安全态势感知
概述
安全态势感知是对物联网平台资产的统一风险监控管理系统,通过仪表盘,图表等方式实现安全可视化,安全统计提升治理效率。
约束与限制
- 单用户下安全态势配置配额为100。
- 同一个设备相同检测项告警抑制时间为1小时,即告警触发上报最短周期为1小时。
安全检测
物联网平台安全检测分为设备侧检测与平台侧检测两种,设备侧检测即在平台开启并配置检测项参数,平台下发给设备,由设备侧主动上报告警信息,建议使用设备侧SDK减少开发成本,平台侧检测项开启后由平台主动监控设备,触发告警。物联网平台对检测项进行了分级分类,即可单独配置检测项的告警级别(严重、重要、一般)与安全级别(极致安全、高级安全、基础安全),下表是平台支持的检测项与默认级别,详情可参考:设备异常检测。
|
检测项 |
默认严重级别 |
默认安全分类 |
平台侧/设备侧 |
说明 |
|---|---|---|---|---|
|
设备内存泄漏检测 |
严重 |
高级 |
设备侧 |
检测设备内存使用率是否超过阈值。 |
|
设备异常端口检测 |
严重 |
高级 |
设备侧 |
检测设备是否使用白名单外的端口。 |
|
设备CPU使用率检测 |
严重 |
高级 |
设备侧 |
检测设备CPU使用率是否超过阈值。 |
|
设备磁盘使用率检测 |
严重 |
高级 |
设备侧 |
检测设备磁盘使用率是否超过阈值。 |
|
设备电池电量检测 |
严重 |
高级 |
设备侧 |
检测设备电量是否低于阈值。 |
|
设备本地登录检测 |
一般 |
基础 |
设备侧 |
检测设备是否存在本地登录行为。 |
|
设备暴力破解登录检测 |
一般 |
基础 |
设备侧 |
检测设备是否存在防暴力破解行为。 |
|
设备恶意IP检测 |
一般 |
基础 |
设备侧 |
检测设备是否连接恶意IP地址。 |
|
设备本地文件篡改检测 |
一般 |
基础 |
设备侧 |
检测设备是否存在文件被篡改。 |
|
设备是否使用TLS加密通讯协议检测 |
一般 |
极致 |
平台侧 |
检测设备是否使用不安全端口接入。 |
|
设备使用不安全TLS版本接入检测 |
严重 |
极致 |
平台侧 |
检测设备是否使用不安全的TLS协议版本接入。 |
|
设备使用不安全TLS加密套件接入检测 |
严重 |
极致 |
平台侧 |
检测设备是否使用不安全的TLS加密套件接入。 |
|
设备鉴权失败检测 |
严重 |
极致 |
平台侧 |
检测设备是否鉴权失败。 |
|
设备异常离线检测 |
严重 |
极致 |
平台侧 |
检测设备是否异常离线。 |
|
设备单位时间内多次建链检测 |
严重 |
极致 |
平台侧 |
检测设备是否单位时间内多次建链。 |
|
设备弱密码检测 |
一般 |
极致 |
平台侧 |
检测设备是否使用弱密码。 |
设备侧检测项配置后平台通过影子下发给设备,service_id为:$security_detection_config,结构属性如下:
|
key |
value类型 |
说明 |
|---|---|---|
|
memoryCheck |
Integer |
0:关闭内存检测,1:开启内存检测 |
|
memoryThreshold |
Integer |
内存利用率告警阈值,取值范围1-100 |
|
memoryCheckReportPeriod |
Integer |
内存检测上报周期,取值范围1-24,单位:小时 |
|
portCheck |
Integer |
0:关闭端口检测,1:开启端口检测 |
|
portCheckReportPeriod |
Integer |
端口检测上报周期,取值范围1-24,单位:小时 |
|
cpuUsageCheck |
Integer |
0:关闭CPU检测,1:开启CPU检测 |
|
cpuUsageThreshold |
Integer |
CPU利用率告警阈值,取值范围1-100 |
|
cpuUsageCheckReportPeriod |
Integer |
CPU检测上报周期,取值范围1-24,单位:小时 |
|
diskSpaceCheck |
Integer |
0:关闭磁盘检测,1:开启磁盘检测 |
|
diskSpaceThreshold |
Integer |
磁盘利用率告警阈值,取值范围1-100 |
|
diskSpaceCheckReportPeriod |
Integer |
磁盘检测上报周期,取值范围1-24,单位:小时 |
|
batteryPercentageCheck |
Integer |
0:关闭电量检测,1:开启电量检测 |
|
batteryPercentageThreshold |
Integer |
电量百分比告警阈值,取值范围1-100 |
|
batteryPercentageCheckReportPeriod |
Integer |
电量检测上报周期,取值范围1-24,单位:小时 |
|
loginLocalCheck |
Integer |
0:关闭本地登录检测,1:开启本地登录检测 |
|
loginBruteForceCheck |
Integer |
0:关闭暴力破解登录检测,1:开启暴力破解登录检测 |
|
maliciousIPCheck |
Integer |
0:关闭恶意IP检测,1:开启恶意IP检测 |
|
fileTamperCheck |
Integer |
0:关闭文件防篡改检测,1:开启文件防篡改检测 |
设备侧检测结果数据上报格式参考:安全检测数据上报
业务流程
操作步骤
- 访问设备接入服务,单击“管理控制台”进入设备接入控制台。选择您的实例,单击实例卡片进入。
- 选择左侧导航栏的。
- 单击“添加安全检测配置”,进入添加安全检测配置界面。
图4 安全态势感知-添加安全检测配置
- 设备连接平台,获取安全态势感知配置,参考设备获取安全态势感知配置。
图5 安全态势感知-获取安全检测配置
- 设备上报告警数据,上行topic:$oc/devices/{device_id}/sys/events/up,内容体:
{ "services": [{ "service_id": "$log", "event_type": "security_log_report", "event_time": "20250207T164812Z", "paras": { "type": "CPU_USAGE_REPORT", "content": { "cpu_usage": 99, "cpu_usage_alarm": 1 } } }] } - 选择左侧导航栏的查看告警列表。
图6 安全态势感知-安全检测告警
