AWS IoT Device Defender Guide de dépannage - AWS IoT Device Defender

AWS IoT Device Defender Guide de dépannage

Aidez-nous à améliorer ce sujet

Dites-nous ce qui pourrait contribuer à l'améliorer

Général
Q : Existe-t-il des prérequis pour utiliser   AWS IoT Device Defender?

R : Si vous souhaitez utiliser des métriques signalées par les appareils, vous devez d'abord déployer un agent sur vos appareils connectés ou vos passerelles d’appareil AWS IoT. Les appareils doivent fournir un identifiant client ou un nom d'objet cohérent.

Audit
Q : J'ai activé un contrôle qui indique « En cours » depuis un certain temps. Y a-t-il un problème ? Quand puis-je espérer des résultats ?

R : La collecte des données commence immédiatement après l'activation du contrôle. Toutefois, si votre compte contient une grande quantité de données à collecter (par exemple, des certificats, des objets ou des politiques), les résultats de la vérification peuvent ne pas être disponibles pendant un certain temps après que vous l'avez activée.

Détection
Q : Comment puis-je connaître les seuils à définir dans un comportement de AWS IoT Device Defender profil de sécurité ?

R : Commencez par créer comportement de profil de sécurité avec des seuils bas et attachez-le à un groupe d'objets contenant un ensemble représentatif d'appareils. Vous pouvez utiliser AWS IoT Device Defender pour afficher les métriques actuelles, puis affiner les seuils de comportement de l'appareil pour les adapter à votre cas d'utilisation.

Q : J'ai créé un comportement, mais il ne déclenche pas de violation quand je le souhaite. Comment dois-je résoudre le problème ?

R : Lorsque vous définissez un comportement, vous indiquez la manière dont vous souhaitez que votre appareil se comporte normalement. Par exemple, si vous disposez d'une caméra de sécurité qui se connecte uniquement à un serveur central sur le port TCP 8888, vous ne vous attendez pas à qu'elle effectue d'autres connexions. Pour être alerté si la caméra se connecte sur un autre port, définissez un comportement tel que celui-ci : 

{
  "name": "Listening TCP Ports",
  "metric": "aws:listening-tcp-ports",
  "criteria": {
    "comparisonOperator": "in-port-set",
    "value": {
      "ports": [ 8888 ]
    }
  }
}

Si la caméra effectue une connexion TCP sur le port TCP 443, le comportement de l’appareil est violé et une alerte est déclenchée.

Q : Un ou plusieurs de mes comportements sont en violation. Comment puis-je effacer la violation ?

R : Les alarmes s'effacent lorsque l'appareil revient au comportement souhaité, comme défini dans les profils de comportement. Les profils de comportement sont évalués à la réception des données de métriques pour votre appareil. Si l'appareil ne publie aucune métrique pendant plus de deux jours, l'événement de violation est défini sur alarm-invalidated automatiquement.

Q : J'ai supprimé un comportement qui était en violation, comment puis-je arrêter les alertes ?

R : La suppression d'un comportement arrête toutes les violations et les alertes futures pour ce comportement. Les alertes antérieures doivent être vidés à partir de votre mécanisme de notification. Lorsque vous supprimez un comportement, l'enregistrement des violations de celui-ci est conservé aussi longtemps que toutes les autres violations de votre compte.

Métriques d'appareil
Q : J'envoie des rapports de métriques qui enfreignent mes comportements, mais aucune violation n'a été déclenchée. Que se passe-t-il ?

R : Vérifiez que vos rapports de métriques sont acceptés par l'abonnement aux rubriques MQTT suivantes :

$aws/things/THING_NAME/defender/metrics/FORMAT/rejected
$aws/things/THING_NAME/defender/metrics/FORMAT/accepted

où est le nom de l'objet signalant la métrique, et FORMAT est « JSON » ou « CBOR », selon le format du rapport de métriques envoyé par l'objet.

Une fois abonné, vous recevrez des messages sur ces rubriques pour chaque rapport de métriques envoyé. Un message rejected indique qu'un problème s'est produit lors de l'analyse du rapport de métriques. Un message d'erreur est inclus dans la charge utile du message pour vous aider à corriger les erreurs dans votre rapport de métriques. Un message accepted indique que le rapport de métriques a été analysé correctement.

Q : Que se passe-t-il si j'envoie une métrique vide dans mon rapport de métriques ?

R : Une liste vide de ports ou d'adresses IP est toujours considérée comme conforme au comportement correspondant. Si le comportement correspondant est en violation, la violation est effacée.

Q : Pourquoi mes rapports de métriques d’appareil contiennent-ils des messages pour des appareils qui ne sont pas dans le registre AWS IoT ?

Si vous avez un ou plusieurs profils de sécurité attachés à tous les objets ou à tous les objets non enregistrés, AWS IoT Device Defender inclut les métriques des objets non enregistrés. Si vous souhaitez exclure les métriques des objets non enregistrés, vous pouvez attacher les profils à tous les appareils enregistrés au lieu de tous les appareils.

Q : Je ne vois pas les messages à partir d'un ou de plusieurs appareils non enregistrés alors que j'ai appliqué un profil de sécurité à tous les appareils non enregistrés ou à tous les appareils. Comment résoudre ce problème ?

Vérifiez que vous envoyez un rapport de métriques bien formé, dans l'un des formats pris en charge. Pour plus d’informations, consultez Spécifications des métriques d'appareil. Vérifiez que les appareils non enregistrés utilisent un identifiant de client ou un nom d'objet cohérent. Si le nom de la chose contient des caractères de contrôle ou est plus long que 128 octets de caractères codés UTF-8, les messages signalés par les dispositifs sont rejetés.

Q : Que se passe-t-il si un appareil non enregistré est ajouté au registre ou si un appareil enregistré devient non enregistré ?

R : Si un appareil est ajouté au registre ou en est supprimé :

  • Vous voyez deux violations distinctes pour le périphérique (une sous son nom d'objet enregistré, une sous son identité non enregistrée) s'il continue à publier des métriques de violation. Les violations actives pour l'ancienne identité n’apparaissent plus après deux jours, mais sont disponibles dans l'historique des violations pendant 14 jours.

Q : Quelle valeur dois-je fournir dans le champ d’ID de rapport de mon rapport de métriques d'appareil ?

R : Utilisez une valeur unique pour chaque rapport de métriques, exprimée sous la forme d'un entier positif. Une pratique courante consiste à utiliser un horodatage epoch Unix.

Q : Dois-je créer une connexion MQTT dédiée pour les métriques AWS IoT Device Defender ?

R : Une connexion MQTT séparée n'est pas requise.

Q : Quel ID client dois-je utiliser lorsque je me connecte pour publier des métriques d'appareil ?

Pour les appareils (objets) qui se trouvent dans le registre AWS IoT, utilisez le nom d'objet enregistré. Pour les appareils qui ne se trouvent pas dans le registre AWS IoT, utilisez un identificateur cohérent lorsque vous vous connectez à AWS IoT. Cette pratique contribue à faire correspondre les violations et le nom d'objet.

Q : Puis-je publier des métriques pour un appareil avec un ID client différent ?

Il est possible de publier des métriques pour le compte d'un autre objet. Pour ce faire, vous devez publier les métriques dans la rubrique réservée AWS IoT Device Defender de cet appareil. Par exemple, Thing-1 souhaite publier des métriques pour lui-même et pour le compte de Thing-2. Thing-1 recueille ses propres métriques et les publie sur la rubrique MQTT :

$aws/things/Thing-1/defender/metrics/json

Thing-1 obtient ensuite les métriques de la part de Thing-2 et les publie sur la rubrique MQTT :

$aws/things/Thing-2/defender/metrics/json
Q : Combien de profils de sécurité et de comportements puis-je avoir dans mon compte ?

E : Voir AWS IoT Device DefenderEndpoints et quotas.

Q : À quoi ressemble le prototype d'un rôle cible pour une cible d'alerte ?

R : Un rôle qui permet à AWS IoT Device Defender de publier des alertes sur une cible d'alerte (rubrique SNS) exige deux objets :

  • Une relation d'approbation spécifiant iot.amazonaws.com en tant qu'entité approuvée.

  • Une stratégie attachée qui accorde à AWS IoT l’autorisation de publier dans une rubrique SNS spécifiée. Par exemple :

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sns:Publish",
            "Resource": "arn:aws:sns:us-east-1:123456789012:example-topic"
        }
    ]
}

  • Si le sujet SNS utilisé pour publier des alertes est un sujet crypté, deux autorisations supplémentaires AWS IoT doivent être accordées en plus de l'autorisation de publication dans le sujet SNS. Par exemple :

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
       {
           "Effect": "Allow",
           "Action": [
               "sns:Publish",
               "kms:Decrypt",
               "kms:GenerateDataKey"
           ],
           "Resource": "arn:aws:sns:us-east-1:123456789012:example-topic"
       }
    ]
}
Q : La soumission de mon rapport de mesures avec un type de métrique personnalisé number échoue avec le message d'erreurMalformed metrics report. Que se passe-t-il ?

A : Le type number ne prend qu'une seule valeur de métrique en tant qu'entrée, mais lorsque vous soumettez la valeur des métriques dans le rapport DeviceMetrics, vous devez la transmettre sous forme de tableau avec une valeur unique. Assurez-vous de soumettre la valeur de la métrique sous forme de tableau.

Charge utile de l'erreur :

{"header":{"report_id":12334567,"version":"1.0"},"metrics":{"network_stats":{"bytes_in":30680,"bytes_out":10652,"packets_in":113,"packets_out":118}},"custom_metrics":{"my_custom_metric":{"number":0}}}

Message d'erreur : 

{"thingName":"myThing","status":"REJECTED","statusDetails":{"ErrorCode":"InvalidPayload","ErrorMessage":"Malformed metrics report"},"timestamp":1635802047699}

Charge utile sans erreur :

{"header":{"report_id":12334567,"version":"1.0"},"metrics":{"network_stats":{"bytes_in":30680,"bytes_out":10652,"packets_in":113,"packets_out":118}},"custom_metrics":{"my_custom_metric":[{"number":0}]}}

Réponse :

{"thingName":"myThing","12334567":1635800375,"status":"ACCEPTED","timestamp":1635801636023}