# 行為 安全性設定檔包含一組行為。每個行為都包含一個指標,其會為您帳戶中的一組裝置或所有裝置指定正常行為。行為分為兩類:Rules Detect 行為和 ML Detect 行為。使用 Rules Detect 行為,您可以定義裝置應有的行為,而 ML Detect 則使用建置在歷史裝置資料上的 ML 模型來評估裝置應有的行為。 安全性設定檔可以是兩種閾值類型之一:**ML** 或 **Rule-based** (規則型)。ML 安全性設定檔會從過去的資料中學習,自動偵測整個機群的裝置層級操作和安全性異常。規則型安全性設定檔需要您手動設定靜態規則來監控裝置行為。 以下說明一些用於 `behavior` 定義的欄位:通用於 Rules Detect 和 ML Detect **`name`** 行為的名稱。 **`metric`** 使用的指標名稱 (也就是,行為所測量的項目)。 **`consecutiveDatapointsToAlarm`** 如果裝置違反特定數量連續資料點的行為,則會產生警示。如果未指定,則預設值為 1。 **`consecutiveDatapointsToClear`** 如果發生警示,以及違例裝置不再違反指定數量的連續資料點行為,則會清除警示。如果未指定,則預設值為 1。 **`threshold type`** 安全性設定檔可以是兩種閾值類型之一:ML 或規則型。ML 安全性設定檔會從過去的資料中學習,自動偵測整個機群的裝置層級操作和安全性異常。規則型安全性設定檔需要您手動設定靜態規則來監控裝置行為。 **`alarm suppressions`** 您可以藉由將行為通知設定為 `on` 或 `suppressed`,來管理 Detect 警示 Amazon SNS 通知。抑制警示並不會阻止 Detect 執行裝置行為評估;Detect 會繼續將異常行為標示為違規警示。不過,不會針對 Amazon SNS 通知傳送抑制的警示。只能透過 AWS IoT 主控台或 API 存取它們。Rules Detect `dimension` 您可以定義一個維度來調整行為的範圍。例如,您可以定義一個主題篩選條件維度,將行為套用至符合模式的 MQTT 主題。若要定義要在安全性設定檔中使用的維度,請參閱 [CreateDimension](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateDimension.html)。僅適用於 Rules Detect。 `criteria` 可判斷裝置對於 `metric` 的操作是否正確的條件。 在 AWS IoT 主控台中,您可以選擇**警示我**,以便在 AWS IoT Device Defender 偵測到裝置行為異常時,透過 Amazon SNS 收到通知。 `comparisonOperator` 將測量的物件 (`metric`) 關聯到條件 (`value` 或 `statisticalThreshold`) 的運算子。 可能值為:"less-than"、"less-than-equals"、"greater-than"、"greater-than-equals"、"in-cidr-set"、"not-in-cidr-set"、"in-port-set" 和 "not-in-port-set"。並不是所有運算子都對每個指標有效。CIDR 集和連接埠的運算子只適用於與包含這類實體的指標搭配使用。 `value` 相較於 `metric` 的值。根據指標的類型,這應該包含 `count` (一個值)、`cidrs` (CIDR 清單) 或 `ports` (連接埠清單)。 `statisticalThreshold` 判定行為違規的統計閾值。此欄位包含的 `statistic` 欄位具有下列可能的值:「p0」、「p0.1」、「p0.01」、「p1」、「p10」、「p50」、「p90」、「p99」、「p99.9」、「p99.99」或「p100」。 此 `statistic` 以百分比表示。它可以解析成用來判斷該行為符合哪個合規的值。系統會在指定的持續時間 (`durationSeconds`),從與此安全性設定檔相關聯的所有報告裝置一或多次收集指標,並會根據該資料計算百分比。之後,系統會收集裝置的衡量值並在相同的持續時間累積這些值。如果裝置產生的值超過或低於與指定百分比關聯的值 (`comparisonOperator`),則該裝置會被視為符合行為。否則,裝置為違反行為。 [百分比](https://en.wikipedia.org/wiki/Percentile)會指出被視為落在關聯值以下的所有衡量值百分比。例如,如果與「p90」 (第 90 個百分比) 的值是 123,則 90% 的所有衡量值低於 123。 `durationSeconds` 針對具有時間維度的這些條件,使用此項來指定評估行為的期間 (例如,`NUM_MESSAGES_SENT`)。針對 `statisticalThreshhold` 指標比較,這是收集所有裝置衡量值以判斷 `statisticalThreshold` 值,然後收集每個裝置衡量值以判斷其行為在比較中排名的所經期間。ML Detect `ML Detect confidence` ML Detect 支援三種可信度:`High`、`Medium` 和 `Low`。`High` 可信度表示異常行為評估中的低敏感度,且警示數量經常較低,`Medium` 可信度表示中敏感度,而 `Low` 可信度表示高敏感度,且警示數量經常較高。