# AWS IoT Device Defender 시작
다음 자습서를 사용하여 AWS IoT Device Defender 작업을 수행할 수 있습니다.
**Topics**
+ [설정](dd-setting-up.md)
+ [감사 가이드](audit-tutorial.md)
+ [ML Detect 가이드](dd-detect-ml-getting-started.md)
+ [AWS IoT Device Defender 감사 결과를 보는 시기와 방법 사용자 지정](dd-suppressions-example.md)
# 설정
AWS IoT Device Defender를 처음 사용한다면 먼저 다음 작업을 완료해야 합니다.
**Topics**
+ [AWS 계정에 등록](#sign-up-for-aws)
+ [관리자 액세스 권한이 있는 사용자 생성](#create-an-admin)
## AWS 계정에 등록
AWS 계정이 없는 경우 다음 절차에 따라 계정을 생성합니다.
**AWS 계정에 가입**
1. [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)을 엽니다.
1. 온라인 지시 사항을 따릅니다.
등록 절차 중 전화 또는 텍스트 메시지를 받고 전화 키패드로 확인 코드를 입력하는 과정이 있습니다.
*AWS 계정 루트 사용자*에 가입하면 AWS 계정 루트 사용자가 만들어집니다. 루트 사용자에게는 계정의 모든 AWS 서비스 및 리소스에 액세스할 권한이 있습니다. 보안 모범 사례는 사용자에게 관리 액세스 권한을 할당하고, 루트 사용자만 사용하여 [루트 사용자 액세스 권한이 필요한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)을 수행하는 것입니다.
AWS는 가입 절차 완료된 후 사용자에게 확인 이메일을 전송합니다. 언제든지 [https://aws.amazon.com/](https://aws.amazon.com/)으로 이동하고 **내 계정**을 선택하여 현재 계정 활동을 보고 계정을 관리할 수 있습니다.
## 관리자 액세스 권한이 있는 사용자 생성
AWS 계정에 가입하고 AWS 계정 루트 사용자에 보안 조치를 한 다음, AWS IAM Identity Center을 활성화하고 일상적인 작업에 루트 사용자를 사용하지 않도록 관리 사용자를 생성합니다.
**귀하의 AWS 계정 루트 사용자 보호**
1. **루트 사용자**를 선택하고 AWS 계정이메일 주소를 입력하여 [AWS Management Console](https://console.aws.amazon.com/)에 계정 소유자로 로그인합니다. 다음 페이지에서 비밀번호를 입력합니다.
루트 사용자를 사용하여 로그인하는 데 도움이 필요하면 *AWS Sign-In User Guide*의 [루트 사용자로 로그인](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)을 참조하세요.
1. 루트 사용자의 다중 인증(MFA)을 활성화합니다.
지침은 *IAM 사용 설명서*의 [AWS 계정 루트 사용자용 가상 MFA 디바이스 활성화(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)를 참조하세요.
**관리자 액세스 권한이 있는 사용자 생성**
1. IAM Identity Center를 활성화합니다.
지침은 *AWS IAM Identity Center 사용 설명서*의 [AWS IAM Identity Center 설정](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)을 참조하세요.
1. IAM Identity Center에서 사용자에게 관리 액세스 권한을 부여합니다.
IAM Identity Center 디렉터리를 ID 소스로 사용하는 방법에 대한 자습서는 *AWS IAM Identity Center 사용 설명서*의 [기본 IAM Identity Center 디렉터리로 사용자 액세스 구성](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)을 참조하세요.
**관리 액세스 권한이 있는 사용자로 로그인**
+ IAM IDentity Center 사용자로 로그인하려면 IAM Identity Center 사용자를 생성할 때 이메일 주소로 전송된 로그인 URL을 사용합니다.
IAM Identity Center 사용자로 로그인하는 데 도움이 필요한 경우 *AWS Sign-In 사용 설명서*의 [AWS 액세스 포털에 로그인](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)을 참조하세요.
**추가 사용자에게 액세스 권한 할당**
1. IAM Identity Center에서 최소 권한 적용 모범 사례를 따르는 권한 세트를 생성합니다.
지침은 AWS IAM Identity Center 사용 설명서의 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)를 참조하세요.**
1. 사용자를 그룹에 할당하고, 그룹에 Single Sign-On 액세스 권한을 할당합니다.
지침은 *AWS IAM Identity Center 사용 설명서*의 [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)를 참조하세요.
이러한 작업은 AWS 계정 및 계정에 대한 관리자 권한을 가진 사용자를 생성합니다.
# 감사 가이드
이 자습서에서는 반복 감사 구성, 경보 설정, 감사 결과 검토 및 감사 문제 완화에 대한 지침을 제공합니다.
**Topics**
+ [사전 조건](#audit-tutorial-prerequisites)
+ [감사 검사 활성화](#audit-tutorial-enable-checks)
+ [감사 결과 보기](#audit-tutorial-view-audit)
+ [감사 완화 작업 생성](#audit-tutorial-mitigation)
+ [감사 결과에 완화 작업 적용](#apply-mitigation-actions)
+ [AWS IoT Device Defender Audit IAM 역할 생성(선택 사항)](#audit-iam)
+ [SNS 알림 활성화(선택 사항)](#audit-tutorial-enable-sns)
+ [고객 관리형 키에 대한 권한 구성(선택 사항)](#audit-tutorial-cmk-permissions)
+ [로깅 활성화(선택 사항)](#enable-logging)
## 사전 조건
이 자습서를 완료하려면 다음이 필요합니다.
+ AWS 계정. 이것이 없는 경우 [설정](https://docs.aws.amazon.com/iot/latest/developerguide/dd-setting-up.html)을 참조하세요.
## 감사 검사 활성화
다음 절차에서는 계정 및 디바이스 설정과 정책을 검토하는 감사 검사와 보안 조치가 구현되어 있는지 확인합니다. 이 자습서에서는 모든 감사 검사를 사용하도록 지시하지만 원하는 검사를 선택할 수 있습니다.
감사 요금은 디바이스 개수당 월별로 계산됩니다(AWS IoT에 연결된 플릿 디바이스). 따라서 감사 검사를 추가하거나 제거해도 이 기능을 사용할 때 월별 청구서에 영향을 미치지 않습니다.
1. [AWS IoT 콘솔](https://console.aws.amazon.com/iot)을 엽니다. 탐색 창에서 **보안**을 확장하고 **인트로**를 선택합니다.
1. **AWS IoT 보안 감사 자동화**를 선택합니다. 감사 점검이 자동으로 켜집니다.
1. **감사**를 확장하고 **설정**을 선택하여 감사 점검을 확인합니다. 감사 점검 이름을 선택하여 감사 점검의 기능을 알아보세요. 감사 검사에 대한 자세한 내용은 [감사 검사](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html)를 참조하세요.
1. (선택 사항) 사용하려는 역할이 이미 있는 경우 **서비스 권한 관리**를 선택하고 목록에서 역할을 선택한 다음 **업데이트**를 선택합니다.
## 감사 결과 보기
다음 절차에서는 감사 결과를 보는 방법을 보여줍니다. 이 자습서에서는 [감사 검사 활성화](#audit-tutorial-enable-checks) 자습서에서 설정한 감사 검사의 감사 결과를 봅니다.
**감사 결과를 보려면**
1. [AWS IoT 콘솔](https://console.aws.amazon.com/iot)을 엽니다. 탐색 창에서 **보안**, **감사**를 확장한 다음 **결과**를 선택합니다.
1. 조사할 감사 일정의 **이름**을 선택합니다.
1. **규정 미준수 점검**의 **완화**에서 정보 버튼을 선택하여 규정 미준수 사유에 대한 정보를 확인하세요. 규정 미준수 점검이 규정을 준수하도록 하는 방법에 대한 지침은 [감사 검사](device-defender-audit-checks.md) 섹션을 참조하세요.
## 감사 완화 작업 생성
다음 절차에서는 AWS IoT 로깅을 활성화할 AWS IoT Device Defender 감사 완화 작업을 생성합니다. 각 감사 검사에는 매핑된 완화 작업이 있으며 이러한 작업은 수정하려는 감사 검사에 대해 선택하는 **작업 유형**에 영향을 줍니다. 자세한 내용은 [완화 작업](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-mitigation-actions.html#defender-audit-apply-mitigation-actions.html)을 참조하세요.
**AWS IoT 콘솔을 사용하여 완화 작업을 생성하려면**
1. [AWS IoT 콘솔](https://console.aws.amazon.com/iot)을 엽니다. 탐색 창에서 **보안**, **탐지**를 확장한 다음 **완화 작업**을 선택합니다.
1. **Mitigation actions**(완화 작업) 페이지에서 **Create**(생성)를 선택합니다.
1. **새 완화 작업 생성** 페이지의 **작업 이름**에서 완화 작업에 고유한 이름(예: *EnableErrorLoggingAction*)을 입력합니다.
1. **작업 유형**에서 **AWS IoT 로깅 활성화**를 선택합니다.
1. **권한**에서 **역할 생성**을 선택합니다. **역할 이름**에 *IoTMitigationActionErrorLoggingRole*을 사용합니다. 그다음에 **생성**을 선택합니다.
1. **파라미터**에서 **로깅을 위한 역할**에 `IoTMitigationActionErrorLoggingRole`을 선택합니다. **로그 수준**에 `Error`을(를) 선택합니다.
1. **생성(Create)**을 선택합니다.
## 감사 결과에 완화 작업 적용
다음 절차에서는 감사 결과에 완화 작업을 적용하는 방법을 소개합니다.
**비준수 감사 결과를 완화하려면**
1. [AWS IoT 콘솔](https://console.aws.amazon.com/iot)을 엽니다. 탐색 창에서 **보안**, **감사**를 확장한 다음 **결과**를 선택합니다.
1. 대응하려는 감사 결과를 선택합니다.
1. 결과를 확인하세요.
1. **Start mitigation actions**(완화 작업 시작)를 선택합니다.
1. **로깅이 비활성화**된 경우 이전에 만든 완화 작업인 `EnableErrorLoggingAction`을 선택합니다. 각 규정 미준수 결과에 대해 적절한 작업을 선택하여 문제를 해결합니다.
1. **사유 코드 선택**에서 감사 점검에서 반환된 사유 코드를 선택합니다.
1. **작업 시작**을 선택합니다. 완화 작업을 실행하는 데 몇 분이 걸릴 수 있습니다.
**완화 작업이 작동하는지 확인하려면**
1. AWS IoT 콘솔의 탐색 창에서 **설정**을 선택합니다.
1. **서비스 로그**에서 **로그 수준**이 `Error (least verbosity)`인지 확인합니다.
## AWS IoT Device Defender Audit IAM 역할 생성(선택 사항)
다음 절차에서 AWS IoT에 대한 읽기 액세스 권한을 AWS IoT Device Defender에 제공하는 AWS IoT Device Defender Audit IAM 역할을 생성합니다.
**AWS IoT Device Defender에 대한 서비스 역할을 생성하는 방법 (콘솔)**
1. AWS Management Console에 로그인하여 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. IAM 콘솔의 탐색 창에서 **역할**을 선택하고 **역할 생성**을 선택합니다.
1. **AWS 서비스** 역할 유형을 선택합니다.
1. **다른 AWS 서비스의 사용 사례**에서 **AWS IoT**를 선택한 다음 **IoT - Device Defender Audit**를 선택합니다.
1. **다음**을 선택합니다.
1. (선택 사항) [권한 경계](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)를 선택합니다. 이는 서비스 역할에서 사용 가능한 고급 기능이며 서비스에 연결된 역할은 아닙니다.
**권한 경계** 섹션을 열고 **최대 역할 권한을 관리하기 위한 권한 경계 사용**을 선택합니다. IAM은 계정의 AWS관리형 또는 고객 관리형 정책 목록을 포함합니다. 권한 경계를 사용하기 위한 정책을 선택하거나 **정책 생성**을 선택하여 새 브라우저 탭을 열고 완전히 새로운 정책을 생성합니다. 자세한 내용은 *IAM 사용자 설명서*에서 [IAM 정책 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start)을 참조하세요. 정책을 생성하면 탭을 닫고 원래 탭으로 돌아와 권한 경계에 사용할 정책을 선택합니다.
1. **다음**을 선택합니다.
1. 이 역할의 목적을 식별하는 데 도움이 되는 역할 이름을 입력합니다. 역할 이름은 AWS 계정 내에서 고유해야 합니다. 대소문자는 구별하지 않습니다. 예를 들어, 이름이 **PRODROLE**과 **prodrole**, 두 가지로 지정된 역할을 만들 수는 없습니다. 다양한 개체가 역할을 참조할 수 있기 때문에 역할이 생성된 후에는 역할 이름을 편집할 수 없습니다.
1. (선택 사항)**설명**에 새 역할에 대한 설명을 입력합니다.
1. **1단계: 신뢰할 수 있는 엔터티 선택(Step 1: Select trusted entities)** 또는 **2단계: 권한 선택(Step 2: Select permissions)** 섹션에서 **편집(Edit)**을 선택하여 역할에 대한 사용 사례와 권한을 편집합니다.
1. (선택 사항) 태그를 키 값 페어로 연결하여 메타데이터를 사용자에게 추가합니다. IAM에서 태그 사용에 대한 자세한 내용을 알아보려면 *IAM 사용 설명서*의 [IAM 리소스에 태그 지정](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)을 참조하십시오.
1. 역할을 검토한 다음 **역할 생성**을 선택합니다.
## SNS 알림 활성화(선택 사항)
다음 절차에서는 Amazon SNS(SNS) 알림을 사용하여 감사에서 규정 미준수 리소스를 식별할 때 알림을 받습니다. 이 자습서에서는 [감사 검사 활성화](#audit-tutorial-enable-checks) 자습서에서 활성화된 감사 검사에 대한 알림을 설정합니다.
1. 아직 연결하지 않았다면 AWS Management Console을 통해 SNS에 액세스할 수 있는 정책을 연결하세요. **IAM 사용 설명서의 [정책을 IAM 사용자 그룹에 연결](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html)의 지침을 따르고 **AWSIoTDeviceDefenderPublishFindingsToSNSMitigationAction** 정책을 선택하면 됩니다.
1. [AWS IoT 콘솔](https://console.aws.amazon.com/iot)을 엽니다. 탐색 창에서 **보안**, **감사**를 확장한 다음 **설정**을 선택합니다.
1. **Device Defender 감사 설정** 페이지 하단에서 **SNS 알림 활성화**를 선택합니다.
1. **활성**을 선택합니다.
1. **주제**에서 **새 주제 생성**을 선택합니다. 주제 이름을 *IoTDDNotifications*로 지정하고 **생성**을 선택합니다. **역할**에서 [AWS IoT Device Defender Audit IAM 역할 생성(선택 사항)](#audit-iam)에서 생성한 역할을 선택합니다.
1. **업데이트**를 선택합니다.
1. Amazon SNS를 통해 Ops 플랫폼에서 이메일이나 문자를 수신하려면 [사용자 알림에 Amazon Simple Notification Service 사용](https://docs.aws.amazon.com/sns/latest/dg/sns-user-notifications.html)을 참조하세요.
## 고객 관리형 키에 대한 권한 구성(선택 사항)
**참고**
이 구성은 AWS IoT Core에 대한 고객 관리형 키를 옵트인한 경우에만 필요합니다. 저장 시 AWS IoT Core 암호화에 대한 자세한 내용은 [ AWS IoT Core의 저장 시 데이터 암호화](https://docs.aws.amazon.com/iot/latest/developerguide/encryption-at-rest.html)를 참조하세요.
저장된 AWS IoT Core 암호화에 대해 고객 관리형 키(CMK)를 활성화한 경우 AWS IoT Device Defender Audit에서 사용하는 IAM 역할에는 데이터를 해독할 수 있는 추가 권한이 필요합니다. 이러한 권한이 없으면 감사 작업이 실패합니다.
[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIoTDeviceDefenderAudit.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIoTDeviceDefenderAudit.html) 관리형 정책에는 최소 권한 원칙에 따라 설계상 `kms:Decrypt` 권한이 포함되지 않습니다. 고객 관리형 키를 사용할 때는 감사 역할에 이러한 권한을 수동으로 추가해야 합니다.
**AWS IoT Device Defender Audit IAM 역할에 KMS 권한을 추가하는 방법**
1. AWS Management Console에 로그인하여 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. 탐색 창에서 **역할**을 선택한 다음 [AWS IoT Device Defender Audit IAM 역할 생성(선택 사항)](#audit-iam)에서 생성한 역할 또는 감사 설정을 구성할 때 지정한 역할을 검색합니다.
1. 역할 이름을 선택하여 세부 정보 페이지를 엽니다.
1. **권한** 탭에서 **권한 추가**, **인라인 정책 생성**을 차례로 선택합니다.
1. **JSON** 탭을 선택하고 다음 정책을 입력합니다. *REGION*, *ACCOUNT\$1ID* 및 *KEY\$1ID*를 다음의 AWS KMS 키 세부 정보로 바꿉니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:REGION:ACCOUNT_ID:key/KEY_ID"
}
]
}
```
1. **다음**을 선택합니다.
1. **정책 이름**에 설명이 포함된 이름을 입력합니다(예: **DeviceDefenderAuditKMSDecrypt**).
1. **정책 생성**을 선택합니다.
## 로깅 활성화(선택 사항)
이 절차에서는 AWS IoT이(가) CloudWatch Logs에 정보를 로깅하도록 설정하는 방법을 설명합니다. 이렇게 하면 감사 결과를 볼 수 있습니다. 로깅을 활성화하면 요금이 발생할 수 있습니다.
**로깅을 활성화하려면**
1. [AWS IoT 콘솔](https://console.aws.amazon.com/iot)을 엽니다. 탐색 창에서 **설정**을 선택합니다.
1. **로그**에서 **로그 관리**를 선택합니다.
1. **역할 선택**에서 **역할 생성**을 선택합니다. 역할 이름을 *AWSIoTLoggingRole*로 지정하고 **생성**을 선택합니다. 정책이 자동으로 연결됩니다.
1. **로그 수준**에서 **디버그(최대 상세 수준)**를 선택합니다.
1. **업데이트**를 선택합니다.
# ML Detect 가이드
**참고**
다음 리전에서는 ML Detect를 사용할 수 없습니다.
아시아 태평양(말레이시아)
이 시작 안내서에서는 기계 학습(ML)을 사용하여 디바이스의 기록 지표 데이터를 기반으로 예상되는 동작의 모델을 만드는 ML Detect 보안 프로파일을 만듭니다. ML Detect가 ML 모델을 생성하는 동안 진행 상황을 모니터링할 수 있습니다. ML 모델을 빌드한 후 지속적으로 경보를 확인 및 조사하고 식별된 문제를 완화할 수 있습니다.
ML Detect 및 해당 API 및 CLI 명령에 대한 자세한 내용은 [ML Detect](dd-detect-ml.md) 단원을 참조하세요.
**Topics**
+ [사전 조건](#ml-detect-prereqs)
+ [콘솔에서 ML Detect를 사용하는 방법](#dd-detect-ml-console)
+ [CLI에서 ML 검색을 사용하는 방법](#dd-detect-ml-cli)
## 사전 조건
+ AWS 계정. 이것이 없는 경우 [설정](https://docs.aws.amazon.com/iot/latest/developerguide/dd-setting-up.html)을 참조하세요.
## 콘솔에서 ML Detect를 사용하는 방법
**Topics**
+ [ML Detect 활성화](#enable-ml-detect-console)
+ [ML 모델 상태 모니터링](#monitor-ml-models-console)
+ [ML Detect 경보 검토](#review-ml-alarms-console)
+ [ML 경보 미세 조정](#fine-tune-ml-models-console)
+ [경보의 확인 상태 표시](#mark-your-alarms)
+ [식별된 디바이스 문제 완화](#mitigate-ml-issues-console)
### ML Detect 활성화
다음 절차에서는 콘솔에서 ML Detect를 설정하는 방법에 대해 소개합니다.
1. 먼저, 모델의 지속적인 교육 및 새로 고침에 대해 [ML Detect 최소 요구 사항](dd-detect-ml.md#dd-detect-ml-requirements)에 정의된 대로 디바이스에서 필요한 최소 데이터 포인트를 생성하는지 확인합니다. 데이터 수집을 진행하려면 보안 프로파일이 대상(사물 또는 사물 그룹)에 연결되어 있어야 합니다.
1. [AWS IoT 콘솔](https://console.aws.amazon.com/iot)의 탐색 창에서 **방어**를 확장합니다. **감지**, **보안 프로파일**, **보안 프로파일 생성**, **ML 예외 항목 감지 프로파일 만들기**를 차례로 선택합니다.
1. **기본 구성 설정** 페이지에서 다음 중 하나를 수행합니다.
+ **대상** 아래에서 대상 디바이스 그룹을 선택합니다.
+ **보안 프로파일 이름** 아래에서 보안 프로파일의 이름을 입력합니다.
+ (선택 사항) **설명** 아래에서 ML 프로파일에 대한 간단한 설명을 작성할 수 있습니다.
+ **보안 프로파일에서 선택한 지표 동작** 아래에서 모니터링할 지표를 선택합니다.
![\[등록된 모든 항목을 대상으로 선택하고, 권한 부여 실패 및 연결 시도와 같은 지표 동작을 나열하고, 클라우드 또는 디바이스 측 지표를 추가하는 옵션을 사용하여 ML 보안 프로필 구성 페이지를 생성합니다.\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-ml-set-basic.png)
완료했으면 **다음**을 선택합니다.
1. **SNS 설정(선택 사항)** 페이지에서 디바이스가 프로파일의 동작을 위반할 때 경보 알림에 대한 SNS 주제를 지정합니다. 선택한 SNS 주제에 게시할 때 사용할 IAM 역할을 선택합니다.
아직 SNS 역할이 없는 경우 다음 단계에 따라 적절한 권한 및 신뢰 관계가 필요한 역할을 만듭니다.
+ [IAM 콘솔](https://console.aws.amazon.com/iam/)로 이동합니다. 탐색 창에서 **역할**을 선택한 후 **역할 생성**을 선택합니다.
+ **신뢰할 수 있는 유형의 엔터티 선택**에서 **AWS 서비스**를 선택합니다. 그런 다음 **사용 사례 선택**에서 **IoT**를 선택하고 **사용 사례 선택**에서 **IoT - Device Defender 완화 작업**을 선택합니다. 완료했으면 **다음: 권한**을 선택합니다.
+ **연결된 권한 정책**에서 **AWSIoTDeviceDefenderPublishFindingsToSNSMitigationAction**을 선택한 후 **다음: 태그**를 선택해야 합니다.
![\[정책 이름, 각 정책이 액세스 권한을 제공하는 대상에 대한 설명, 정책을 필터링하거나 검색하는 옵션이 포함된 AWS IoT Device Defender 역할에 대한 권한 정책 표입니다.\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-ml-sns-findings.png)
+ **태그 추가(선택 사항)**에서 역할과 연결하려는 태그를 추가할 수 있습니다. 완료했으면 **Next: Review(다음: 검토)**를 선택합니다.
+ **검토**에서 역할의 이름을 지정하고 **AWSIoTDeviceDefenderPublishFindingsToSNSMitigationAction**이 **권한** 아래에 나열되고 **AWS 서비스: iot.amazonaws.com**이 **신뢰 관계** 아래에 나열되어 있어야 합니다. 완료했으면 **역할 생성**을 선택하세요.
![\[역할 ARN, 설명, 인스턴스 프로필 ARN, 경로, 생성 시간, 최대 세션 기간 및 SNS 완화 조치 정책에 적용된 AWS IoT Device Defender 게시 결과와 같은 샘플 SNS 역할 세부 정보를 보여주는 IAM 역할 요약 페이지입니다\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-ml-detect-permissions.png)
![\[역할 ARN, SNS 알림을 게시할 수 있는 AWS IoT Device Defender 쓰기 권한을 제공하는 역할 설명, 경로, 생성 시간 및 신뢰할 수 있는 엔터티를 보여주는 IAM 샘플 SNS 역할 요약\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-ml-detect-trust-relationships.png)
1. **지표 편집 동작** 페이지에서 ML 동작 설정을 사용자 지정할 수 있습니다.
![\[권한 부여 실패, 바이트 인 및 연결 시도 지표가 있는 지표 동작 편집 섹션에서 알람 트리거, 알림 및 ML 탐지 신뢰 수준에 대한 데이터 포인트를 구성할 수 있습니다.\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-ml-update-config.png)
1. 완료했으면 **다음**을 선택합니다.
1. **구성 검토** 페이지에서 기계 학습에서 모니터링할 동작을 확인하고 **다음**을 선택합니다.
![\[권한 부여 실패, 바이트 아웃, 연결 시도 및 연결 끊김에 대한 지표 동작과 함께 등록된 모든 사물을 대상으로 하는 Smart_lights_ML_Detect_Security_Profile이 표시되어 있는 ML 보안 프로필 편집 페이지입니다.\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-ml-review-config.png)
1. 보안 프로파일을 생성한 후에는 **보안 프로파일** 페이지로 리디렉션되어 새로 만든 보안 프로파일이 나타납니다.
**참고**
초기 ML 모델 훈련 및 제작을 완료하는 데 14일이 걸립니다. 디바이스에 비정상적인 활동이 있는 경우 완료된 후 경보가 표시될 것으로 예상할 수 있습니다.
### ML 모델 상태 모니터링
ML 모델이 초기 교육 기간에 있는 동안 다음 단계를 수행하여 언제든지 진행 상황을 모니터링할 수 있습니다.
1. [AWS IoT 콘솔](https://console.aws.amazon.com/iot)의 탐색 창에서 **방어**를 확장한 다음 **감지**, **보안 프로파일**을 차례로 선택합니다.
1. **보안 프로파일** 페이지에서 검토하려는 보안 프로파일을 선택합니다. 그런 다음 **동작 및 ML 교육**을 선택합니다.
1. **동작 및 ML 교육** 페이지에서 ML 모델의 교육 진행 상황을 확인하세요.
모델 상태가 **활성 상태**이면 사용량에 따라 감지 결정을 내리고 매일 프로파일을 업데이트합니다.
![\[TCP/UDP 수신 포트 및 설정된 TCP 연결을 모니터링하기 위한 낮은 신뢰도 기계 학습 모델을 보여주는 대시보드입니다.\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-ml-active-state.png)
**참고**
모델이 예상대로 진행되지 않는 경우 디바이스가 [최소 요구 사항](dd-detect-ml.md#dd-detect-ml-requirements)을 충족하는지 확인합니다.
### ML Detect 경보 검토
ML 모델을 빌드하고 데이터 추론을 준비한 후에는 모델에서 식별되는 경보를 정기적으로 확인 및 조사할 수 있습니다.
1. [AWS IoT 콘솔](https://console.aws.amazon.com/iot)의 탐색 창에서 **방어**를 확장한 다음 **감지**, **경보**를 차례로 선택합니다.
![\[사물 이름, 보안 프로필, 동작 유형, 동작 이름, 마지막으로 발생한 시간 및 확인 상태 열과 함께 5개의 활성 권한 부여 실패 경보가 표시되어 있는 AWS IoT Device Defender 알람 목록입니다.\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-ml-alarms.png)
1. **기록** 탭으로 이동하여 더 이상 경보에 표시되지 않는 디바이스에 대한 세부 정보를 볼 수도 있습니다.
![\[Y축에는 경보 수가, X축에는 날짜가 표시된 2주 동안의 경보 발생, 해제, 무효화 현황이 표시되어 있는 선 그래프입니다.\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-ml-history-alarm.png)
자세한 정보를 보려면 **관리** 아래 **사물**에서 자세한 내용을 보고 싶은 사물을 선택한 다음 **Defender 지표**로 이동합니다. **Defender 지표 그래프**에 액세스하고 **활성 상태** 탭에서 경보에 표시된 모든 것에 대한 조사를 수행할 수 있습니다. 이 경우 경보를 시작한 메시지 크기의 스파이크가 그래프에 표시됩니다. 이후에 경보가 지워지는 것을 볼 수 있습니다.
![\[지정된 날짜 및 시간에 801바이트에서 피크가 발생한 메시지 크기 최대 지표 그래프가 표시된 IoT 사물 대시보드입니다.\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-ml-defender-metrics.png)
### ML 경보 미세 조정
ML 모델을 빌드하고 데이터 평가를 위한 준비가 완료되면 보안 프로파일의 ML 동작 설정을 업데이트하여 구성을 변경할 수 있습니다. 다음 절차에서는 AWS CLI에서 보안 프로파일의 ML 동작 설정을 업데이트하는 방법을 보여 줍니다.
1. [AWS IoT 콘솔](https://console.aws.amazon.com/iot)의 탐색 창에서 **방어**를 확장한 다음 **감지**, **보안 프로파일**을 차례로 선택합니다.
1. **보안 프로파일** 페이지에서 검토하려는 보안 프로파일 옆에 있는 확인란을 선택합니다. **작업**, **편집**을 차례로 선택합니다.
![\[프로필 이름, ML 임계값 유형, 유지되는 동작, 대상 사물, 생성 날짜, 알림 상태가 표시된 AWS IoT Device Defender 보안 프로필 목록\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-ml-fine-tune.png)
1. **기본 구성 설정**에서 보안 프로파일 대상 사물 그룹을 조정하거나 모니터링할 지표를 변경할 수 있습니다.
![\[등록된 모든 항목을 대상으로 선택하고, 권한 부여 실패 및 연결 시도와 같은 지표 동작을 나열하고, 클라우드 또는 디바이스 측 지표를 추가하는 옵션을 사용하여 ML 보안 프로필 구성 페이지를 생성합니다.\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-ml-set-basic.png)
1. **지표 동작 편집**으로 이동하여 다음을 업데이트할 수 있습니다.
+ 경보를 시작하는 데 필요한 ML 모델 데이터 포인트
+ 경보를 지우는 데 필요한 ML 모델 데이터 포인트
+ ML Detect 신뢰 수준
+ ML Detect 알림(예: **금지되지 않음**, **금지됨**)
![\[ML 보안 프로필에 대한 권한 부여 실패, 바이트 아웃 및 연결 시도 지표를 구성하는 옵션이 있는 지표 동작 편집 섹션입니다.\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-ml-update-config-2.png)
### 경보의 확인 상태 표시
확인 상태를 설정하고 해당 확인 상태에 대한 설명을 제공하여 경보를 표시합니다. 이를 통해 사용자와 팀이 응답할 필요가 없는 경보를 식별할 수 있습니다.
1. [AWS IoT 콘솔](https://console.aws.amazon.com/iot/)의 탐색 창에서 **방어(Defend)**를 확장한 다음 **감지(Detect)**, **경보(Alarms)**를 차례로 선택합니다. 경보를 선택하여 확인 상태를 표시합니다.
![\[fdsa 보안 프로필이 있는 iotconsole-6f8379bc-c245-4ffe-8ef7-b2b52e78975c와 같은 IoT 콘솔 사물에 대한 활성 권한 부여 실패 동작 이벤트를 보여주는 AWS IoT Device Defender 경보 보기입니다.\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-ml-alarm-select.png)
1. **확인 상태 표시(Mark verification state)**를 선택합니다. 확인 상태 모달이 열립니다.
1. 적절한 확인 상태를 선택하고 확인 설명(선택 사항)을 입력한 다음 **표시(Mark)**를 선택합니다. 이 작업은 선택한 경보에 확인 상태 및 설명을 할당합니다.
![\[알 수 없음, 진양성, 오탐, 양성 옵션으로 경보 확인 상태가 표시된 대화 상자입니다\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-ml-alarm-state-window.png)
### 식별된 디바이스 문제 완화
1. *(선택 사항)* 격리 완화 작업을 설정하기 전에 위반 중인 디바이스를 이동할 격리 그룹을 설정해 보겠습니다. 기존 그룹을 사용할 수 있습니다.
1. **관리**, **사물 그룹**, **사물 그룹 생성**으로 차례로 이동합니다. 사물 그룹의 이름을 지정합니다. 이 자습서에서는 사물 그룹의 이름을 `Quarantine_group`(으)로 지정합니다. **사물 그룹**, **보안**에서 사물 그룹에 다음 정책을 적용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "iot:*",
"Resource": "*"
}
]
}
```
------
![\[사물 그룹 생성 버튼이 있는 AWS IoT 콘솔 사물 그룹 생성 페이지입니다.\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-create-thing-group.png)
완료했으면 **사물 그룹 만들기**를 선택합니다.
1. 이제 사물 그룹을 생성했으므로 경보가 발생하는 디바이스를 `Quarantine_group`으로 이동하는 완화 작업을 생성해 보겠습니다.
**방어**, **완화 작업**에서 **생성**을 선택합니다.
![\[작업 이름, 작업 유형, 권한, 작업 실행 역할 및 사물 그룹 필드가 표시되어 있는 AWS IoT Device Defender 완화 작업 구성 양식입니다.\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-miti-create.png)
1. **새 완화 작업 생성** 페이지에서 다음 정보를 입력합니다.
+ **작업 이름**: 완화 작업의 이름을 지정합니다(예:**Quarantine\$1action**).
+ **작업 유형**: 작업 유형을 선택합니다. 여기서는 **사물 그룹에 사물 추가(감사 또는 감지 완화)**를 선택할 것입니다.
+ **작업 실행 역할**: 역할을 생성하거나 이전에 생성한 기존 역할을 선택합니다.
+ **파라미터**: 사물 그룹을 선택합니다. 이전에 생성한 `Quarantine_group`을(를) 사용할 수 있습니다.
![\[작업 이름, 작업 유형, 권한, 작업 실행 역할 및 사물 그룹 필드가 표시되어 있는 AWS IoT Device Defender 완화 작업 구성 양식입니다.\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-miti-create-form.png)
완료되면 **저장**을 선택합니다. 이제 경보에 있는 디바이스를 격리 사물 그룹으로 이동하는 완화 작업과 조사하는 동안 디바이스를 격리하는 완화 작업이 있습니다.
1. **Defender**, **감지**, **경보**로 차례로 이동합니다. **활성 상태** 아래에서 어떤 디바이스가 경보 상태에 있는지 확인할 수 있습니다.
![\[사물 이름, 보안 프로필, 동작 유형, 동작 이름, 마지막으로 발생한 시간 및 확인 상태 열과 함께 5개의 활성 권한 부여 실패 경보가 표시되어 있는 AWS IoT Device Defender 알람 목록입니다.\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-ml-alarms.png)
격리 그룹으로 이동할 디바이스를 선택하고 **완화 작업 시작**을 선택합니다.
1. **완화 작업 시작**, **시작 작업**에서, 앞에서 생성한 완화 작업을 선택합니다. 예를 들어, **Quarantine\$1action**을 선택한 다음 **시작**을 선택합니다. 작업 태스크 페이지가 열립니다.
![\[완화 조치 대화 상자에서 'udml7'이 영향을 받는 항목으로 나열되고, 되돌릴 수 없는 조치를 확인하는 확인란과 실행할 작업을 선택하는 드롭다운이 표시됩니다.\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-ml-start-action.png)
1. 이제 디바이스는 **Quarantine\$1group**에 격리되고 경보를 설정한 문제의 근본 원인을 조사할 수 있습니다. 조사를 완료한 후 디바이스를 사물 그룹 밖으로 이동하거나 추가 작업을 수행할 수 있습니다.
![\[quarantine_group 사물 그룹에 사물을 추가할 하나의 검역 작업이 표시된 AWS IoT Device Defender 작업 감지 작업 표입니다.\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-ml-action-tasks.png)
## CLI에서 ML 검색을 사용하는 방법
다음은 CLI를 사용하여 ML 검색을 설정하는 방법을 보여줍니다.
**Topics**
+ [ML Detect 활성화](#enable-ml-detect-cli)
+ [ML 모델 상태 모니터링](#monitor-ml-models-cli)
+ [ML Detect 경보 검토](#review-ml-alarms-cli)
+ [ML 경보 미세 조정](#fine-tune-ml-models-cli)
+ [경보의 확인 상태 표시](#mark-verification-state-cli)
+ [식별된 디바이스 문제 완화](#mitigate-issues-cli)
### ML Detect 활성화
다음 절차에서는 AWS CLI에서 ML Detect를 활성화하는 방법을 보여 줍니다.
1. 디바이스가 모델의 지속적인 교육 및 새로 고침을 위한 [ML Detect 최소 요구 사항](dd-detect-ml.md#dd-detect-ml-requirements)에 정의된 대로 필요한 최소 데이터 포인트를 생성하는지 확인하세요. 데이터 수집을 진행하려면 해당 사물이 보안 프로파일에 연결된 사물 그룹에 있어야 합니다.
1. `[create-security-profile](https://docs.aws.amazon.com/cli/latest/reference/iot/create-security-profile.html)` 명령을 사용하여 ML Detect 보안 프로파일을 만듭니다. 다음 예제에서는 전송된 메시지 수, 권한 부여 실패 수, 연결 시도 횟수 및 연결 해제 수를 확인하는 *security-profile-for-smart-lights*라는 보안 프로파일을 생성합니다. 이 예에서는 `mlDetectionConfig`을(를) 사용하여 지표가 ML Detect 모델을 사용하도록 설정합니다.
```
aws iot create-security-profile \
--security-profile-name security-profile-for-smart-lights \
--behaviors \
'[{
"name": "num-messages-sent-ml-behavior",
"metric": "aws:num-messages-sent",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
},
{
"name": "num-authorization-failures-ml-behavior",
"metric": "aws:num-authorization-failures",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
},
{
"name": "num-connection-attempts-ml-behavior",
"metric": "aws:num-connection-attempts",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
},
{
"name": "num-disconnects-ml-behavior",
"metric": "aws:num-disconnects",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
}]'
```
출력:
```
{
"securityProfileName": "security-profile-for-smart-lights",
"securityProfileArn": "arn:aws:iot:eu-west-1:123456789012:securityprofile/security-profile-for-smart-lights"
}
```
1. 그런 다음 보안 프로파일을 하나 또는 여러 개의 사물 그룹과 연결합니다. `[attach-security-profile](https://docs.aws.amazon.com/cli/latest/reference/iot/attach-security-profile.html)` 명령을 사용하여 사물 그룹을 보안 프로파일에 연결합니다. 다음 예에서는 *ML\$1Detect\$1beta\$1static\$1group*이라는 사물 그룹을 *security-profile-for-smart-lights* 보안 프로파일과 연결합니다.
```
aws iot attach-security-profile \
--security-profile-name security-profile-for-smart-lights \
--security-profile-target-arn arn:aws:iot:eu-west-1:123456789012:thinggroup/ML_Detect_beta_static_group
```
출력:
없음.
1. 전체 보안 프로파일을 만든 후 ML 모델이 교육을 시작합니다. 초기 ML 모델 훈련 및 구축을 완료하는 데 14일이 걸립니다. 14일 후 디바이스에 비정상적인 활동이 있는 경우 경보가 표시될 것으로 예상할 수 있습니다.
### ML 모델 상태 모니터링
다음 절차에서는 진행 중인 교육 중인 ML 모델을 모니터링하는 방법을 소개합니다.
+ `[get-behavior-model-training-summaries](https://docs.aws.amazon.com/cli/latest/reference/iot/get-behavior-model-training-summaries.html)` 명령을 사용하여 ML 모델의 진행 상황을 볼 수 있습니다. 다음 예는 *security-profile-for-smart-lights* 보안 프로파일에 대한 ML 모델 훈련 진행률 요약을 가져옵니다. `modelStatus`는 모델이 교육을 완료했거나 특정 동작에 대한 빌드를 보류 중인지 여부를 보여줍니다.
```
aws iot get-behavior-model-training-summaries \
--security-profile-name security-profile-for-smart-lights
```
출력:
```
{
"summaries": [
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Messages_sent_ML_behavior",
"trainingDataCollectionStartDate": "2020-11-30T14:00:00-08:00",
"modelStatus": "ACTIVE",
"datapointsCollectionPercentage": 29.408,
"lastModelRefreshDate": "2020-12-07T14:35:19.237000-08:00"
},
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Messages_received_ML_behavior",
"modelStatus": "PENDING_BUILD",
"datapointsCollectionPercentage": 0.0
},
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Authorization_failures_ML_behavior",
"trainingDataCollectionStartDate": "2020-11-30T14:00:00-08:00",
"modelStatus": "ACTIVE",
"datapointsCollectionPercentage": 35.464,
"lastModelRefreshDate": "2020-12-07T14:29:44.396000-08:00"
},
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Message_size_ML_behavior",
"trainingDataCollectionStartDate": "2020-11-30T14:00:00-08:00",
"modelStatus": "ACTIVE",
"datapointsCollectionPercentage": 29.332,
"lastModelRefreshDate": "2020-12-07T14:30:44.113000-08:00"
},
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Connection_attempts_ML_behavior",
"trainingDataCollectionStartDate": "2020-11-30T14:00:00-08:00",
"modelStatus": "ACTIVE",
"datapointsCollectionPercentage": 32.891999999999996,
"lastModelRefreshDate": "2020-12-07T14:29:43.121000-08:00"
},
{
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "Disconnects_ML_behavior",
"trainingDataCollectionStartDate": "2020-11-30T14:00:00-08:00",
"modelStatus": "ACTIVE",
"datapointsCollectionPercentage": 35.46,
"lastModelRefreshDate": "2020-12-07T14:29:55.556000-08:00"
}
]
}
```
**참고**
모델이 예상대로 진행되지 않는 경우 디바이스가 [최소 요구 사항](dd-detect-ml.md#dd-detect-ml-requirements)을 충족하는지 확인합니다.
### ML Detect 경보 검토
ML 모델을 빌드하고 데이터 평가를 위해 준비한 후에는 모델에서 추론하는 경보를 정기적으로 볼 수 있습니다. 다음 절차에서는 AWS CLI에서 경보를 보는 방법을 보여 줍니다.
+ 모든 활성 경보를 보려면 `[list-active-violations](https://docs.aws.amazon.com/cli/latest/reference/iot/list-active-violations.html)` 명령을 사용합니다.
```
aws iot list-active-violations \
--max-results 2
```
출력:
```
{
"activeViolations": []
}
```
또는 `[list-violation-events](https://docs.aws.amazon.com/cli/latest/reference/iot/list-violation-events.html)` 명령을 사용하여 주어진 기간 동안 발견된 모든 위반을 볼 수 있습니다. 다음 예는 2020년 9월 22일 5:42:13 GMT부터 2020년 10월 26일 5:42:13 GMT까지의 위반 이벤트를 나열합니다.
```
aws iot list-violation-events \
--start-time 1599500533 \
--end-time 1600796533 \
--max-results 2
```
출력:
```
{
"violationEvents": [
{
"violationId": "1448be98c09c3d4ab7cb9b6f3ece65d6",
"thingName": "lightbulb-1",
"securityProfileName": "security-profile-for-smart-lights",
"behavior": {
"name": "LowConfidence_MladBehavior_MessagesSent",
"metric": "aws:num-messages-sent",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
},
"violationEventType": "alarm-invalidated",
"violationEventTime": 1600780245.29
},
{
"violationId": "df4537569ef23efb1c029a433ae84b52",
"thingName": "lightbulb-2",
"securityProfileName": "security-profile-for-smart-lights",
"behavior": {
"name": "LowConfidence_MladBehavior_MessagesSent",
"metric": "aws:num-messages-sent",
"criteria": {
"consecutiveDatapointsToAlarm": 1,
"consecutiveDatapointsToClear": 1,
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": true
},
"violationEventType": "alarm-invalidated",
"violationEventTime": 1600780245.281
}
],
"nextToken": "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"
}
```
### ML 경보 미세 조정
ML 모델을 빌드하고 데이터 평가를 위한 준비가 완료되면 보안 프로파일의 ML 동작 설정을 업데이트하여 구성을 변경할 수 있습니다. 다음 절차에서는 AWS CLI에서 보안 프로파일의 ML 동작 설정을 업데이트하는 방법을 보여 줍니다.
+ 보안 프로파일의 ML 동작 설정을 변경하려면 `[update-security-profile](https://docs.aws.amazon.com/cli/latest/reference/iot/update-security-profile.html)` 명령을 사용하세요. 다음 예에서는 몇 가지 동작의 `confidenceLevel`을(를) 변경하여 *security-profile-for-smart-lights* 보안 프로파일의 동작을 업데이트하고 모든 동작에 대한 알림을 금지하지 않습니다.
```
aws iot update-security-profile \
--security-profile-name security-profile-for-smart-lights \
--behaviors \
'[{
"name": "num-messages-sent-ml-behavior",
"metric": "aws:num-messages-sent",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel" : "HIGH"
}
},
"suppressAlerts": false
},
{
"name": "num-authorization-failures-ml-behavior",
"metric": "aws:num-authorization-failures",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel" : "HIGH"
}
},
"suppressAlerts": false
},
{
"name": "num-connection-attempts-ml-behavior",
"metric": "aws:num-connection-attempts",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel" : "HIGH"
}
},
"suppressAlerts": false
},
{
"name": "num-disconnects-ml-behavior",
"metric": "aws:num-disconnects",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel" : "LOW"
}
},
"suppressAlerts": false
}]'
```
출력:
```
{
"securityProfileName": "security-profile-for-smart-lights",
"securityProfileArn": "arn:aws:iot:eu-west-1:123456789012:securityprofile/security-profile-for-smart-lights",
"behaviors": [
{
"name": "num-messages-sent-ml-behavior",
"metric": "aws:num-messages-sent",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
}
},
{
"name": "num-authorization-failures-ml-behavior",
"metric": "aws:num-authorization-failures",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
}
},
{
"name": "num-connection-attempts-ml-behavior",
"metric": "aws:num-connection-attempts",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel": "HIGH"
}
},
"suppressAlerts": false
},
{
"name": "num-disconnects-ml-behavior",
"metric": "aws:num-disconnects",
"criteria": {
"mlDetectionConfig": {
"confidenceLevel": "LOW"
}
},
"suppressAlerts": true
}
],
"version": 2,
"creationDate": 1600799559.249,
"lastModifiedDate": 1600800516.856
}
```
### 경보의 확인 상태 표시
경보를 분류하고 이상을 조사하는 데 도움이 되도록 경보에 확인 상태를 표시할 수 있습니다.
+ 경보에 확인 상태와 해당 상태에 대한 설명을 표시합니다. 예를 들어 경보의 확인 상태를 거짓 긍정으로 설정하려면 다음 명령을 사용합니다.
```
aws iot put-verification-state-on-violation --violation-id 12345 --verification-state FALSE_POSITIVE --verification-state-description "This is dummy description" --endpoint https://us-east-1.iot.amazonaws.com --region us-east-1
```
출력:
없음.
### 식별된 디바이스 문제 완화
1. `[create-thing-group](https://docs.aws.amazon.com/cli/latest/reference/iot/create-thing-group.html)` 명령을 사용하여 완화 작업을 위한 사물 그룹을 생성합니다. 다음 예에서는 **ThingGroupForDetectMitigationAction**이라는 사물 그룹을 생성합니다.
```
aws iot create-thing-group —thing-group-name ThingGroupForDetectMitigationAction
```
출력:
```
{
"thingGroupName": "ThingGroupForDetectMitigationAction",
"thingGroupArn": "arn:aws:iot:us-east-1:123456789012:thinggroup/ThingGroupForDetectMitigationAction",
"thingGroupId": "4139cd61-10fa-4c40-b867-0fc6209dca4d"
}
```
1. 다음으로 `[create-mitigation-action](https://docs.aws.amazon.com/cli/latest/reference/iot/create-mitigation-action.html)` 명령을 사용하여 완화 작업을 생성합니다. 다음 예에서는 완화 작업을 적용하는 데 사용되는 IAM 역할의 ARN을 통해 **detect\$1mitigation\$1action**이라는 완화 작업을 생성합니다. 작업 유형과 해당 작업의 파라미터도 정의합니다. 이 경우, 완화 작업으로 인해 사물은 이전에 생성된 **ThingGroupForDetectMitigationAction**이라는 사물 그룹으로 이동됩니다.
```
aws iot create-mitigation-action --action-name detect_mitigation_action \
--role-arn arn:aws:iam::123456789012:role/MitigationActionValidRole \
--action-params \
'{
"addThingsToThingGroupParams": {
"thingGroupNames": ["ThingGroupForDetectMitigationAction"],
"overrideDynamicGroups": false
}
}'
```
출력:
```
{
"actionArn": "arn:aws:iot:us-east-1:123456789012:mitigationaction/detect_mitigation_action",
"actionId": "5939e3a0-bf4c-44bb-a547-1ab59ffe67c3"
}
```
1. `[start-detect-mitigation-actions-task](https://docs.aws.amazon.com/cli/latest/reference/iot/start-detect-mitigation-actions-task.html)` 명령을 사용하여 완화 작업 태스크를 시작합니다. `task-id`,`target` 및 `actions`은(는) 필수 파라미터입니다.
```
aws iot start-detect-mitigation-actions-task \
--task-id taskIdForMitigationAction \
--target '{ "violationIds" : [ "violationId-1", "violationId-2" ] }' \
--actions "detect_mitigation_action" \
--include-only-active-violations \
--include-suppressed-alerts
```
출력:
```
{
"taskId": "taskIdForMitigationAction"
}
```
1. (선택 사항) 태스크에 포함된 완화 작업 실행을 보려면 `[list-detect-mitigation-actions-executions](https://docs.aws.amazon.com/cli/latest/reference/iot/list-detect-mitigation-actions-executions.html)` 명령을 사용합니다.
```
aws iot list-detect-mitigation-actions-executions \
--task-id taskIdForMitigationAction \
--max-items 5 \
--page-size 4
```
출력:
```
{
"actionsExecutions": [
{
"taskId": "e56ee95e - f4e7 - 459 c - b60a - 2701784290 af",
"violationId": "214_fe0d92d21ee8112a6cf1724049d80",
"actionName": "underTest_MAThingGroup71232127",
"thingName": "cancelDetectMitigationActionsTaskd143821b",
"executionStartDate": "Thu Jan 07 18: 35: 21 UTC 2021",
"executionEndDate": "Thu Jan 07 18: 35: 21 UTC 2021",
"status": "SUCCESSFUL",
}
]
}
```
1. (선택 사항) `[describe-detect-mitigation-actions-task](https://docs.aws.amazon.com/cli/latest/reference/iot/describe-detect-mitigation-actions-task.html)` 명령을 사용하여 완화 작업 태스크에 대한 정보를 확인합니다.
```
aws iot describe-detect-mitigation-actions-task \
--task-id taskIdForMitigationAction
```
출력:
```
{
"taskSummary": {
"taskId": "taskIdForMitigationAction",
"taskStatus": "SUCCESSFUL",
"taskStartTime": 1609988361.224,
"taskEndTime": 1609988362.281,
"target": {
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "num-messages-sent-ml-behavior"
},
"violationEventOccurrenceRange": {
"startTime": 1609986633.0,
"endTime": 1609987833.0
},
"onlyActiveViolationsIncluded": true,
"suppressedAlertsIncluded": true,
"actionsDefinition": [
{
"name": "detect_mitigation_action",
"id": "5939e3a0-bf4c-44bb-a547-1ab59ffe67c3",
"roleArn": "arn:aws:iam::123456789012:role/MitigatioActionValidRole",
"actionParams": {
"addThingsToThingGroupParams": {
"thingGroupNames": [
"ThingGroupForDetectMitigationAction"
],
"overrideDynamicGroups": false
}
}
}
],
"taskStatistics": {
"actionsExecuted": 0,
"actionsSkipped": 0,
"actionsFailed": 0
}
}
}
```
1. (선택 사항) 완화 작업 태스크 목록을 가져오려면 `[list-detect-mitigation-actions-tasks](https://docs.aws.amazon.com/cli/latest/reference/iot/list-detect-mitigation-actions-tasks.html)` 명령을 사용합니다.
```
aws iot list-detect-mitigation-actions-tasks \
--start-time 1609985315 \
--end-time 1609988915 \
--max-items 5 \
--page-size 4
```
출력:
```
{
"tasks": [
{
"taskId": "taskIdForMitigationAction",
"taskStatus": "SUCCESSFUL",
"taskStartTime": 1609988361.224,
"taskEndTime": 1609988362.281,
"target": {
"securityProfileName": "security-profile-for-smart-lights",
"behaviorName": "num-messages-sent-ml-behavior"
},
"violationEventOccurrenceRange": {
"startTime": 1609986633.0,
"endTime": 1609987833.0
},
"onlyActiveViolationsIncluded": true,
"suppressedAlertsIncluded": true,
"actionsDefinition": [
{
"name": "detect_mitigation_action",
"id": "5939e3a0-bf4c-44bb-a547-1ab59ffe67c3",
"roleArn": "arn:aws:iam::123456789012:role/MitigatioActionValidRole",
"actionParams": {
"addThingsToThingGroupParams": {
"thingGroupNames": [
"ThingGroupForDetectMitigationAction"
],
"overrideDynamicGroups": false
}
}
}
],
"taskStatistics": {
"actionsExecuted": 0,
"actionsSkipped": 0,
"actionsFailed": 0
}
}
]
}
```
1. (선택 사항) 완화 작업 태스크 목록을 취소하려면 `[cancel-detect-mitigation-actions-task](https://docs.aws.amazon.com/cli/latest/reference/iot/cancel-detect-mitigation-actions-task.html)` 명령을 사용합니다.
```
aws iot cancel-detect-mitigation-actions-task \
--task-id taskIdForMitigationAction
```
출력:
없음.
# AWS IoT Device Defender 감사 결과를 보는 시기와 방법 사용자 지정
AWS IoT Device Defender 감사는 정기적인 보안 검사를 제공하여 AWS IoT 디바이스와 리소스가 모범 사례를 따르고 있는지 확인합니다. 각 검사에 대해 감사 결과는 준수 또는 비준수로 분류되며, 준수하지 않으면 콘솔 경고 아이콘이 표시됩니다. 알려진 문제의 불필요한 반복 표시를 줄이기 위한 감사 결과 금지 기능을 사용하여 일시적으로 이러한 비준수 알림이 표시되지 않도록 설정할 수 있습니다.
미리 결정된 기간 동안 특정 리소스 또는 계정에 대한 특정 감사 검사를 금지(suppress)할 수 있습니다. 금지된 감사 검사 결과는 준수 및 비준수 범주와는 별개로 금지된 결과로 분류됩니다. 이 새 범주는 비준수 결과와 같은 경보를 트리거하지 않습니다. 이를 통해 알려진 유지 관리 기간 동안 또는 업데이트가 완료되도록 예약될 때까지 비준수 알림 방해를 줄일 수 있습니다.
## 시작하기
다음 단원에서는 감사 결과 금지를 사용하여 콘솔 및 CLI에서 `Device certificate expiring` 검사를 금지하는 방법을 자세히 설명합니다. 데모 중 하나를 따르려는 경우 먼저 Device Defender에서 감지할 수 있는 만료 인증서를 두 개 만들어야 합니다.
다음 단계에 따라 인증서를 만듭니다.
+ **AWS IoT Core 개발자 안내서의 [CA 인증서 생성 및 등록](https://docs.aws.amazon.com/iot/latest/developerguide/create-device-cert.html)
+ [CA 인증서를 사용하여 클라이언트 인증서를 생성](https://docs.aws.amazon.com/iot/latest/developerguide/create-device-cert.html)합니다. 3단계에서 `days` 파라미터를 **1**(으)로 설정합니다.
CLI를 사용하여 인증서를 생성하는 경우 다음 명령을 입력합니다.
```
openssl x509 -req \
-in device_cert_csr_filename \
-CA root_ca_pem_filename \
-CAkey root_ca_key_filename \
-CAcreateserial \
-out device_cert_pem_filename \
-days 1 -sha256
```
## 콘솔에서 감사 결과 사용자 지정
다음 연습에서는 비준수 감사 검사를 트리거하는 두 개의 만료된 디바이스 인증서가 있는 계정을 사용합니다. 이 시나리오에서는 개발자가 문제를 해결할 새 기능을 테스트하기 때문에 경고를 비활성화하려고 합니다. 감사 결과가 다음 주에 비준수되는 것을 방지하기 위해 각 인증서에 대해 감사 결과 금지를 생성합니다.
1. 만료된 디바이스 인증서 검사가 비준수임을 보여주기 위해 먼저 온디맨드 감사를 실행합니다.
[AWS IoT 콘솔](https://console.aws.amazon.com/iot)의 왼쪽 사이드바에서 **방어**를 선택한 다음 **감사**, **결과**를 차례로 선택합니다. **감사 결과** 페이지에서 **생성**을 선택합니다. **새 감사 생성** 창이 열립니다. **생성**을 선택합니다.
![\[만료된 디바이스 인증서 검사가 비준수임을 보여주기 위해 먼저 온디맨드 감사를 실행합니다.\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-afs-noncompliant.png)
온디맨드 감사 결과에서 “디바이스 인증서 만료”가 두 리소스를 준수하지 않음을 알 수 있습니다.
1. 이제 개발자가 경고를 수정할 새로운 기능을 테스트하고 있기 때문에 “디바이스 인증서 만료” 비준수 검사 경고를 비활성화하려고합니다.
왼쪽 사이드바의 **방어**에서 **감사**를 선택한 다음 **결과 금지**를 선택합니다. **감사 결과 금지** 페이지에서 **생성**을 선택합니다.
![\[콘솔에서 감사 결과 금지 항목을 만드는 흐름입니다.\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-afs-suppressions.png)
1. **감사 결과 금지 생성** 창에서 다음을 작성해야합니다.
+ **감사 검사**: 금지하려는 감사 검사이므로 `Device certificate expiring`을(를) 선택합니다.
+ **리소스 식별자**: 감사 결과를 금지하려는 인증서 중 하나의 디바이스 인증서 ID를 입력합니다.
+ **금지 기간**: `Device certificate expiring` 감사 검사를 금지하고자 하는 기간이므로 `1 week`을(를) 선택합니다.
+ **설명(선택 사항)**: 이 감사 결과를 금지하는 이유를 설명하는 메모를 추가합니다.
![\[자세한 정보를 입력해야 하는 감사 결과 금지 생성 페이지입니다.\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-afs-create.png)
필드를 입력한 후 **생성**을 선택합니다. 감사 결과 금지가 생성된 후 성공 배너가 표시됩니다.
1. 인증서 중 하나에 대한 감사 결과를 금지했으므로 이제 두 번째 인증서에 대한 감사 결과를 금지해야 합니다. 3단계에서 사용한 것과 동일한 금지 방법을 사용할 수 있지만 데모 목적으로 다른 방법을 사용할 것입니다.
왼쪽 사이드바의 **방어**에서 **감사**를 선택한 다음 **결과**를 선택합니다. **감사 결과** 페이지에서 비준수 리소스의 감사를 선택합니다. 그런 다음 **비준수 검사**에서 리소스를 선택합니다. 이 경우 “디바이스 인증서 만료”를 선택합니다.
1. **디바이스 인증서 만료** 페이지의 **비준수 정책**에서 금지해야 하는 결과 옆에 있는 옵션 버튼을 선택합니다. 그런 다음 **작업** 드롭다운 메뉴를 선택한 다음 결과를 금지하고 싶은 기간을 선택합니다. 이 경우, 다른 인증서와 마찬가지로 `1 week`을(를) 선택합니다. **금지 확인** 창에서 **금지 활성화**를 선택합니다.
![\[흐름을 완료할 수 있는 감사 금지 생성 페이지입니다. 감사 결과 금지가 생성된 후 성공 배너를 볼 수 있습니다.\]](http://docs.aws.amazon.com/ko_kr/iot-device-defender/latest/devguide/images/dd-afs-noncompliantcerts.png)
감사 결과 금지가 생성된 후 성공 배너가 표시됩니다. 이제 개발자가 경고를 해결하기 위한 솔루션을 개발하는 동안 두 감사 결과가 모두 1주일 동안 금지되었습니다.
## CLI에서 감사 결과 사용자 지정
다음 연습에서는 비준수 감사 검사를 트리거하는 디바이스 인증서가 만료된 계정을 사용합니다. 이 시나리오에서는 개발자가 문제를 해결할 새 기능을 테스트하기 때문에 경고를 비활성화하려고 합니다. 감사 결과가 다음 주에 비준수되는 것을 방지하기 위해 인증서에 대해 감사 결과 금지를 생성합니다.
다음 CLI 명령을 사용합니다.
+ [create-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/create-audit-suppression.html)
+ [describe-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/describe-audit-suppression.html)
+ [update-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/update-audit-suppression.html)
+ [delete-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/delete-audit-suppression.html)
+ [list-audit-suppressions](https://docs.aws.amazon.com/cli/latest/reference/iot/list-audit-suppressions.html)
1. 다음 명령을 사용하여 감사를 활성화합니다.
```
aws iot update-account-audit-configuration \
--audit-check-configurations "{\"DEVICE_CERTIFICATE_EXPIRING_CHECK\":{\"enabled\":true}}"
```
출력:
없음.
1. 다음 명령을 사용하여 `DEVICE_CERTIFICATE_EXPIRING_CHECK` 감사 검사를 대상으로 하는 온디맨드 감사를 실행합니다.
```
aws iot start-on-demand-audit-task \
--target-check-names DEVICE_CERTIFICATE_EXPIRING_CHECK
```
출력:
```
{
"taskId": "787ed873b69cb4d6cdbae6ddd06996c5"
}
```
1. [describe-account-audit-configuration](https://docs.aws.amazon.com/cli/latest/reference/iot/describe-account-audit-configuration.html) 명령을 사용하여 감사 구성을 설명합니다. `DEVICE_CERTIFICATE_EXPIRING_CHECK`에 대한 감사 검사를 설정했는지 확인하고 싶습니다.
```
aws iot describe-account-audit-configuration
```
출력:
```
{
"roleArn": "arn:aws:iam:::role/service-role/project",
"auditNotificationTargetConfigurations": {
"SNS": {
"targetArn": "arn:aws:sns:us-east-1::project_sns",
"roleArn": "arn:aws:iam:::role/service-role/project",
"enabled": true
}
},
"auditCheckConfigurations": {
"AUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK": {
"enabled": false
},
"CA_CERTIFICATE_EXPIRING_CHECK": {
"enabled": false
},
"CA_CERTIFICATE_KEY_QUALITY_CHECK": {
"enabled": false
},
"CONFLICTING_CLIENT_IDS_CHECK": {
"enabled": false
},
"DEVICE_CERTIFICATE_EXPIRING_CHECK": {
"enabled": true
},
"DEVICE_CERTIFICATE_KEY_QUALITY_CHECK": {
"enabled": false
},
"DEVICE_CERTIFICATE_SHARED_CHECK": {
"enabled": false
},
"IOT_POLICY_OVERLY_PERMISSIVE_CHECK": {
"enabled": true
},
"IOT_ROLE_ALIAS_ALLOWS_ACCESS_TO_UNUSED_SERVICES_CHECK": {
"enabled": false
},
"IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK": {
"enabled": false
},
"LOGGING_DISABLED_CHECK": {
"enabled": false
},
"REVOKED_CA_CERTIFICATE_STILL_ACTIVE_CHECK": {
"enabled": false
},
"REVOKED_DEVICE_CERTIFICATE_STILL_ACTIVE_CHECK": {
"enabled": false
},
"UNAUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK": {
"enabled": false
}
}
}
```
`DEVICE_CERTIFICATE_EXPIRING_CHECK`은(는) `true`의 값을 가져야 합니다.
1. [list-audit-task](https://docs.aws.amazon.com/cli/latest/reference/iot/list-audit-task.html) 명령을 사용하여 완료된 감사 태스크를 식별할 수 있습니다.
```
aws iot list-audit-tasks \
--task-status "COMPLETED" \
--start-time 2020-07-31 \
--end-time 2020-08-01
```
출력:
```
{
"tasks": [
{
"taskId": "787ed873b69cb4d6cdbae6ddd06996c5",
"taskStatus": "COMPLETED",
"taskType": "SCHEDULED_AUDIT_TASK"
}
]
}
```
1단계에서 실행한 감사의 `taskId`은(는) `COMPLETED`의 `taskStatus`여야 합니다.
1. 이전 단계의 `taskId` 출력을 사용하여 완료된 감사에 대한 세부 정보를 확인하려면 [describe-audit-task](https://docs.aws.amazon.com/cli/latest/reference/iot/describe-audit-task.html) 명령을 사용합니다. 이 명령은 감사에 대한 세부 정보를 나열합니다.
```
aws iot describe-audit-task \
--task-id "787ed873b69cb4d6cdbae6ddd06996c5"
```
출력:
```
{
"taskStatus": "COMPLETED",
"taskType": "SCHEDULED_AUDIT_TASK",
"taskStartTime": 1596168096.157,
"taskStatistics": {
"totalChecks": 1,
"inProgressChecks": 0,
"waitingForDataCollectionChecks": 0,
"compliantChecks": 0,
"nonCompliantChecks": 1,
"failedChecks": 0,
"canceledChecks": 0
},
"scheduledAuditName": "AWSIoTDeviceDefenderDailyAudit",
"auditDetails": {
"DEVICE_CERTIFICATE_EXPIRING_CHECK": {
"checkRunStatus": "COMPLETED_NON_COMPLIANT",
"checkCompliant": false,
"totalResourcesCount": 195,
"nonCompliantResourcesCount": 2
}
}
}
```
1. [list-audit-findings](https://docs.aws.amazon.com/cli/latest/reference/iot/list-audit-findings.html) 명령을 사용하여 비준수 인증서 ID를 찾으면 이 리소스에 대한 감사 알림을 일시중지할 수 있습니다.
```
aws iot list-audit-findings \
--start-time 2020-07-31 \
--end-time 2020-08-01
```
출력:
```
{
"findings": [
{
"findingId": "296ccd39f806bf9d8f8de20d0ceb33a1",
"taskId": "787ed873b69cb4d6cdbae6ddd06996c5",
"checkName": "DEVICE_CERTIFICATE_EXPIRING_CHECK",
"taskStartTime": 1596168096.157,
"findingTime": 1596168096.651,
"severity": "MEDIUM",
"nonCompliantResource": {
"resourceType": "DEVICE_CERTIFICATE",
"resourceIdentifier": {
"deviceCertificateId": "b4490"
},
"additionalInfo": {
"EXPIRATION_TIME": "1582862626000"
}
},
"reasonForNonCompliance": "Certificate is past its expiration.",
"reasonForNonComplianceCode": "CERTIFICATE_PAST_EXPIRATION",
"isSuppressed": false
},
{
"findingId": "37ecb79b7afb53deb328ec78e647631c",
"taskId": "787ed873b69cb4d6cdbae6ddd06996c5",
"checkName": "DEVICE_CERTIFICATE_EXPIRING_CHECK",
"taskStartTime": 1596168096.157,
"findingTime": 1596168096.651,
"severity": "MEDIUM",
"nonCompliantResource": {
"resourceType": "DEVICE_CERTIFICATE",
"resourceIdentifier": {
"deviceCertificateId": "c7691"
},
"additionalInfo": {
"EXPIRATION_TIME": "1583424717000"
}
},
"reasonForNonCompliance": "Certificate is past its expiration.",
"reasonForNonComplianceCode": "CERTIFICATE_PAST_EXPIRATION",
"isSuppressed": false
}
]
}
```
1. [create-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/create-audit-suppression.html) 명령을 사용하여 *2020-08-20*까지 ID가 `c7691e`인 디바이스 인증서에 대한 `DEVICE_CERTIFICATE_EXPIRING_CHECK` 감사 검사에 대해 알림을 표시하지 않습니다.
```
aws iot create-audit-suppression \
--check-name DEVICE_CERTIFICATE_EXPIRING_CHECK \
--resource-identifier deviceCertificateId="c7691e" \
--no-suppress-indefinitely \
--expiration-date 2020-08-20
```
1. [list-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/list-audit-suppression.html) 명령을 사용하여 감사 금지 설정을 확인하고 금지에 대한 세부 정보를 얻을 수 있습니다.
```
aws iot list-audit-suppressions
```
출력:
```
{
"suppressions": [
{
"checkName": "DEVICE_CERTIFICATE_EXPIRING_CHECK",
"resourceIdentifier": {
"deviceCertificateId": "c7691e"
},
"expirationDate": 1597881600.0,
"suppressIndefinitely": false
}
]
}
```
1. [update-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/update-audit-suppression.html) 명령을 사용하여 감사 결과 금지를 업데이트할 수 있습니다. 아래 예제에서는 `expiration-date`을(를) `08/21/20`(으)로 업데이트합니다.
```
aws iot update-audit-suppression \
--check-name DEVICE_CERTIFICATE_EXPIRING_CHECK \
--resource-identifier deviceCertificateId=c7691e \
--no-suppress-indefinitely \
--expiration-date 2020-08-21
```
1. [delete-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/delete-audit-suppression.html) 명령을 사용하여 감사 결과 금지를 제거할 수 있습니다.
```
aws iot delete-audit-suppression \
--check-name DEVICE_CERTIFICATE_EXPIRING_CHECK \
--resource-identifier deviceCertificateId="c7691e"
```
삭제를 확인하려면 [list-audit-suppressions](https://docs.aws.amazon.com/cli/latest/reference/iot/list-audit-suppressions.html) 명령을 사용합니다.
```
aws iot list-audit-suppressions
```
출력:
```
{
"suppressions": []
}
```
이 자습서에서는 콘솔 및 CLI에서 `Device certificate expiring` 검사를 금지하는 방법을 보여 주었습니다. 감사 결과 금지에 대한 자세한 내용은 [감사 결과 금지](audit-finding-suppressions.md) 단원을 참조하세요.