQTT-Thema gewährt. Sie können ein AWS IoT Rules Basic Ingest MQTT-Thema konfigurieren und die exportierten Metriken an Ziele senden, die von AWS IoT Rules unterstützt werden. Ausführliche Anweisungen zum Einrichten und Konfigurieren von AWS IoT-Regeln finden Sie in den Regeln für AWS IoT im AWS IoT-Entwicklerhandbuch.

AWS IoT Device Defender stapelt Metrikwerte für jede konfigurierte Metrik und veröffentlicht sie in regelmäßigen Abständen im konfigurierten MQTT-Thema. Mit Ausnahme der Nachrichten-Bytegröße und der Gesamtbytegröße werden cloudseitige Metriken durch Summieren von Metrikwerten für die Batchdauer aggregiert. Benutzerdefinierte und geräteseitige Metriken werden nicht aggregiert. Bei der Nachrichten-Bytegröße handelt es sich bei den Exportwerten um die Mindest-, Höchst- und Gesamtbytegröße für die Batchdauer. Für die Dauer der Verbindung entspricht der Exportwert der Dauer der Unterbrechung – in Sekunden – für alle verfolgten Geräte. Dies tritt in einstündigen Intervallen sowie bei Verbindungen oder Verbindungsabbrüchen auf. Bei verbundenen Geräten oder Verbindungsereignissen ist der Wert null. Weitere Informationen zu cloudseitigen Metriken, geräteseitigen Metriken und benutzerdefinierten Metriken finden Sie im AWS IoT Device Defender-Entwicklerhandbuch:

Sie können Batchmetriken mit AWS IoT-Regeln an verschiedene Ziele exportieren. Eine Liste der unterstützten Ziele finden Sie unter AWS IoT-Regelaktionen. Verwenden Sie die batchMode-Option für AWS IoT-Regelaktionen, um einzelne Metriken innerhalb einer Batch-Exportnachricht an ein unterstütztes Ziel zu senden. Wenn Ihr bevorzugtes Ziel für AWS IoT-Regeln keine batchMode-Unterstützung bietet, können Sie trotzdem einzelne Metriken innerhalb einer Batchnachricht senden, indem Sie Zwischenaktionen wie Lambda oder Kinesis Data Streams verwenden.

Einrichten des Detect-Metrikenexports auf der AWS IoT-Konsole

Sie können ein neues Sicherheitsprofil erstellen, anzeigen und bearbeiten, das den Metrikexport auf der Konsole beinhaltet.

Voraussetzungen

Bevor Sie den Detect-Metrikexport einrichten, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:

  • Eine IAM-Rolle. Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter Erstellen von IAM-Rollen im IAM-Benutzerhandbuch.

  • Ein AWS-Konto, bei dem Sie sich als AWS Identity and Access ManagementIAM-Benutzer mit entsprechenden Berechtigungen anmelden können. Weitere Informationen zu AWS IoT Device Defender-Detect-Berechtigungen finden Sie unter Berechtigungen im AWS IoT Core-Entwicklerhandbuch.

Erstellen eines neuen Sicherheitsprofils, das den Metrikexport beinhaltet (Konsole)

Konfigurieren Sie zum Exportieren von Daten zum Verhalten von Metriken zunächst ein Sicherheitsprofil, das den Metrikexport beinhaltet. Im folgenden Verfahren wird beschrieben, wie Sie ein regelbasiertes Sicherheitsprofil einrichten, das den Export von Detect-Metriken beinhaltet.

Erstellen eines neuen Sicherheitsprofils, das den Metrikexport beinhaltet

  1. Öffnen Sie die AWS IoT-Konsole. Erweitern Sie im Navigationsbereich die Optionen Sicherheit, Erkennen und Sicherheitsprofile.

  2. Wählen Sie unter Sicherheitsprofil erstellen die Option Regelbasiertes Erkennungsprofil für Anomalien erstellen.

  3. Geben Sie den Namen Ihres Sicherheitsprofils ein, um die Eigenschaften Ihres Sicherheitsprofils anzugeben, und wählen Sie unter Ziel eine Gruppe von Geräten, die wegen Anomalien analysiert werden soll. (Optional) Fügen Sie eine Beschreibung und Tags hinzu, um AWS-Ressourcen zu kennzeichnen. Wählen Sie Next.

  4. Wählen Sie für Metrik die Metriken aus, um das Geräteverhalten zu definieren. Sie können den Schwellenwert für das Verhalten definieren, um eine Warnung zu erhalten, wenn Ihr Gerät die Verhaltenserwartungen nicht erfüllt.

  5. Wählen Sie Eine Warnung senden (metrisches Verhalten definieren), um Warnungen für Verhaltensanomalien zu erhalten, und geben Sie dann den Namen des Verhaltens und die Bedingungen an. Wählen Sie Keine Warnung senden (Metrik beibehalten), um die Metriken ohne Warnungen beizubehalten. Wählen Sie Weiter aus.

  6. Wählen Sie Metrikexport einschalten, um die Konfigurationen für den Export von Metriken zu deaktivieren.

  7. Geben Sie einen Namen für das MQTT-Thema ein, der für die Veröffentlichung Ihrer Metrikdaten in AWS IoT Core verwendet werden soll. Wählen Sie eine IAM-Rolle, um AWS IoT die Berechtigung „AWS IoT:Publish“ zum Veröffentlichen von Nachrichten zum konfigurierten Thema zu erteilen. Wählen Sie die Metriken aus, die Sie exportieren möchten, und klicken Sie dann auf Weiter.

    Anmerkung

    Verwenden Sie den Schrägstrich, um bei der Eingabe Ihres MQTT-Themas hierarchische Informationen darzustellen. Beispiel, $AWS/rules/rule-name/.

  8. Wählen oder erstellen Sie ein Amazon-SNS-Thema und eine IAM-Rolle, um die Amazon-SNS-Benachrichtigungen so zu konfigurieren, dass Benachrichtigungen an Ihre AWS-Konsole gesendet werden, wenn ein Gerät gegen ein festgelegtes Verhalten verstößt. Wählen Sie Next.

  9. Überprüfen Sie Ihre Konfigurationen, und wählen Sie dann Weiter.

Anzeigen und Bearbeiten von Sicherheitsprofildetails (Konsole)

Anzeigen und Bearbeiten von Sicherheitsprofildetails

  1. Öffnen Sie die AWS IoT-Konsole. Erweitern Sie im Navigationsbereich die Optionen Sicherheit, Erkennen und Sicherheitsprofile.

  2. Wählen Sie das Sicherheitsprofil aus, das Sie für den Metrikexport erstellt haben, und wählen Sie dann für Aktionen die Option Bearbeiten.

  3. Wählen Sie unter Ziel die Zielgerätegruppen aus, die Sie bearbeiten möchten, und klicken Sie dann auf Weiter.

  4. Wählen Sie Mich benachrichtigen (metrisches Verhalten definieren), um die Konfigurationen des metrischen Verhaltens zu bearbeiten, und definieren Sie dann die Bedingungen, unter denen das metrische Verhalten erfüllt ist. Wählen Sie Next.

  5. Wählen Sie Export von Metriken deaktivieren, um die Konfigurationen für den Export von Metriken zu deaktivieren. Wählen Sie Next.

  6. Wählen oder erstellen Sie ein Amazon-SNS-Thema und eine IAM-Rolle, um die Amazon-SNS-Benachrichtigungen so zu konfigurieren, dass Benachrichtigungen an Ihre AWS IoT-Konsole gesendet werden, wenn ein Gerät gegen ein festgelegtes Verhalten verstößt. Wählen Sie Next.

  7. Überprüfen Sie Ihre Konfigurationen, und wählen Sie dann Weiter.

Erstellen eines Sicherheitsprofils zum Aktivieren des Metrikexports

Verwenden Sie den Befehl create-security-profile, um Ihr Sicherheitsprofil zu erstellen und den Metrikexport zu aktivieren.

Erstellen eines Sicherheitsprofils, das den Metrikexport beinhaltet

  1. Setzen Sie den Wert exportMetric bei Behavior und AdditionalMetricsToRetainV2 auf „war“, um den Metrikexport zu aktivieren und anzugeben, ob Detect die entsprechenden Metriken exportieren soll.

  2. Fügen Sie den Wert für MetricsExportConfig ein. Gibt das MQTT-Thema und den Rollen-ARN (Amazon Resource Name) an, die für den Metrikexport erforderlich sind.

    Anmerkung

    Schließen Sie mqttTopic ein, damit AWS IoT Device Defender Detect Nachrichten veröffentlichen kann. Die Rollen-ARN hat die Berechtigung, MQTT-Nachrichten zu veröffentlichen. Danach kann AWS IoT Device Defender Detect die Rolle übernehmen und Nachrichten in Ihrem Namen veröffentlichen.

aws iot create-security-profile \
    --security-profile-name CreateSecurityProfileWithMetricsExport \
    --security-profile-description "create security profile with metrics export enabled"  \
    --behaviors "[{\"name\":\"BehaviorNumAuthz\",\"metric\":\"aws:num-authorization-failures\",\"criteria\":{\"comparisonOperator\":\"less-than\",\"value\":{\"count\":5}, \"consecutiveDatapointsToAlarm\":1,\"consecutiveDatapointsToClear\":1,\"durationSeconds\":300},\"exportMetric\":true}]" \
    --metrics-export-config "{\"mqttTopic\":\"\$aws/rules/metricsExportRule\",\"roleArn\":\"arn:aws:iam::123456789012:role/iot-test-role\"}" \
    --region us-east-1

Ausgabe:

{
    "securityProfileName": "CreateSecurityProfileWithMetricsExport",
    "securityProfileArn": "arn:aws:iot:us-east-1:123456789012:securityprofile/CreateSecurityProfileWithMetricsExport"
}

Erstellen eines Sicherheitsprofils zum Aktivieren des Metrikexports (CLI)

Verwenden Sie den update-security-profile-Befehl, um ein vorhandenes Sicherheitsprofil zu aktualisieren und den Metrikexport zu aktivieren.

Aktualisieren Sie ein Sicherheitsprofil, um den Metrikexport zu aktivieren.

  1. Setzen Sie den Wert exportMetric bei Behavior und AdditionalMetricsToRetainV2 auf „war“, um den Metrikexport zu aktivieren und anzugeben, ob Detect die entsprechenden Metriken exportieren soll.

  2. Fügen Sie den Wert für MetricsExportConfig ein. Gibt das MQTT-Thema und den Rollen-ARN (Amazon Resource Name) an, die für den Metrikexport erforderlich sind.

    Anmerkung

    Schließen Sie mqttTopic ein, damit AWS IoT Device Defender Detect Nachrichten veröffentlichen kann. Die Rollen-ARN hat die Berechtigung, MQTT-Nachrichten zu veröffentlichen. Danach kann AWS IoT Device Defender Detect die Rolle übernehmen und Nachrichten in Ihrem Namen veröffentlichen.

aws iot update-security-profile \
    --security-profile-name UpdateSecurityProfileWithMetricsExport \
    --security-profile-description "update an existing security profile to enable metrics export"  \
    --behaviors "[{\"name\":\"BehaviorNumAuthz\",\"metric\":\"aws:num-authorization-failures\",\"criteria\":{\"comparisonOperator\":\"less-than\",\"value\":{\"count\":5}, \"consecutiveDatapointsToAlarm\":1,\"consecutiveDatapointsToClear\":1,\"durationSeconds\":300},\"exportMetric\":true}]" \
    --metrics-export-config "{\"mqttTopic\":\"\$aws/rules/metricsExportRule\",\"roleArn\":\"arn:aws:iam::123456789012:role/iot-test-role\"}" \
    --region us-east-1

Ausgabe:

{
    "securityProfileName": "UpdateSecurityProfileWithMetricsExport",
    "securityProfileArn": "arn:aws:iot:us-east-1:123456789012:securityprofile/UpdateSecurityProfileWithMetricsExport",
    "securityProfileDescription": "update an existing security profile to enable metrics export",
    "behaviors": [
        {
            "name": "BehaviorNumAuthz",
            "metric": "aws:num-authorization-failures",
            "criteria": {
                "comparisonOperator": "less-than",
                "value": {
                    "count": 5
                },
                "durationSeconds": 300,
                "consecutiveDatapointsToAlarm": 1,
                "consecutiveDatapointsToClear": 1
            },
            "exportMetric": true
        }
    ],
    "version": 2,
    "creationDate": "2023-11-09T16:18:37.183000-08:00",
    "lastModifiedDate": "2023-11-09T16:20:15.486000-08:00",
    "metricsExportConfig": {
        "mqttTopic": "$aws/rules/metricsExportRule",
        "roleArn": "arn:aws:iam::123456789012:role/iot-test-role"
    }
}

Aktualisieren eines Sicherheitsprofils zum Deaktivieren des Metrikexports (CLI)

Verwenden Sie den update-security-profile-Befehl, um ein vorhandenes Sicherheitsprofil zu aktualisieren und den Metrikexport zu deaktivieren.

Aktualisieren eines Sicherheitsprofils zum Deaktivieren des Metrikexports (CLI)

  • Verwenden Sie den Befehl --delete-metrics-export-config, um Ihr Sicherheitsprofil zu aktualisieren und die Konfiguration für den Metrikexport zu entfernen.

aws iot update-security-profile \
    --security-profile-name UpdateSecurityProfileToDisableMetricsExport \
    --security-profile-description "update an existing security profile to disable metrics export"  \
    --behaviors "[{\"name\":\"BehaviorNumAuthz\",\"metric\":\"aws:num-authorization-failures\",\"criteria\":{\"comparisonOperator\":\"less-than\",\"value\":{\"count\":5}, \"consecutiveDatapointsToAlarm\":1,\"consecutiveDatapointsToClear\":1,\"durationSeconds\":300}}]" \
    --delete-metrics-export-config \
    --region us-east-1

Ausgabe:

{
    "securityProfileName": "UpdateSecurityProfileToDisableMetricsExport",
    "securityProfileArn": "arn:aws:iot:us-east-1:123456789012:securityprofile/UpdateSecurityProfileWithMetricsExport",
    "securityProfileDescription": "update an existing security profile to disable metrics export",
    "behaviors": [
        {
            "name": "BehaviorNumAuthz",
            "metric": "aws:num-authorization-failures",
            "criteria": {
                "comparisonOperator": "less-than",
                "value": {
                    "count": 5
                },
                "durationSeconds": 300,
                "consecutiveDatapointsToAlarm": 1,
                "consecutiveDatapointsToClear": 1
            }
        }
    ],
    "version": 2,
    "creationDate": "2023-11-09T16:18:37.183000-08:00",
    "lastModifiedDate": "2023-11-09T16:31:16.265000-08:00"
}

Weitere Informationen finden Sie unter Detect-Befehle im AWS IoT Entwicklerhandbuch.

CLI-Befehle für den Export von Metriken

Mit den folgenden CLI-Befehlen können Sie einen Detect-Metrikenexport erstellen und verwalten.

API-Operationen für den Metrikexport

Mit den folgenden API-Operationen können Sie einen Detect-Metrikexport erstellen und verwalten.