# 什么是 AWS IoT Device Defender？
<a name="what-is-device-defender"></a>

使用 AWS IoT Device Defender 这项安全和监控服务来审计设备的配置，监控连接的设备，并降低安全风险。使用 AWS IoT Device Defender，您可以在整个 AWS IoT 设备队列中实施一致的安全策略，并能够在设备遭入侵时快速响应。IoT 实例集可能由大量具有不同功能、长期存在且地理位置分散的设备组成。这些特性导致实例集设置复杂且容易出错。由于设备的计算能力、内存和存储功能通常有限，因而限制了在设备本身上对加密和其他形式的安全功能的使用。

设备经常使用具有已知漏洞的软件。这些因素不仅使 IoT 队列成为吸引黑客的目标，而且导致难以持续保护设备队列安全。AWS IoT Device Defender 通过提供可识别安全问题以及与最佳实践的偏差的工具，解决了这些难题。AWS IoT Device Defender 可以审计设备队列，以确保它们遵守安全最佳实践并检测设备上的异常行为。下图显示了 AWS IoT Device Defender 的基本架构，以及它与 AWS IoT Core、Amazon CloudWatch 和 Amazon SNS 等服务如何相关。![\[AWS IoT Device Defender diagram showing Audit, Detect, and Publish alerts components.\]](http://docs.aws.amazon.com/zh_cn/iot-device-defender/latest/devguide/images/device-defender-architecture.jpg)

**Topics**
+ [您是 AWS IoT Device Defender 新用户吗？](#first-time-user)
+ [AWS IoT Device Defender 的工作原理](#how-device-defender-works)
+ [AWS IoT Device Defender 的特征](#features-of-device-defender)
+ [如何开始使用 AWS IoT Device Defender](#setting-up-device-defender)
+ [相关服务](#related-services-device-defender)
+ [访问 AWS IoT Device Defender](#accessing-device-defender)
+ [AWS IoT Device Defender 定价](#pricing-device-defender)

## 您是 AWS IoT Device Defender 新用户吗？
<a name="first-time-user"></a>

如果您是首次接触 AWS IoT Device Defender 的用户，我们建议您先阅读以下部分：
+ [AWS IoT Device Defender 的工作原理](#how-device-defender-works)
+ [AWS IoT Device Defender 的特征](#features-of-device-defender)
+ [如何开始使用 AWS IoT Device Defender](#setting-up-device-defender)
+ [相关服务](#related-services-device-defender)
+ [访问 AWS IoT Device Defender](#accessing-device-defender)
+ [AWS IoT Device Defender 定价](#pricing-device-defender)

## AWS IoT Device Defender 的工作原理
<a name="how-device-defender-works"></a>

AWS IoT Device Defender 是一项完全托管式安全和监控服务，有助于您保护 IoT 设备队列。AWS IoT Device Defender 审计与您的设备关联的 IoT 资源，来确认它们符合安全最佳实践。如果检测到任何安全风险，审计检查功能会发出警报，并提供相关信息来协助缓解任何问题。AWS IoT Device Defender 还会持续监控来自云端和设备端的安全指标，来检测意外的设备行为，从而识别任何可能遭到入侵的设备。您可以按需或按计划启动审计检查，来评测您的 IoT 设备配置。

AWS IoT Device Defender 与 AWS IoT Core 结合使用来整合设备交互的上下文，从而提高审计检查的准确性。AWS IoT Device Defender 收集和分析来自所连接设备的高价值安全指标，来检测异常行为。使用 *Rules Detect* 时，将根据用户定义的行为持续评估指标数据。使用 *ML Detect* 时，自动构建的机器学习（ML）模型会持续评估指标数据来识别异常。

计划审计任务的结果和任何检测到的设备活动异常都会发布到 AWS IoT 控制台和 AWS IoT Device Defender API。可通过 Amazon CloudWatch 访问这些内容。此外，您可以将 AWS IoT Device Defender 配置为将结果发送到 Amazon SNS 主题，以便与安全控制面板集成或启动自动修复工作流程。

AWS IoT Device Defender 支持各种使用案例，包括：
+ **保护您的设备：**您可以根据 [AWS IoT 安全最佳实践](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc&awsf.content-type=*all&AWSf.methodology=*all)审计与设备相关的资源，来协助您检测设备漏洞。AWS IoT Device Defender 审计有助于您识别和发现设备面临的风险，并确认安全措施已到位。
+ **检测异常设备行为：**您可以精确确定连接模式的变化，揭示设备与未经授权的端点的通信，并识别入站和出站设备流量模式的变化。
+ **获取见解来降低风险：**您可以采取措施来缓解*审计查找结果*或 *Detect 警报*中发现的问题。
+ **维护和维持设备安全：**您可以使用审计和检测检查中的见解来诊断和修复可能的安全漏洞。
+ **增强设备安全性：**您可以区分配置不当的设备，探测设备队列的运行状况，并找到意外的设备行为指标。

## AWS IoT Device Defender 的特征
<a name="features-of-device-defender"></a>

以下是 AWS IoT Device Defender 的一些关键功能。


**主要功能**  

|  |  | 
| --- | --- | 
| 审核 |  AWS IoT Device Defender 根据《IAM 用户指南》**中的 [AWS IoT 安全最佳实践](https://docs.aws.amazon.com/iot/latest/developerguide/security.html)审计您的设备相关资源。AWS IoT Device Defender 报告不符合安全最佳实践的配置，例如过度宽松的权限策略，此类策略可能允许一台设备读取和更新许多其它设备的数据。  | 
| Rules Detect | AWS IoT Device Defender 通过持续监控设备和 AWS IoT Core 中的高价值安全指标，检测可能表明遭入侵的异常设备行为。您可以通过为这些指标设置行为（规则），为一组设备指定正常的设备行为。AWS IoT Device Defender 根据用户定义的行为（规则）监控和评估为这些指标报告的每个数据点，并在检测到异常时向您发出警报。 | 
| ML Detect |  AWS IoT Device Defender 使用机器学习（ML）模型自动为您设置设备行为，此类模型使用后续 14 天的六个云端指标和七个设备端指标的设备数据。然后，该服务每天对模型进行重新训练（只要它有足够的数据来训练模型），根据最初模型构建后的最新后续 14 天的数据刷新预期的设备行为。AWS IoT Device Defender 使用机器学习模型监控和识别这些指标的异常数据点，并在检测到异常时触发警报。  | 
| 提示 | AWS IoT Device Defender 向 AWS IoT 控制台、Amazon CloudWatch 和 Amazon SNS 发布警报。 | 
| 缓解方法 | 可以使用 AWS IoT Device Defender 通过提供有关设备的上下文和历史信息（例如设备元数据、设备统计数据和设备的历史警报）来调查问题。还可以使用 AWS IoT Device Defender 内置的缓解操作对审计和检测警报执行缓解步骤，例如，将事物添加到事物组、替换默认策略版本和更新设备证书。 | 

## 如何开始使用 AWS IoT Device Defender
<a name="setting-up-device-defender"></a>

有关开始使用 AWS IoT Device Defender 的帮助信息，请参阅以下教程。
+ [设置](https://docs.aws.amazon.com/iot/latest/developerguide/dd-setting-up.html)
+ [ML Detect 指南](https://docs.aws.amazon.com/iot/latest/developerguide/dd-detect-ml-getting-started.html)
+ [审计指南](https://docs.aws.amazon.com/iot/latest/developerguide/audit-tutorial.html)
+ [自定义查看 AWS IoT Device Defender 审计结果的时间和方式](https://docs.aws.amazon.com/iot/latest/developerguide/dd-suppressions-example.html)

## 相关服务
<a name="related-services-device-defender"></a>
+ **AWS IoT Greengrass**：AWS IoT Greengrass 提供与 AWS IoT Device Defender 的预构建集成来持续监控设备行为。
+ **AWS IoT Device Management：**您可以使用 AWS IoT Device Management 队列索引来搜索、聚合 AWS IoT Device Defender 检测违规情况并编制索引。

## 访问 AWS IoT Device Defender
<a name="accessing-device-defender"></a>

您可以使用 AWS IoT Device Defender 控制台或 API 访问 AWS IoT Device Defender。

## AWS IoT Device Defender 定价
<a name="pricing-device-defender"></a>

对于 AWS IoT Device Defender，您只需按实际使用量付费。没有最低费用，也不会强制使用服务。但是，审计和检测功能需要单独付费。审计定价是按每月、每台设备确定的。开启审计功能后，系统会根据一个月内处于活动状态的设备[主体](https://docs.aws.amazon.com/iot/latest/developerguide/client-authentication.html)数量向您收费。因此，在使用此特征时，添加或删除审计检查不会影响您的月度账单。您可以使用 AWS 定价计算器在单一估算中计算您的 AWS IoT Device Defender 和架构成本。
+ [AWS 定价计算器](https://calculator.aws/#/addService/IoTDeviceDefender)