# Démarrer avec AWS IoT Device Defender
Vous pouvez utiliser les didacticiels suivants pour travailler avec AWS IoT Device Defender.
**Topics**
+ [Configuration](dd-setting-up.md)
+ [Guide d'audit](audit-tutorial.md)
+ [Guide de ML Detect](dd-detect-ml-getting-started.md)
+ [Personnalisez quand et comment vous consultez les résultats AWS IoT Device Defender d'audit](dd-suppressions-example.md)
# Configuration
Avant d'utiliser AWS IoT Device Defender pour la première fois, exécutez les tâches suivantes :
**Topics**
+ [S’inscrire à un Compte AWS](#sign-up-for-aws)
+ [Création d’un utilisateur doté d’un accès administratif](#create-an-admin)
## S’inscrire à un Compte AWS
Si vous n’avez pas de compte Compte AWS, procédez comme suit pour en créer un.
**Pour s’inscrire à un Compte AWS**
1. Ouvrez [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup).
1. Suivez les instructions en ligne.
Dans le cadre de la procédure d’inscription, vous recevrez un appel téléphonique ou un SMS et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.
Lorsque vous souscrivez à un Compte AWS, un *Utilisateur racine d'un compte AWS* est créé. Par défaut, seul l’utilisateur racine a accès à l’ensemble des Services AWS et des ressources de ce compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur, et à utiliser uniquement l’utilisateur racine pour effectuer les [tâches nécessitant un accès utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS vous envoie un e-mail de confirmation lorsque le processus d’inscription est terminé. Vous pouvez afficher l’activité en cours de votre compte et gérer votre compte à tout moment en accédant à [https://aws.amazon.com/](https://aws.amazon.com/) et en choisissant **Mon compte**.
## Création d’un utilisateur doté d’un accès administratif
Une fois que vous vous êtes inscrit à un Compte AWS, sécurisez l’Utilisateur racine d'un compte AWS, activez AWS IAM Identity Center et créez un utilisateur administratif afin de ne pas utiliser l’utilisateur root pour les tâches quotidiennes.
**Sécurisation de votre Utilisateur racine d'un compte AWS**
1. Connectez-vous à la [AWS Management Console](https://console.aws.amazon.com/) en tant que propriétaire du compte en sélectionnant **Root user** (Utilisateur racine) et en saisissant votre adresse e-mail Compte AWS. Sur la page suivante, saisissez votre mot de passe.
Pour obtenir de l’aide pour vous connecter en utilisant l’utilisateur racine, consultez [Connexion en tant qu’utilisateur racine](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) dans le *Guide de l’utilisateur Connexion à AWS*.
1. Activez l’authentification multifactorielle (MFA) pour votre utilisateur racine.
Pour obtenir des instructions, consultez [Activation d’un dispositif MFA virtuel pour l’utilisateur racine de votre Compte AWS (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) dans le *Guide de l’utilisateur IAM*.
**Création d’un utilisateur doté d’un accès administratif**
1. Activez IAM Identity Center.
Pour obtenir des instructions, consultez [Activation d’AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) dans le *Guide de l’utilisateur AWS IAM Identity Center*.
1. Dans IAM Identity Center, octroyez un accès administratif à un utilisateur.
Pour un didacticiel sur l’utilisation de l’Répertoire IAM Identity Center comme source d’identité, consultez [Configuration de l’accès utilisateur avec l’Répertoire IAM Identity Center par défaut](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) dans le *Guide de l’utilisateur AWS IAM Identity Center*.
**Connexion en tant qu’utilisateur doté d’un accès administratif**
+ Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l’URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l’utilisateur IAM Identity Center.
Pour obtenir de l’aide pour vous connecter à l’aide d’un utilisateur IAM Identity Center, consultez [Connexion au portail d’accès AWS](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) dans le *Guide de l’utilisateur Connexion à AWS*.
**Attribution d’un accès à d’autres utilisateurs**
1. Dans IAM Identity Center, créez un ensemble d’autorisations qui respecte la bonne pratique consistant à appliquer les autorisations de moindre privilège.
Pour obtenir des instructions, consultez [Création d’un ensemble d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) dans le *Guide de l’utilisateur AWS IAM Identity Center*.
1. Attribuez des utilisateurs à un groupe, puis attribuez un accès par authentification unique au groupe.
Pour obtenir des instructions, consultez [Ajout de groupes](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) dans le *Guide de l’utilisateur AWS IAM Identity Center*.
Ces tâches créent un Compte AWS et un utilisateur IAM avec des privilèges d'administrateur pour le compte.
# Guide d'audit
Ce didacticiel fournit des instructions sur la façon de configurer un audit récurrent, de configurer des alarmes, d'examiner les résultats d'audit et d'atténuer les problèmes d'audit.
**Topics**
+ [Conditions préalables](#audit-tutorial-prerequisites)
+ [Activation des vérifications d'audit](#audit-tutorial-enable-checks)
+ [Afficher les résultats d'audit](#audit-tutorial-view-audit)
+ [Création d'actions d'atténuation des audits](#audit-tutorial-mitigation)
+ [Appliquez des mesures d'atténuation aux résultats de votre audit](#apply-mitigation-actions)
+ [Création d'un rôle AWS IoT Device Defender d'audit IAM (facultatif)](#audit-iam)
+ [Activer les notifications SNS (facultatif)](#audit-tutorial-enable-sns)
+ [Configurer les autorisations pour les clés gérées par le client (facultatif)](#audit-tutorial-cmk-permissions)
+ [(Facultatif) Activer la journalisation](#enable-logging)
## Conditions préalables
Pour suivre ce didacticiel, vous aurez besoin des éléments suivants :
+ Un Compte AWS. Si vous n'avez pas cela, consultez [Setting up](https://docs.aws.amazon.com/iot/latest/developerguide/dd-setting-up.html).
## Activation des vérifications d'audit
Dans la procédure suivante, vous activez les contrôles d’audit qui examinent les paramètres et les politiques des comptes et des appareils pour garantir que les mesures de sécurité sont en place. Dans ce didacticiel, nous vous demandons d'activer tous les contrôles d'audit, mais vous pouvez sélectionner ceux que vous souhaitez.
Le prix de l'audit est calculé par nombre d'appareils par mois (flotte d'appareils connectés à AWS IoT). Par conséquent, l'ajout ou la suppression de contrôles d'audit n'affecterait pas votre facture mensuelle lorsque vous utiliserez cette fonctionnalité.
1. Ouvrez la [AWS IoT console](https://console.aws.amazon.com/iot). Dans le volet de navigation, développez **Sécurité** et choisissez **Intro**.
1. Choisissez **Automatiser l'audit de AWS IoT sécurité**. Les contrôles d'audit sont automatiquement activés.
1. Développez **Audit** et choisissez **Paramètres** pour afficher vos contrôles d'audit. Sélectionnez le nom du contrôle d'audit pour en savoir plus sur le rôle du contrôle d'audit. Pour plus d'informations sur les contrôles d'audit, consultez [Contrôles d'audit](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html).
1. (Facultatif) Si vous avez déjà un rôle que vous souhaitez utiliser, choisissez **Gérer les autorisations de service**, choisissez le rôle dans la liste, puis **Mettre à jour**.
## Afficher les résultats d'audit
La procédure suivante vous explique comment afficher les résultats d'audit. Dans ce didacticiel, vous pouvez voir les résultats d'audit issus des contrôles d'audit configurés dans le didacticiel [Activation des vérifications d'audit](#audit-tutorial-enable-checks).
**Pour consulter les résultats de l'audit**
1. Ouvrez la [AWS IoT console](https://console.aws.amazon.com/iot). Dans le volet de navigation, développez **Sécurité**, **Audit**, puis sélectionnez **Résultats**.
1. Sélectionnez le **nom** du calendrier d'audit que vous souhaitez étudier.
1. Dans **Contrôles non conformes**, sous **Atténuation**, sélectionnez les boutons d'information pour savoir pourquoi ils ne sont pas conformes. Pour obtenir des conseils sur la manière de rendre conformes vos contrôles non conformes, consultez [Contrôles d’audit](device-defender-audit-checks.md).
## Création d'actions d'atténuation des audits
Dans la procédure suivante, vous allez créer une action d'atténuation de AWS IoT Device Defender l'audit pour activer la journalisation AWS IoT. Chaque contrôle d'audit comporte des actions d'atténuation mappées qui affecteront le **type d'action** que vous choisissez pour le contrôle d'audit que vous souhaitez corriger. Pour plus d'informations, consultez les [Mitigation action (Action d'atténuation)](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-mitigation-actions.html#defender-audit-apply-mitigation-actions.html).
**Utiliser la console AWS IoT pour créer des actions d'atténuation**
1. Ouvrez la [AWS IoT console](https://console.aws.amazon.com/iot). Dans le volet de navigation, développez **Security**, **Detect**, puis choisissez **Mitigation actions**.
1. Dans la page **Mitigation Actions (Actions d'atténuation)**, choisissez **Create (Créer)**.
1. Dans la page **Create a Mitigation Action (Créer une action d’atténuation)**, dans **Action name (Nom de l’action)**, saisissez un nom unique pour votre action d'atténuation tel que *EnableErrorLoggingAction.*.
1. Pour **Type d'action**, choisissez **Activer la AWS IoT journalisation**.
1. Dans **Autorisations**, choisissez **Créer un rôle**. Pour le **nom du rôle**, utilisez *IOTMitigationActionErrorLoggingRole*. Ensuite, choisissez **Créer**.
1. Dans **Paramètres**, sous **Rôle pour la journalisation**, sélectionnez `IoTMitigationActionErrorLoggingRole`. Pour **Niveau de journalisation**, sélectionnez`Error`.
1. Choisissez **Créer**.
## Appliquez des mesures d'atténuation aux résultats de votre audit
La procédure suivante vous explique comment appliquer des mesures d'atténuation aux résultats d'audit.
**Pour atténuer les résultats d'audit non conformes**
1. Ouvrez la [AWS IoT console](https://console.aws.amazon.com/iot). Dans le volet de navigation, développez **Sécurité**, **Audit**, puis sélectionnez **Résultats**.
1. Choisissez un résultat d'audit auquel vous voulez répondre.
1. Vérifiez vos résultats.
1. Choisissez **Start Mitigation Actions (Lancer des actions d’atténuation)**.
1. Pour la **journalisation désactivée**, choisissez l'action d'atténuation que vous avez créée précédemment,`EnableErrorLoggingAction`. Vous pouvez sélectionner les actions appropriées pour chaque résultat de non-conformité afin de résoudre les problèmes.
1. Pour **Select reason codes (Sélectionner les codes de motif)**, choisissez le code de motif renvoyé par le contrôle d'audit.
1. Choisissez **Démarrer la tâche**. L'action d'atténuation peut prendre quelques minutes.
**Pour vérifier que les mesures d'atténuation ont fonctionné**
1. Dans la console AWS IoT, dans le volet de navigation, choisissez **Paramètres**.
1. Dans le **journal de service**, vérifiez que le **niveau du journal** est`Error (least verbosity)`.
## Création d'un rôle AWS IoT Device Defender d'audit IAM (facultatif)
Dans la procédure suivante, vous allez créer un rôle AWS IoT Device Defender Audit IAM qui fournit un accès en AWS IoT Device Defender lecture à AWS IoT.
**Pour créer un rôle pour un service AWS IoT Device Defender (console IAM)**
1. Connectez-vous à l'AWS Management Console et ouvrez la console IAM à l'adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation de la console IAM, sélectionnez **Roles** (Rôles), puis **Create role** (Créer un rôle).
1. Choisissez le type du rôle de l'**Service AWS**.
1. Dans **Cas d'utilisation pour d'autres AWS services**, choisissez **AWS IoT**, puis **IoT - Device Defender Audit**.
1. Choisissez **Suivant**.
1. (Facultatif) Définissez une [limite d'autorisations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Il s'agit d'une fonctionnalité avancée disponible pour les rôles de service, mais pas les rôles liés à un service.
Développez la section **Permissions boundary** (Limite d'autorisations) et sélectionnez **Use a permissions boundary to control the maximum role permissions** (Utiliser une limite d'autorisations pour contrôler le nombre maximum d'autorisations de rôle). IAM inclut une liste des politiques gérées par AWS et des politiques gérées par le client dans votre compte. Sélectionnez la politique à utiliser pour la limite d'autorisations ou choisissez **Créer une politique** pour ouvrir un nouvel onglet de navigateur et créer une nouvelle politique de bout en bout. Pour plus d'informations, consultez [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) dans le *Guide de l'utilisateur IAM*. Une fois la politique créée, fermez cet onglet et revenez à l'onglet initial pour sélectionner la politique à utiliser pour la limite d'autorisations.
1. Choisissez **Suivant**.
1. Entrez un nom de rôle pour vous aider à identifier l'objectif de ce rôle. Les noms de rôle doivent être uniques dans votre Compte AWS. Ils ne sont pas sensibles à la casse. Par exemple, vous ne pouvez pas créer deux rôles nommés **PRODROLE** et **prodrole**. Différentes entités peuvent référencer le rôle et il n'est donc pas possible de modifier son nom après sa création.
1. (Facultatif) Pour **Description**, saisissez une description pour le nouveau rôle.
1. Choisissez **Edit** (Modifier) dans les sections **Step 1: Select trusted entities** (Étape 1 : sélection d'entités de confiance) ou **Step 2: Select permissions** (Étape 2 : sélection d'autorisations) pour modifier les cas d'utilisation et les autorisations pour le rôle.
1. (Facultatif) Ajoutez des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez la rubrique [Balisage des ressources IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le *Guide de l'utilisateur IAM*.
1. Passez en revue les informations du rôle, puis choisissez **Créer un rôle**.
## Activer les notifications SNS (facultatif)
Dans la procédure suivante, vous activez les notifications Amazon SNS (SNS) pour vous avertir lorsque vos audits identifient des ressources non conformes. Dans ce didacticiel, vous allez configurer des notifications pour les contrôles d'audit activés dans le didacticiel [Activation des vérifications d'audit](#audit-tutorial-enable-checks).
1. Si ce n'est pas déjà fait, joignez une politique permettant d'accéder au réseau social via le AWS Management Console. Pour ce faire, suivez les instructions de la section [Attacher une politique à un groupe d'utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html) dans le *guide de l'utilisateur IAM* et en sélectionnant la politique **AwsiotDeviceDefenderPublishFindingsMitigationAction**.
1. Ouvrez la [AWS IoT console](https://console.aws.amazon.com/iot). Dans le volet de navigation, développez **Sécurité**, **Audit**, puis sélectionnez **Paramètres**.
1. Au bas de la page des **paramètres d'audit de Device Defender**, choisissez **Activer les alertes SNS**.
1. Choisissez **Enabled (Activé)**.
1. Choisissez **Rubriques**, puis **Créer une rubrique**. Nommez le sujet *IOTDDNotifications* et choisissez **Créer.** Pour **Rôle**, choisissez le rôle que vous avez créé dans [Création d'un rôle AWS IoT Device Defender d'audit IAM (facultatif)](#audit-iam).
1. Choisissez **Mettre à jour**.
1. Si vous souhaitez recevoir des e-mails ou des SMS sur vos plateformes Ops via Amazon SNS, consultez la section [Utilisation d'Amazon Simple Notification Service pour les notifications destinées aux utilisateurs](https://docs.aws.amazon.com/sns/latest/dg/sns-user-notifications.html).
## Configurer les autorisations pour les clés gérées par le client (facultatif)
**Note**
Cette configuration n’est requise que si vous avez opté pour les clés gérées par le client pour AWS IoT Core. Pour plus d’informations sur le chiffrement AWS IoT Core au repos, consultez [Data encryption at rest in AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/encryption-at-rest.html).
Si vous avez activé les clés gérées par le client (CMK) pour le chiffrement AWS IoT Core au repos, le rôle IAM utilisé par AWS IoT Device Defender Audit nécessite des autorisations supplémentaires pour déchiffrer les données. Sans ces autorisations, vos opérations d’audit échoueront.
La politique gérée par [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIoTDeviceDefenderAudit.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIoTDeviceDefenderAudit.html) n’inclut pas les autorisations `kms:Decrypt` par conception, conformément au principe du moindre privilège. Vous devez ajouter manuellement ces autorisations à votre rôle d’audit lorsque vous utilisez des clés gérées par le client.
**Pour ajouter des autorisations KMS à votre rôle IAM AWS IoT Device Defender Audit**
1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation, choisissez **Rôles**, puis recherchez le rôle que vous avez créé dans [Création d'un rôle AWS IoT Device Defender d'audit IAM (facultatif)](#audit-iam) ou le rôle que vous avez spécifié lors de la configuration des paramètres d’audit.
1. Choisissez le nom du rôle pour ouvrir la page de ses informations détaillées.
1. Dans l’onglet **Autorisations**, choisissez **Ajouter des autorisations**, puis **Créer une politique en ligne**.
1. Choisissez l’onglet **JSON** et saisissez la politique suivante. Remplacez *REGION*, *ACCOUNT\$1ID* et *KEY\$1ID* par vos informations de clés AWS KMS :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:REGION:ACCOUNT_ID:key/KEY_ID"
}
]
}
```
1. Choisissez **Suivant**.
1. Pour **Nom de la stratégie**, entrez un nom descriptif, tel que **DeviceDefenderAuditKMSDecrypt**.
1. Choisissez **Créer une politique**.
## (Facultatif) Activer la journalisation
Cette procédure décrit comment activer la journalisation AWS IoT des informations dans CloudWatch Logs. Cela vous permettra de consulter les résultats de votre audit. L'activation de la journalisation peut entraîner des frais.
**Pour activer la journalisation**
1. Ouvrez la [AWS IoT console](https://console.aws.amazon.com/iot). Dans le volet de navigation, choisissez **Paramètres**.
1. Dans **Logs**, sélectionnez **Gérer les journaux **.
1. Pour **Sélectionner un rôle**, choisissez **Créer un rôle**. Nommez le rôle *AWSIOTLoggingRole* et choisissez **Créer**. Une politique est automatiquement jointe.
1. Pour le **niveau de journalisation**, choisissez **Debug (niveau de verbosité le plus** élevé).
1. Choisissez **Mettre à jour**.
# Guide de ML Detect
**Note**
ML Detect n'est pas disponible actuellement dans la région suivante :
Asie-Pacifique (Malaisie)
Dans ce guide de démarrage, vous créez un profil de sécurité ML Detect qui utilise le machine learning (ML) pour créer des modèles de comportement attendu en fonction des données de métriques historiques de vos appareils. Pendant que ML Detect crée le modèle de ML, vous pouvez surveiller sa progression. Une fois le modèle ML créé, vous pouvez consulter et étudier les alarmes de manière continue et atténuer les problèmes identifiés.
Pour plus d'informations sur ML Detect et ses commandes API et CLI, consultez [ML Detect](dd-detect-ml.md).
**Topics**
+ [Conditions préalables](#ml-detect-prereqs)
+ [Comment utiliser ML Detect dans la console](#dd-detect-ml-console)
+ [Comment utiliser ML Detect avec la CLI](#dd-detect-ml-cli)
## Conditions préalables
+ Un Compte AWS. Si vous n'avez pas cela, consultez [Setting up](https://docs.aws.amazon.com/iot/latest/developerguide/dd-setting-up.html).
## Comment utiliser ML Detect dans la console
**Topics**
+ [Activer ML Detect](#enable-ml-detect-console)
+ [Surveillez l'état de votre modèle ML](#monitor-ml-models-console)
+ [Vérifiez vos alarmes ML Detect](#review-ml-alarms-console)
+ [Optimisation de vos alarmes ML](#fine-tune-ml-models-console)
+ [Marquez l'état de vérification de votre alarme](#mark-your-alarms)
+ [Atténuer les problèmes identifiés sur les appareils](#mitigate-ml-issues-console)
### Activer ML Detect
Les procédures suivantes expliquent comment configurer ML Detect dans la console.
1. Tout d'abord, assurez-vous que vos appareils créeront le minimum de points de données requis, conformément aux [ML Detect minimum requirements (exigences minimales de ML Detect)](dd-detect-ml.md#dd-detect-ml-requirements) pour la formation continue et l'actualisation du modèle. Pour que la collecte de données progresse, assurez-vous que votre profil de sécurité est attaché à une cible, qui peut être un objet ou un groupe d'objets.
1. Dans [AWS IoT console](https://console.aws.amazon.com/iot), dans le panneau de navigation, développez **Defend**. Choisissez **Détecter**, **Profils de sécurité**, **Créer un profil de sécurité**, puis **Créer un profil de détection des anomalies ML**.
1. Sur la page **Set basic configurations (Définir les configurations de base)**, procédez comme suit.
+ Sous **Target (Cible)**, choisissez vos groupes d'appareils cibles.
+ Dans **Nom du profil de sécurité**, saisissez un nom pour votre profil de sécurité.
+ (Facultatif) Sous **Description**, vous pouvez écrire une brève description du profil ML.
+ Sous **Selected metric behaviors in Security Profile (Comportements de métriques sélectionnés dans le profil de sécurité)**, choisissez les mesures que vous souhaitez surveiller.
![\[Page de configuration Créer un profil de sécurité de machine learning avec l'option Tous les objets enregistrés sélectionnée comme Cible, la liste des comportements de métriques, tels que les échecs d'autorisation et les tentatives de connexion, et les options permettant d'ajouter des métriques côté cloud ou côté appareil.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-ml-set-basic.png)
Lorsque vous avez terminé, sélectionnez **Next**.
1. Sur la page **Configurer le SNS (facultatif)**, spécifiez une rubrique SNS pour les notifications d'alarme lorsqu'un appareil enfreint un comportement de votre profil. Choisissez un rôle IAM que vous allez utiliser pour publier sur la rubrique SNS sélectionnée.
Si vous n'avez pas encore de rôle SNS, suivez les étapes suivantes pour créer un rôle avec les autorisations appropriées et les relations d'approbation requises.
+ Accédez à la [Console IAM](https://console.aws.amazon.com/iam/). Dans le panneau de navigation, choisissez **Roles** (Rôles), puis **Create role** (Créer un rôle).
+ Sous **Select type of trusted entity (Sélectionner le type d'entité de confiance)**, sélectionnez **AWSService**. Ensuite, sous **Choisir un cas d'utilisation**, choisissez **IoT** et sous **Sélectionnez votre cas d'utilisation**, choisissez **IoT - Device Defender Mitigation Actions**. Lorsque vous avez terminé de configurer, choisissez **Next: Permissions (Suivant : Autorisations)**.
+ Sous **Attached permissions policies (Politiques d'autorisation jointes)**, assurez-vous que **AWSIOTDeviceDefenderPublishFindingsTOSNSMitigationAction AwsiotDeviceDevidingstosNsMitigationAction** soit sélectionné, puis choisissez **Next : Tags.(Suivant : Balises)**
![\[Tableau des politiques d'autorisations pour un rôle AWS IoT Device Defender avec les noms de politique, les descriptions des accès fournis par chaque politique et les options de filtrage ou de recherche de politiques.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-ml-sns-findings.png)
+ Sous ** Add tags (optional) (Ajouter des balises (facultatif))**, vous pouvez ajouter les balises que vous souhaitez associer à votre rôle. Lorsque vous avez terminé, sélectionnez **Suivant : vérification**.
+ Sous **Review (Révision)**, donnez un nom à votre rôle et assurez-vous que **AWSIOTDeviceDefenderPublishFindingsTosNSMitigationAction** est répertorié sous **Permissions** (Autorisations) et service **AWS : iot.amazonaws.com** est répertorié sous **Trust relationships**. (Relations de confiance) Lorsque vous avez terminé, cliquez sur **Create role (Créer rôle)**.
![\[Page récapitulative des rôles IAM illustrant les détails du rôle Sample-SNS-role, tels que l'ARN du rôle, sa description, les ARN du profil d'instance, son chemin, l'heure de création, la durée maximale de session et les résultats de publication AWS IoT Device Defender appliqués à la politique d'action d'atténuation SNS.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-ml-detect-permissions.png)
![\[Page récapitulative du rôle IAM Sample-SNS-role illustrant l'ARN du rôle, sa description indiquant qu'il fournit à AWS IoT Device Defender un accès en écriture pour publier des notifications SNS, son chemin, l'heure de création et les entités de confiance.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-ml-detect-trust-relationships.png)
1. Sur la page **Edit Metric behavior**(Modifier le comportement de la métrique), vous pouvez personnaliser vos paramètres de comportement ML.
![\[Section Modifier les comportements des métriques illustrant les métriques Échecs d'autorisation, Octets entrants et Tentatives de connexion, permettant de configurer des points de données pour les déclencheurs d'alarme, les notifications et les niveaux de confiance de détection ML.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-ml-update-config.png)
1. Lorsque vous avez terminé, sélectionnez **Next**.
1. Sur la page **Review configuration**(révision de la configuration), vérifiez les comportements que vous souhaitez que le machine learning surveille, puis choisissez **Next (Suivant)**.
![\[Page Modifier un profil de sécurité de machine learning illustrant le profil Smart_lights_ML_Detect_Security_Profile qui cible Tous les objets enregistrés, avec les comportements de métriques Échecs d'autorisation, Octets sortants, Tentatives de connexion et Déconnexions.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-ml-review-config.png)
1. Après avoir créé votre profil de sécurité, vous êtes redirigé vers la page **Security Profiles (Profils de sécurité)**, où le profil de sécurité nouvellement créé apparaît.
**Note**
La formation initiale et la création du modèle ML prennent 14 jours. Vous pouvez vous attendre à voir des alarmes une fois l'opération terminée, en cas d'activité anormale sur vos appareils.
### Surveillez l'état de votre modèle ML
Pendant que vos modèles ML sont dans la période de formation initiale, vous pouvez suivre leurs progrès à tout moment en suivant les étapes suivantes.
1. Dans [AWS IoT console](https://console.aws.amazon.com/iot), dans le panneau de navigation, développez **Defend**, **Detect**, puis sélectionnez **Security profiles**.
1. Sur la page **Security Profiles**, choisissez le profil de sécurité que vous souhaitez consulter. Choisissez ensuite **Behaviors and ML training (Comportements et formation ML)**.
1. Sur la page **Behaviors and ML training**, vérifiez la progression de la formation de vos modèles ML.
Une fois que le statut de votre modèle est **actif**, il commence à prendre des décisions de détection en fonction de votre utilisation et met à jour le profil tous les jours.
![\[Tableau de bord indiquant des modèles de machine learning peu fiables permettant de surveiller les ports d'écoute TCP/UDP et les connexions TCP établies.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-ml-active-state.png)
**Note**
Si votre modèle ne progresse pas comme prévu, assurez-vous que vos appareils répondent aux [Configuration requise](dd-detect-ml.md#dd-detect-ml-requirements).
### Vérifiez vos alarmes ML Detect
Une fois que vos modèles de machine learning sont créés et prêts pour l'inférence de données, vous pouvez régulièrement consulter et étudier les alarmes identifiées par les modèles.
1. Dans [AWS IoT console](https://console.aws.amazon.com/iot), dans le panneau de navigation, développez **Defend**, puis choisissez **Detect**, **Alarms**.
![\[Liste d'alarmes AWS IoT Device Defender répertoriant 5 alarmes actives de type Échecs d'autorisation avec les colonnes Nom de l'objet, Profil de sécurité, Type de comportement, Nom de comportement, Dernière émission et État de vérification.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-ml-alarms.png)
1. Si vous accédez à l'onglet **Historique**, vous pouvez également consulter les informations relatives à vos appareils qui ne sont plus en état d'alarme.
![\[Graphique linéaire illustrant les alarmes de type En alarme, Alarme effacée et Alarme invalidée sur une période de deux semaines, avec le nombre d'alarmes sur l'axe des Y et les dates sur l'axe des X.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-ml-history-alarm.png)
Pour obtenir plus d'informations, sous **Gérer**, choisissez **Things (objets)**, choisissez l'élément pour lequel vous souhaitez obtenir plus de détails, puis accédez aux ** Defender metrics (Métriques du défenseur)**. Vous pouvez accéder au **Defender metrics graph (graphique des métriques de Defender)** et effectuer votre enquête sur tout élément en état d'alarme depuis l'onglet **Active (Actif)**. Dans ce cas, le graphique montre un pic dans la taille du message, qui a déclenché l'alarme. Vous pouvez voir que l'alarme a été supprimée par la suite.
![\[Tableau de bord des objets IoT illustrant le graphique de métriques Taille du message – Maximum avec un pic à 801 octets à la date et à l'heure spécifiées.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-ml-defender-metrics.png)
### Optimisation de vos alarmes ML
Une fois vos modèles ML créés et prêts pour les évaluations de données, vous pouvez mettre à jour les paramètres de comportement ML de votre profil de sécurité pour modifier la configuration. La procédure suivante vous montre comment mettre à jour les paramètres de comportement ML de votre profil de sécurité dans le fichier AWS CLI.
1. Dans [AWS IoT console](https://console.aws.amazon.com/iot), dans le panneau de navigation, développez **Defend**, puis sélectionnez **Detect**, **Security profiles**.
1. Sur la page **Security Profiles**, choisissez la case en regard du profil de sécurité que vous souhaitez consulter. Choisissez **Actions**, puis **Edit (Modifier)**.
![\[Liste des profils de sécurité AWS IoT Device Defender indiquant les noms de profil, le type de seuil ML, les comportements, les métriques conservées, les objets cibles, la date de création et le statut des notifications.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-ml-fine-tune.png)
1. Sous **Définir les configurations de base**, vous pouvez ajuster les groupes d'objets cibles du profil de sécurité ou modifier les métriques que vous souhaitez surveiller.
![\[Page de configuration Créer un profil de sécurité de machine learning avec l'option Tous les objets enregistrés sélectionnée comme Cible, la liste des comportements de métriques, tels que les échecs d'autorisation et les tentatives de connexion, et les options permettant d'ajouter des métriques côté cloud ou côté appareil.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-ml-set-basic.png)
1. Vous pouvez mettre à jour l'un des éléments suivants en accédant à **Modifier les comportements des métriques**.
+ Les points de données de votre modèle ML sont nécessaires pour déclencher une alarme
+ Points de données de votre modèle ML requis pour effacer l'alarme
+ Votre niveau de confiance avec ML Detect
+ Vos notifications ML Detect (par exemple, **Not suppressed**, **Suppressed**) (Non supprimées, Supprimées)
![\[Section Modifier les comportements des métriques avec des options permettant de configurer les métriques Échecs d'autorisation, Octets sortants et Tentatives de connexion pour le profil de sécurité de ML.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-ml-update-config-2.png)
### Marquez l'état de vérification de votre alarme
Marquez vos alarmes en définissant l'état de vérification et en fournissant une description de cet état de vérification. Cela vous permet, ainsi qu'à votre équipe, d'identifier les alarmes auxquelles vous n'avez pas à répondre.
1. Dans [AWS IoT console](https://console.aws.amazon.com/iot/), dans le panneau de navigation, développez **Defend**, puis choisissez **Detect**, **Alarms**. Sélectionnez une alarme pour marquer son état de vérification.
![\[Vue des alarmes AWS IoT Device Defender illustrant les événements actifs de type Échecs d'autorisation pour les objets de console IoT tels que iotconsole-6f8379bc-c245-4ffe-8ef7-b2b52e78975c avec un profil de sécurité fdsa.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-ml-alarm-select.png)
1. Choisissez **Mark verification state**.(Marquer l'état de vérification) Le modal d'état de vérification s'ouvre.
1. Choisissez l'état de vérification approprié, entrez une description de vérification (facultatif), puis choisissez **Mark (Marquer)**. Cette action attribue un état de vérification et une description à l'alarme choisie.
![\[Boîte de dialogue permettant de marquer l'état de vérification de l'alarme avec les options suivantes : Inconnu, Vrai positif, Faux positif et Positif bénin.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-ml-alarm-state-window.png)
### Atténuer les problèmes identifiés sur les appareils
1. *Optional (Facultatif)* Avant de configurer des actions d'atténuation de la quarantaine, configurons un groupe de quarantaine vers lequel nous déplacerons l'appareil en infraction. Vous pouvez aussi utiliser un groupe existant.
1. Accédez à **Gérer**, **Groupes d'objets**, puis **Créer un groupe d'objets**. Donnez un nom à votre groupe d'objets. Dans le cadre de ce didacticiel, nous allons nommer notre groupe d'objets `Quarantine_group`. Sous **Groupe d'objets**, **Sécurité**, appliquez la politique suivante au groupe d'objets.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "iot:*",
"Resource": "*"
}
]
}
```
------
![\[Page Créer un groupe d'objets de la console AWS IoT avec le bouton Créer un groupe d'objets.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-create-thing-group.png)
Lorsque vous avez terminé, cliquez sur **Create thing group (Créer un groupe d'objets)**.
1. Maintenant que nous avons créé un groupe d'objets, créons une action d'atténuation qui déplace les appareils qui déclenchent une alarme dans le `Quarantine_group`.
Sous **Defend**, **Mitigation actions**, choisissez **Create**.
![\[Formulaire de configuration AWS IoT Device Defender des actions d'atténuation avec les champs Nom de l'action, Type d'action, Autorisations, Rôle d'exécution de l'action et Groupes d'objets.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-miti-create.png)
1. Sur la page **Create a new mitigation action (Créer une nouvelle action d'atténuation)**, entrez les informations suivantes.
+ **Action name** : donnez un nom à votre action d'atténuation, par exemple **Quarantine\$1action**.
+ **Action type** : Choisissez le type d'action. Nous choisirons **Ajouter des éléments au groupe d'objets (Audit ou Détecter l'atténuation)**.
+ **Action execution role (Rôle d'exécution d'actions)** : créez un rôle ou choisissez un rôle existant si vous en avez créé un auparavant.
+ **Paramètres** : Choisissez un groupe d'objets. Nous pouvons utiliser `Quarantine_group` que nous avons créé plus tôt.
![\[Formulaire de configuration AWS IoT Device Defender des actions d'atténuation avec les champs Nom de l'action, Type d'action, Autorisations, Rôle d'exécution de l'action et Groupes d'objets.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-miti-create-form.png)
Lorsque vous avez terminé, sélectionnez **Enregistrer**. Vous disposez désormais d'une action d'atténuation qui place les appareils en état d'alarme vers un groupe d'objets en quarantaine, et d'une action d'atténuation pour isoler l'appareil pendant que vous enquêtez.
1. Accédez à **Defender**, **Detect**, **Alarms**. (Défenseur, détection, alarmes) Vous pouvez voir quels appareils sont en état d'alarme sous **Active (Actif)**.
![\[Liste d'alarmes AWS IoT Device Defender répertoriant 5 alarmes actives de type Échecs d'autorisation avec les colonnes Nom de l'objet, Profil de sécurité, Type de comportement, Nom de comportement, Dernière émission et État de vérification.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-ml-alarms.png)
Sélectionnez l'appareil que vous souhaitez placer dans le groupe de quarantaine et choisissez **Démarrer les actions d'atténuation**.
1. Sous **Start mitigation actions**, **Start Actions** sélectionnez l'action d'atténuation que vous avez créée précédemment. Par exemple, nous allons choisir **Quarantine\$1action**, puis choisir **Démarrer**. La page Tâches d'action s'ouvre.
![\[Boîte de dialogue Actions d’atténuation avec « udml7 » répertorié comme l'objet affecté, une case à cocher permettant de confirmer les actions irréversibles et une liste déroulante permettant de choisir les actions à exécuter.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-ml-start-action.png)
1. L'appareil est maintenant isolé **Quarantine\$1group** et vous pouvez rechercher la cause première du problème qui a déclenché l'alarme. Une fois l'enquête terminée, vous pouvez retirer l'appareil du groupe d'objets ou prendre d'autres mesures.
![\[Tableau Détecter > Tâches d’action AWS IoT Device Defender illustrant une action de quarantaine permettant d'ajouter des objets au groupe d'objets Quarantine_group.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-ml-action-tasks.png)
## Comment utiliser ML Detect avec la CLI
La section suivante vous montre comment configurer ML Detect à l'aide de CLI.
**Topics**
+ [Activer ML Detect](#enable-ml-detect-cli)
+ [Surveillez l'état de votre modèle ML](#monitor-ml-models-cli)
+ [Vérifiez vos alarmes ML Detect](#review-ml-alarms-cli)
+ [Optimisation de vos alarmes ML](#fine-tune-ml-models-cli)
+ [Marquez l'état de vérification de votre alarme](#mark-verification-state-cli)
+ [Atténuer les problèmes identifiés sur les appareils](#mitigate-issues-cli)
### Activer ML Detect
La procédure suivante vous montre comment activer ML Detect dans le AWS CLI.
1. Assurez-vous que vos appareils créeront le minimum de points de données requis, conformément aux [ML Detect minimum requirements (exigences minimales de ML Detect)](dd-detect-ml.md#dd-detect-ml-requirements) pour la formation continue et l'actualisation du modèle. Pour que la collecte de données progresse, assurez-vous que vos objets se trouvent dans un groupe d'objets attaché à un profil de sécurité.
1. Créez un profil de sécurité ML Detect à l'aide de la commande `[create-security-profile](https://docs.aws.amazon.com/cli/latest/reference/iot/create-security-profile.html)`. L'exemple suivant crée un profil de sécurité nommé *security-profile-for-smart-lights* qui vérifie le nombre de messages envoyés, le nombre d'échecs d'autorisation, le nombre de tentatives de connexion et le nombre de déconnexions. L'exemple permet à `mlDetectionConfig` d'établir que la métrique utilisera le modèle ML Detect.
```
aws iot create-security-profile \
--security-profile-name security-profile-for-smart-lights \
--behaviors \
'[{
"name": "num-messages-sent-ml-behavior",
"metric": "aws:num-messages-sent",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
},
{
"name": "num-authorization-failures-ml-behavior",
"metric": "aws:num-authorization-failures",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
},
{
"name": "num-connection-attempts-ml-behavior",
"metric": "aws:num-connection-attempts",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
},
{
"name": "num-disconnects-ml-behavior",
"metric": "aws:num-disconnects",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
}]'
```
Sortie :
```
{
"securityProfileName": "security-profile-for-smart-lights",
"securityProfileArn": "arn:aws:iot:eu-west-1:123456789012:securityprofile/security-profile-for-smart-lights"
}
```
1. Associez ensuite votre profil de sécurité à un ou plusieurs groupes d'objets. Utilisez la commande `[attach-security-profile](https://docs.aws.amazon.com/cli/latest/reference/iot/attach-security-profile.html)` pour associer un groupe d'objets à votre profil de sécurité. L'exemple suivant associe un groupe d'objets nommé *ML\$1Detect\$1beta\$1static\$1group* au profil de sécurité *security-profile-for-smart-lights*.
```
aws iot attach-security-profile \
--security-profile-name security-profile-for-smart-lights \
--security-profile-target-arn arn:aws:iot:eu-west-1:123456789012:thinggroup/ML_Detect_beta_static_group
```
Sortie :
Aucune.
1. Une fois que vous avez créé votre profil de sécurité complet, le modèle ML commence la formation. La formation initiale et le développement du modèle ML prennent 14 jours. Après 14 jours, en cas d'activité anormale sur votre appareil, vous pouvez vous attendre à recevoir des alarmes.
### Surveillez l'état de votre modèle ML
La procédure suivante vous montre comment surveiller la formation en cours de vos modèles ML.
+ Utilisez la commande `[get-behavior-model-training-summaries](https://docs.aws.amazon.com/cli/latest/reference/iot/get-behavior-model-training-summaries.html)` pour afficher la progression de votre modèle ML. L'exemple suivant permet d'obtenir le résumé de la progression de la formation sur le modèle ML pour le profil de *sécurité security-profile-for-smart-lights*. `modelStatus` indique si un modèle a terminé sa formation ou est toujours en attente de compilation pour un comportement particulier.
```
aws iot get-behavior-model-training-summaries \
--security-profile-name security-profile-for-smart-lights
```
Sortie :
```
{
"summaries": [
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Messages_sent_ML_behavior",
"trainingDataCollectionStartDate": "2020-11-30T14:00:00-08:00",
"modelStatus": "ACTIVE",
"datapointsCollectionPercentage": 29.408,
"lastModelRefreshDate": "2020-12-07T14:35:19.237000-08:00"
},
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Messages_received_ML_behavior",
"modelStatus": "PENDING_BUILD",
"datapointsCollectionPercentage": 0.0
},
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Authorization_failures_ML_behavior",
"trainingDataCollectionStartDate": "2020-11-30T14:00:00-08:00",
"modelStatus": "ACTIVE",
"datapointsCollectionPercentage": 35.464,
"lastModelRefreshDate": "2020-12-07T14:29:44.396000-08:00"
},
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Message_size_ML_behavior",
"trainingDataCollectionStartDate": "2020-11-30T14:00:00-08:00",
"modelStatus": "ACTIVE",
"datapointsCollectionPercentage": 29.332,
"lastModelRefreshDate": "2020-12-07T14:30:44.113000-08:00"
},
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Connection_attempts_ML_behavior",
"trainingDataCollectionStartDate": "2020-11-30T14:00:00-08:00",
"modelStatus": "ACTIVE",
"datapointsCollectionPercentage": 32.891999999999996,
"lastModelRefreshDate": "2020-12-07T14:29:43.121000-08:00"
},
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Disconnects_ML_behavior",
"trainingDataCollectionStartDate": "2020-11-30T14:00:00-08:00",
"modelStatus": "ACTIVE",
"datapointsCollectionPercentage": 35.46,
"lastModelRefreshDate": "2020-12-07T14:29:55.556000-08:00"
}
]
}
```
**Note**
Si votre modèle ne progresse pas comme prévu, assurez-vous que vos appareils répondent aux [Configuration requise](dd-detect-ml.md#dd-detect-ml-requirements).
### Vérifiez vos alarmes ML Detect
Une fois vos modèles ML créés et prêts pour les évaluations de données, vous pouvez régulièrement afficher toutes les alarmes déduites par les modèles. La procédure suivante vous montre comment afficher vos alarmes dans le AWS CLI.
+ Pour voir toutes les alarmes actives, utilisez la commande `[list-active-violations](https://docs.aws.amazon.com/cli/latest/reference/iot/list-active-violations.html)`.
```
aws iot list-active-violations \
--max-results 2
```
Sortie :
```
{
"activeViolations": []
}
```
Vous pouvez également afficher toutes les violations découvertes au cours d'une période donnée à l'aide de la commande `[list-violation-events](https://docs.aws.amazon.com/cli/latest/reference/iot/list-violation-events.html)`. L'exemple suivant répertorie les violations survenues entre le 22 septembre 2020 à 5:42:13 GMT et le 26 octobre 2020 à 5:42:13 GMT.
```
aws iot list-violation-events \
--start-time 1599500533 \
--end-time 1600796533 \
--max-results 2
```
Sortie :
```
{
"violationEvents": [
{
"violationId": "1448be98c09c3d4ab7cb9b6f3ece65d6",
"thingName": "lightbulb-1",
"securityProfileName": "security-profile-for-smart-lights",
"behavior": {
"name": "LowConfidence_MladBehavior_MessagesSent",
"metric": "aws:num-messages-sent",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
},
"violationEventType": "alarm-invalidated",
"violationEventTime": 1600780245.29
},
{
"violationId": "df4537569ef23efb1c029a433ae84b52",
"thingName": "lightbulb-2",
"securityProfileName": "security-profile-for-smart-lights",
"behavior": {
"name": "LowConfidence_MladBehavior_MessagesSent",
"metric": "aws:num-messages-sent",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
},
"violationEventType": "alarm-invalidated",
"violationEventTime": 1600780245.281
}
],
"nextToken": "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"
}
```
### Optimisation de vos alarmes ML
Une fois vos modèles ML créés et prêts pour les évaluations de données, vous pouvez mettre à jour les paramètres de comportement ML de votre profil de sécurité pour modifier la configuration. La procédure suivante vous montre comment mettre à jour les paramètres de comportement ML de votre profil de sécurité dans le fichier AWS CLI.
+ Pour modifier les paramètres de comportement ML de votre profil de sécurité, utilisez la commande `[update-security-profile](https://docs.aws.amazon.com/cli/latest/reference/iot/update-security-profile.html)`. L'exemple suivant met à jour les comportements du profil de sécurité *security-profile-for-smart-lights* en modifiant certains comportements et en annulant les notifications `confidenceLevel` pour tous les comportements.
```
aws iot update-security-profile \
--security-profile-name security-profile-for-smart-lights \
--behaviors \
'[{
"name": "num-messages-sent-ml-behavior",
"metric": "aws:num-messages-sent",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel" : "HIGH"
}
},
"suppressAlerts": false
},
{
"name": "num-authorization-failures-ml-behavior",
"metric": "aws:num-authorization-failures",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel" : "HIGH"
}
},
"suppressAlerts": false
},
{
"name": "num-connection-attempts-ml-behavior",
"metric": "aws:num-connection-attempts",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel" : "HIGH"
}
},
"suppressAlerts": false
},
{
"name": "num-disconnects-ml-behavior",
"metric": "aws:num-disconnects",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel" : "LOW"
}
},
"suppressAlerts": false
}]'
```
Sortie :
```
{
"securityProfileName": "security-profile-for-smart-lights",
"securityProfileArn": "arn:aws:iot:eu-west-1:123456789012:securityprofile/security-profile-for-smart-lights",
"behaviors": [
{
"name": "num-messages-sent-ml-behavior",
"metric": "aws:num-messages-sent",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
}
},
{
"name": "num-authorization-failures-ml-behavior",
"metric": "aws:num-authorization-failures",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
}
},
{
"name": "num-connection-attempts-ml-behavior",
"metric": "aws:num-connection-attempts",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": false
},
{
"name": "num-disconnects-ml-behavior",
"metric": "aws:num-disconnects",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel": "LOW"
}
},
"suppressAlerts": true
}
],
"version": 2,
"creationDate": 1600799559.249,
"lastModifiedDate": 1600800516.856
}
```
### Marquez l'état de vérification de votre alarme
Vous pouvez marquer vos alarmes avec des états de vérification pour aider à classer les alarmes et à étudier les anomalies.
+ Marquez vos alarmes avec un état de vérification et une description de cet état. Par exemple, pour définir l'état de vérification d'une alarme sur Faux positif, utilisez la commande suivante :
```
aws iot put-verification-state-on-violation --violation-id 12345 --verification-state FALSE_POSITIVE --verification-state-description "This is dummy description" --endpoint https://us-east-1.iot.amazonaws.com --region us-east-1
```
Sortie :
Aucune.
### Atténuer les problèmes identifiés sur les appareils
1. Utilisez la commande `[create-thing-group](https://docs.aws.amazon.com/cli/latest/reference/iot/create-thing-group.html)` pour créer un groupe d'objets pour l'action d'atténuation. Dans l'exemple suivant, nous créons un groupe d'objets appelé **ThingGroupForDetectMitigationAction**.
```
aws iot create-thing-group —thing-group-name ThingGroupForDetectMitigationAction
```
Sortie :
```
{
"thingGroupName": "ThingGroupForDetectMitigationAction",
"thingGroupArn": "arn:aws:iot:us-east-1:123456789012:thinggroup/ThingGroupForDetectMitigationAction",
"thingGroupId": "4139cd61-10fa-4c40-b867-0fc6209dca4d"
}
```
1. Ensuite, utilisez la commande `[create-mitigation-action](https://docs.aws.amazon.com/cli/latest/reference/iot/create-mitigation-action.html)` pour créer une action d’atténuation. Dans l'exemple suivant, nous créons une action d'atténuation appelée **detect\$1mitigation\$1action** avec l'ARN du rôle IAM utilisé pour appliquer l'action d'atténuation. Nous définissons également le type d'action et les paramètres de cette action. Dans ce cas, notre atténuation déplacera les éléments vers notre groupe d’objets créé précédemment appelé **ThingGroupForDetectMitigationAction**.
```
aws iot create-mitigation-action --action-name detect_mitigation_action \
--role-arn arn:aws:iam::123456789012:role/MitigationActionValidRole \
--action-params \
'{
"addThingsToThingGroupParams": {
"thingGroupNames": ["ThingGroupForDetectMitigationAction"],
"overrideDynamicGroups": false
}
}'
```
Sortie :
```
{
"actionArn": "arn:aws:iot:us-east-1:123456789012:mitigationaction/detect_mitigation_action",
"actionId": "5939e3a0-bf4c-44bb-a547-1ab59ffe67c3"
}
```
1. Utilisez la commande `[start-detect-mitigation-actions-task](https://docs.aws.amazon.com/cli/latest/reference/iot/start-detect-mitigation-actions-task.html)` pour démarrer votre tâche de mesures d'atténuation. `task-id`, `target` et `actions` sont des paramètres obligatoires.
```
aws iot start-detect-mitigation-actions-task \
--task-id taskIdForMitigationAction \
--target '{ "violationIds" : [ "violationId-1", "violationId-2" ] }' \
--actions "detect_mitigation_action" \
--include-only-active-violations \
--include-suppressed-alerts
```
Sortie :
```
{
"taskId": "taskIdForMitigationAction"
}
```
1. (Facultatif) Pour afficher les exécutions d'actions d'atténuation incluses dans une tâche, utilisez la commande `[list-detect-mitigation-actions-executions](https://docs.aws.amazon.com/cli/latest/reference/iot/list-detect-mitigation-actions-executions.html)`.
```
aws iot list-detect-mitigation-actions-executions \
--task-id taskIdForMitigationAction \
--max-items 5 \
--page-size 4
```
Sortie :
```
{
"actionsExecutions": [
{
"taskId": "e56ee95e - f4e7 - 459 c - b60a - 2701784290 af",
"violationId": "214_fe0d92d21ee8112a6cf1724049d80",
"actionName": "underTest_MAThingGroup71232127",
"thingName": "cancelDetectMitigationActionsTaskd143821b",
"executionStartDate": "Thu Jan 07 18: 35: 21 UTC 2021",
"executionEndDate": "Thu Jan 07 18: 35: 21 UTC 2021",
"status": "SUCCESSFUL",
}
]
}
```
1. (Facultatif) Utilisez la commande `[describe-detect-mitigation-actions-task](https://docs.aws.amazon.com/cli/latest/reference/iot/describe-detect-mitigation-actions-task.html)` pour obtenir des informations sur une action d'atténuation.
```
aws iot describe-detect-mitigation-actions-task \
--task-id taskIdForMitigationAction
```
Sortie :
```
{
"taskSummary": {
"taskId": "taskIdForMitigationAction",
"taskStatus": "SUCCESSFUL",
"taskStartTime": 1609988361.224,
"taskEndTime": 1609988362.281,
"target": {
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "num-messages-sent-ml-behavior"
},
"violationEventOccurrenceRange": {
"startTime": 1609986633.0,
"endTime": 1609987833.0
},
"onlyActiveViolationsIncluded": true,
"suppressedAlertsIncluded": true,
"actionsDefinition": [
{
"name": "detect_mitigation_action",
"id": "5939e3a0-bf4c-44bb-a547-1ab59ffe67c3",
"roleArn": "arn:aws:iam::123456789012:role/MitigatioActionValidRole",
"actionParams": {
"addThingsToThingGroupParams": {
"thingGroupNames": [
"ThingGroupForDetectMitigationAction"
],
"overrideDynamicGroups": false
}
}
}
],
"taskStatistics": {
"actionsExecuted": 0,
"actionsSkipped": 0,
"actionsFailed": 0
}
}
}
```
1. (Facultatif) Pour obtenir la liste de vos actions d'atténuation, utilisez la commande `[list-detect-mitigation-actions-tasks](https://docs.aws.amazon.com/cli/latest/reference/iot/list-detect-mitigation-actions-tasks.html)`.
```
aws iot list-detect-mitigation-actions-tasks \
--start-time 1609985315 \
--end-time 1609988915 \
--max-items 5 \
--page-size 4
```
Sortie :
```
{
"tasks": [
{
"taskId": "taskIdForMitigationAction",
"taskStatus": "SUCCESSFUL",
"taskStartTime": 1609988361.224,
"taskEndTime": 1609988362.281,
"target": {
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "num-messages-sent-ml-behavior"
},
"violationEventOccurrenceRange": {
"startTime": 1609986633.0,
"endTime": 1609987833.0
},
"onlyActiveViolationsIncluded": true,
"suppressedAlertsIncluded": true,
"actionsDefinition": [
{
"name": "detect_mitigation_action",
"id": "5939e3a0-bf4c-44bb-a547-1ab59ffe67c3",
"roleArn": "arn:aws:iam::123456789012:role/MitigatioActionValidRole",
"actionParams": {
"addThingsToThingGroupParams": {
"thingGroupNames": [
"ThingGroupForDetectMitigationAction"
],
"overrideDynamicGroups": false
}
}
}
],
"taskStatistics": {
"actionsExecuted": 0,
"actionsSkipped": 0,
"actionsFailed": 0
}
}
]
}
```
1. (Facultatif) Pour annuler une tâche d'actions d'atténuation, utilisez la commande `[cancel-detect-mitigation-actions-task](https://docs.aws.amazon.com/cli/latest/reference/iot/cancel-detect-mitigation-actions-task.html)`.
```
aws iot cancel-detect-mitigation-actions-task \
--task-id taskIdForMitigationAction
```
Sortie :
Aucune.
# Personnalisez quand et comment vous consultez les résultats AWS IoT Device Defender d'audit
AWS IoT Device Defender L'audit fournit des contrôles de sécurité périodiques pour confirmer que les appareils AWS IoT et les ressources respectent les meilleures pratiques. Pour chaque contrôle, les résultats de l'audit sont classés comme conformes ou non conformes, la non-conformité entraînant l'affichage d'icônes d'avertissement sur la console. Pour réduire le bruit causé par la répétition de problèmes connus, la fonction de suppression des résultats d'audit vous permet de désactiver temporairement ces notifications de non-conformité.
Vous pouvez supprimer certains contrôles d'audit pour une ressource ou un compte spécifique pendant une période prédéterminée. Un résultat de contrôle d'audit qui a été supprimé est classé dans la catégorie des résultats supprimés, séparément des catégories conforme et non conforme. Cette nouvelle catégorie ne déclenche pas d'alarme comme un résultat non conforme. Cela vous permet de réduire les perturbations liées aux notifications de non-conformité pendant les périodes de maintenance connues ou jusqu'à ce qu'une mise à jour soit planifiée.
## Premiers pas
Les sections suivantes expliquent comment utiliser les suppressions des résultats d'audit pour supprimer une vérification `Device certificate expiring` dans la console et la CLI. Si vous souhaitez suivre l’une des démonstrations, vous devez d’abord créer deux certificats expirant pour que Device Defender les détecte.
Utilisez les rubriques suivantes pour créer vos certificats.
+ [Création et enregistrement d’un certificat CA](https://docs.aws.amazon.com/iot/latest/developerguide/create-device-cert.html) dans le *Guide du développeur AWS IoT Core*
+ [Création d’un certificat client à l’aide de votre certificat d’autorité de certification](https://docs.aws.amazon.com/iot/latest/developerguide/create-device-cert.html). À l'étape 3, définissez votre paramètre `days` sur **1**.
Si vous utilisez la CLI pour créer vos certificats, entrez la commande suivante.
```
openssl x509 -req \
-in device_cert_csr_filename \
-CA root_ca_pem_filename \
-CAkey root_ca_key_filename \
-CAcreateserial \
-out device_cert_pem_filename \
-days 1 -sha256
```
## Personnalisez les résultats de votre audit dans la console
La procédure pas à pas suivante utilise un compte avec deux certificats d'appareil expirés qui déclenchent une vérification d'audit non conforme. Dans ce scénario, nous souhaitons désactiver l'avertissement car nos développeurs testent une nouvelle fonctionnalité qui résoudra le problème. Nous créons une suppression des résultats d'audit pour chaque certificat afin d'empêcher le résultat de l'audit d'être non conforme pour la semaine suivante.
1. Nous allons d'abord effectuer un audit à la demande pour montrer que la vérification du certificat de l'appareil expiré n'est pas conforme.
Sur la [AWS IoTconsole](https://console.aws.amazon.com/iot), sélectionnez **Defend** dans la barre latérale gauche, puis **Audit**, puis **Résultats**. Sur la page **Audit Review (Vérification de l’audit)**, choisissez **Create (Créer)**. La fenêtre **Create new audit (Créer un nouvel audit)** s'ouvre. Sélectionnez **Create** (Créer).
![\[Effectuez un audit à la demande pour montrer que la vérification du certificat de l'appareil expiré n'est pas conforme.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-afs-noncompliant.png)
D'après les résultats de l'audit à la demande, nous pouvons constater que l'expression « Certificat d'appareil expirant » n'est pas conforme pour deux ressources.
1. Nous aimerions maintenant désactiver l'avertissement de non-conformité « Le certificat de l'appareil arrive à expiration », car nos développeurs testent de nouvelles fonctionnalités qui corrigeront cet avertissement.
Dans la barre latérale gauche, sous **Defend**, choisissez **Audit**, puis **Finding suppressions (Suppressions de résultat)**. Sur la page **Suppressions de résultat d’audit**, choisissez **Créer**.
![\[Flux de création de suppressions de résultat d'audit dans la console.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-afs-suppressions.png)
1. Dans la fenêtre **Créer une suppression des résultats d'audit**, nous devons remplir les champs suivants.
+ **Contrôle d'audit** : nous sélectionnons `Device certificate expiring`, car c'est le contrôle d'audit que nous aimerions supprimer.
+ **Resource identifier**: (Identifiant de ressource) nous saisissons l'ID de certificat d'appareil de l'un des certificats pour lesquels nous souhaitons supprimer les résultats d'audit.
+ **Durée de suppression** : nous sélectionnons `1 week`, car c'est la durée pendant laquelle nous souhaitons supprimer le `Device certificate expiring` contrôle d'audit.
+ **Description (facultatif)** : nous ajoutons une note expliquant pourquoi nous supprimons ce résultat d'audit.
![\[Page Créer une suppression des résultats d'audit sur laquelle vous devez saisir les informations détaillées.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-afs-create.png)
Une fois les champs remplis, choisissez **Créer**. Une bannière de réussite apparaît une fois que la suppression des résultats d'audit a été créée.
1. Nous avons supprimé un résultat d'audit pour l'un des certificats et nous devons maintenant supprimer le résultat d'audit pour le deuxième certificat. Nous pourrions utiliser la même méthode de suppression que celle que nous avons utilisée à l'étape 3, mais nous utiliserons une méthode différente à des fins de démonstration.
Dans la barre latérale gauche, sous **Defend**, choisissez **Audit**, puis **Results**. Sur la page **Audit results** (Résultats de l'audit), choisissez l'audit avec la ressource non conforme. Sélectionnez ensuite la ressource sous **Contrôles non conformes**. Dans notre cas, nous sélectionnons « Expiration du certificat de l'appareil ».
1. Sur la page **Expiration du certificat d'appareil**, sous **Politique non conforme**, choisissez le bouton d'option à côté du résultat qui doit être supprimée. Choisissez ensuite le menu déroulant **Actions**, puis choisissez la durée pendant laquelle vous souhaitez que le résultat soit supprimé. Dans notre cas, nous avons choisi `1 week` comme nous l'avons fait pour l'autre certificat. Dans la fenêtre **Confirmer la suppression**, choisissez **Activer la suppression**.
![\[Page Créer une suppression d’audit sur laquelle vous terminez le flux. Vous verrez une bannière de réussite apparaître une fois que la suppression des résultats d'audit aura été créée.\]](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/images/dd-afs-noncompliantcerts.png)
Une bannière de réussite apparaît une fois que la suppression des résultats d'audit a été créée. À présent, les deux résultats de l'audit ont été supprimés pendant une semaine pendant que nos développeurs travaillent sur une solution pour répondre à l'avertissement.
## Personnalisez les résultats de votre audit dans la CLI
La procédure pas à pas suivante utilise un compte avec un certificat d'appareil expiré qui déclenche une vérification d'audit non conforme. Dans ce scénario, nous souhaitons désactiver l'avertissement car nos développeurs testent une nouvelle fonctionnalité qui résoudra le problème. Nous créons une suppression des résultats d'audit pour le certificat afin d'empêcher le résultat de l'audit d'être non conforme pour la semaine suivante.
Utilisez les commandes CLI suivantes.
+ [create-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/create-audit-suppression.html)
+ [describe-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/describe-audit-suppression.html)
+ [update-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/update-audit-suppression.html)
+ [delete-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/delete-audit-suppression.html)
+ [list-audit-suppressions](https://docs.aws.amazon.com/cli/latest/reference/iot/list-audit-suppressions.html)
1. Utilisez la commande suivante pour activer l'audit.
```
aws iot update-account-audit-configuration \
--audit-check-configurations "{\"DEVICE_CERTIFICATE_EXPIRING_CHECK\":{\"enabled\":true}}"
```
Sortie :
Aucune.
1. Utilisez la commande suivante pour exécuter un audit à la demande qui cible le contrôle d'audit `DEVICE_CERTIFICATE_EXPIRING_CHECK`.
```
aws iot start-on-demand-audit-task \
--target-check-names DEVICE_CERTIFICATE_EXPIRING_CHECK
```
Sortie :
```
{
"taskId": "787ed873b69cb4d6cdbae6ddd06996c5"
}
```
1. Utilisez la commande [describe-account-audit-configuration](https://docs.aws.amazon.com/cli/latest/reference/iot/describe-account-audit-configuration.html) pour décrire la configuration de l'audit. Nous voulons confirmer que nous avons activé le contrôle d'audit pour `DEVICE_CERTIFICATE_EXPIRING_CHECK`.
```
aws iot describe-account-audit-configuration
```
Sortie :
```
{
"roleArn": "arn:aws:iam:::role/service-role/project",
"auditNotificationTargetConfigurations": {
"SNS": {
"targetArn": "arn:aws:sns:us-east-1::project_sns",
"roleArn": "arn:aws:iam:::role/service-role/project",
"enabled": true
}
},
"auditCheckConfigurations": {
"AUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK": {
"enabled": false
},
"CA_CERTIFICATE_EXPIRING_CHECK": {
"enabled": false
},
"CA_CERTIFICATE_KEY_QUALITY_CHECK": {
"enabled": false
},
"CONFLICTING_CLIENT_IDS_CHECK": {
"enabled": false
},
"DEVICE_CERTIFICATE_EXPIRING_CHECK": {
"enabled": true
},
"DEVICE_CERTIFICATE_KEY_QUALITY_CHECK": {
"enabled": false
},
"DEVICE_CERTIFICATE_SHARED_CHECK": {
"enabled": false
},
"IOT_POLICY_OVERLY_PERMISSIVE_CHECK": {
"enabled": true
},
"IOT_ROLE_ALIAS_ALLOWS_ACCESS_TO_UNUSED_SERVICES_CHECK": {
"enabled": false
},
"IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK": {
"enabled": false
},
"LOGGING_DISABLED_CHECK": {
"enabled": false
},
"REVOKED_CA_CERTIFICATE_STILL_ACTIVE_CHECK": {
"enabled": false
},
"REVOKED_DEVICE_CERTIFICATE_STILL_ACTIVE_CHECK": {
"enabled": false
},
"UNAUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK": {
"enabled": false
}
}
}
```
`DEVICE_CERTIFICATE_EXPIRING_CHECK` doit avoir une valeur de `true`.
1. Utilisez la commande [list-audit-task](https://docs.aws.amazon.com/cli/latest/reference/iot/list-audit-task.html) pour identifier les tâches d'audit terminées.
```
aws iot list-audit-tasks \
--task-status "COMPLETED" \
--start-time 2020-07-31 \
--end-time 2020-08-01
```
Sortie :
```
{
"tasks": [
{
"taskId": "787ed873b69cb4d6cdbae6ddd06996c5",
"taskStatus": "COMPLETED",
"taskType": "SCHEDULED_AUDIT_TASK"
}
]
}
```
Le `taskId` de l'audit que vous avez effectué à l'étape 1 doit comporter un `taskStatus` de `COMPLETED`.
1. Utilisez la commande [describe-audit-task](https://docs.aws.amazon.com/cli/latest/reference/iot/describe-audit-task.html) pour obtenir des détails sur l'audit terminé à l'aide du résultat `taskId` de l'étape précédente. Cette commande répertorie les détails de votre audit.
```
aws iot describe-audit-task \
--task-id "787ed873b69cb4d6cdbae6ddd06996c5"
```
Sortie :
```
{
"taskStatus": "COMPLETED",
"taskType": "SCHEDULED_AUDIT_TASK",
"taskStartTime": 1596168096.157,
"taskStatistics": {
"totalChecks": 1,
"inProgressChecks": 0,
"waitingForDataCollectionChecks": 0,
"compliantChecks": 0,
"nonCompliantChecks": 1,
"failedChecks": 0,
"canceledChecks": 0
},
"scheduledAuditName": "AWSIoTDeviceDefenderDailyAudit",
"auditDetails": {
"DEVICE_CERTIFICATE_EXPIRING_CHECK": {
"checkRunStatus": "COMPLETED_NON_COMPLIANT",
"checkCompliant": false,
"totalResourcesCount": 195,
"nonCompliantResourcesCount": 2
}
}
}
```
1. Utilisez la commande [list-audit-findings](https://docs.aws.amazon.com/cli/latest/reference/iot/list-audit-findings.html) pour trouver l'ID de certificat non conforme afin que nous puissions suspendre les alertes d'audit pour cette ressource.
```
aws iot list-audit-findings \
--start-time 2020-07-31 \
--end-time 2020-08-01
```
Sortie :
```
{
"findings": [
{
"findingId": "296ccd39f806bf9d8f8de20d0ceb33a1",
"taskId": "787ed873b69cb4d6cdbae6ddd06996c5",
"checkName": "DEVICE_CERTIFICATE_EXPIRING_CHECK",
"taskStartTime": 1596168096.157,
"findingTime": 1596168096.651,
"severity": "MEDIUM",
"nonCompliantResource": {
"resourceType": "DEVICE_CERTIFICATE",
"resourceIdentifier": {
"deviceCertificateId": "b4490"
},
"additionalInfo": {
"EXPIRATION_TIME": "1582862626000"
}
},
"reasonForNonCompliance": "Certificate is past its expiration.",
"reasonForNonComplianceCode": "CERTIFICATE_PAST_EXPIRATION",
"isSuppressed": false
},
{
"findingId": "37ecb79b7afb53deb328ec78e647631c",
"taskId": "787ed873b69cb4d6cdbae6ddd06996c5",
"checkName": "DEVICE_CERTIFICATE_EXPIRING_CHECK",
"taskStartTime": 1596168096.157,
"findingTime": 1596168096.651,
"severity": "MEDIUM",
"nonCompliantResource": {
"resourceType": "DEVICE_CERTIFICATE",
"resourceIdentifier": {
"deviceCertificateId": "c7691"
},
"additionalInfo": {
"EXPIRATION_TIME": "1583424717000"
}
},
"reasonForNonCompliance": "Certificate is past its expiration.",
"reasonForNonComplianceCode": "CERTIFICATE_PAST_EXPIRATION",
"isSuppressed": false
}
]
}
```
1. Utilisez la commande [create-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/create-audit-suppression.html) pour supprimer les notifications relatives à la vérification `DEVICE_CERTIFICATE_EXPIRING_CHECK` d'audit d'un certificat d'appareil portant l'identifiant `c7691e` jusqu'au *20/08/2020*.
```
aws iot create-audit-suppression \
--check-name DEVICE_CERTIFICATE_EXPIRING_CHECK \
--resource-identifier deviceCertificateId="c7691e" \
--no-suppress-indefinitely \
--expiration-date 2020-08-20
```
1. Utilisez la commande [list-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/list-audit-suppression.html) pour confirmer le paramètre de suppression de l'audit et obtenir des informations sur la suppression.
```
aws iot list-audit-suppressions
```
Sortie :
```
{
"suppressions": [
{
"checkName": "DEVICE_CERTIFICATE_EXPIRING_CHECK",
"resourceIdentifier": {
"deviceCertificateId": "c7691e"
},
"expirationDate": 1597881600.0,
"suppressIndefinitely": false
}
]
}
```
1. La commande [update-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/update-audit-suppression.html) peut être utilisée pour mettre à jour la suppression des résultats d'audit. L'exemple ci-dessous met à jour le `expiration-date` vers`08/21/20`.
```
aws iot update-audit-suppression \
--check-name DEVICE_CERTIFICATE_EXPIRING_CHECK \
--resource-identifier deviceCertificateId=c7691e \
--no-suppress-indefinitely \
--expiration-date 2020-08-21
```
1. La commande [update-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/delete-audit-suppression.html) peut être utilisée pour supprimer une suppression de résultat d'audit.
```
aws iot delete-audit-suppression \
--check-name DEVICE_CERTIFICATE_EXPIRING_CHECK \
--resource-identifier deviceCertificateId="c7691e"
```
Pour confirmer la suppression, utilisez la commande [list-audit-suppressions](https://docs.aws.amazon.com/cli/latest/reference/iot/list-audit-suppressions.html).
```
aws iot list-audit-suppressions
```
Sortie :
```
{
"suppressions": []
}
```
Dans ce didacticiel, nous vous avons montré comment supprimer une vérification `Device certificate expiring` dans la console et dans la CLI. Pour plus d'informations sur les suppressions des résultats d'audit, consultez [Suppressions de résultat d'audit](audit-finding-suppressions.md)