# Erste Schritte mit AWS IoT Device Defender
Sie können die folgenden Tutorials verwenden, um mit zu arbeiten AWS IoT Device Defender.
**Topics**
+ [
# Einrichtung
](dd-setting-up.md)
+ [
# Leitfaden für Audits
](audit-tutorial.md)
+ [
# ML Detect-Handbuch
](dd-detect-ml-getting-started.md)
+ [
# Anpassen, wann und wie Sie die AWS IoT Device Defender-Prüfungsergebnisse anzeigen
](dd-suppressions-example.md)
# Einrichtung
Führen Sie die folgenden Schritte aus, bevor Sie AWS IoT Device Defender zum ersten Mal verwenden:
**Topics**
+ [
## So melden Sie sich für ein AWS-Konto an
](#sign-up-for-aws)
+ [
## Erstellen eines Benutzers mit Administratorzugriff
](#create-an-admin)
## So melden Sie sich für ein AWS-Konto an
Wenn Sie kein AWS-Konto haben, führen Sie die folgenden Schritte zum Erstellen durch.
**Anmeldung für ein AWS-Konto**
1. Öffnen Sie [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup).
1. Folgen Sie den Online-Anweisungen.
Während der Anmeldung erhalten Sie einen Telefonanruf oder eine Textnachricht und müssen einen Verifizierungscode über die Telefontasten eingeben.
Wenn Sie sich für ein AWS-Konto anmelden, wird ein *Root-Benutzer des AWS-Kontos* erstellt. Der Root-Benutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Als bewährte Sicherheitsmethode weisen Sie einem Administratorbenutzer Administratorzugriff zu und verwenden Sie nur den Root-Benutzer, um [Aufgaben auszuführen, die Root-Benutzerzugriff erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS sendet Ihnen eine Bestätigungs-E-Mail, sobald die Anmeldung abgeschlossen ist. Sie können jederzeit Ihre aktuelle Kontoaktivität anzeigen und Ihr Konto verwalten. Rufen Sie dazu [https://aws.amazon.com/](https://aws.amazon.com/) auf und klicken Sie auf **Mein Konto**.
## Erstellen eines Benutzers mit Administratorzugriff
Nachdem Sie sich für ein AWS-Kontoangemeldet haben, sichern Sie Ihr Root-Benutzer des AWS-Kontos, aktivieren Sie AWS IAM Identity Centerund erstellen Sie einen administrativen Benutzer, damit Sie nicht den Root-Benutzer für alltägliche Aufgaben verwenden.
**Schützen Ihres Root-Benutzer des AWS-Kontos**
1. Melden Sie sich bei [AWS-Managementkonsole](https://console.aws.amazon.com/) als Kontobesitzer an, indem Sie **Stammbenutzer** auswählen und Ihre AWS-Konto-E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.
Hilfe bei der Anmeldung mit dem Root-Benutzer finden Sie unter [Anmelden als Root-Benutzer](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) im *AWS-Anmeldung Benutzerhandbuch* zu.
1. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer.
Anweisungen dazu finden Sie unter [Aktivieren eines virtuellen MFA-Geräts für den Root-Benutzer Ihres AWS-Konto (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) im *IAM-Benutzerhandbuch*.
**Erstellen eines Benutzers mit Administratorzugriff**
1. Aktivieren Sie das IAM Identity Center.
Anweisungen finden Sie unter [Aktivieren AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) im *AWS IAM Identity Center Benutzerhandbuch*.
1. Gewähren Sie einem Administratorbenutzer im IAM Identity Center Benutzerzugriff.
Ein Tutorial zur Verwendung von IAM-Identity-Center-Verzeichnis als Identitätsquelle finden Sie unter [Konfigurieren des Benutzerzugriffs mit der Standard-IAM-Identity-Center-Verzeichnis](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) im *AWS IAM Identity Center-Benutzerhandbuch*.
**Anmelden als Administratorbenutzer**
+ Um sich mit Ihrem IAM-Identity-Center-Benutzer anzumelden, verwenden Sie die Anmelde-URL, die an Ihre E-Mail-Adresse gesendet wurde, als Sie den IAM-Identity-Center-Benutzer erstellt haben.
Hilfe bei der Anmeldung mit einem IAM-Identity-Center-Benutzer finden Sie unter [Anmelden beim AWS-Zugangsportal](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) im *AWS-Anmeldung Benutzerhandbuch* zu.
**Weiteren Benutzern Zugriff zuweisen**
1. Erstellen Sie im IAM-Identity-Center einen Berechtigungssatz, der den bewährten Vorgehensweisen für die Anwendung von geringsten Berechtigungen folgt.
Anweisungen hierzu finden Sie unter [ Berechtigungssatz erstellen](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) im *AWS IAM Identity Center Benutzerhandbuch*.
1. Weisen Sie Benutzer einer Gruppe zu und weisen Sie der Gruppe dann Single Sign-On-Zugriff zu.
Eine genaue Anleitung finden Sie unter [ Gruppen hinzufügen](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) im *AWS IAM Identity Center Benutzerhandbuch*.
Anhand dieser Aufgaben werden ein AWS-Konto und ein Benutzer mit Administratorrechten für das Konto erstellt.
# Leitfaden für Audits
Dieses Tutorial enthält Anweisungen zur Konfiguration eines wiederkehrenden Audits, zur Einrichtung von Alarmen, zur Überprüfung der Prüfungsergebnisse und zur Behebung von Prüfungsproblemen.
**Topics**
+ [
## Voraussetzungen
](#audit-tutorial-prerequisites)
+ [
## Aktivieren von Auditprüfungen
](#audit-tutorial-enable-checks)
+ [
## Anzeigen von Prüfungsergebnissen
](#audit-tutorial-view-audit)
+ [
## Erstellen von Abhilfemaßnahmen für Audits
](#audit-tutorial-mitigation)
+ [
## Anwenden von Abhilfemaßnahmen auf Ihre Prüfungsergebnisse
](#apply-mitigation-actions)
+ [
## Erstellen einer AWS IoT Device Defender Audit-IAM-Rolle (optional)
](#audit-iam)
+ [
## Aktivieren von SNS-Benachrichtigungen (optional)
](#audit-tutorial-enable-sns)
+ [
## Konfigurieren von Berechtigungen für kundenseitig verwaltete Schlüssel (optional)
](#audit-tutorial-cmk-permissions)
+ [
## Aktivieren der Protokollierung (optional)
](#enable-logging)
## Voraussetzungen
Zum Durcharbeiten dieses Tutorials ist Folgendes erforderlich:
+ Ein(e) AWS-Konto. Wenn Sie darüber noch nicht verfügen, finden Sie unter [Einrichten](https://docs.aws.amazon.com/iot/latest/developerguide/dd-setting-up.html) weitere Informationen.
## Aktivieren von Auditprüfungen
Im folgenden Verfahren aktivieren Sie Auditprüfungen, bei denen Konto- und Geräteeinstellungen sowie Richtlinien geprüft werden, um sicherzustellen, dass Sicherheitsmaßnahmen getroffen wurden. In diesem Tutorial weisen wir Sie an, alle Auditprüfungen zu aktivieren; Sie können die Prüfungen jedoch nach Belieben auswählen.
Die Prüfungspreise beziehen sich auf die Anzahl der Geräte pro Monat (mit AWS IoT verbundenen Flottengeräte). Daher hat das Hinzufügen oder Entfernen von Auditprüfungen keine Auswirkungen auf Ihre monatliche Rechnung, wenn Sie diese Funktion verwenden.
1. Öffnen Sie die [AWS IoT-Konsole](https://console.aws.amazon.com/iot). Wählen Sie im Navigationsbereich **Sicherheit** und dann **Einführung**.
1. Wählen Sie **AWS IoT Sicherheitsüberprüfung automatisieren**. Auditprüfungen sind automatisch aktiviert.
1. Erweitern Sie **Audit**, und wählen Sie **Einstellungen**, um Ihre Auditprüfungen einzusehen. Wählen Sie einen Namen für die Auditprüfung aus, um zu erfahren, was die Auditprüfung bewirkt. Weitere Informationen zu Auditprüfungen finden Sie unter [Auditprüfungen](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html).
1. (Optional) Wenn Sie bereits über eine Rolle verfügen, die Sie verwenden möchten, wählen Sie **Dienstberechtigungen verwalten**, wählen Sie die Rolle aus der Liste, und klicken Sie dann auf **Aktualisieren**.
## Anzeigen von Prüfungsergebnissen
Nachstehend wird veranschaulicht, wie Sie Ihre Prüfungsergebnisse einsehen können. In diesem Tutorial sehen Sie die Prüfungsergebnisse der Auditprüfungen, die im [Aktivieren von Auditprüfungen](#audit-tutorial-enable-checks) Tutorial eingerichtet wurden.
**So zeigen Sie die Prüfungsergebnisse an**
1. Öffnen Sie die [AWS IoT-Konsole](https://console.aws.amazon.com/iot). Erweitern Sie im Navigationsbereich die Optionen **Sicherheit**, **Audit**, und wählen Sie dann **Ergebnisse**.
1. Wählen Sie den **Namen** des Prüfplans aus, den Sie untersuchen möchten.
1. Wählen Sie unter **Nichtkonforme Prüfungen** unter **Abhilfe** die Informationsschaltflächen aus, um Informationen darüber zu erhalten, warum der Vorgang nicht konform ist. Hinweise darüber, wie Sie Ihre nicht konformen Prüfungen regelkonform gestalten können, finden Sie unter [Auditprüfungen](device-defender-audit-checks.md).
## Erstellen von Abhilfemaßnahmen für Audits
Im folgenden Verfahren erstellen Sie eine AWS IoT Device Defender-Abhilfemaßnahme für Prüfungen, um die AWS IoT-Protokollierung zu aktivieren. Jeder Auditprüfung sind Abhilfemaßnahmen zugeordnet, die sich darauf auswirken, welchen **Aktionstyp** Sie für die Prüfung wählen, die Sie korrigieren möchten. Weitere Informationen finden Sie unter [Abhilfemaßnahmen](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-mitigation-actions.html#defender-audit-apply-mitigation-actions.html).
**So verwenden Sie die AWS IoT-Konsole zum Erstellen von Abhilfemaßnahmen**
1. Öffnen Sie die [AWS IoT-Konsole](https://console.aws.amazon.com/iot). Erweitern Sie im Navigationsbereich die Optionen **Sicherheit**, **Erkennen**, und wählen Sie dann **Abhilemaßnahmen**.
1. Wählen Sie auf der Seite **Abhilfemaßnahmen** die Option **Erstellen**.
1. Geben Sie Ihrer Abhilfemaßnahme auf der Seite **Neue Abhilfemaßnahme erstellen** unter **Aktionsname** einen eindeutigen Namen, wie beispielsweise *EnableErrorLoggingAction*.
1. Wählen Sie als **Aktionstyp** die Option **AWS IoT-Protokollierung aktivieren**.
1. Wählen Sie unter **Berechtigungen** die Option **Rolle erstellen**. Verwenden Sie als **Rollenname** *IoTMitigationActionErrorLoggingRole*. Wählen Sie dann die Option **Erstellen**.
1. Wählen Sie unter **Parameter** unter **Rolle für die Protokollierung** die Option `IoTMitigationActionErrorLoggingRole`. Wählen Sie als **Protokollebene** die Option `Error`.
1. Wählen Sie **Erstellen**.
## Anwenden von Abhilfemaßnahmen auf Ihre Prüfungsergebnisse
Nachstehend wird veranschaulicht, wie Sie Abhilfemaßnahmen auf Ihre Prüfungsergebnisse anwenden können.
**So wirken Sie nicht konformen Prüfungsergebnissen entgegen**
1. Öffnen Sie die [AWS IoT-Konsole](https://console.aws.amazon.com/iot). Erweitern Sie im Navigationsbereich die Optionen **Sicherheit**, **Audit**, und wählen Sie dann **Ergebnisse**.
1. Wählen Sie ein Prüfergebnis aus, auf das Sie reagieren möchten.
1. Überprüfen Sie Ihre Ergebnisse.
1. Wählen Sie **Abhilfemaßnahmen starten**.
1. Wählen Sie für **Protokollierung deaktiviert** die Abhilfemaßnahme, die Sie zuvor erstellt haben, `EnableErrorLoggingAction`. Sie können für jedes nicht konforme Ergebnis die entsprechenden Maßnahmen auswählen, um die Probleme zu beheben.
1. Wählen Sie unter **Ursachencodes auswählen** den Ursachencode aus, der bei der Prüfung zurückgegeben wurde.
1. Wählen Sie **Aufgabe starten**. Die Ausführung der Abhilfemaßnahmen kann einige Minuten dauern.
**So überprüfen Sie, ob die Abhilfemaßnahme funktioniert hat**
1. Wählen Sie im Navigationsbereich der AWS IoT-Konsole die Option **Einstellungen**.
1. Vergewissern Sie sich im **Dienstprotokoll**, dass die **Protokollebene** `Error (least verbosity)` ist.
## Erstellen einer AWS IoT Device Defender Audit-IAM-Rolle (optional)
Im folgenden Verfahren erstellen Sie eine AWS IoT Device Defender Audit-IAM-Rolle, die AWS IoT Device Defender-Lesezugriff auf AWS IoT bietet.
**So erstellen Sie eine Servicerolle für AWS IoT Device Defender (IAM-Konsole)**
1. Melden Sie sich bei der AWS-Managementkonsole an, und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Klicken Sie im Navigationsbereich der IAM-Konsole auf **Rollen**, und wählen Sie dann **Rolle erstellen**.
1. Wählen Sie den Rollentyp **AWS-Service**.
1. Wählen Sie unter **Anwendungsfälle für andere AWS Dienste verwenden** die Option **AWS IoT**. Wählen Sie dann **IoT — Device Defender Audit**.
1. Wählen Sie **Weiter**.
1. (Optional) Legen Sie eine [Berechtigungsgrenze](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) fest. Dies ist ein erweitertes Feature, das für Servicerollen verfügbar ist, aber nicht für servicegebundene Rollen.
Öffnen Sie den Abschnitt **Permissions boundary** (Berechtigungsgrenze) und wählen Sie **Use a permissions boundary to control the maximum role permissions** (Eine Berechtigungsgrenze verwenden, um die maximalen Rollen-Berechtigungen zu steuern). IAM enthält eine Liste der von AWS verwalteten und vom Kunden verwaltete Richtlinien in Ihrem Konto. Wählen Sie die Richtlinie aus, die für die Berechtigungsgrenze verwendet werden soll, oder wählen **Create policy (Richtlinie erstellen)**, um eine neue Registerkarte im Browser zu öffnen und eine vollständig neue Richtlinie zu erstellen. Weitere Informationen finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) im *IAM-Benutzerhandbuch*. Nachdem Sie die Richtlinie erstellt haben, schließen Sie die Registerkarte und kehren zur ursprünglichen Registerkarte zurück, um die Richtlinie auszuwählen, die für die Berechtigungsgrenze verwendet werden soll.
1. Wählen Sie **Weiter** aus.
1. Geben Sie unter Rollenname einen Rollennamen ein, der Ihnen hilft, den Zweck dieser Rolle zu identifizieren. Rollennamen müssen innerhalb Ihres eindeutig sein AWS-Konto. Es wird hierbei nicht zwischen Groß- und Kleinschreibung unterschieden. z. B. können Sie keine Rollen erstellen, die **PRODROLE** bzw. **prodrole** heißen. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung nicht bearbeitet werden.
1. (Optional) Geben Sie unter **Description** (Beschreibung) eine Beschreibung für die neue Rolle ein.
1. Wählen Sie in den Abschnitten **Step 1: Select trusted entities** (Schritt 1: Vertrauenswürdige Entitäten auswählen) oder **Step 2: Add permissions** (Schritt 2: Berechtigungen hinzufügen) die Option **Edit** (Bearbeiten), um die Anwendungsfälle und Berechtigungen für die Rolle zu bearbeiten.
1. (Optional) Fügen Sie dem Benutzer Metadaten hinzu, indem Sie Markierungen als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter [Markieren von IAM-Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) im *IAM-Benutzerhandbuch*.
1. Prüfen Sie die Rolle und klicken Sie dann auf **Rolle erstellen**.
## Aktivieren von SNS-Benachrichtigungen (optional)
Im folgenden Verfahren aktivieren Sie Amazon SNS (SNS)-Benachrichtigungen, die Sie darüber benachrichtigen, wenn bei Ihren Audits nicht-konforme Ressourcen identifiziert werden. In diesem Tutorial richten Sie Benachrichtigungen für die im [Aktivieren von Auditprüfungen](#audit-tutorial-enable-checks)-Tutorial aktivierten Auditprüfungen ein.
1. Falls Sie dies noch nicht getan haben, fügen Sie eine Richtlinie hinzu, die den Zugriff auf SNS über AWS-Managementkonsole ermöglicht. Folgen Sie dazu den Anweisungen unter [Anhängen einer Richtlinie an eine IAM-Benutzergruppe](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html) im *IAM-Benutzerhandbuch* und wählen Sie die Richtlinie **AWSIoTDeviceDefenderPublishFindingsToSNSMitigationAction** aus.
1. Öffnen Sie die [AWS IoT-Konsole](https://console.aws.amazon.com/iot). Erweitern Sie im Navigationsbereich die Optionen **Sicherheit**, **Audit**, und wählen Sie dann **Einstellungen**.
1. Wählen Sie unten auf der Seite mit den **Device Defender-Überwachungseinstellungen** die Option **SNS-Benachrichtigungen aktivieren**.
1. Wählen Sie **Aktiviert**.
1. Wählen Sie **Themen** und danach **Neues Thema erstellen**. Geben Sie dem Thema den Namen *IoTDDNotifications* und wählen Sie **Erstellen**. Wählen Sie für **Role** die Rolle aus, die Sie in [Erstellen einer AWS IoT Device Defender Audit-IAM-Rolle (optional)](#audit-iam) erstellt haben.
1. Wählen Sie **Aktualisieren**.
1. Wenn Sie E-Mails oder Textnachrichten auf Ihren Ops-Plattformen über Amazon SNS erhalten möchten, finden Sie weitere Informationen unter [Verwenden von Amazon Simple Notification Service für Benutzerbenachrichtigungen](https://docs.aws.amazon.com/sns/latest/dg/sns-user-notifications.html).
## Konfigurieren von Berechtigungen für kundenseitig verwaltete Schlüssel (optional)
**Anmerkung**
Diese Konfiguration ist nur erforderlich, wenn Sie sich für kundenseitig verwaltete Schlüssel für AWS IoT Core entschieden haben. Weitere Informationen zur Verschlüsselung im Ruhezustand in AWS IoT Core finden Sie unter [Datenverschlüsselung im Ruhezustand in AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/encryption-at-rest.html).
Wenn Sie kundenseitig verwaltete Schlüssel (CMK) für die Verschlüsselung im Ruhezustand in AWS IoT Core aktiviert haben, erfordert die von AWS IoT Device Defender Audit verwendete IAM-Rolle zusätzliche Berechtigungen zum Entschlüsseln von Daten. Ohne diese Berechtigungen schlagen Ihre Audit-Operationen fehl.
Die von [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIoTDeviceDefenderAudit.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIoTDeviceDefenderAudit.html) verwaltete Richtlinie beinhaltet standardmäßig keine `kms:Decrypt`-Berechtigungen und folgt damit dem Prinzip der geringsten Berechtigung. Sie müssen diese Berechtigungen manuell zu Ihrer Audit-Rolle hinzufügen, wenn Sie kundenseitig verwaltete Schlüssel verwenden.
**So fügen Sie KMS-Berechtigungen zu Ihrer IAM-Rolle von AWS IoT Device Defender Audit hinzu**
1. Melden Sie sich bei der AWS-Managementkonsole an, und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich **Rollen** aus und suchen Sie dann nach der Rolle, die Sie in [Erstellen einer AWS IoT Device Defender Audit-IAM-Rolle (optional)](#audit-iam) erstellt haben, oder nach der Rolle, die Sie bei der Konfiguration der Audit-Einstellungen angegeben haben.
1. Wählen Sie den Rollennamen aus, um seine Detailseite zu öffnen.
1. Wählen Sie auf der Registerkarte **Berechtigungen** die Option **Berechtigungen hinzufügen** und dann **Inline-Richtlinie erstellen** aus.
1. Wählen Sie die Registerkarte **JSON** aus und geben Sie die folgende Richtlinie ein. Ersetzen Sie *REGION*, *ACCOUNT\$1ID* und *KEY\$1ID* durch die Details Ihres AWS KMS-Schlüssels:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:REGION:ACCOUNT_ID:key/KEY_ID"
}
]
}
```
1. Wählen Sie **Weiter** aus.
1. Geben für **Richtlinienname** einen beschreibenden Namen wie **DeviceDefenderAuditKMSDecrypt** ein.
1. Wählen Sie **Richtlinie erstellen** aus.
## Aktivieren der Protokollierung (optional)
In diesem Verfahren wird beschrieben, wie Sie AWS IoT aktivieren, um Informationen in CloudWatch-Protokollen zu protokollieren. Auf diese Weise können Sie Ihre Prüfungsergebnisse einsehen. Durch die Protokollierung können Gebühren anfallen.
**So aktivieren Sie die Protokollierung**
1. Öffnen Sie die [AWS IoT-Konsole](https://console.aws.amazon.com/iot). Klicken Sie im Navigationsbereich auf **Einstellungen**.
1. Wählen Sie unter **Protokolle** die Option **Protokolle verwalten**.
1. Wählen Sie unter **Rolle auswählen** die Option **Rolle erstellen**. Geben Sie der Rolle den Namen *awsiotLoggingRole* und wählen Sie **Erstellen**. Es wird automatisch eine Richtlinie angehängt.
1. Wählen Sie für **Protokollstufe** die Option **Debuggen (größte Ausführlichkeit**).
1. Wählen Sie **Aktualisieren**.
# ML Detect-Handbuch
**Anmerkung**
ML Detect ist in den folgenden Regionen nicht verfügbar:
Asien-Pazifik (Malaysia)
In diesem Handbuch „Erste Schritte“ erstellen Sie ein ML Detect-Sicherheitsprofil, das Machine Learning (ML) verwendet, um Modelle des erwarteten Verhaltens auf der Grundlage historischer Metrikdaten Ihrer Geräte zu erstellen. ML Detect erstellt das ML-Modell, Sie können den Fortschritt überwachen. Nachdem das ML-Modell erstellt wurde, können Sie kontinuierlich Alarme anzeigen und untersuchen sowie identifizierte Probleme beheben.
Weitere Informationen zu ML Detect und den entsprechenden API- und CLI-Befehlen finden Sie unter[ML Detect](dd-detect-ml.md).
**Topics**
+ [
## Voraussetzungen
](#ml-detect-prereqs)
+ [
## So verwenden Sie ML Detect auf der Konsole
](#dd-detect-ml-console)
+ [
## So verwenden Sie ML Detect mit der CLI
](#dd-detect-ml-cli)
## Voraussetzungen
+ Ein(e) AWS-Konto. Wenn Sie darüber noch nicht verfügen, finden Sie unter [Einrichten](https://docs.aws.amazon.com/iot/latest/developerguide/dd-setting-up.html) weitere Informationen.
## So verwenden Sie ML Detect auf der Konsole
**Topics**
+ [
### Aktivieren von ML Detect
](#enable-ml-detect-console)
+ [
### Überwachen des Status Ihres ML-Modells
](#monitor-ml-models-console)
+ [
### Überprüfen Ihrer ML Detect-Alarme
](#review-ml-alarms-console)
+ [
### Optimieren Ihrer ML-Alarme
](#fine-tune-ml-models-console)
+ [
### Markieren des Bestätigungsstatus Ihres Alarms
](#mark-your-alarms)
+ [
### Beseitigen von identifizierten Geräteproblemen
](#mitigate-ml-issues-console)
### Aktivieren von ML Detect
In den folgenden Verfahren wird detailliert beschrieben, wie ML Detect auf der Konsole eingerichtet wird.
1. Stellen Sie zunächst sicher, dass Ihre Geräte die Mindestdatenpunkte erzeugen, die gemäß den [Mindestanforderungen von ML Detect](dd-detect-ml.md#dd-detect-ml-requirements) für das kontinuierliche Training und die kontinuierliche Aktualisierung des Modells erforderlich sind. Stellen Sie, damit die Datenerfassung vorangeht, sicher, dass Ihr Sicherheitsprofil an ein Ziel angehängt ist, bei dem es sich um ein Objekt oder eine Objektgruppe handeln kann.
1. Erweitern Sie auf der [AWS IoT-Konsole](https://console.aws.amazon.com/iot) im Navigationsbereich die Option **Verteidigen**. Wählen Sie **Erkennen**, **Sicherheitsprofile**, **Sicherheitsprofil erstellen** und anschließend **Profil zur Erkennung von ML-Anomalien erstellen**.
1. Führen Sie auf der Seite **Grundlegende Konfigurationen festlegen** die folgenden Schritte aus.
+ Wählen Sie Ihre Zielgerätegruppen unter **Ziel**.
+ Geben Sie unter **Sicherheitsprofilname** einen Namen für Ihr Sicherheitsprofil ein.
+ (Optional) Unter **Beschreibung** können Sie eine kurze Beschreibung des ML-Profils eingeben.
+ Wählen Sie unter **Ausgewählte Metrikverhalten im Sicherheitsprofil** die Metriken, die Sie überwachen möchten.
![\[Konfigurationsseite „ML-Sicherheitsprofil erstellen“ mit allen registrierten Objekten, die als Ziel ausgewählt sind, aufgelistetem Metrikverhalten wie Autorisierungsfehlern und Verbindungsversuchen sowie Optionen zum Hinzufügen von cloud- oder geräteseitigen Metriken.\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-ml-set-basic.png)
Wählen Sie abschließend **Weiter**.
1. Geben Sie auf der Seite **SNS einrichten (optional)** ein SNS-Thema für Alarmbenachrichtigungen an, wenn ein Gerät gegen ein Verhalten in Ihrem Profil verstößt. Wählen Sie eine IAM-Rolle, die Sie für Veröffentlichungen zum ausgewählten SNS-Thema verwenden möchten.
Wenn Sie noch keine SNS-Rolle haben, gehen Sie wie folgt vor, um eine Rolle mit den erforderlichen Berechtigungen und Vertrauensbeziehungen zu erstellen.
+ Navigieren Sie zur [IAM-Konsole](https://console.aws.amazon.com/iam/). Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen**.
+ Wählen Sie unter **Typ der vertrauenswürdigen Entität auswählen** die Option **AWS-Service**. Wählen Sie dann unter **Anwendungsfall wählen** die Option **IoT** und unter **Anwendungsfall auswählen** die Option **IoT — Device-Defender-Abhilfemaßnahmen**. Wählen Sie abschließend **Weiter: Berechtigungen**.
+ Stellen Sie sicher, dass unter **Richtlinien für angehängte Berechtigungen** die Option **AWSIoTDeviceDefenderPublishFindingsToSNSMitigationAction** ausgewählt ist, und wählen Sie dann **Weiter: Tags**.
![\[Tabelle mit Berechtigungsrichtlinien für eine AWS IoT Device Defender-Rolle mit Richtliniennamen, Beschreibungen dessen, wofür jede Richtlinie Zugriff gewährt, und Optionen zum Filtern oder Suchen von Richtlinien.\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-ml-sns-findings.png)
+ Unter **Stichwörter hinzufügen (optional)** können Sie beliebige Tags hinzufügen, die Sie Ihrer Rolle zuordnen möchten. Klicken Sie abschließend auf **Weiter: Überprüfen**.
+ Geben Sie Ihrer Rolle unter **Überprüfen** einen Namen und stellen Sie sicher, dass **AWSIoTDeviceDefenderPublishFindingsToSNSMitigationAction** unter **Berechtigungen** und **AWS-Service: iot.amazonaws.com** unter **Vertrauensbeziehungen** aufgeführt ist. Wählen Sie anschließend **Rolle erstellen**.
![\[Übersichtsseite für IAM-Rollen mit Beispiel-SNS-Rollendetails wie Rollen-ARN, Beschreibung, Instance–Profil-ARNs, Pfad, Erstellungszeit, maximale Sitzungsdauer und angewendete AWS IoT Device Defender-Option zum Veröffentlichen von Ergebnissen für die SNS-Abhilfemaßnahmenrichtlinie\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-ml-detect-permissions.png)
![\[Zusammenfassung der IAM-Beispiel-SNS-Rolle mit Rollen-ARN, Rollenbeschreibung mit AWS IoT Device Defender-Schreibzugriff zum Veröffentlichen von SNS-Benachrichtigungen, Pfad, Erstellungszeit und vertrauenswürdigen Entitäten\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-ml-detect-trust-relationships.png)
1. Auf der Seite **Metrikverhalten bearbeiten** können Sie Ihre ML-Verhaltenseinstellungen anpassen.
![\[Abschnitt „Metrikverhalten bearbeiten“ mit Metriken für Autorisierungsfehler, eingehende Bytes und Verbindungsversuche. Hier können Datenpunkte für Alarmauslöser, Benachrichtigungen und Konfidenzniveaus für ML Detect konfiguriert werden.\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-ml-update-config.png)
1. Wählen Sie abschließend **Weiter**.
1. Überprüfen Sie auf der Seite **Konfiguration überprüfen** die Verhaltensweisen, die Machine Learning überwachen soll, und wählen Sie dann **Weiter**.
![\[Seite „ML-Sicherheitsprofil bearbeiten“ mit Smart_Lights_ML_Detect_Security_Profile, das auf alle registrierten Objekte ausgerichtet ist, mit Metrikverhalten für Autorisierungsfehler, ausgehende Bytes, Verbindungsversuche und Verbindungsabbrüche.\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-ml-review-config.png)
1. Nachdem Sie Ihr Sicherheitsprofil erstellt haben, werden Sie zur Seite **Sicherheitsprofile** weitergeleitet, auf der das neu erstellte Sicherheitsprofil angezeigt wird.
**Anmerkung**
Das erste Training und die Erstellung des ML-Modells dauern 14 Tage. Sie können damit rechnen, dass nach Abschluss des Vorgangs Alarme angezeigt werden, falls auf Ihren Geräten ungewöhnliche Aktivitäten auftreten.
### Überwachen des Status Ihres ML-Modells
Während sich Ihre ML-Modelle in der ersten Trainingsphase befinden, können Sie ihren Fortschritt jederzeit überwachen, indem Sie die folgenden Schritte ausführen.
1. Erweitern Sie auf der [AWS IoT-Konsole](https://console.aws.amazon.com/iot) im Navigationsbereich die Option **Verteidigen**, und wählen Sie dann **Erkennen**, **Sicherheitsprofile**.
1. Wählen Sie auf der Seite **Sicherheitsprofile** das Sicherheitsprofil, das Sie überprüfen möchten. Wählen Sie dann **Verhalten und ML-Training**.
1. Überprüfen Sie auf der Seite **Verhalten und ML-Training** den Trainingsfortschritt Ihrer ML-Modelle.
Sobald Ihr Modell den Status **Aktiv** hat, werden anhand Ihrer Nutzung Erkennungsentscheidungen getroffen und das Profil wird täglich aktualisiert.
![\[Dashboard mit Modellen für Machine Learning mit geringem Konfidenzwert zur Überwachung von TCP/UDP-Überwachungsports und hergestellten TCP-Verbindungen.\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-ml-active-state.png)
**Anmerkung**
Wenn sich Ihr Modell nicht wie erwartet entwickelt, stellen Sie sicher, dass Ihre Geräte den [Mindestanforderungen](dd-detect-ml.md#dd-detect-ml-requirements) entsprechen.
### Überprüfen Ihrer ML Detect-Alarme
Nachdem Ihre ML-Modelle erstellt und für die Dateninferenz bereit sind, können Sie die anhand der Modelle identifizierten Alarme regelmäßig einsehen und untersuchen.
1. Erweitern Sie **Verteidigen** im Navigationsbereich der [AWS IoT-Konsole](https://console.aws.amazon.com/iot), und wählen Sie dann **Erkennen**, **Alarme**.
![\[AWS IoT Device Defender-Alarmliste mit 5 aktiven Autorisierungsfehler-Alarmen mit den Spalten „Objektname“, „Sicherheitsprofil“, „Verhaltenstyp“, „Verhaltensname“, „Zuletzt ausgegeben“ und „Überprüfungsstatus“.\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-ml-alarms.png)
1. Wenn Sie zur Registerkarte **Verlauf** wechseln, können Sie sich ferner Details zu Ihren Geräten ansehen, für die keine Alarme mehr aktiviert wurden.
![\[Liniendiagramm mit Alarmen, die über einen Zeitraum von zwei Wochen den Status „In Alarm“, „Deaktiviert“ und „Ungültig“ hatten, wobei die Anzahl der Alarme auf der Y-Achse und die Daten auf der X-Achse angegeben sind\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-ml-history-alarm.png)
Um weitere Informationen zu erhalten, wählen Sie unter **Verwalten** die Option **Objekte**. Wählen Sie dann das Objekt aus, für das Sie weitere Details sehen möchten, und navigieren Sie anschließend zu **Defender-Metriken**. Auf der Registerkarte **Aktiv** können Sie auf das **Defender-Metrikendiagramm** zugreifen und Ihre Untersuchung aller Alarmmeldungen durchführen. In diesem Fall zeigt das Diagramm einen Anstieg der Nachrichtengröße, der den Alarm ausgelöst hat. Sie können sehen, dass der Alarm anschließend gelöscht wurde.
![\[Das IoT-Objekt-Dashboard zeigt ein Metrikdiagramm zur maximalen Nachrichtengröße mit einem Spitzenwert von 801 Byte an einem bestimmten Datum und zu einer bestimmten Uhrzeit.\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-ml-defender-metrics.png)
### Optimieren Ihrer ML-Alarme
Nachdem Ihre ML-Modelle erstellt und für Datenauswertungen bereit sind, können Sie die ML-Verhaltenseinstellungen Ihres Sicherheitsprofils aktualisieren, um die Konfiguration zu ändern. Das folgende Verfahren zeigt Ihnen, wie Sie die ML-Verhaltenseinstellungen Ihres Sicherheitsprofils in der AWS CLI aktualisieren.
1. Erweitern Sie auf der [AWS IoT-Konsole](https://console.aws.amazon.com/iot) im Navigationsbereich die Option **Verteidigen**, und wählen Sie dann **Erkennen**, **Sicherheitsprofile**.
1. Aktivieren Sie auf der Seite **Sicherheitsprofile** das Kontrollkästchen neben dem Sicherheitsprofil, das Sie überprüfen möchten. Wählen Sie **Aktionen** und dann **Bearbeiten**.
![\[Liste AWS IoT Device Defender-Sicherheitsprofile mit Profilname, ML-Schwellenwerttyp, beibehaltenen Verhaltensweisen, Zielobjekten, Erstellungsdatum und Benachrichtigungsstatus\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-ml-fine-tune.png)
1. Unter **Grundlegende Konfigurationen festlegen** können Sie die Zielgruppen des Sicherheitsprofils anpassen oder ändern, welche Metriken Sie überwachen möchten.
![\[Konfigurationsseite „ML-Sicherheitsprofil erstellen“ mit allen registrierten Objekten, die als Ziel ausgewählt sind, aufgelistetem Metrikverhalten wie Autorisierungsfehlern und Verbindungsversuchen sowie Optionen zum Hinzufügen von cloud- oder geräteseitigen Metriken\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-ml-set-basic.png)
1. Sie können jede der folgenden Optionen aktualisieren, indem Sie zu **Verhalten von Metriken bearbeiten** navigieren.
+ Ihre erforderlichen ML-Modell-Datenpunkte, um einen Alarm auszulösen
+ Ihre erforderlichen ML-Modell-Datenpunkte, um einen Alarm zu quittieren
+ Ihr ML Detect-Konfidenzniveau
+ Ihre ML Detect-Benachrichtigungen (z. B. **Nicht unterdrückt**, **Unterdrückt**)
![\[Abschnitt „Metrikverhalten bearbeiten“ mit Optionen zur Konfiguration von Metriken für Autorisierungsfehler, ausgehende Bytes und Verbindungsversuche für das ML-Sicherheitsprofil.\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-ml-update-config-2.png)
### Markieren des Bestätigungsstatus Ihres Alarms
Markieren Sie Ihre Alarme, indem Sie den Bestätigungsstatus festlegen und eine Beschreibung dieses Bestätigungsstatus angeben. Dies hilft Ihnen und Ihrem Team, Alarme zu identifizieren, auf die Sie nicht reagieren müssen.
1. Erweitern Sie **Verteidigen** im Navigationsbereich der [AWS IoT-Konsole](https://console.aws.amazon.com/iot/), und wählen Sie dann **Erkennen**, **Alarme**. Wählen Sie einen Alarm aus, um seinen Bestätigungsstatus zu kennzeichnen.
![\[AWS IoT Device Defender-Alarmansicht mit aktiven Autorisierungsfehlerverhalten-Ereignissen für IoT-Konsolen wie iotconsole-6f8379bc-c245-4ffe-8ef7-b2b52e78975c mit dem FDSA-Sicherheitsprofil.\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-ml-alarm-select.png)
1. Wählen Sie **Bestätigungsstatus markieren**. Das Modal mit dem Bestätigungsstatus wird geöffnet.
1. Wählen Sie den entsprechenden Bestätigungsstatus, geben Sie eine Beschreibung der Überprüfung ein (optional), und wählen Sie dann **Markieren**. Diese Aktion weist dem ausgewählten Alarm einen Bestätigungsstatus und eine Beschreibung zu.
![\[Dialogfeld zur Markierung des Alarmverifizierungsstatus mit folgenden Optionen: Unbekannt, Wahr, Positiv, Falsch positiv, Gutartig positiv.\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-ml-alarm-state-window.png)
### Beseitigen von identifizierten Geräteproblemen
1. *(Optional)* Bevor wir Maßnahmen zur Eindämmung der Quarantäne einrichten, richten wir zunächst eine Quarantänegruppe ein, in die wir das Gerät verschieben, das gegen die Quarantäne verstößt. Sie können auch eine vorhandene Gruppe verwenden.
1. Navigieren Sie zu **Verwalten**, **Objektgruppen** und dann zu **Objektgruppe erstellen**. Benennen Sie Ihre Objektgruppe. In diesem Tutorial geben wir unserer Objektgruppe den Namen `Quarantine_group`. Wenden Sie unter **Objektgruppe**, **Sicherheit** die folgende Richtlinie auf die Objektgruppe an.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "iot:*",
"Resource": "*"
}
]
}
```
------
![\[Seite „Objektgruppe erstellen“ der AWS IoT-Konsole mit Schaltfläche „Objektgruppe erstellen“.\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-create-thing-group.png)
Wählen Sie anschließend **Erstellen**.
1. Nachdem wir nun eine Objektgruppe erstellt haben, erstellen wir eine Abhilfemaßnahme, mit der Geräte, bei denen ein Alarm ausgelöst wird, in die `Quarantine_group` verschoben werden.
Wählen Sie unter **Verteidigen**, **Abhilfemaßnahmen** die Option **Erstellen**.
![\[AWS IoT Device Defender-Abschwächungsaktions-Konfigurationsformular mit den Feldern „Aktionsname“, „Aktionstyp“, „Berechtigungen“, „Aktionsausführungsrolle“ und „Objektgruppen“.\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-miti-create.png)
1. Geben Sie auf der Seite **Neue Abhilfemaßnahme erstellen** die folgenden Informationen ein.
+ **Aktionsname**: Geben Sie Ihrer Abhilfemaßnahme einen Namen, z. B. **Quarantine\$1action**.
+ **Aktionstyp**: Wählen Sie die Art der Aktion. Wir wählen **Objekte zur Objektgruppe hinzufügen (Audit oder Detect-Abhilfemaßnahme)**.
+ **Rolle zur Aktionsausführung**: Erstellen Sie eine Rolle, oder wählen Sie eine vorhandene Rolle, falls Sie zuvor eine erstellt haben.
+ **Parameter**: Wählen Sie eine Objektgruppe. Wir können `Quarantine_group` verwenden, die wir zuvor erstellt haben.
![\[AWS IoT Device Defender-Abschwächungsaktions-Konfigurationsformular mit den Feldern „Aktionsname“, „Aktionstyp“, „Berechtigungen“, „Aktionsausführungsrolle“ und „Objektgruppen“.\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-miti-create-form.png)
Klicken Sie abschließend auf **Speichern**. Sie verfügen jetzt über eine Abhilfemaßnahme, die Geräte, die sich im Alarmzustand befinden, in eine Quarantäne-Objektgruppe verschiebt, und über eine Abhilfemaßnahme, um das Gerät zu isolieren, während Sie die Untersuchung durchführen.
1. Navigieren Sie zu **Defender**, **Erkennen**, **Alarme**. Unter **Aktiv** können Sie sehen, welche Geräte sich im Alarmzustand befinden.
![\[AWS IoT Device Defender-Alarmliste mit 5 aktiven Autorisierungsfehler-Alarmen mit den Spalten „Objektname“, „Sicherheitsprofil“, „Verhaltenstyp“, „Verhaltensname“, „Zuletzt ausgegeben“ und „Überprüfungsstatus“.\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-ml-alarms.png)
Wählen Sie das Gerät aus, das Sie in die Quarantänegruppe verschieben möchten, und wählen Sie **Abhilfemaßnahmen starten**.
1. Wählen Sie unter **Abhilfemaßnahmen starten**, **Aktionen starten** die Schutzmaßnahme aus, die Sie zuvor erstellt haben. Wir wählen zum Beispiel **Quarantine\$1action** und dann **Start**. Die Seite Aktionsaufgaben wird geöffnet.
![\[Abschwächungsaktionen-Dialog, in dem „udml7“ als das betroffene Objekt aufgeführt ist, ein Kontrollkästchen zur Bestätigung irreversibler Aktionen und ein Drop-down-Menü zur Auswahl der auszuführenden Aktion(en).\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-ml-start-action.png)
1. Das Gerät ist jetzt in der **Quarantine\$1group** isoliert und Sie können die Ursache des Problems untersuchen, das den Alarm ausgelöst hat. Nachdem Sie die Untersuchung abgeschlossen haben, können Sie das Gerät aus der Objektgruppe entfernen oder weitere Maßnahmen ergreifen.
![\[AWS IoT Device Defender Detect-Aktionsaufgaben mit einer Quarantänemaßnahme zum Hinzufügen von Objekten zur Objektgruppe quarantine_group.\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-ml-action-tasks.png)
## So verwenden Sie ML Detect mit der CLI
Im Folgenden erfahren Sie, wie Sie ML Detect mithilfe der CLI einrichten.
**Topics**
+ [
### Aktivieren von ML Detect
](#enable-ml-detect-cli)
+ [
### Überwachen des Status Ihres ML-Modells
](#monitor-ml-models-cli)
+ [
### Überprüfen Ihrer ML Detect-Alarme
](#review-ml-alarms-cli)
+ [
### Optimieren Ihrer ML-Alarme
](#fine-tune-ml-models-cli)
+ [
### Markieren des Bestätigungsstatus Ihres Alarms
](#mark-verification-state-cli)
+ [
### Beseitigen von identifizierten Geräteproblemen
](#mitigate-issues-cli)
### Aktivieren von ML Detect
Das folgende Verfahren zeigt Ihnen, wie Sie ML Detect in der AWS CLI aktivieren.
1. Stellen Sie sicher, dass Ihre Geräte die Mindestdatenpunkte erzeugen, die gemäß den [Mindestanforderungen von ML Detect](dd-detect-ml.md#dd-detect-ml-requirements) für das kontinuierliche Training und die kontinuierliche Aktualisierung des Modells erforderlich sind. Damit die Datenerfassung fortgesetzt werden kann, stellen Sie sicher, dass sich Ihre Objekte in einer Objektgruppe befinden, die an ein Sicherheitsprofil angehängt ist.
1. Erstellen Sie ein ML Detect-Sicherheitsprofil mit dem Befehl `[create-security-profile](https://docs.aws.amazon.com/cli/latest/reference/iot/create-security-profile.html)`. Im folgenden Beispiel wird ein Sicherheitsprofil mit dem Namen *security-profile-for-smart-lights* erstellt, das die Anzahl der gesendeten Nachrichten, die Anzahl der Autorisierungsfehler, die Anzahl der Verbindungsversuche und die Anzahl der Verbindungsabbrüche überprüft. Im Beispiel wird `mlDetectionConfig` verwendet, um festzulegen, dass die Metrik das ML Detect-Modell verwendet.
```
aws iot create-security-profile \
--security-profile-name security-profile-for-smart-lights \
--behaviors \
'[{
"name": "num-messages-sent-ml-behavior",
"metric": "aws:num-messages-sent",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
},
{
"name": "num-authorization-failures-ml-behavior",
"metric": "aws:num-authorization-failures",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
},
{
"name": "num-connection-attempts-ml-behavior",
"metric": "aws:num-connection-attempts",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
},
{
"name": "num-disconnects-ml-behavior",
"metric": "aws:num-disconnects",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
}]'
```
Ausgabe:
```
{
"securityProfileName": "security-profile-for-smart-lights",
"securityProfileArn": "arn:aws:iot:eu-west-1:123456789012:securityprofile/security-profile-for-smart-lights"
}
```
1. Ordnen Sie als Nächstes Ihr Sicherheitsprofil einer oder mehreren Objektgruppen zu. Verwenden Sie den Befehl `[attach-security-profile](https://docs.aws.amazon.com/cli/latest/reference/iot/attach-security-profile.html)`, um Ihrem Sicherheitsprofil eine Objektgruppe anzuhängen. Im folgenden Beispiel wird eine Objektgruppe namens *ML\$1Detect\$1Beta\$1Static\$1Group* dem Sicherheitsprofil *security-profile-for-smart-lights* zugewiesen.
```
aws iot attach-security-profile \
--security-profile-name security-profile-for-smart-lights \
--security-profile-target-arn arn:aws:iot:eu-west-1:123456789012:thinggroup/ML_Detect_beta_static_group
```
Ausgabe:
Keine.
1. Nachdem Sie Ihr vollständiges Sicherheitsprofil erstellt haben, beginnt das ML-Modell mit dem Training. Das erste Training und die Erstellung des ML-Modells dauern 14 Tage. Wenn nach 14 Tagen ungewöhnliche Aktivitäten auf Ihrem Gerät auftreten, können Sie damit rechnen, dass Alarme angezeigt werden.
### Überwachen des Status Ihres ML-Modells
Das folgende Verfahren zeigt Ihnen, wie Sie das laufende Training Ihrer ML-Modelle überwachen können.
+ Verwenden Sie den Befehl `[get-behavior-model-training-summaries](https://docs.aws.amazon.com/cli/latest/reference/iot/get-behavior-model-training-summaries.html)`, um den Fortschritt Ihres ML-Modells zu überprüfen. Im folgenden Beispiel wird die Zusammenfassung des Trainingsfortschrittes des ML-Modells für das Sicherheitsprofil *security-profile-for-smart-lights* abgerufen. `modelStatus` zeigt Ihnen, ob ein Modell das Training abgeschlossen hat oder ob die Erstellung eines Modells für ein bestimmtes Verhalten noch aussteht.
```
aws iot get-behavior-model-training-summaries \
--security-profile-name security-profile-for-smart-lights
```
Ausgabe:
```
{
"summaries": [
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Messages_sent_ML_behavior",
"trainingDataCollectionStartDate": "2020-11-30T14:00:00-08:00",
"modelStatus": "ACTIVE",
"datapointsCollectionPercentage": 29.408,
"lastModelRefreshDate": "2020-12-07T14:35:19.237000-08:00"
},
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Messages_received_ML_behavior",
"modelStatus": "PENDING_BUILD",
"datapointsCollectionPercentage": 0.0
},
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Authorization_failures_ML_behavior",
"trainingDataCollectionStartDate": "2020-11-30T14:00:00-08:00",
"modelStatus": "ACTIVE",
"datapointsCollectionPercentage": 35.464,
"lastModelRefreshDate": "2020-12-07T14:29:44.396000-08:00"
},
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Message_size_ML_behavior",
"trainingDataCollectionStartDate": "2020-11-30T14:00:00-08:00",
"modelStatus": "ACTIVE",
"datapointsCollectionPercentage": 29.332,
"lastModelRefreshDate": "2020-12-07T14:30:44.113000-08:00"
},
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Connection_attempts_ML_behavior",
"trainingDataCollectionStartDate": "2020-11-30T14:00:00-08:00",
"modelStatus": "ACTIVE",
"datapointsCollectionPercentage": 32.891999999999996,
"lastModelRefreshDate": "2020-12-07T14:29:43.121000-08:00"
},
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Disconnects_ML_behavior",
"trainingDataCollectionStartDate": "2020-11-30T14:00:00-08:00",
"modelStatus": "ACTIVE",
"datapointsCollectionPercentage": 35.46,
"lastModelRefreshDate": "2020-12-07T14:29:55.556000-08:00"
}
]
}
```
**Anmerkung**
Wenn sich Ihr Modell nicht wie erwartet entwickelt, stellen Sie sicher, dass Ihre Geräte den [Mindestanforderungen](dd-detect-ml.md#dd-detect-ml-requirements) entsprechen.
### Überprüfen Ihrer ML Detect-Alarme
Nachdem Ihre ML-Modelle erstellt wurden und für die Datenauswertung bereit sind, können Sie regelmäßig alle Alarme anzeigen, die von den Modellen abgeleitet werden. Nachstehend wird veranschaulicht, wie Sie Ihre Alarme in der AWS CLI einsehen können.
+ Verwenden Sie den Befehl `[list-active-violations](https://docs.aws.amazon.com/cli/latest/reference/iot/list-active-violations.html)`, um alle aktiven Alarme anzuzeigen.
```
aws iot list-active-violations \
--max-results 2
```
Ausgabe:
```
{
"activeViolations": []
}
```
Alternativ können Sie mit dem Befehl `[list-violation-events](https://docs.aws.amazon.com/cli/latest/reference/iot/list-violation-events.html)` alle Verstöße anzeigen, die in einem bestimmten Zeitraum entdeckt wurden. Im folgenden Beispiel werden Verstöße vom 22. September 2020, 5:42:13 Uhr GMT bis 26. Oktober 2020, 5:42:13 Uhr (GMT) aufgeführt.
```
aws iot list-violation-events \
--start-time 1599500533 \
--end-time 1600796533 \
--max-results 2
```
Ausgabe:
```
{
"violationEvents": [
{
"violationId": "1448be98c09c3d4ab7cb9b6f3ece65d6",
"thingName": "lightbulb-1",
"securityProfileName": "security-profile-for-smart-lights",
"behavior": {
"name": "LowConfidence_MladBehavior_MessagesSent",
"metric": "aws:num-messages-sent",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
},
"violationEventType": "alarm-invalidated",
"violationEventTime": 1600780245.29
},
{
"violationId": "df4537569ef23efb1c029a433ae84b52",
"thingName": "lightbulb-2",
"securityProfileName": "security-profile-for-smart-lights",
"behavior": {
"name": "LowConfidence_MladBehavior_MessagesSent",
"metric": "aws:num-messages-sent",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
},
"violationEventType": "alarm-invalidated",
"violationEventTime": 1600780245.281
}
],
"nextToken": "Amo6XIUrsOohsojuIG6TuwSR3X9iUvH2OCksBZg6bed2j21VSnD1uP1pflxKX1+a3cvBRSosIB0xFv40kM6RYBknZ/vxabMe/ZW31Ps/WiZHlr9Wg7R7eEGli59IJ/U0iBQ1McP/ht0E2XA2TTIvYeMmKQQPsRj/eoV9j7P/wveu7skNGepU/mvpV0O2Ap7hnV5U+Prx/9+iJA/341va+pQww7jpUeHmJN9Hw4MqW0ysw0Ry3w38hOQWEpz2xwFWAxAARxeIxCxt5c37RK/lRZBlhYqoB+w2PZ74730h8pICGY4gktJxkwHyyRabpSM/G/f5DFrD9O5v8idkTZzBxW2jrbzSUIdafPtsZHL/yAMKr3HAKtaABz2nTsOBNre7X2d/jIjjarhon0Dh9l+8I9Y5Ey+DIFBcqFTvhibKAafQt3gs6CUiqHdWiCenfJyb8whmDE2qxvdxGElGmRb+k6kuN5jrZxxw95gzfYDgRHv11iEn8h1qZLD0czkIFBpMppHj9cetHPvM+qffXGAzKi8tL6eQuCdMLXmVE3jbqcJcjk9ItnaYJi5zKDz9FVbrz9qZZPtZJFHp"
}
```
### Optimieren Ihrer ML-Alarme
Sobald Ihre ML-Modelle erstellt und für Datenauswertungen bereit sind, können Sie die ML-Verhaltenseinstellungen Ihres Sicherheitsprofils aktualisieren, um die Konfiguration zu ändern. Das folgende Verfahren zeigt Ihnen, wie Sie die ML-Verhaltenseinstellungen Ihres Sicherheitsprofils in der AWS CLI aktualisieren.
+ Verwenden Sie den Befehl `[update-security-profile](https://docs.aws.amazon.com/cli/latest/reference/iot/update-security-profile.html)`, um die ML-Verhaltenseinstellungen Ihres Sicherheitsprofils zu ändern. Im folgenden Beispiel wird das Verhalten des Sicherheitsprofils *security-profile-for-smart-lights* aktualisiert, indem das `confidenceLevel` einiger Verhaltensweisen geändert und die Unterdrückung von Benachrichtigungen für alle Verhaltensweisen aufgehoben wird.
```
aws iot update-security-profile \
--security-profile-name security-profile-for-smart-lights \
--behaviors \
'[{
"name": "num-messages-sent-ml-behavior",
"metric": "aws:num-messages-sent",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel" : "HIGH"
}
},
"suppressAlerts": false
},
{
"name": "num-authorization-failures-ml-behavior",
"metric": "aws:num-authorization-failures",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel" : "HIGH"
}
},
"suppressAlerts": false
},
{
"name": "num-connection-attempts-ml-behavior",
"metric": "aws:num-connection-attempts",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel" : "HIGH"
}
},
"suppressAlerts": false
},
{
"name": "num-disconnects-ml-behavior",
"metric": "aws:num-disconnects",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel" : "LOW"
}
},
"suppressAlerts": false
}]'
```
Ausgabe:
```
{
"securityProfileName": "security-profile-for-smart-lights",
"securityProfileArn": "arn:aws:iot:eu-west-1:123456789012:securityprofile/security-profile-for-smart-lights",
"behaviors": [
{
"name": "num-messages-sent-ml-behavior",
"metric": "aws:num-messages-sent",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
}
},
{
"name": "num-authorization-failures-ml-behavior",
"metric": "aws:num-authorization-failures",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
}
},
{
"name": "num-connection-attempts-ml-behavior",
"metric": "aws:num-connection-attempts",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": false
},
{
"name": "num-disconnects-ml-behavior",
"metric": "aws:num-disconnects",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel": "LOW"
}
},
"suppressAlerts": true
}
],
"version": 2,
"creationDate": 1600799559.249,
"lastModifiedDate": 1600800516.856
}
```
### Markieren des Bestätigungsstatus Ihres Alarms
Sie können Ihre Alarme mit Bestätigungsstatus kennzeichnen, um Alarme besser klassifizieren und Anomalien untersuchen zu können.
+ Kennzeichnen Sie Ihre Alarme mit einem Bestätigungsstatus und einer Beschreibung dieses Status. Um beispielsweise den Bestätigungsstatus eines Alarms auf Falsch positiv zu setzen, verwenden Sie den folgenden Befehl:
```
aws iot put-verification-state-on-violation --violation-id 12345 --verification-state FALSE_POSITIVE --verification-state-description "This is dummy description" --endpoint https://us-east-1.iot.amazonaws.com --region us-east-1
```
Ausgabe:
Keine.
### Beseitigen von identifizierten Geräteproblemen
1. Verwenden Sie den Befehl `[create-thing-group](https://docs.aws.amazon.com/cli/latest/reference/iot/create-thing-group.html)`, um eine Objektgruppe für die Abhilfemaßnahme zu erstellen. Im folgenden Beispiel erstellen wir eine Objektgruppe namens **ThingGroupForDetectMitigationAction**.
```
aws iot create-thing-group —thing-group-name ThingGroupForDetectMitigationAction
```
Ausgabe:
```
{
"thingGroupName": "ThingGroupForDetectMitigationAction",
"thingGroupArn": "arn:aws:iot:us-east-1:123456789012:thinggroup/ThingGroupForDetectMitigationAction",
"thingGroupId": "4139cd61-10fa-4c40-b867-0fc6209dca4d"
}
```
1. Verwenden Sie dann den Befehl `[create-mitigation-action](https://docs.aws.amazon.com/cli/latest/reference/iot/create-mitigation-action.html)` zum Erstellen Ihrer Abhilfemaßnahme. Im folgenden Beispiel erstellen wir eine Abhilfemaßnahme namens **detect\$1mitigation\$1action** mit dem ARN der IAM-Rolle, die zur Anwendung der Abhilfemaßnahme verwendet wird. Darüber hinaus definieren wir den Aktionstyp und die Parameter für diese Aktion. In diesem Fall verschiebt unsere Schadensbegrenzung Objekte in unsere zuvor erstellte Objektgruppe namens **ThingGroupForDetectMitigationAction.**
```
aws iot create-mitigation-action --action-name detect_mitigation_action \
--role-arn arn:aws:iam::123456789012:role/MitigationActionValidRole \
--action-params \
'{
"addThingsToThingGroupParams": {
"thingGroupNames": ["ThingGroupForDetectMitigationAction"],
"overrideDynamicGroups": false
}
}'
```
Ausgabe:
```
{
"actionArn": "arn:aws:iot:us-east-1:123456789012:mitigationaction/detect_mitigation_action",
"actionId": "5939e3a0-bf4c-44bb-a547-1ab59ffe67c3"
}
```
1. Verwenden Sie den Befehl `[start-detect-mitigation-actions-task](https://docs.aws.amazon.com/cli/latest/reference/iot/start-detect-mitigation-actions-task.html)`, um Ihre Abhilfemaßnahmen-Aufgabe zu starten. `task-id`, `target` und `actions` sind erforderliche Parameter.
```
aws iot start-detect-mitigation-actions-task \
--task-id taskIdForMitigationAction \
--target '{ "violationIds" : [ "violationId-1", "violationId-2" ] }' \
--actions "detect_mitigation_action" \
--include-only-active-violations \
--include-suppressed-alerts
```
Ausgabe:
```
{
"taskId": "taskIdForMitigationAction"
}
```
1. (Optional) Verwenden Sie den Befehl `[list-detect-mitigation-actions-executions](https://docs.aws.amazon.com/cli/latest/reference/iot/list-detect-mitigation-actions-executions.html)`, um die in einer Aufgabe enthaltenen Abhilfemaßnahme-Ausführungen anzuzeigen.
```
aws iot list-detect-mitigation-actions-executions \
--task-id taskIdForMitigationAction \
--max-items 5 \
--page-size 4
```
Ausgabe:
```
{
"actionsExecutions": [
{
"taskId": "e56ee95e - f4e7 - 459 c - b60a - 2701784290 af",
"violationId": "214_fe0d92d21ee8112a6cf1724049d80",
"actionName": "underTest_MAThingGroup71232127",
"thingName": "cancelDetectMitigationActionsTaskd143821b",
"executionStartDate": "Thu Jan 07 18: 35: 21 UTC 2021",
"executionEndDate": "Thu Jan 07 18: 35: 21 UTC 2021",
"status": "SUCCESSFUL",
}
]
}
```
1. (Optional) Verwenden Sie den Befehl `[describe-detect-mitigation-actions-task](https://docs.aws.amazon.com/cli/latest/reference/iot/describe-detect-mitigation-actions-task.html)`, um Informationen zu einer Abhilfemaßnahme abzurufen.
```
aws iot describe-detect-mitigation-actions-task \
--task-id taskIdForMitigationAction
```
Ausgabe:
```
{
"taskSummary": {
"taskId": "taskIdForMitigationAction",
"taskStatus": "SUCCESSFUL",
"taskStartTime": 1609988361.224,
"taskEndTime": 1609988362.281,
"target": {
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "num-messages-sent-ml-behavior"
},
"violationEventOccurrenceRange": {
"startTime": 1609986633.0,
"endTime": 1609987833.0
},
"onlyActiveViolationsIncluded": true,
"suppressedAlertsIncluded": true,
"actionsDefinition": [
{
"name": "detect_mitigation_action",
"id": "5939e3a0-bf4c-44bb-a547-1ab59ffe67c3",
"roleArn": "arn:aws:iam::123456789012:role/MitigatioActionValidRole",
"actionParams": {
"addThingsToThingGroupParams": {
"thingGroupNames": [
"ThingGroupForDetectMitigationAction"
],
"overrideDynamicGroups": false
}
}
}
],
"taskStatistics": {
"actionsExecuted": 0,
"actionsSkipped": 0,
"actionsFailed": 0
}
}
}
```
1. (Optional) Verwenden Sie den Befehl `[list-detect-mitigation-actions-tasks](https://docs.aws.amazon.com/cli/latest/reference/iot/list-detect-mitigation-actions-tasks.html)`, um eine Liste Ihrer Abhilfemaßnahmen-Aufgaben abzurufen.
```
aws iot list-detect-mitigation-actions-tasks \
--start-time 1609985315 \
--end-time 1609988915 \
--max-items 5 \
--page-size 4
```
Ausgabe:
```
{
"tasks": [
{
"taskId": "taskIdForMitigationAction",
"taskStatus": "SUCCESSFUL",
"taskStartTime": 1609988361.224,
"taskEndTime": 1609988362.281,
"target": {
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "num-messages-sent-ml-behavior"
},
"violationEventOccurrenceRange": {
"startTime": 1609986633.0,
"endTime": 1609987833.0
},
"onlyActiveViolationsIncluded": true,
"suppressedAlertsIncluded": true,
"actionsDefinition": [
{
"name": "detect_mitigation_action",
"id": "5939e3a0-bf4c-44bb-a547-1ab59ffe67c3",
"roleArn": "arn:aws:iam::123456789012:role/MitigatioActionValidRole",
"actionParams": {
"addThingsToThingGroupParams": {
"thingGroupNames": [
"ThingGroupForDetectMitigationAction"
],
"overrideDynamicGroups": false
}
}
}
],
"taskStatistics": {
"actionsExecuted": 0,
"actionsSkipped": 0,
"actionsFailed": 0
}
}
]
}
```
1. (Optional) Verwenden Sie den Befehl `[cancel-detect-mitigation-actions-task](https://docs.aws.amazon.com/cli/latest/reference/iot/cancel-detect-mitigation-actions-task.html)`, um eine Abhilfemaßnahmen-Aufgabe abzubrechen.
```
aws iot cancel-detect-mitigation-actions-task \
--task-id taskIdForMitigationAction
```
Ausgabe:
Keine.
# Anpassen, wann und wie Sie die AWS IoT Device Defender-Prüfungsergebnisse anzeigen
AWS IoT Device Defender Audit bietet regelmäßige Sicherheitsprüfungen, um sicherzustellen, dass AWS IoT-Geräte und -Ressourcen den bewährten Methoden entsprechen. Bei jeder Prüfung werden die Prüfungsergebnisse als konform oder nonkonform eingestuft, wobei bei Compliance-Abweichungen Warnsymbole in der Konsole angezeigt werden. Um den Geräuschen, die durch die Wiederholung bekannter Probleme entstehen, entgegenzuwirken, können Sie mit dem Feature zur Unterdrückung von Prüfungsergebnissen diese Benachrichtigungen zu Compliance-Abweichungen vorübergehend stummschalten.
Sie können ausgewählte Audit-Prüfungen für eine bestimmte Ressource oder ein bestimmtes Konto für einen bestimmten Zeitraum unterdrücken. Ein Prüfungsergebnis, das unterdrückt wurde, wird unabhängig von den Kategorien „konform“ und „nonkonform“ als unterdrückte Erkenntnis eingestuft. Diese neue Kategorie löst im Gegensatz zu einem nonkonformen Ergebnis keinen Alarm aus. Auf diese Weise können Sie Störungen durch Benachrichtigungen zu Compliance-Abweichungen während bekannter Wartungsperioden oder bis zum geplanten Abschluss eines Updates reduzieren.
## Erste Schritte
In den folgenden Abschnitten wird detailliert beschrieben, wie Sie mit Unterdrückungen von Prüfungsergebnissen eine `Device certificate expiring`-Prüfung in der Konsole und in der CLI unterdrücken können. Wenn Sie eines der Beispiele nachvollziehen möchten, müssen Sie zunächst zwei ablaufende Zertifikate erstellen, die Device Defender erkennen kann.
Erstellen Sie die Zertifikate wie folgt:
+ [Erstellen und Registrieren eines CA-Zertifikats](https://docs.aws.amazon.com/iot/latest/developerguide/create-device-cert.html) im *AWS IoT Core-Entwicklerhandbuch*
+ [Erstellen eines Clientzertifikats mit Ihrem CA-Zertifikat](https://docs.aws.amazon.com/iot/latest/developerguide/create-device-cert.html). Legen Sie in Schritt 3 Ihren `days`-Parameter auf **1** fest.
Wenn Sie die CLI zum Erstellen Ihrer Zertifikate verwenden, geben Sie den folgenden Befehl ein.
```
openssl x509 -req \
-in device_cert_csr_filename \
-CA root_ca_pem_filename \
-CAkey root_ca_key_filename \
-CAcreateserial \
-out device_cert_pem_filename \
-days 1 -sha256
```
## Anpassen Ihrer Prüfungsergebnisse in der Konsole
In der folgenden exemplarischen Vorgehensweise wird ein Konto mit zwei abgelaufenen Gerätezertifikaten verwendet, die eine Prüfung auf Compliance-Abweichungen auslösen. In diesem Szenario möchten wir die Warnung deaktivieren, da unsere Entwickler ein neues Feature testen, mit dem das Problem behoben werden kann. Wir erstellen für jedes Zertifikat eine Unterdrückung von Prüfungsergebnissen, um zu verhindern, dass das Prüfergebnis in der nächsten Woche Compliance-Abweichungen anzeigt.
1. Zunächst führen wir eine On-Demand-Prüfung durch, um nachzuweisen, dass die Prüfung auf abgelaufene Gerätezertifikate nonkonform ist.
Wählen Sie in der [AWS IoT-Konsole](https://console.aws.amazon.com/iot) in der linken Seitenleiste **Defend**, dann **Audit** und anschließend **Ergebnisse** aus. Klicken Sie auf der Seite **Prüfungsergebnisse** auf **Erstellen**. Das Fenster **Neue Prüfung erstellen** wird geöffnet. Wählen Sie **Create** (Erstellen) aus.
![\[Führen Sie eine On-Demand-Prüfung durch, um nachzuweisen, dass die Prüfung auf abgelaufene Gerätezertifikate nicht konform ist.\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-afs-noncompliant.png)
Aus den Ergebnissen der On-Demand-Prüfung geht hervor, dass „Gerätezertifikat läuft ab“ für zwei Ressourcen nonkonform ist.
1. Jetzt möchten wir die Warnung „Gerätezertifikat läuft ab“ zur Prüfung auf Compliance-Abweichungen deaktivieren, da unsere Entwickler neue Features testen, mit denen diese Warnung behoben werden kann.
Wählen Sie in der linken Seitenleiste unter **Defend** die Option **Audit** und anschließend **Unterdrückungen des Prüfungsergebnisses** aus. Wählen Sie auf der Seite **Unterdrückungen des Prüfungsergebnisses** die Option **Erstellen** aus.
![\[Ablauf des Erstellens von Unterdrückungen des Prüfungsergebnisses in der Konsole.\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-afs-suppressions.png)
1. Im Fenster **Unterdrückung des Prüfungsergebnisses erstellen** muss Folgendes ausgefüllt werden.
+ **Audit-Prüfung**: Wir wählen `Device certificate expiring` aus, denn dies ist die Prüfung, die wir unterdrücken möchten.
+ **Ressourcen-ID**: Wir geben die Gerätezertifikat-ID eines der Zertifikate ein, für die wir die Prüfungsergebnisse unterdrücken möchten.
+ **Dauer der Unterdrückung**: Wir wählen `1 week` aus, weil wir die Prüfung `Device certificate expiring` für diese Dauer unterdrücken möchten.
+ **Beschreibung (optional)**: Wir fügen einen Hinweis hinzu, der beschreibt, warum wir dieses Prüfungsergebnis unterdrücken.
![\[Die Seite „Unterdrückung des Prüfungsergebnisses erstellen“, auf der Sie die detaillierten Informationen eingeben müssen.\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-afs-create.png)
Nachdem wir die Felder ausgefüllt haben, wählen Sie **Erstellen** aus. Nachdem die Unterdrückung der Prüfungsergebnisse erstellt wurde, wird ein Erfolgsbanner angezeigt.
1. Wir haben ein Prüfergebnis für eines der Zertifikate unterdrückt und müssen nun das Prüfergebnis für das zweite Zertifikat unterdrücken. Wir könnten dieselbe Methode zur Unterdrückung verwenden, die wir in Schritt 3 verwendet haben, wir werden jedoch zu Demonstrationszwecken eine andere Methode nutzen.
Wählen Sie in der linken Seitenleiste unter **Defend** die Option **Audit** und anschließend **Ergebnisse** aus. Wählen Sie auf der Seite **Prüfungsergebnisse** die Prüfung mit der nonkonformen Ressource aus. Wählen Sie dann unter **Prüfungen mit Compliance-Abweichungen** die Ressource aus. In diesem Fall wählen wir „Gerätezertifikat läuft ab“ aus.
1. Wählen Sie auf der Seite **Gerätezertifikat läuft ab** unter **Nicht konforme Richtlinie** die Optionsschaltfläche neben der Erkenntnis aus, die unterdrückt werden muss. Wählen Sie als Nächstes das Dropdown-Menü **Aktionen** und dann die Dauer aus, für welche die Erkenntnis unterdrückt werden soll. In unserem Fall wählen wir `1 week` aus, wie wir es auch für das andere Zertifikat getan haben. Wählen Sie im Fenster **Unterdrückung bestätigen** die Option **Unterdrückung aktivieren** aus.
![\[Die Seite „Unterdrückung des Prüfungsergebnisses erstellen“, auf der Sie den Ablauf abschließen. Nachdem die Unterdrückung der Prüfungsergebnisse erstellt wurde, wird ein Erfolgsbanner angezeigt.\]](http://docs.aws.amazon.com/de_de/iot-device-defender/latest/devguide/images/dd-afs-noncompliantcerts.png)
Nachdem die Unterdrückung der Prüfungsergebnisse erstellt wurde, wird ein Erfolgsbanner angezeigt. Beide Prüfungsergebnisse sind nun für eine Woche unterdrückt, während unsere Entwickler an einer Lösung zur Behebung der Warnung arbeiten.
## Anpassen Ihrer Prüfungsergebnisse in der CLI
In der folgenden exemplarischen Vorgehensweise wird ein Konto mit einem abgelaufenen Gerätezertifikat verwendet, das eine Prüfung auf Compliance-Abweichungen auslöst. In diesem Szenario möchten wir die Warnung deaktivieren, da unsere Entwickler ein neues Feature testen, mit dem das Problem behoben werden kann. Wir erstellen für das Zertifikat eine Unterdrückung von Prüfungsergebnissen, um zu verhindern, dass das Prüfergebnis in der nächsten Woche Compliance-Abweichungen anzeigt.
Wir verwenden die folgenden CLI-Befehle.
+ [create-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/create-audit-suppression.html)
+ [describe-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/describe-audit-suppression.html)
+ [update-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/update-audit-suppression.html)
+ [delete-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/delete-audit-suppression.html)
+ [list-audit-suppressions](https://docs.aws.amazon.com/cli/latest/reference/iot/list-audit-suppressions.html)
1. Verwenden Sie den folgenden Befehl, um die Prüfung zu aktivieren.
```
aws iot update-account-audit-configuration \
--audit-check-configurations "{\"DEVICE_CERTIFICATE_EXPIRING_CHECK\":{\"enabled\":true}}"
```
Ausgabe:
Keine.
1. Verwenden Sie den folgenden Befehl, um ein On-Demand-Audit auszuführen, das auf die `DEVICE_CERTIFICATE_EXPIRING_CHECK`-Prüfung abzielt.
```
aws iot start-on-demand-audit-task \
--target-check-names DEVICE_CERTIFICATE_EXPIRING_CHECK
```
Ausgabe:
```
{
"taskId": "787ed873b69cb4d6cdbae6ddd06996c5"
}
```
1. Verwenden Sie den Befehl [describe-account-audit-configuration](https://docs.aws.amazon.com/cli/latest/reference/iot/describe-account-audit-configuration.html), um die Audit-Konfiguration zu beschreiben. Wir möchten bestätigen, dass wir die Prüfung für `DEVICE_CERTIFICATE_EXPIRING_CHECK` aktiviert haben.
```
aws iot describe-account-audit-configuration
```
Ausgabe:
```
{
"roleArn": "arn:aws:iam:::role/service-role/project",
"auditNotificationTargetConfigurations": {
"SNS": {
"targetArn": "arn:aws:sns:us-east-1::project_sns",
"roleArn": "arn:aws:iam:::role/service-role/project",
"enabled": true
}
},
"auditCheckConfigurations": {
"AUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK": {
"enabled": false
},
"CA_CERTIFICATE_EXPIRING_CHECK": {
"enabled": false
},
"CA_CERTIFICATE_KEY_QUALITY_CHECK": {
"enabled": false
},
"CONFLICTING_CLIENT_IDS_CHECK": {
"enabled": false
},
"DEVICE_CERTIFICATE_EXPIRING_CHECK": {
"enabled": true
},
"DEVICE_CERTIFICATE_KEY_QUALITY_CHECK": {
"enabled": false
},
"DEVICE_CERTIFICATE_SHARED_CHECK": {
"enabled": false
},
"IOT_POLICY_OVERLY_PERMISSIVE_CHECK": {
"enabled": true
},
"IOT_ROLE_ALIAS_ALLOWS_ACCESS_TO_UNUSED_SERVICES_CHECK": {
"enabled": false
},
"IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK": {
"enabled": false
},
"LOGGING_DISABLED_CHECK": {
"enabled": false
},
"REVOKED_CA_CERTIFICATE_STILL_ACTIVE_CHECK": {
"enabled": false
},
"REVOKED_DEVICE_CERTIFICATE_STILL_ACTIVE_CHECK": {
"enabled": false
},
"UNAUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK": {
"enabled": false
}
}
}
```
`DEVICE_CERTIFICATE_EXPIRING_CHECK` sollte einen Wert von `true` haben.
1. Verwenden Sie den Befehl [list-audit-task](https://docs.aws.amazon.com/cli/latest/reference/iot/list-audit-task.html), um die abgeschlossenen Audit-Aufgaben zu identifizieren.
```
aws iot list-audit-tasks \
--task-status "COMPLETED" \
--start-time 2020-07-31 \
--end-time 2020-08-01
```
Ausgabe:
```
{
"tasks": [
{
"taskId": "787ed873b69cb4d6cdbae6ddd06996c5",
"taskStatus": "COMPLETED",
"taskType": "SCHEDULED_AUDIT_TASK"
}
]
}
```
Die `taskId` der Prüfung, die Sie in Schritt 1 ausgeführt haben, sollte einen `taskStatus` von `COMPLETED` haben.
1. Verwenden Sie den Befehl [describe-audit-task](https://docs.aws.amazon.com/cli/latest/reference/iot/describe-audit-task.html), um anhand der `taskId`-Ausgabe aus dem vorherigen Schritt Details zur abgeschlossenen Prüfung abzurufen. Mit diesem Befehl werden Details zu Ihrer Prüfung aufgelistet.
```
aws iot describe-audit-task \
--task-id "787ed873b69cb4d6cdbae6ddd06996c5"
```
Ausgabe:
```
{
"taskStatus": "COMPLETED",
"taskType": "SCHEDULED_AUDIT_TASK",
"taskStartTime": 1596168096.157,
"taskStatistics": {
"totalChecks": 1,
"inProgressChecks": 0,
"waitingForDataCollectionChecks": 0,
"compliantChecks": 0,
"nonCompliantChecks": 1,
"failedChecks": 0,
"canceledChecks": 0
},
"scheduledAuditName": "AWSIoTDeviceDefenderDailyAudit",
"auditDetails": {
"DEVICE_CERTIFICATE_EXPIRING_CHECK": {
"checkRunStatus": "COMPLETED_NON_COMPLIANT",
"checkCompliant": false,
"totalResourcesCount": 195,
"nonCompliantResourcesCount": 2
}
}
}
```
1. Verwenden Sie den Befehl [list-audit-findings](https://docs.aws.amazon.com/cli/latest/reference/iot/list-audit-findings.html), um die nonkonforme Zertifikat-ID zu ermitteln, sodass wir die Prüfungswarnungen für diese Ressource aussetzen können.
```
aws iot list-audit-findings \
--start-time 2020-07-31 \
--end-time 2020-08-01
```
Ausgabe:
```
{
"findings": [
{
"findingId": "296ccd39f806bf9d8f8de20d0ceb33a1",
"taskId": "787ed873b69cb4d6cdbae6ddd06996c5",
"checkName": "DEVICE_CERTIFICATE_EXPIRING_CHECK",
"taskStartTime": 1596168096.157,
"findingTime": 1596168096.651,
"severity": "MEDIUM",
"nonCompliantResource": {
"resourceType": "DEVICE_CERTIFICATE",
"resourceIdentifier": {
"deviceCertificateId": "b4490"
},
"additionalInfo": {
"EXPIRATION_TIME": "1582862626000"
}
},
"reasonForNonCompliance": "Certificate is past its expiration.",
"reasonForNonComplianceCode": "CERTIFICATE_PAST_EXPIRATION",
"isSuppressed": false
},
{
"findingId": "37ecb79b7afb53deb328ec78e647631c",
"taskId": "787ed873b69cb4d6cdbae6ddd06996c5",
"checkName": "DEVICE_CERTIFICATE_EXPIRING_CHECK",
"taskStartTime": 1596168096.157,
"findingTime": 1596168096.651,
"severity": "MEDIUM",
"nonCompliantResource": {
"resourceType": "DEVICE_CERTIFICATE",
"resourceIdentifier": {
"deviceCertificateId": "c7691"
},
"additionalInfo": {
"EXPIRATION_TIME": "1583424717000"
}
},
"reasonForNonCompliance": "Certificate is past its expiration.",
"reasonForNonComplianceCode": "CERTIFICATE_PAST_EXPIRATION",
"isSuppressed": false
}
]
}
```
1. Verwenden Sie den Befehl [create-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/create-audit-suppression.html), um Benachrichtigungen für die `DEVICE_CERTIFICATE_EXPIRING_CHECK`-Audit-Prüfung für ein Gerätezertifikat mit der ID `c7691e` bis *2020-08-20* zu unterdrücken.
```
aws iot create-audit-suppression \
--check-name DEVICE_CERTIFICATE_EXPIRING_CHECK \
--resource-identifier deviceCertificateId="c7691e" \
--no-suppress-indefinitely \
--expiration-date 2020-08-20
```
1. Verwenden Sie den Befehl [list-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/list-audit-suppression.html), um die Einstellung für die Prüfungsunterdrückung zu bestätigen und Einzelheiten zur Unterdrückung abzurufen.
```
aws iot list-audit-suppressions
```
Ausgabe:
```
{
"suppressions": [
{
"checkName": "DEVICE_CERTIFICATE_EXPIRING_CHECK",
"resourceIdentifier": {
"deviceCertificateId": "c7691e"
},
"expirationDate": 1597881600.0,
"suppressIndefinitely": false
}
]
}
```
1. Der Befehl [update-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/update-audit-suppression.html) kann verwendet werden, um die Unterdrückung der Prüfungsergebnisse zu aktualisieren. Im folgenden Beispiel wird das `expiration-date` auf `08/21/20` aktualisiert.
```
aws iot update-audit-suppression \
--check-name DEVICE_CERTIFICATE_EXPIRING_CHECK \
--resource-identifier deviceCertificateId=c7691e \
--no-suppress-indefinitely \
--expiration-date 2020-08-21
```
1. Der Befehl [delete-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/delete-audit-suppression.html) kann verwendet werden, um die Unterdrückung der Prüfungsergebnisse zu entfernen.
```
aws iot delete-audit-suppression \
--check-name DEVICE_CERTIFICATE_EXPIRING_CHECK \
--resource-identifier deviceCertificateId="c7691e"
```
Verwenden Sie den Befehl [list-audit-suppressions](https://docs.aws.amazon.com/cli/latest/reference/iot/list-audit-suppressions.html), um die Löschung zu bestätigen.
```
aws iot list-audit-suppressions
```
Ausgabe:
```
{
"suppressions": []
}
```
In diesem Tutorial haben wir Ihnen gezeigt, wie Sie eine Prüfung vom Typ `Device certificate expiring` in der Konsole und der CLI unterdrücken. Weitere Informationen zur Unterdrückung von Prüfungsergebnissen finden Sie unter [Unterdrückungen von Prüfergebnissen](audit-finding-suppressions.md).