Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memulai dengan AWS IoT Device Defender
Anda dapat menggunakan tutorial berikut untuk bekerja dengannya AWS IoT Device Defender.
**Topics**
+ [
# Pengaturan
](dd-setting-up.md)
+ [
# Panduan audit
](audit-tutorial.md)
+ [
# Panduan Deteksi ML
](dd-detect-ml-getting-started.md)
+ [
# Sesuaikan kapan dan bagaimana Anda melihat hasil AWS IoT Device Defender audit
](dd-suppressions-example.md)
# Pengaturan
Sebelum Anda menggunakan AWS IoT Device Defender untuk pertama kalinya, selesaikan tugas-tugas berikut:
**Topics**
+ [
## Mendaftar untuk Akun AWS
](#sign-up-for-aws)
+ [
## Buat pengguna dengan akses administratif
](#create-an-admin)
## Mendaftar untuk Akun AWS
Jika Anda tidak memiliki Akun AWS, selesaikan langkah-langkah berikut untuk membuatnya.
**Untuk mendaftar untuk Akun AWS**
1. Buka [https://portal.aws.amazon.com/billing/pendaftaran.](https://portal.aws.amazon.com/billing/signup)
1. Ikuti petunjuk online.
Bagian dari prosedur pendaftaran melibatkan menerima panggilan telepon atau pesan teks dan memasukkan kode verifikasi pada keypad telepon.
Saat Anda mendaftar untuk sebuah Akun AWS, sebuah *Pengguna root akun AWS*dibuat. Pengguna root memiliki akses ke semua Layanan AWS dan sumber daya di akun. Sebagai praktik keamanan terbaik, tetapkan akses administratif ke pengguna, dan gunakan hanya pengguna root untuk melakukan [tugas yang memerlukan akses pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS mengirimi Anda email konfirmasi setelah proses pendaftaran selesai. Kapan saja, Anda dapat melihat aktivitas akun Anda saat ini dan mengelola akun Anda dengan masuk [https://aws.amazon.com.rproxy.govskope.uske/](https://aws.amazon.com/) dan memilih **Akun Saya**.
## Buat pengguna dengan akses administratif
Setelah Anda mendaftar Akun AWS, amankan Pengguna root akun AWS, aktifkan AWS IAM Identity Center, dan buat pengguna administratif sehingga Anda tidak menggunakan pengguna root untuk tugas sehari-hari.
**Amankan Anda Pengguna root akun AWS**
1. Masuk ke [Konsol Manajemen AWS](https://console.aws.amazon.com/)sebagai pemilik akun dengan memilih **pengguna Root** dan memasukkan alamat Akun AWS email Anda. Di laman berikutnya, masukkan kata sandi.
Untuk bantuan masuk dengan menggunakan pengguna root, lihat [Masuk sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) di *AWS Sign-In Panduan Pengguna*.
1. Mengaktifkan autentikasi multi-faktor (MFA) untuk pengguna root Anda.
Untuk petunjuk, lihat [Mengaktifkan perangkat MFA virtual untuk pengguna Akun AWS root (konsol) Anda](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) di Panduan Pengguna *IAM*.
**Buat pengguna dengan akses administratif**
1. Aktifkan Pusat Identitas IAM.
Untuk mendapatkan petunjuk, silakan lihat [Mengaktifkan AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) di *Panduan Pengguna AWS IAM Identity Center *.
1. Di Pusat Identitas IAM, berikan akses administratif ke pengguna.
Untuk tutorial tentang menggunakan Direktori Pusat Identitas IAM sebagai sumber identitas Anda, lihat [Mengkonfigurasi akses pengguna dengan default Direktori Pusat Identitas IAM](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) di *Panduan AWS IAM Identity Center Pengguna*.
**Masuk sebagai pengguna dengan akses administratif**
+ Untuk masuk dengan pengguna Pusat Identitas IAM, gunakan URL masuk yang dikirim ke alamat email saat Anda membuat pengguna Pusat Identitas IAM.
Untuk bantuan masuk menggunakan pengguna Pusat Identitas IAM, lihat [Masuk ke portal AWS akses](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*.
**Tetapkan akses ke pengguna tambahan**
1. Di Pusat Identitas IAM, buat set izin yang mengikuti praktik terbaik menerapkan izin hak istimewa paling sedikit.
Untuk petunjuknya, lihat [Membuat set izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) di *Panduan AWS IAM Identity Center Pengguna*.
1. Tetapkan pengguna ke grup, lalu tetapkan akses masuk tunggal ke grup.
Untuk petunjuk, lihat [Menambahkan grup](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) di *Panduan AWS IAM Identity Center Pengguna*.
Tugas-tugas ini membuat Akun AWS dan pengguna dengan hak administrator untuk akun.
# Panduan audit
Tutorial ini memberikan petunjuk tentang cara mengkonfigurasi audit berulang, menyiapkan alarm, meninjau hasil audit dan mengurangi masalah audit.
**Topics**
+ [
## Prasyarat
](#audit-tutorial-prerequisites)
+ [
## Aktifkan pemeriksaan audit
](#audit-tutorial-enable-checks)
+ [
## Lihat hasil audit
](#audit-tutorial-view-audit)
+ [
## Membuat tindakan mitigasi audit
](#audit-tutorial-mitigation)
+ [
## Terapkan tindakan mitigasi pada temuan audit Anda
](#apply-mitigation-actions)
+ [
## Membuat peran IAM AWS IoT Device Defender Audit (opsional)
](#audit-iam)
+ [
## Aktifkan notifikasi SNS (opsional)
](#audit-tutorial-enable-sns)
+ [
## Konfigurasikan izin untuk kunci terkelola pelanggan (opsional)
](#audit-tutorial-cmk-permissions)
+ [
## Aktifkan logging (opsional)
](#enable-logging)
## Prasyarat
Untuk menyelesaikan tutorial ini, Anda memerlukan hal berikut:
+ Sebuah Akun AWS. Jika Anda tidak memiliki ini, lihat [Menyiapkan](https://docs.aws.amazon.com/iot/latest/developerguide/dd-setting-up.html).
## Aktifkan pemeriksaan audit
Dalam prosedur berikut, Anda mengaktifkan pemeriksaan audit yang melihat pengaturan dan kebijakan akun dan perangkat untuk memastikan langkah-langkah keamanan diberlakukan. Dalam tutorial ini kami menginstruksikan Anda untuk mengaktifkan semua pemeriksaan audit, tetapi Anda dapat memilih pemeriksaan mana pun yang Anda inginkan.
Harga audit adalah per jumlah perangkat per bulan (perangkat armada yang terhubung ke AWS IoT). Oleh karena itu, menambahkan atau menghapus pemeriksaan audit tidak akan memengaruhi tagihan bulanan Anda saat menggunakan fitur ini.
1. Buka [konsol AWS IoT](https://console.aws.amazon.com/iot). Di panel navigasi, perluas **Keamanan** dan pilih **Intro**.
1. Pilih **Otomatiskan audit AWS IoT keamanan**. Pemeriksaan audit dihidupkan secara otomatis.
1. Perluas **Audit** dan pilih **Pengaturan** untuk melihat pemeriksaan audit Anda. Pilih nama pemeriksaan audit untuk mempelajari tentang apa yang dilakukan pemeriksaan audit. Untuk informasi selengkapnya tentang pemeriksaan audit, lihat [Pemeriksaan Audit](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html).
1. (Opsional) Jika Anda sudah memiliki peran yang ingin Anda gunakan, pilih **Kelola izin layanan**, pilih peran dari daftar, lalu pilih **Perbarui**.
## Lihat hasil audit
Prosedur berikut menunjukkan cara melihat hasil audit Anda. Dalam tutorial ini, Anda melihat hasil audit dari pemeriksaan audit yang diatur dalam [Aktifkan pemeriksaan audit](#audit-tutorial-enable-checks) tutorial.
**Untuk melihat hasil audit**
1. Buka [konsol AWS IoT](https://console.aws.amazon.com/iot). Di panel navigasi, perluas **Keamanan**, **Audit**, lalu pilih **Hasil**.
1. Pilih **Nama** jadwal audit yang ingin Anda selidiki.
1. Dalam **pemeriksaan yang tidak sesuai**, di bawah **Mitigasi**, pilih tombol info untuk informasi tentang mengapa tidak sesuai. Untuk panduan tentang cara membuat pemeriksaan Anda yang tidak patuh sesuai, lihat. [Pemeriksaan audit](device-defender-audit-checks.md)
## Membuat tindakan mitigasi audit
Dalam prosedur berikut, Anda akan membuat Tindakan Mitigasi AWS IoT Device Defender Audit untuk mengaktifkan AWS IoT logging. Setiap pemeriksaan audit telah memetakan tindakan mitigasi yang akan memengaruhi **jenis Tindakan** yang Anda pilih untuk pemeriksaan audit yang ingin Anda perbaiki. Untuk informasi selengkapnya, lihat Tindakan [mitigasi](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-mitigation-actions.html#defender-audit-apply-mitigation-actions.html).
**Untuk menggunakan AWS IoT konsol untuk membuat tindakan mitigasi**
1. Buka [konsol AWS IoT](https://console.aws.amazon.com/iot). Di panel navigasi, perluas **Keamanan**, **Deteksi**, lalu pilih Tindakan **mitigasi**.
1. **Pada halaman **Tindakan mitigasi**, pilih Buat.**
1. Pada halaman **Buat tindakan mitigasi baru**, untuk **nama Tindakan, masukkan nama** unik untuk tindakan mitigasi Anda seperti. *EnableErrorLoggingAction*
1. Untuk **tipe Tindakan**, pilih **Aktifkan AWS IoT logging**.
1. Di **Izin**, pilih **Buat peran**. Untuk **nama Peran**, gunakan*IoTMitigationActionErrorLoggingRole*. Kemudian, pilih **Buat**.
1. Di **Parameter**, di bawah **Peran untuk pencatatan**, pilih`IoTMitigationActionErrorLoggingRole`. Untuk **tingkat Log**, pilih`Error`.
1. Pilih **Buat**.
## Terapkan tindakan mitigasi pada temuan audit Anda
Prosedur berikut menunjukkan cara menerapkan tindakan mitigasi pada hasil audit Anda.
**Untuk mengurangi temuan audit yang tidak sesuai**
1. Buka [konsol AWS IoT](https://console.aws.amazon.com/iot). Di panel navigasi, perluas **Keamanan**, **Audit**, lalu pilih **Hasil**.
1. Pilih hasil audit yang ingin Anda tanggapi.
1. Periksa hasil Anda.
1. Pilih **Mulai tindakan mitigasi**.
1. Untuk **Logging dinonaktifkan**, pilih tindakan mitigasi yang sebelumnya Anda buat,. `EnableErrorLoggingAction` Anda dapat memilih tindakan yang sesuai untuk setiap temuan yang tidak patuh untuk mengatasi masalah tersebut.
1. Untuk **Pilih kode alasan**, pilih kode alasan yang dikembalikan oleh pemeriksaan audit.
1. Pilih **Mulai tugas**. Tindakan mitigasi mungkin memakan waktu beberapa menit untuk dijalankan.
**Untuk memeriksa apakah tindakan mitigasi berhasil**
1. Di AWS IoT konsol, di panel navigasi, pilih **Pengaturan**.
1. Di **Log layanan**, konfirmasikan bahwa **level Log** adalah`Error (least verbosity)`.
## Membuat peran IAM AWS IoT Device Defender Audit (opsional)
Dalam prosedur berikut, Anda membuat peran IAM AWS IoT Device Defender Audit yang menyediakan akses AWS IoT Device Defender AWS IoT baca.
**Untuk membuat peran layanan untuk AWS IoT Device Defender (konsol IAM)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi konsol IAM, pilih **Peran**, dan lalu pilih **Buat peran**.
1. Pilih jenis **Layanan AWS**peran.
1. Dalam **kasus penggunaan untuk AWS layanan lain**, pilih **AWS IoT**, lalu pilih **IoT - Audit Pembela Perangkat**.
1. Pilih **Berikutnya**.
1. (Opsional) Tetapkan [batas izin](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Ini adalah fitur lanjutan yang tersedia untuk peran layanan, tetapi bukan peran tertaut layanan.
**Perluas bagian batas izin** dan pilih **Gunakan batas izin untuk mengontrol izin peran maksimum**. IAM menyertakan daftar kebijakan yang AWS dikelola dan dikelola pelanggan di akun Anda. Pilih kebijakan yang akan digunakan untuk batas izin atau pilih **Buat kebijakan** untuk membuka tab peramban baru dan membuat kebijakan baru dari awal. Untuk informasi selengkapnya, lihat [Membuat kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) dalam *Panduan Pengguna IAM*. Setelah Anda membuat kebijakan, tutup tab tersebut dan kembali ke tab asli Anda untuk memilih kebijakan yang akan digunakan untuk batas izin.
1. Pilih **Berikutnya**.
1. Masukkan nama peran untuk membantu Anda mengidentifikasi tujuan peran ini. Nama peran harus unik dalam diri Anda Akun AWS. Grup tidak dibedakan berdasarkan huruf besar-kecil. Misalnya, Anda tidak dapat membuat peran dengan nama **PRODROLE** dan **prodrole**. Karena berbagai entitas mungkin mereferensikan peran tersebut, Anda tidak dapat mengedit nama peran setelah peran tersebut dibuat.
1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk peran baru ini.
1. Pilih **Edit** di **Langkah 1: Pilih entitas tepercaya** atau **Langkah 2: Pilih bagian izin** untuk mengedit kasus penggunaan dan izin untuk peran tersebut.
1. (Opsional) Tambahkan metadata ke pengguna dengan cara melampirkan tanda sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang penggunaan tanda di IAM, lihat [Menandai sumber daya IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) di *Panduan Pengguna IAM*.
1. Tinjau peran, lalu pilih **Buat peran**.
## Aktifkan notifikasi SNS (opsional)
Dalam prosedur berikut, Anda mengaktifkan notifikasi Amazon SNS (SNS) untuk memberi tahu Anda saat audit mengidentifikasi sumber daya yang tidak sesuai. Dalam tutorial ini Anda akan mengatur notifikasi untuk pemeriksaan audit yang diaktifkan dalam [Aktifkan pemeriksaan audit](#audit-tutorial-enable-checks) tutorial.
1. Jika Anda belum melakukannya, lampirkan kebijakan yang menyediakan akses ke SNS melalui. Konsol Manajemen AWS**Anda dapat melakukannya dengan mengikuti petunjuk dalam [Melampirkan kebijakan ke grup pengguna IAM di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html) *IAM* dan memilih kebijakan Tindakan AWSIo TDevice DefenderPublishFindingsToSNSMitigation.**
1. Buka [konsol AWS IoT](https://console.aws.amazon.com/iot). Di panel navigasi, perluas **Keamanan**, **Audit**, lalu pilih **Pengaturan**.
1. Di bagian bawah halaman **pengaturan audit Device Defender**, pilih **Aktifkan peringatan SNS**.
1. Pilih **Diaktifkan**.
1. Untuk **Topik**, pilih **Buat topik baru**. Beri nama topik *IoTDDNotifications* dan pilih **Buat**. Untuk **Peran**, pilih peran yang Anda buat[Membuat peran IAM AWS IoT Device Defender Audit (opsional)](#audit-iam).
1. Pilih **Perbarui**.
1. Jika Anda ingin menerima email atau teks di platform Ops Anda melalui Amazon SNS, lihat Menggunakan [Layanan Pemberitahuan Sederhana Amazon untuk pemberitahuan pengguna](https://docs.aws.amazon.com/sns/latest/dg/sns-user-notifications.html).
## Konfigurasikan izin untuk kunci terkelola pelanggan (opsional)
**catatan**
Konfigurasi ini hanya diperlukan jika Anda telah memilih kunci terkelola pelanggan untuk AWS IoT Core. Untuk informasi selengkapnya tentang enkripsi AWS IoT Core saat istirahat, lihat [Enkripsi data saat istirahat di AWS IoT](https://docs.aws.amazon.com/iot/latest/developerguide/encryption-at-rest.html) Core.
Jika Anda telah mengaktifkan kunci terkelola pelanggan (CMK) untuk enkripsi AWS IoT Core saat istirahat, peran IAM yang digunakan oleh AWS IoT Device Defender Audit memerlukan izin tambahan untuk mendekripsi data. Tanpa izin ini, operasi audit akan gagal.
Kebijakan [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIoTDeviceDefenderAudit.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIoTDeviceDefenderAudit.html)terkelola tidak menyertakan `kms:Decrypt` izin berdasarkan desain, mengikuti prinsip hak istimewa paling sedikit. Anda harus menambahkan izin ini secara manual ke peran audit Anda saat menggunakan kunci yang dikelola pelanggan.
**Untuk menambahkan izin KMS ke peran IAM AWS IoT Device Defender Audit Anda**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran, lalu cari peran** yang Anda buat [Membuat peran IAM AWS IoT Device Defender Audit (opsional)](#audit-iam) atau peran yang Anda tentukan saat mengonfigurasi setelan audit.
1. Pilih nama peran untuk membuka halaman detailnya.
1. Di tab **Izin**, pilih **Tambahkan izin**, lalu pilih **Buat kebijakan sebaris**.
1. Pilih tab **JSON** dan masukkan kebijakan berikut. Ganti *REGION**ACCOUNT\$1ID*,, dan *KEY\$1ID* dengan detail AWS KMS kunci Anda:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:REGION:ACCOUNT_ID:key/KEY_ID"
}
]
}
```
1. Pilih **Berikutnya**.
1. Untuk **nama Kebijakan**, masukkan nama deskriptif seperti**DeviceDefenderAuditKMSDecrypt**.
1. Pilih **Buat kebijakan**.
## Aktifkan logging (opsional)
Prosedur ini menjelaskan cara mengaktifkan informasi log AWS IoT ke CloudWatch Log. Ini akan memungkinkan Anda untuk melihat hasil audit Anda. Mengaktifkan pencatatan dapat mengakibatkan biaya yang timbul.
**Untuk mengaktifkan logging**
1. Buka [konsol AWS IoT](https://console.aws.amazon.com/iot). Pada panel navigasi, pilih **Pengaturan**.
1. Di **Log**, pilih **Kelola log**.
1. Untuk **Pilih peran**, pilih **Buat peran**. Beri nama peran *AWSIoTLoggingRole* dan pilih **Buat**. Kebijakan dilampirkan secara otomatis.
1. Untuk **tingkat Log**, pilih **Debug (kebanyakan verbositas**).
1. Pilih **Perbarui**.
# Panduan Deteksi ML
**catatan**
ML Detect tidak tersedia di wilayah berikut:
Asia Pasifik (Malaysia)
Dalam panduan Memulai ini, Anda membuat Profil Keamanan Deteksi ML yang menggunakan pembelajaran mesin (ML) untuk membuat model perilaku yang diharapkan berdasarkan data metrik historis dari perangkat Anda. Saat ML Detect membuat model ML, Anda dapat memantau kemajuannya. Setelah model ML dibuat, Anda dapat melihat dan menyelidiki alarm secara berkelanjutan dan mengurangi masalah yang teridentifikasi.
Untuk informasi selengkapnya tentang MLDetect dan perintah API dan CLI, lihat. [Deteksi ML](dd-detect-ml.md)
**Topics**
+ [
## Prasyarat
](#ml-detect-prereqs)
+ [
## Cara menggunakan Detect ML di konsol
](#dd-detect-ml-console)
+ [
## Cara menggunakan Detect ML dengan CLI
](#dd-detect-ml-cli)
## Prasyarat
+ Sebuah Akun AWS. Jika Anda tidak memiliki ini, lihat [Menyiapkan](https://docs.aws.amazon.com/iot/latest/developerguide/dd-setting-up.html).
## Cara menggunakan Detect ML di konsol
**Topics**
+ [
### Aktifkan Deteksi ML
](#enable-ml-detect-console)
+ [
### Pantau status model ML Anda
](#monitor-ml-models-console)
+ [
### Tinjau alarm Deteksi ML Anda
](#review-ml-alarms-console)
+ [
### Sempurnakan alarm ML Anda
](#fine-tune-ml-models-console)
+ [
### Tandai status verifikasi alarm Anda
](#mark-your-alarms)
+ [
### Mengurangi masalah perangkat yang teridentifikasi
](#mitigate-ml-issues-console)
### Aktifkan Deteksi ML
Prosedur berikut merinci cara mengatur Detect Detect di konsol.
1. Pertama, pastikan perangkat Anda akan membuat titik data minimum yang diperlukan seperti yang ditentukan dalam [persyaratan minimum Detect](dd-detect-ml.md#dd-detect-ml-requirements) untuk pelatihan berkelanjutan dan penyegaran model. Agar pengumpulan data berkembang, pastikan Profil Keamanan Anda dilampirkan ke target, yang dapat berupa grup benda atau benda.
1. Di [AWS IoT konsol](https://console.aws.amazon.com/iot), di panel navigasi, perluas **Defend**. Pilih **Deteksi**, **Profil keamanan**, **Buat profil keamanan**, dan kemudian **Buat profil Deteksi anomali ML**.
1. Pada halaman **Set basic configurations**, lakukan hal berikut.
+ Di bawah **Target**, pilih grup perangkat target Anda.
+ Di bawah **nama profil keamanan**, masukkan nama untuk Profil Keamanan Anda.
+ (Opsional) Di bawah **Deskripsi** Anda dapat menulis dalam deskripsi singkat untuk profil ML.
+ Di bawah **Perilaku metrik yang dipilih di Profil Keamanan**, pilih metrik yang ingin Anda pantau.
![\[Buat halaman konfigurasi Profil Keamanan ML dengan semua hal terdaftar yang dipilih sebagai target, perilaku metrik yang terdaftar seperti kegagalan otorisasi dan upaya koneksi, dan opsi untuk menambahkan metrik sisi cloud atau perangkat.\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-ml-set-basic.png)
Setelah selesai, pilih **Berikutnya**.
1. Pada halaman **Setel SNS (opsional)**, tentukan topik SNS untuk pemberitahuan alarm saat perangkat melanggar perilaku di profil Anda. Pilih peran IAM yang akan Anda gunakan untuk mempublikasikan ke topik SNS yang dipilih.
Jika Anda belum memiliki peran SNS, gunakan langkah-langkah berikut untuk membuat peran dengan izin yang tepat dan hubungan kepercayaan yang diperlukan.
+ Arahkan ke [konsol IAM](https://console.aws.amazon.com/iam/). Pada panel navigasi, silakan pilih **Peran** lalu pilih **Buat peran**.
+ Di bawah **Pilih jenis entitas tepercaya**, pilih **AWS Layanan**. Kemudian, di bawah **Pilih kasus penggunaan**, pilih **IoT** dan di bawah **Pilih kasus penggunaan Anda, pilih** **IoT - Tindakan Mitigasi Pembela Perangkat**. Setelah selesai, pilih **Berikutnya: Izin**.
+ Di bawah **Kebijakan izin terlampir**, pastikan bahwa **AWSIoTDeviceDefenderPublishFindingsToSNSMitigationTindakan** dipilih, lalu pilih **Berikutnya: Tag**.
![\[Tabel kebijakan izin untuk AWS IoT Device Defender peran dengan nama kebijakan, deskripsi tentang akses yang disediakan oleh setiap kebijakan, dan opsi untuk memfilter atau mencari kebijakan.\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-ml-sns-findings.png)
+ Di bawah **Tambahkan tag (opsional)**, Anda dapat menambahkan tag apa pun yang ingin Anda kaitkan dengan peran Anda. Setelah selesai, pilih **Berikutnya: Tinjau**.
+ **Di bawah **Tinjauan**, beri nama peran Anda dan pastikan bahwa **AWSIoTDeviceDefenderPublishFindingsToSNSMitigationTindakan** tercantum di bawah **Izin** dan **AWS layanan: iot.amazonaws.com** terdaftar di bawah Hubungan kepercayaan.** Setelah selesai, pilih **Buat peran**.
![\[Halaman ringkasan peran IAM yang menampilkan Sample-SNS-role detail seperti ARN peran, deskripsi, ARNs profil instance, jalur, waktu pembuatan, durasi sesi maksimum, dan temuan publikasi AWS IoT Device Defender terapan ke kebijakan tindakan mitigasi SNS\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-ml-detect-permissions.png)
![\[Sample-SNS-roleRingkasan IAM yang menunjukkan ARN peran, deskripsi peran yang AWS IoT Device Defender menyediakan akses tulis untuk mempublikasikan pemberitahuan SNS, jalur, waktu pembuatan, dan entitas tepercaya\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-ml-detect-trust-relationships.png)
1. Pada halaman **Edit perilaku Metrik**, Anda dapat menyesuaikan setelan perilaku ML Anda.
![\[Edit bagian perilaku metrik dengan kegagalan Authorization, Bytes in, dan Connection mencoba metrik, memungkinkan konfigurasi titik data untuk pemicu alarm, notifikasi, dan tingkat kepercayaan Deteksi ML.\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-ml-update-config.png)
1. Setelah selesai, pilih **Berikutnya**.
1. Pada halaman **konfigurasi Tinjau**, verifikasi perilaku yang ingin dipantau oleh pembelajaran mesin, lalu pilih **Berikutnya**.
![\[Edit halaman Profil Keamanan ML yang menampilkan Smart_LightS_ML_DETECT_SECURITY_PROFILE yang menargetkan semua hal yang terdaftar, dengan perilaku metrik untuk kegagalan otorisasi, byte out, upaya koneksi, dan pemutusan sambungan.\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-ml-review-config.png)
1. Setelah membuat Profil Keamanan, Anda akan diarahkan ke halaman **Profil Keamanan, tempat Profil** Keamanan yang baru dibuat muncul.
**catatan**
Pelatihan dan pembuatan model ML awal membutuhkan waktu 14 hari untuk diselesaikan. Anda dapat mengharapkan untuk melihat alarm setelah selesai, jika ada aktivitas anomali di perangkat Anda.
### Pantau status model ML Anda
Saat model ML Anda berada dalam periode pelatihan awal, Anda dapat memantau kemajuannya kapan saja dengan mengambil langkah-langkah berikut.
1. Di [AWS IoT konsol](https://console.aws.amazon.com/iot), di panel navigasi, perluas **Defend**, lalu pilih **Detect**, **Security profiles**.
1. Pada halaman **Profil Keamanan**, pilih Profil Keamanan yang ingin Anda tinjau. Kemudian, pilih **Behaviors and MLtraining**.
1. Pada halaman **Pelatihan Perilaku dan ML**, periksa kemajuan pelatihan model ML Anda.
Setelah status model Anda **Aktif**, itu akan mulai membuat keputusan Deteksi berdasarkan penggunaan Anda dan memperbarui profil setiap hari.
![\[Dasbor menunjukkan model pembelajaran mesin dengan kepercayaan rendah untuk memantau port TCP/UDP mendengarkan dan koneksi TCP yang mapan.\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-ml-active-state.png)
**catatan**
Jika model Anda tidak berkembang seperti yang diharapkan, pastikan perangkat Anda memenuhi[Persyaratan minimum](dd-detect-ml.md#dd-detect-ml-requirements).
### Tinjau alarm Deteksi ML Anda
Setelah model ML dibuat dan siap untuk inferensi data, Anda dapat secara teratur melihat dan menyelidiki alarm yang diidentifikasi oleh model.
1. Di [AWS IoT konsol](https://console.aws.amazon.com/iot), di panel navigasi, perluas **Pertahankan**, lalu pilih **Deteksi**, **Alarm**.
![\[AWS IoT Device Defender daftar alarm yang menampilkan 5 alarm kegagalan otorisasi aktif dengan nama Thing, Profil Keamanan, jenis perilaku, nama perilaku, waktu terakhir yang dipancarkan, dan kolom status verifikasi.\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-ml-alarms.png)
1. Jika Anda menavigasi ke tab **Riwayat**, Anda juga dapat melihat detail tentang perangkat Anda yang tidak lagi dalam alarm.
![\[Grafik garis yang menunjukkan alarm dalam alarm, dihapus, dan tidak valid selama periode dua minggu, dengan jumlah alarm pada sumbu y dan tanggal pada sumbu x.\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-ml-history-alarm.png)
**Untuk mendapatkan informasi selengkapnya, di bawah **Kelola** pilih Hal, pilih hal yang ingin Anda lihat detailnya lebih lanjut, lalu arahkan ke **metrik Pembela**.** Anda dapat mengakses **grafik metrik Defender** dan melakukan penyelidikan pada apa pun yang ada di alarm dari tab **Aktif**. Dalam hal ini, grafik menunjukkan lonjakan ukuran pesan, yang memulai alarm. Anda dapat melihat alarm kemudian dihapus.
![\[Dasbor IoT menampilkan grafik metrik maksimum ukuran pesan dengan puncak pada 801 byte pada tanggal dan waktu yang ditentukan.\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-ml-defender-metrics.png)
### Sempurnakan alarm ML Anda
Setelah model ML dibuat dan siap untuk evaluasi data, Anda dapat memperbarui pengaturan perilaku MS Profil Keamanan untuk mengubah konfigurasi. Prosedur berikut menunjukkan kepada Anda cara memperbarui setelan perilaku MS Profil Keamanan Anda di AWS CLI.
1. Di [AWS IoT konsol](https://console.aws.amazon.com/iot), di panel navigasi, perluas **Defend**, lalu pilih **Detect**, **Security profiles**.
1. Pada halaman **Profil Keamanan**, pilih kotak centang di samping Profil Keamanan yang ingin Anda tinjau. Kemudian, pilih **Tindakan**, **Edit**.
![\[AWS IoT Device Defender Daftar Profil Keamanan yang menampilkan nama profil, tipe ambang batas ML, perilaku dipertahankan, hal-hal target, tanggal pembuatan, status notifikasi\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-ml-fine-tune.png)
1. Di bawah **Mengatur konfigurasi dasar**, Anda dapat menyesuaikan grup target profil keamanan atau mengubah metrik apa yang ingin Anda pantau.
![\[Buat halaman konfigurasi Profil Keamanan ML dengan semua hal terdaftar yang dipilih sebagai target, perilaku metrik yang terdaftar seperti kegagalan otorisasi dan upaya koneksi, dan opsi untuk menambahkan metrik sisi cloud atau perangkat\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-ml-set-basic.png)
1. Anda dapat memperbarui salah satu dari berikut ini dengan menavigasi ke **Edit perilaku metrik**.
+ Datapoint model ML Anda diperlukan untuk memulai alarm
+ Datapoint model ML Anda diperlukan untuk menghapus alarm
+ Tingkat kepercayaan diri Anda Deteksi
+ Notifikasi Deteksi ML Anda (misalnya, **Tidak ditekan, **Ditekan****)
![\[Edit bagian perilaku metrik dengan opsi untuk mengonfigurasi kegagalan otorisasi, byte out, dan metrik upaya koneksi untuk profil keamanan ML.\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-ml-update-config-2.png)
### Tandai status verifikasi alarm Anda
Tandai alarm Anda dengan menyetel status verifikasi dan memberikan deskripsi status verifikasi tersebut. Ini membantu Anda dan tim Anda mengidentifikasi alarm yang tidak perlu Anda tanggapi.
1. Di [AWS IoT konsol](https://console.aws.amazon.com/iot/), pada panel navigasi, perluas **Defend**, lalu pilih **Detect**, **Alarm**. Pilih alarm untuk menandai status verifikasi.
![\[AWS IoT Device Defender Tampilan alarm menunjukkan peristiwa perilaku kegagalan otorisasi aktif untuk hal-hal konsol IoT seperti iotconsole-6f8379bc-c245-4ffe-8ef7-b2b52e78975c dengan profil keamanan fdsa.\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-ml-alarm-select.png)
1. Pilih **Tandai status verifikasi**. Modal status verifikasi terbuka.
1. Pilih status verifikasi yang sesuai, masukkan deskripsi verifikasi (opsional), lalu pilih **Tandai**. Tindakan ini memberikan status verifikasi dan deskripsi ke alarm yang dipilih.
![\[Dialog untuk menandai status verifikasi alarm dengan opsi: Unknown, True positive, False positive, Benign positive.\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-ml-alarm-state-window.png)
### Mengurangi masalah perangkat yang teridentifikasi
1. *(Opsional)* Sebelum menyiapkan tindakan mitigasi karantina, mari kita buat grup karantina tempat kita akan memindahkan perangkat yang melanggar. Anda juga dapat menggunakan grup yang sudah ada.
1. Arahkan ke **Manage**, **Thing groups**, dan kemudian **Create Thing Group**. Beri nama grup barang Anda. Untuk tutorial ini, kami akan menamai grup hal kami`Quarantine_group`. Di bawah **Thing group**, **Security**, terapkan kebijakan berikut ke grup benda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "iot:*",
"Resource": "*"
}
]
}
```
------
![\[AWS IoT konsol Buat halaman Thing Group dengan tombol Create Thing Group.\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-create-thing-group.png)
Setelah selesai, pilih **Create thing group**.
1. Sekarang kita telah membuat grup hal, mari kita buat tindakan mitigasi yang memindahkan perangkat yang dalam alarm ke dalam. `Quarantine_group`
**Di bawah **Pertahankan**, **Tindakan mitigasi**, pilih Buat.**
![\[AWS IoT Device Defender Formulir konfigurasi tindakan mitigasi dengan nama Action, Action type, Permissions, Action execution role, dan Thing groups field.\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-miti-create.png)
1. Pada halaman **Buat tindakan mitigasi baru**, masukkan informasi berikut.
+ **Nama tindakan**: Beri nama tindakan mitigasi Anda, seperti. **Quarantine\$1action**
+ **Jenis tindakan**: Pilih jenis tindakan. Kita akan memilih **Add things to thing group (Audit atau Detect mitigation**).
+ **Peran eksekusi tindakan**: Buat peran atau pilih peran yang ada jika Anda membuatnya lebih awal.
+ **Parameter**: Pilih grup benda. Kita bisa menggunakan`Quarantine_group`, yang kita buat sebelumnya.
![\[AWS IoT Device Defender Formulir konfigurasi tindakan mitigasi dengan nama Action, Action type, Permissions, Action execution role, dan Thing groups field.\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-miti-create-form.png)
Setelah selesai, pilih **Simpan**. Anda sekarang memiliki tindakan mitigasi yang memindahkan perangkat dalam alarm ke kelompok benda karantina, dan tindakan mitigasi untuk mengisolasi perangkat saat Anda menyelidiki.
1. Arahkan ke **Pembela**, **Deteksi**, **Alarm**. Anda dapat melihat perangkat mana yang dalam keadaan alarm di bawah **Aktif**.
![\[AWS IoT Device Defender daftar alarm yang menampilkan 5 alarm kegagalan otorisasi aktif dengan nama Thing, Profil Keamanan, jenis perilaku, nama perilaku, waktu terakhir yang dipancarkan, dan kolom status verifikasi.\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-ml-alarms.png)
Pilih perangkat yang ingin Anda pindahkan ke grup karantina dan pilih **Mulai Tindakan Mitigasi**.
1. Di bawah **Mulai tindakan mitigasi, Mulai Tindakan** **pilih tindakan** mitigasi yang Anda buat sebelumnya. Misalnya, kita akan memilih**Quarantine\$1action**, lalu pilih **Mulai**. Halaman Action Tasks terbuka.
![\[Dialog tindakan mitigasi dengan “udml7" terdaftar sebagai hal yang terpengaruh, kotak centang untuk mengonfirmasi tindakan yang tidak dapat diubah, dan tarik-turun untuk memilih tindakan yang akan dijalankan.\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-ml-start-action.png)
1. Perangkat sekarang terisolasi **Quarantine\$1group** dan Anda dapat menyelidiki akar penyebab masalah yang mematikan alarm. Setelah Anda menyelesaikan penyelidikan, Anda dapat memindahkan perangkat keluar dari grup benda atau mengambil tindakan lebih lanjut.
![\[AWS IoT Device Defender Deteksi tabel tugas Tindakan yang menunjukkan satu tindakan karantina untuk menambahkan hal-hal ke grup benda quarantine_group.\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-ml-action-tasks.png)
## Cara menggunakan Detect ML dengan CLI
Berikut ini menunjukkan kepada Anda cara mengatur Detect Detect menggunakan CLI.
**Topics**
+ [
### Aktifkan Deteksi ML
](#enable-ml-detect-cli)
+ [
### Pantau status model ML Anda
](#monitor-ml-models-cli)
+ [
### Tinjau alarm Deteksi ML Anda
](#review-ml-alarms-cli)
+ [
### Sempurnakan alarm ML Anda
](#fine-tune-ml-models-cli)
+ [
### Tandai status verifikasi alarm Anda
](#mark-verification-state-cli)
+ [
### Mengurangi masalah perangkat yang teridentifikasi
](#mitigate-issues-cli)
### Aktifkan Deteksi ML
Prosedur berikut menunjukkan kepada Anda cara mengaktifkan Deteksi ML di file AWS CLI.
1. Pastikan perangkat Anda akan membuat titik data minimum yang diperlukan seperti yang ditentukan dalam [persyaratan minimum Detect](dd-detect-ml.md#dd-detect-ml-requirements) untuk pelatihan berkelanjutan dan penyegaran model. Agar pengumpulan data berkembang, pastikan barang-barang Anda berada dalam grup benda yang dilampirkan ke Profil Keamanan.
1. Buat Profil Keamanan Deteksi ML dengan menggunakan `[create-security-profile](https://docs.aws.amazon.com/cli/latest/reference/iot/create-security-profile.html)` perintah. Contoh berikut membuat Profil Keamanan bernama *security-profile-for-smart-lights* yang memeriksa jumlah pesan yang dikirim, jumlah kegagalan otorisasi, jumlah upaya koneksi, dan jumlah pemutusan. Contoh ini digunakan `mlDetectionConfig` untuk menetapkan bahwa metrik akan menggunakan model Detect ML.
```
aws iot create-security-profile \
--security-profile-name security-profile-for-smart-lights \
--behaviors \
'[{
"name": "num-messages-sent-ml-behavior",
"metric": "aws:num-messages-sent",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
},
{
"name": "num-authorization-failures-ml-behavior",
"metric": "aws:num-authorization-failures",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
},
{
"name": "num-connection-attempts-ml-behavior",
"metric": "aws:num-connection-attempts",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
},
{
"name": "num-disconnects-ml-behavior",
"metric": "aws:num-disconnects",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
}]'
```
Output:
```
{
"securityProfileName": "security-profile-for-smart-lights",
"securityProfileArn": "arn:aws:iot:eu-west-1:123456789012:securityprofile/security-profile-for-smart-lights"
}
```
1. Selanjutnya, kaitkan Profil Keamanan Anda dengan satu atau beberapa grup hal. Gunakan `[attach-security-profile](https://docs.aws.amazon.com/cli/latest/reference/iot/attach-security-profile.html)` perintah untuk melampirkan grup sesuatu ke Profil Keamanan Anda. Contoh berikut mengaitkan grup hal bernama *ML\$1Detect\$1beta\$1static\$1group* dengan Profil *security-profile-for-smart-lights* Keamanan.
```
aws iot attach-security-profile \
--security-profile-name security-profile-for-smart-lights \
--security-profile-target-arn arn:aws:iot:eu-west-1:123456789012:thinggroup/ML_Detect_beta_static_group
```
Output:
Tidak ada.
1. Setelah Anda membuat Profil Keamanan lengkap Anda, model ML memulai pelatihan. Pelatihan dan pembangunan model ML awal membutuhkan waktu 14 hari untuk diselesaikan. Setelah 14 hari, jika ada aktivitas anomali di perangkat Anda, Anda dapat mengharapkan untuk melihat alarm.
### Pantau status model ML Anda
Prosedur berikut menunjukkan kepada Anda cara memantau pelatihan model ML Anda yang sedang berlangsung.
+ Gunakan `[get-behavior-model-training-summaries](https://docs.aws.amazon.com/cli/latest/reference/iot/get-behavior-model-training-summaries.html)` perintah untuk melihat kemajuan model ML Anda. Contoh berikut mendapatkan ringkasan kemajuan pelatihan model ML untuk Profil *security-profile-for-smart-lights* Keamanan. `modelStatus`menunjukkan kepada Anda jika model telah menyelesaikan pelatihan atau masih menunggu build untuk perilaku tertentu.
```
aws iot get-behavior-model-training-summaries \
--security-profile-name security-profile-for-smart-lights
```
Output:
```
{
"summaries": [
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Messages_sent_ML_behavior",
"trainingDataCollectionStartDate": "2020-11-30T14:00:00-08:00",
"modelStatus": "ACTIVE",
"datapointsCollectionPercentage": 29.408,
"lastModelRefreshDate": "2020-12-07T14:35:19.237000-08:00"
},
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Messages_received_ML_behavior",
"modelStatus": "PENDING_BUILD",
"datapointsCollectionPercentage": 0.0
},
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Authorization_failures_ML_behavior",
"trainingDataCollectionStartDate": "2020-11-30T14:00:00-08:00",
"modelStatus": "ACTIVE",
"datapointsCollectionPercentage": 35.464,
"lastModelRefreshDate": "2020-12-07T14:29:44.396000-08:00"
},
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Message_size_ML_behavior",
"trainingDataCollectionStartDate": "2020-11-30T14:00:00-08:00",
"modelStatus": "ACTIVE",
"datapointsCollectionPercentage": 29.332,
"lastModelRefreshDate": "2020-12-07T14:30:44.113000-08:00"
},
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Connection_attempts_ML_behavior",
"trainingDataCollectionStartDate": "2020-11-30T14:00:00-08:00",
"modelStatus": "ACTIVE",
"datapointsCollectionPercentage": 32.891999999999996,
"lastModelRefreshDate": "2020-12-07T14:29:43.121000-08:00"
},
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Disconnects_ML_behavior",
"trainingDataCollectionStartDate": "2020-11-30T14:00:00-08:00",
"modelStatus": "ACTIVE",
"datapointsCollectionPercentage": 35.46,
"lastModelRefreshDate": "2020-12-07T14:29:55.556000-08:00"
}
]
}
```
**catatan**
Jika model Anda tidak berkembang seperti yang diharapkan, pastikan perangkat Anda memenuhi[Persyaratan minimum](dd-detect-ml.md#dd-detect-ml-requirements).
### Tinjau alarm Deteksi ML Anda
Setelah model ML dibuat dan siap untuk evaluasi data, Anda dapat secara teratur melihat alarm apa pun yang disimpulkan oleh model. Prosedur berikut menunjukkan kepada Anda cara melihat alarm Anda di. AWS CLI
+ Untuk melihat semua alarm aktif, gunakan `[list-active-violations](https://docs.aws.amazon.com/cli/latest/reference/iot/list-active-violations.html)` perintah.
```
aws iot list-active-violations \
--max-results 2
```
Output:
```
{
"activeViolations": []
}
```
Atau, Anda dapat melihat semua pelanggaran yang ditemukan selama periode waktu tertentu dengan menggunakan `[list-violation-events](https://docs.aws.amazon.com/cli/latest/reference/iot/list-violation-events.html)` perintah. Contoh berikut mencantumkan peristiwa pelanggaran dari 22 September 2020 5:42:13 GMT hingga 26 Oktober 2020 5:42:13 GMT.
```
aws iot list-violation-events \
--start-time 1599500533 \
--end-time 1600796533 \
--max-results 2
```
Output:
```
{
"violationEvents": [
{
"violationId": "1448be98c09c3d4ab7cb9b6f3ece65d6",
"thingName": "lightbulb-1",
"securityProfileName": "security-profile-for-smart-lights",
"behavior": {
"name": "LowConfidence_MladBehavior_MessagesSent",
"metric": "aws:num-messages-sent",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
},
"violationEventType": "alarm-invalidated",
"violationEventTime": 1600780245.29
},
{
"violationId": "df4537569ef23efb1c029a433ae84b52",
"thingName": "lightbulb-2",
"securityProfileName": "security-profile-for-smart-lights",
"behavior": {
"name": "LowConfidence_MladBehavior_MessagesSent",
"metric": "aws:num-messages-sent",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
},
"violationEventType": "alarm-invalidated",
"violationEventTime": 1600780245.281
}
],
"nextToken": "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"
}
```
### Sempurnakan alarm ML Anda
Setelah model ML Anda dibuat dan siap untuk evaluasi data, Anda dapat memperbarui pengaturan perilaku MS Profil Keamanan Anda untuk mengubah konfigurasi. Prosedur berikut menunjukkan kepada Anda cara memperbarui setelan perilaku MS Profil Keamanan Anda di AWS CLI.
+ Untuk mengubah setelan perilaku MS Profil Keamanan Anda, gunakan `[update-security-profile](https://docs.aws.amazon.com/cli/latest/reference/iot/update-security-profile.html)` perintah. Contoh berikut memperbarui perilaku Profil *security-profile-for-smart-lights* Keamanan dengan mengubah `confidenceLevel` beberapa perilaku dan menghapus pemberitahuan untuk semua perilaku.
```
aws iot update-security-profile \
--security-profile-name security-profile-for-smart-lights \
--behaviors \
'[{
"name": "num-messages-sent-ml-behavior",
"metric": "aws:num-messages-sent",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel" : "HIGH"
}
},
"suppressAlerts": false
},
{
"name": "num-authorization-failures-ml-behavior",
"metric": "aws:num-authorization-failures",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel" : "HIGH"
}
},
"suppressAlerts": false
},
{
"name": "num-connection-attempts-ml-behavior",
"metric": "aws:num-connection-attempts",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel" : "HIGH"
}
},
"suppressAlerts": false
},
{
"name": "num-disconnects-ml-behavior",
"metric": "aws:num-disconnects",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel" : "LOW"
}
},
"suppressAlerts": false
}]'
```
Output:
```
{
"securityProfileName": "security-profile-for-smart-lights",
"securityProfileArn": "arn:aws:iot:eu-west-1:123456789012:securityprofile/security-profile-for-smart-lights",
"behaviors": [
{
"name": "num-messages-sent-ml-behavior",
"metric": "aws:num-messages-sent",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
}
},
{
"name": "num-authorization-failures-ml-behavior",
"metric": "aws:num-authorization-failures",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
}
},
{
"name": "num-connection-attempts-ml-behavior",
"metric": "aws:num-connection-attempts",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": false
},
{
"name": "num-disconnects-ml-behavior",
"metric": "aws:num-disconnects",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel": "LOW"
}
},
"suppressAlerts": true
}
],
"version": 2,
"creationDate": 1600799559.249,
"lastModifiedDate": 1600800516.856
}
```
### Tandai status verifikasi alarm Anda
Anda dapat menandai alarm Anda dengan status verifikasi untuk membantu mengklasifikasikan alarm dan menyelidiki anomali.
+ Tandai alarm Anda dengan status verifikasi dan deskripsi status itu. Misalnya untuk menyetel status verifikasi alarm ke False positive, gunakan perintah berikut:
```
aws iot put-verification-state-on-violation --violation-id 12345 --verification-state FALSE_POSITIVE --verification-state-description "This is dummy description" --endpoint https://us-east-1.iot.amazonaws.com --region us-east-1
```
Output:
Tidak ada.
### Mengurangi masalah perangkat yang teridentifikasi
1. Gunakan `[create-thing-group](https://docs.aws.amazon.com/cli/latest/reference/iot/create-thing-group.html)` perintah untuk membuat grup hal untuk tindakan mitigasi. Dalam contoh berikut, kita membuat grup hal yang disebut **ThingGroupForDetectMitigationAction**.
```
aws iot create-thing-group —thing-group-name ThingGroupForDetectMitigationAction
```
Output:
```
{
"thingGroupName": "ThingGroupForDetectMitigationAction",
"thingGroupArn": "arn:aws:iot:us-east-1:123456789012:thinggroup/ThingGroupForDetectMitigationAction",
"thingGroupId": "4139cd61-10fa-4c40-b867-0fc6209dca4d"
}
```
1. Selanjutnya, gunakan `[create-mitigation-action](https://docs.aws.amazon.com/cli/latest/reference/iot/create-mitigation-action.html)` perintah untuk membuat tindakan mitigasi. Dalam contoh berikut, kita membuat tindakan mitigasi yang disebut **detect\$1mitigation\$1action dengan ARN dari peran IAM yang digunakan untuk menerapkan tindakan** mitigasi. Kami juga mendefinisikan jenis tindakan dan parameter untuk tindakan itu. Dalam hal ini, mitigasi kami akan memindahkan hal-hal ke grup hal yang kami buat sebelumnya disebut. **ThingGroupForDetectMitigationAction**
```
aws iot create-mitigation-action --action-name detect_mitigation_action \
--role-arn arn:aws:iam::123456789012:role/MitigationActionValidRole \
--action-params \
'{
"addThingsToThingGroupParams": {
"thingGroupNames": ["ThingGroupForDetectMitigationAction"],
"overrideDynamicGroups": false
}
}'
```
Output:
```
{
"actionArn": "arn:aws:iot:us-east-1:123456789012:mitigationaction/detect_mitigation_action",
"actionId": "5939e3a0-bf4c-44bb-a547-1ab59ffe67c3"
}
```
1. Gunakan `[start-detect-mitigation-actions-task](https://docs.aws.amazon.com/cli/latest/reference/iot/start-detect-mitigation-actions-task.html)` perintah untuk memulai tugas tindakan mitigasi Anda. `task-id`, `target` dan `actions` merupakan parameter yang diperlukan.
```
aws iot start-detect-mitigation-actions-task \
--task-id taskIdForMitigationAction \
--target '{ "violationIds" : [ "violationId-1", "violationId-2" ] }' \
--actions "detect_mitigation_action" \
--include-only-active-violations \
--include-suppressed-alerts
```
Output:
```
{
"taskId": "taskIdForMitigationAction"
}
```
1. (Opsional) Untuk melihat eksekusi tindakan mitigasi yang disertakan dalam tugas, gunakan perintah. `[list-detect-mitigation-actions-executions](https://docs.aws.amazon.com/cli/latest/reference/iot/list-detect-mitigation-actions-executions.html)`
```
aws iot list-detect-mitigation-actions-executions \
--task-id taskIdForMitigationAction \
--max-items 5 \
--page-size 4
```
Output:
```
{
"actionsExecutions": [
{
"taskId": "e56ee95e - f4e7 - 459 c - b60a - 2701784290 af",
"violationId": "214_fe0d92d21ee8112a6cf1724049d80",
"actionName": "underTest_MAThingGroup71232127",
"thingName": "cancelDetectMitigationActionsTaskd143821b",
"executionStartDate": "Thu Jan 07 18: 35: 21 UTC 2021",
"executionEndDate": "Thu Jan 07 18: 35: 21 UTC 2021",
"status": "SUCCESSFUL",
}
]
}
```
1. (Opsional) Gunakan `[describe-detect-mitigation-actions-task](https://docs.aws.amazon.com/cli/latest/reference/iot/describe-detect-mitigation-actions-task.html)` perintah untuk mendapatkan informasi tentang tugas tindakan mitigasi.
```
aws iot describe-detect-mitigation-actions-task \
--task-id taskIdForMitigationAction
```
Output:
```
{
"taskSummary": {
"taskId": "taskIdForMitigationAction",
"taskStatus": "SUCCESSFUL",
"taskStartTime": 1609988361.224,
"taskEndTime": 1609988362.281,
"target": {
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "num-messages-sent-ml-behavior"
},
"violationEventOccurrenceRange": {
"startTime": 1609986633.0,
"endTime": 1609987833.0
},
"onlyActiveViolationsIncluded": true,
"suppressedAlertsIncluded": true,
"actionsDefinition": [
{
"name": "detect_mitigation_action",
"id": "5939e3a0-bf4c-44bb-a547-1ab59ffe67c3",
"roleArn": "arn:aws:iam::123456789012:role/MitigatioActionValidRole",
"actionParams": {
"addThingsToThingGroupParams": {
"thingGroupNames": [
"ThingGroupForDetectMitigationAction"
],
"overrideDynamicGroups": false
}
}
}
],
"taskStatistics": {
"actionsExecuted": 0,
"actionsSkipped": 0,
"actionsFailed": 0
}
}
}
```
1. (Opsional) Untuk mendapatkan daftar tugas tindakan mitigasi Anda, gunakan perintah. `[list-detect-mitigation-actions-tasks](https://docs.aws.amazon.com/cli/latest/reference/iot/list-detect-mitigation-actions-tasks.html)`
```
aws iot list-detect-mitigation-actions-tasks \
--start-time 1609985315 \
--end-time 1609988915 \
--max-items 5 \
--page-size 4
```
Output:
```
{
"tasks": [
{
"taskId": "taskIdForMitigationAction",
"taskStatus": "SUCCESSFUL",
"taskStartTime": 1609988361.224,
"taskEndTime": 1609988362.281,
"target": {
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "num-messages-sent-ml-behavior"
},
"violationEventOccurrenceRange": {
"startTime": 1609986633.0,
"endTime": 1609987833.0
},
"onlyActiveViolationsIncluded": true,
"suppressedAlertsIncluded": true,
"actionsDefinition": [
{
"name": "detect_mitigation_action",
"id": "5939e3a0-bf4c-44bb-a547-1ab59ffe67c3",
"roleArn": "arn:aws:iam::123456789012:role/MitigatioActionValidRole",
"actionParams": {
"addThingsToThingGroupParams": {
"thingGroupNames": [
"ThingGroupForDetectMitigationAction"
],
"overrideDynamicGroups": false
}
}
}
],
"taskStatistics": {
"actionsExecuted": 0,
"actionsSkipped": 0,
"actionsFailed": 0
}
}
]
}
```
1. (Opsional) Untuk membatalkan tugas tindakan mitigasi, gunakan perintah. `[cancel-detect-mitigation-actions-task](https://docs.aws.amazon.com/cli/latest/reference/iot/cancel-detect-mitigation-actions-task.html)`
```
aws iot cancel-detect-mitigation-actions-task \
--task-id taskIdForMitigationAction
```
Output:
Tidak ada.
# Sesuaikan kapan dan bagaimana Anda melihat hasil AWS IoT Device Defender audit
AWS IoT Device Defender audit menyediakan pemeriksaan keamanan berkala untuk mengonfirmasi AWS IoT perangkat dan sumber daya mengikuti praktik terbaik. Untuk setiap pemeriksaan, hasil audit dikategorikan sebagai patuh atau tidak sesuai, di mana ketidakpatuhan menghasilkan ikon peringatan konsol. Untuk mengurangi kebisingan dari pengulangan masalah yang diketahui, fitur penindasan temuan audit memungkinkan Anda untuk sementara membungkam pemberitahuan ketidakpatuhan ini.
Anda dapat menekan pemeriksaan audit tertentu untuk sumber daya atau akun tertentu untuk periode waktu yang telah ditentukan. Hasil pemeriksaan audit yang telah ditekan dikategorikan sebagai temuan yang ditekan, terpisah dari kategori yang sesuai dan tidak sesuai. Kategori baru ini tidak memicu alarm seperti hasil yang tidak sesuai. Ini memungkinkan Anda untuk mengurangi gangguan pemberitahuan ketidakpatuhan selama periode pemeliharaan yang diketahui atau hingga pembaruan dijadwalkan selesai.
## Memulai
Bagian berikut merinci bagaimana Anda dapat menggunakan penekanan pencarian audit untuk menekan `Device certificate expiring` pemeriksaan di konsol dan CLI. Jika Anda ingin mengikuti salah satu demonstrasi, Anda harus terlebih dahulu membuat dua sertifikat kedaluwarsa untuk dideteksi Device Defender.
Gunakan yang berikut ini untuk membuat sertifikat Anda.
+ [Membuat dan mendaftarkan sertifikat CA](https://docs.aws.amazon.com/iot/latest/developerguide/create-device-cert.html) di *Panduan AWS IoT Core Pengembang*
+ [Buat sertifikat klien menggunakan sertifikat CA Anda](https://docs.aws.amazon.com/iot/latest/developerguide/create-device-cert.html). Pada langkah 3, atur `days` parameter Anda ke**1**.
Jika Anda menggunakan CLI untuk membuat sertifikat Anda, masukkan perintah berikut.
```
openssl x509 -req \
-in device_cert_csr_filename \
-CA root_ca_pem_filename \
-CAkey root_ca_key_filename \
-CAcreateserial \
-out device_cert_pem_filename \
-days 1 -sha256
```
## Sesuaikan temuan audit Anda di konsol
Panduan berikut menggunakan akun dengan dua sertifikat perangkat kedaluwarsa yang memicu pemeriksaan audit yang tidak sesuai. Dalam skenario ini, kami ingin menonaktifkan peringatan karena pengembang kami sedang menguji fitur baru yang akan mengatasi masalah tersebut. Kami membuat penindasan temuan audit untuk setiap sertifikat untuk menghentikan hasil audit agar tidak patuh untuk minggu depan.
1. Pertama-tama kami akan menjalankan audit sesuai permintaan untuk menunjukkan bahwa pemeriksaan sertifikat perangkat yang kedaluwarsa tidak sesuai.
Dari [AWS IoT konsol](https://console.aws.amazon.com/iot), pilih **Pertahankan** dari bilah sisi kiri, lalu **Audit**, lalu **Hasil**. Pada halaman **Hasil Audit**, pilih **Buat**. Jendela **Create a new audit** terbuka. Pilih **Buat**.
![\[Jalankan audit sesuai permintaan untuk menunjukkan bahwa pemeriksaan sertifikat perangkat yang kedaluwarsa tidak sesuai.\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-afs-noncompliant.png)
Dari hasil audit sesuai permintaan, kita dapat melihat bahwa “Sertifikat perangkat kedaluwarsa” tidak sesuai untuk dua sumber daya.
1. Sekarang, kami ingin menonaktifkan peringatan pemeriksaan tidak sesuai “Sertifikat perangkat kedaluwarsa” karena pengembang kami sedang menguji fitur baru yang akan memperbaiki peringatan tersebut.
Dari bilah sisi kiri di bawah **Pertahankan**, pilih **Audit**, lalu pilih **Menemukan penekanan**. **Pada halaman **Penindasan pencarian audit**, pilih Buat.**
![\[Alur untuk membuat penekanan pencarian Audit di konsol.\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-afs-suppressions.png)
1. Pada jendela **Create an audit finding suppression**, kita perlu mengisi yang berikut ini.
+ **Pemeriksaan audit**: Kami memilih`Device certificate expiring`, karena itu adalah pemeriksaan audit yang ingin kami tekan.
+ **Pengidentifikasi sumber daya**: Kami memasukkan ID sertifikat perangkat dari salah satu sertifikat yang ingin kami tekan temuan audit.
+ **Durasi penekanan**: Kami memilih`1 week`, karena itulah berapa lama kami ingin menekan pemeriksaan `Device certificate expiring` audit.
+ **Deskripsi (opsional)**: Kami menambahkan catatan yang menjelaskan mengapa kami menekan temuan audit ini.
![\[Halaman Create an Audit Finding Suppression di mana Anda harus memasukkan informasi terperinci.\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-afs-create.png)
Setelah kami mengisi bidang, pilih **Buat**. Kami melihat spanduk sukses setelah penindasan temuan audit telah dibuat.
1. Kami telah menekan temuan audit untuk salah satu sertifikat dan sekarang kami perlu menekan temuan audit untuk sertifikat kedua. Kita bisa menggunakan metode penekanan yang sama yang kita gunakan pada langkah 3, tetapi kita akan menggunakan metode yang berbeda untuk tujuan demonstrasi.
Dari bilah sisi kiri di bawah **Pertahankan**, pilih **Audit**, lalu pilih **Hasil**. Pada halaman **hasil Audit**, pilih audit dengan sumber daya yang tidak sesuai. Kemudian, pilih sumber daya di bawah Pemeriksaan **yang tidak sesuai.** Dalam kasus kami, kami memilih “Sertifikat perangkat kedaluwarsa”.
1. Pada halaman **kedaluwarsa sertifikat perangkat**, di bawah **Kebijakan yang tidak sesuai**, pilih tombol opsi di sebelah temuan yang perlu ditekan. Selanjutnya, pilih menu tarik-turun **Tindakan**, lalu pilih durasi yang ingin Anda temukan untuk ditekan. Dalam kasus kami, kami memilih `1 week` seperti yang kami lakukan untuk sertifikat lainnya. Pada jendela **Konfirmasi penekanan**, pilih **Aktifkan penekanan**.
![\[Halaman Create an audit suppression tempat Anda menyelesaikan alur. Anda akan melihat spanduk sukses setelah penindasan temuan audit telah dibuat.\]](http://docs.aws.amazon.com/id_id/iot-device-defender/latest/devguide/images/dd-afs-noncompliantcerts.png)
Kami melihat spanduk sukses setelah penindasan temuan audit telah dibuat. Sekarang, kedua temuan audit telah ditekan selama 1 minggu sementara pengembang kami mengerjakan solusi untuk mengatasi peringatan tersebut.
## Sesuaikan temuan audit Anda di CLI
Panduan berikut menggunakan akun dengan sertifikat perangkat kedaluwarsa yang memicu pemeriksaan audit yang tidak sesuai. Dalam skenario ini, kami ingin menonaktifkan peringatan karena pengembang kami sedang menguji fitur baru yang akan mengatasi masalah tersebut. Kami membuat penindasan temuan audit untuk sertifikat untuk menghentikan hasil audit agar tidak patuh untuk minggu depan.
Kami menggunakan perintah CLI berikut.
+ [create-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/create-audit-suppression.html)
+ [describe-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/describe-audit-suppression.html)
+ [update-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/update-audit-suppression.html)
+ [delete-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/delete-audit-suppression.html)
+ [list-audit-suppressions](https://docs.aws.amazon.com/cli/latest/reference/iot/list-audit-suppressions.html)
1. Gunakan perintah berikut untuk mengaktifkan audit.
```
aws iot update-account-audit-configuration \
--audit-check-configurations "{\"DEVICE_CERTIFICATE_EXPIRING_CHECK\":{\"enabled\":true}}"
```
Output:
Tidak ada.
1. Gunakan perintah berikut untuk menjalankan audit sesuai permintaan yang menargetkan pemeriksaan `DEVICE_CERTIFICATE_EXPIRING_CHECK` audit.
```
aws iot start-on-demand-audit-task \
--target-check-names DEVICE_CERTIFICATE_EXPIRING_CHECK
```
Output:
```
{
"taskId": "787ed873b69cb4d6cdbae6ddd06996c5"
}
```
1. Gunakan [describe-account-audit-configuration](https://docs.aws.amazon.com/cli/latest/reference/iot/describe-account-audit-configuration.html)perintah untuk menggambarkan konfigurasi audit. Kami ingin mengonfirmasi bahwa kami telah mengaktifkan pemeriksaan audit`DEVICE_CERTIFICATE_EXPIRING_CHECK`.
```
aws iot describe-account-audit-configuration
```
Output:
```
{
"roleArn": "arn:aws:iam:::role/service-role/project",
"auditNotificationTargetConfigurations": {
"SNS": {
"targetArn": "arn:aws:sns:us-east-1::project_sns",
"roleArn": "arn:aws:iam:::role/service-role/project",
"enabled": true
}
},
"auditCheckConfigurations": {
"AUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK": {
"enabled": false
},
"CA_CERTIFICATE_EXPIRING_CHECK": {
"enabled": false
},
"CA_CERTIFICATE_KEY_QUALITY_CHECK": {
"enabled": false
},
"CONFLICTING_CLIENT_IDS_CHECK": {
"enabled": false
},
"DEVICE_CERTIFICATE_EXPIRING_CHECK": {
"enabled": true
},
"DEVICE_CERTIFICATE_KEY_QUALITY_CHECK": {
"enabled": false
},
"DEVICE_CERTIFICATE_SHARED_CHECK": {
"enabled": false
},
"IOT_POLICY_OVERLY_PERMISSIVE_CHECK": {
"enabled": true
},
"IOT_ROLE_ALIAS_ALLOWS_ACCESS_TO_UNUSED_SERVICES_CHECK": {
"enabled": false
},
"IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK": {
"enabled": false
},
"LOGGING_DISABLED_CHECK": {
"enabled": false
},
"REVOKED_CA_CERTIFICATE_STILL_ACTIVE_CHECK": {
"enabled": false
},
"REVOKED_DEVICE_CERTIFICATE_STILL_ACTIVE_CHECK": {
"enabled": false
},
"UNAUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK": {
"enabled": false
}
}
}
```
`DEVICE_CERTIFICATE_EXPIRING_CHECK`harus memiliki nilai`true`.
1. Gunakan [list-audit-task](https://docs.aws.amazon.com/cli/latest/reference/iot/list-audit-task.html)perintah untuk mengidentifikasi tugas audit yang diselesaikan.
```
aws iot list-audit-tasks \
--task-status "COMPLETED" \
--start-time 2020-07-31 \
--end-time 2020-08-01
```
Output:
```
{
"tasks": [
{
"taskId": "787ed873b69cb4d6cdbae6ddd06996c5",
"taskStatus": "COMPLETED",
"taskType": "SCHEDULED_AUDIT_TASK"
}
]
}
```
Audit `taskId` yang Anda jalankan pada langkah 1 harus memiliki `taskStatus` a`COMPLETED`.
1. Gunakan [describe-audit-task](https://docs.aws.amazon.com/cli/latest/reference/iot/describe-audit-task.html)perintah untuk mendapatkan detail tentang audit yang telah selesai menggunakan `taskId` output dari langkah sebelumnya. Perintah ini mencantumkan detail tentang audit Anda.
```
aws iot describe-audit-task \
--task-id "787ed873b69cb4d6cdbae6ddd06996c5"
```
Output:
```
{
"taskStatus": "COMPLETED",
"taskType": "SCHEDULED_AUDIT_TASK",
"taskStartTime": 1596168096.157,
"taskStatistics": {
"totalChecks": 1,
"inProgressChecks": 0,
"waitingForDataCollectionChecks": 0,
"compliantChecks": 0,
"nonCompliantChecks": 1,
"failedChecks": 0,
"canceledChecks": 0
},
"scheduledAuditName": "AWSIoTDeviceDefenderDailyAudit",
"auditDetails": {
"DEVICE_CERTIFICATE_EXPIRING_CHECK": {
"checkRunStatus": "COMPLETED_NON_COMPLIANT",
"checkCompliant": false,
"totalResourcesCount": 195,
"nonCompliantResourcesCount": 2
}
}
}
```
1. Gunakan [list-audit-findings](https://docs.aws.amazon.com/cli/latest/reference/iot/list-audit-findings.html)perintah untuk menemukan ID sertifikat yang tidak sesuai sehingga kami dapat menangguhkan peringatan audit untuk sumber daya ini.
```
aws iot list-audit-findings \
--start-time 2020-07-31 \
--end-time 2020-08-01
```
Output:
```
{
"findings": [
{
"findingId": "296ccd39f806bf9d8f8de20d0ceb33a1",
"taskId": "787ed873b69cb4d6cdbae6ddd06996c5",
"checkName": "DEVICE_CERTIFICATE_EXPIRING_CHECK",
"taskStartTime": 1596168096.157,
"findingTime": 1596168096.651,
"severity": "MEDIUM",
"nonCompliantResource": {
"resourceType": "DEVICE_CERTIFICATE",
"resourceIdentifier": {
"deviceCertificateId": "b4490"
},
"additionalInfo": {
"EXPIRATION_TIME": "1582862626000"
}
},
"reasonForNonCompliance": "Certificate is past its expiration.",
"reasonForNonComplianceCode": "CERTIFICATE_PAST_EXPIRATION",
"isSuppressed": false
},
{
"findingId": "37ecb79b7afb53deb328ec78e647631c",
"taskId": "787ed873b69cb4d6cdbae6ddd06996c5",
"checkName": "DEVICE_CERTIFICATE_EXPIRING_CHECK",
"taskStartTime": 1596168096.157,
"findingTime": 1596168096.651,
"severity": "MEDIUM",
"nonCompliantResource": {
"resourceType": "DEVICE_CERTIFICATE",
"resourceIdentifier": {
"deviceCertificateId": "c7691"
},
"additionalInfo": {
"EXPIRATION_TIME": "1583424717000"
}
},
"reasonForNonCompliance": "Certificate is past its expiration.",
"reasonForNonComplianceCode": "CERTIFICATE_PAST_EXPIRATION",
"isSuppressed": false
}
]
}
```
1. Gunakan [create-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/create-audit-suppression.html)perintah untuk menekan pemberitahuan untuk pemeriksaan `DEVICE_CERTIFICATE_EXPIRING_CHECK` audit untuk sertifikat perangkat dengan id `c7691e` sampai*2020-08-20*.
```
aws iot create-audit-suppression \
--check-name DEVICE_CERTIFICATE_EXPIRING_CHECK \
--resource-identifier deviceCertificateId="c7691e" \
--no-suppress-indefinitely \
--expiration-date 2020-08-20
```
1. Gunakan [list-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/list-audit-suppression.html)perintah untuk mengonfirmasi pengaturan penekanan audit dan mendapatkan detail tentang penindasan.
```
aws iot list-audit-suppressions
```
Output:
```
{
"suppressions": [
{
"checkName": "DEVICE_CERTIFICATE_EXPIRING_CHECK",
"resourceIdentifier": {
"deviceCertificateId": "c7691e"
},
"expirationDate": 1597881600.0,
"suppressIndefinitely": false
}
]
}
```
1. [update-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/update-audit-suppression.html)Perintah ini dapat digunakan untuk memperbarui penekanan temuan audit. Contoh di bawah ini memperbarui `expiration-date` ke`08/21/20`.
```
aws iot update-audit-suppression \
--check-name DEVICE_CERTIFICATE_EXPIRING_CHECK \
--resource-identifier deviceCertificateId=c7691e \
--no-suppress-indefinitely \
--expiration-date 2020-08-21
```
1. [delete-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/delete-audit-suppression.html)Perintah ini dapat digunakan untuk menghapus penekanan temuan audit.
```
aws iot delete-audit-suppression \
--check-name DEVICE_CERTIFICATE_EXPIRING_CHECK \
--resource-identifier deviceCertificateId="c7691e"
```
Untuk mengonfirmasi penghapusan, gunakan perintah. [list-audit-suppressions](https://docs.aws.amazon.com/cli/latest/reference/iot/list-audit-suppressions.html)
```
aws iot list-audit-suppressions
```
Output:
```
{
"suppressions": []
}
```
Dalam tutorial ini, kami menunjukkan kepada Anda cara menekan `Device certificate expiring` cek di konsol dan CLI. Untuk informasi selengkapnya tentang penekanan pencarian audit, lihat [Penindasan temuan audit](audit-finding-suppressions.md)