# 安全使用案例
<a name="dd-detect-security-use-cases"></a>

本部分介绍威胁您设备机群的不同类型的攻击，以及可用于监控这些攻击的建议指标。我们建议使用指标异常作为调查安全问题的起始操作，但您不应仅仅根据指标异常来确定任何安全威胁。

要调查异常告警，请将告警详细信息与其它上下文信息（如设备属性、设备指标历史趋势、安全配置文件指标历史趋势、自定义指标和日志）相关联，以确定是否存在安全威胁。

## 云端使用案例
<a name="Cloud-side-threats"></a>

Device Defender 可以在 AWS IoT 云端监控以下用例。

**知识产权盗窃：**  
知识产权盗窃涉及盗窃个人或公司的知识产权，包括商业秘密、硬件或软件。它经常发生在设备的制造阶段。知识产权盗窃可能以盗版、设备盗窃或设备证书盗窃的形式出现。由于存在允许意外访问 IoT 资源的策略，因此可能会发生基于云的知识产权盗窃。您应检视您的 [IoT 策略](https://docs.aws.amazon.com/iot/latest/developerguide/iot-policies.html)并启用[审计过于宽容的检查](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html)以确定过于宽容的策略。    
****相关指标：****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**基于 MQTT 的数据泄漏：**  
当恶意行为者从 IoT 部署或设备执行未经授权的数据传输时，就会发生数据泄露。攻击者通过 MQTT 对云端数据源发起此类攻击。    
****相关指标：****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**模拟：**  
模拟攻击是指攻击者装作已知或受信任的实体，试图访问 AWS IoT 云端服务、应用程序、数据或对 IoT 设备发布命令和加以控制。    
****相关指标：****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**云基础设施滥用：**  
AWS IoT 云服务的滥用在发布或订阅消息量较大的主题或大型消息的主题时会发生。过度宽容的策略或设备漏洞攻击针对命令和控制，也可能导致云基础设施滥用。这次攻击的主要目标之一是增加您的AWS账单。您应检视您的 [IoT 策略](https://docs.aws.amazon.com/iot/latest/developerguide/iot-policies.html)并启用[审计过于宽容的检查](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html)以确定过于宽容的策略。    
****相关指标：****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

## 设备端使用案例
<a name="Device-side-threats"></a>

Device Defender 可以在您的设备端监控以下使用案例。

**拒绝服务攻击：**  
拒绝服务 (DoS) 攻击旨在关闭设备或网络，使目标用户无法访问该设备或网络。DoS 攻击通过使目标流量泛滥，或发送请求以使系统启动速度减慢或导致系统失败来阻止访问。您的 IoT 设备可用于 DoS 攻击。    
****相关指标：****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**横向威胁升级：**  
横向威胁升级通常从攻击者获得对网络中某个点（例如连网的设备）的访问权限开始。随后，攻击者会试图通过被盗凭证或漏洞利用等方法提高其权限级别或对其它设备的访问权限。    
****相关指标：****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**数据泄露或监控：**  
当恶意软件或恶意参与者从设备或网络端点进行未经授权的数据传输时，就会发生数据泄露。对于攻击者来说，数据泄露通常有两种目的：获取数据或知识产权，或者对网络进行侦测。监控意味着恶意代码被用于监控用户活动，其目的是窃取凭证和收集信息。以下指标可作为调查任一类型攻击的起点。    
****相关指标：****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**加密数字货币挖掘**  
攻击者利用设备的处理能力挖掘加密数字货币。加密挖掘是一个计算密集型过程，通常需要与其它采矿同行和池进行网络通信。    
****相关指标：****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**命令和控制、恶意软件和勒索软件**  
恶意软件或勒索软件会限制您对设备的控制，并限制您的设备功能。在出现勒索软件攻击的情况下，数据访问将会因勒索软件使用的加密手段而丢失。    
****相关指标：****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)