Referenz für Microsoft Defender for IoT-Warnungen

This article provides a reference of the alerts that are generated by Microsoft Defender for IoT network sensors, including a list of all alert types and descriptions. In der Referenz wird auch gezeigt, welche Warnungen als lernbar oder nicht triageiert werden können, weitere Informationen zum lernbaren Status finden Sie unter Warnungsstatus und Triagingoptionen. Sie können diese Referenz verwenden, um Warnungen in Playbooks zuzuordnen, Weiterleitungsregeln für einen OT-Netzwerksensor (Operational Technology) oder andere benutzerdefinierte Aktivitäten zu definieren.

OT-Warnungen standardmäßig deaktiviert

Verschiedene Warnungen sind standardmäßig deaktiviert, wie durch Sternchen (*) in den folgenden Tabellen angegeben. OT sensor Admin users can enable or disable alerts from the Support page on a specific OT network sensor.

Wenn Sie Warnungen deaktivieren, auf die an anderen Stellen verwiesen wird, z. B. in Warnungsweiterleitungsregeln, müssen Sie diese Verweise ggf. aktualisieren.

Alert severities

Defender for IoT-Warnungen verwenden die folgenden Schweregrade:

Azure portal	OT sensor	Description
High	Critical	Gibt einen böswilligen Angriff an, der sofort behandelt werden muss.
Medium	Major	Gibt eine Sicherheitsbedrohung an, deren Behandlung wichtig ist.
Low	Minor, Warning	Weist auf eine Abweichung vom normalen Verhalten hin, die eine Sicherheitsbedrohung darstellen könnte, oder enthält keine Sicherheitsbedrohungen.

Warnungsschweregrade auf dieser Seite listen den Schweregrad auf, wie im Azure-Portal dargestellt.

Unterstützte Warnungstypen

Alert type	Description
Warnungen zu Richtlinienverstößen	Diese Warnungen werden ausgelöst, wenn das Richtlinienverstoßmodul eine Abweichung vom zuvor erlernten Datenverkehr erkennt. For example: - Ein neues Gerät wird erkannt. - Auf einem Gerät wird eine neue Konfiguration erkannt. - Ein nicht als Programmiergerät definiertes Gerät führt eine Programmieränderung aus. - Eine Firmwareversion wurde geändert.
Warnungen zu Protokollverletzungen	Diese Warnungen werden ausgelöst, wenn das Protokollverletzungsmodul Paketstrukturen oder Feldwerte erkennt, die nicht mit der Protokollspezifikation übereinstimmen.
Operational alerts	Diese Warnungen werden ausgelöst, wenn das Vorgangsmodul Netzwerkbetriebsvorfälle erkennt oder ein Gerät nicht ordnungsgemäß funktioniert. Beispiele: Ein Netzwerkgerät wurde über einen Befehl zum Beenden der SPS beendet, oder eine Schnittstelle eines Sensors hat die Überwachung des Datenverkehrs beendet.
Malware alerts	Diese Warnungen werden ausgelöst, wenn das Malwaremodul schädliche Netzwerkaktivitäten erkennt. Beispiel: Das Modul erkennt einen bekannten Angriff, z. B. Conficker.
Anomaly alerts	Diese Warnungen werden ausgelöst, wenn das Anomaliemodul eine Abweichung erkennt. Beispiel: Ein nicht als Scangerät definiertes Gerät führt Netzwerkscans aus.

Die Warnungserkennungsrichtlinie von Defender für IoT steuert die verschiedenen Warnungsmodule, um Warnungen basierend auf geschäftlichen Auswirkungen und Netzwerkkontext auszulösen und it-bezogene Warnungen mit geringem Wert zu reduzieren. Weitere Informationen finden Sie unter Gezielte Warnungen in OT-/IT-Umgebungen.

Unterstützte Warnungskategorien

Jede Warnung weist eine der folgenden Kategorien auf:

Ungewöhnliches Kommunikationsverhalten
Ungewöhnliches Verhalten bei der HTTP-Kommunikation
Authentication
Backup
Bandwidth Anomalies
Buffer overflow
Command Failures
Configuration changes
Custom Alerts
Discovery
Firmware change
Illegal commands

Internet Access
Operation Failures
Operational issues
Programming
Remote access
Restart/Stop Commands
Scan
Sensor traffic
Verdacht auf schädliche Aktivität
Verdacht auf Schadsoftware
Unautorisiertes Kommunikationsverhalten
Unresponsive

Warnungen der Richtlinien-Engine

Die Warnungen der Richtlinien-Engine beschreiben erkannte Abweichungen vom gelernten normalen Verhalten.

The policy engine alerts table contains the Aggregated item to indicate that multiple alerts of this type can be grouped together and listed only once in the Alerts page to reduce alert fatigue. For more information, see aggregated alerts.

Title	Description	Severity	Category	MITRE ATT&CK Taktiken und Techniken	Learnable	Aggregated violations
Beckhoff-Software geändert	Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren.	Medium	Firmware Change	Tactics: - Hemmung der Reaktionsfunktion - Persistence Techniques: - T0857: Systemfirmware	Learnable	No
Datenbankanmeldung fehlgeschlagen	Es wurde ein fehlerhafter Anmeldeversuch über ein Quellgerät bei einem Zielserver erkannt. Dies ist möglicherweise auf einen menschlichen Fehler zurückzuführen, kann jedoch auch auf einen böswilligen Versuch hinweisen, den Server oder die darauf befindlichen Daten zu kompromittieren. Schwellenwert: 2 Anmeldefehler in 5 Minuten	Medium	Authentication	Tactics: -Lateralverschiebung - Collection Techniques: - T0812: Standardanmeldeinformationen - T0811: Daten aus Informationsrepositorys	Not learnable	No
Emerson ROC-Firmwareversion geändert	Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren.	Medium	Firmware Change	Tactics: - Hemmung der Reaktionsfunktion - Persistence Techniques: - T0857: Systemfirmware	Learnable	Yes
Kommunikation einer externen Adresse im Netzwerk mit dem Internet	Ein Internetgerät, das mit einem anderen Internetgerät innerhalb des Netzwerks kommuniziert wird.	High	Internet Access	Tactics: - Erstzugriff Techniques: - T0883: Internetfähiges Gerät	Learnable	No
Feldgerät unerwartet ermittelt	Ein neues Quellgerät wurde im Netzwerk erkannt, ist aber nicht autorisiert.	Medium	Discovery	Tactics: - Discovery Techniques: - T0842: Netzwerkermittlung	Not learnable	No
Firmwareänderung erkannt	Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren.	Medium	Firmware Change	Tactics: - Hemmung der Reaktionsfunktion - Persistence Techniques: - T0857: Systemfirmware	Not learnable	No
Firmwareversion geändert	Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren.	Medium	Firmware Change	Tactics: - Hemmung der Reaktionsfunktion - Persistence Techniques: - T0857: Systemfirmware	Learnable	Yes
Nicht autorisierter Foxboro-E/A-Vorgang	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Learnable	Yes
Fehler bei FTP-Anmeldung	Es wurde ein fehlerhafter Anmeldeversuch über ein Quellgerät bei einem Zielserver erkannt. Diese Warnung ist möglicherweise auf einen menschlichen Fehler zurückzuführen, könnte aber auch auf einen böswilligen Versuch hindeuten, den Server oder die darauf gespeicherten Daten zu kompromittieren.	Medium	Authentication	Tactics: -Lateralverschiebung - Befehl und Steuerung Techniques: - T0812: Standardanmeldeinformationen - T0869: Standardmäßiges Anwendungsebenenprotokoll	Not learnable	No
Funktionscode hat eine Ausnahme „Nicht autorisiert“ ausgelöst*	Ein Quellgerät (sekundär) hat eine Ausnahme an ein Zielgerät (primär) zurückgegeben.	Medium	Command Failures	Tactics: - Hemmung der Reaktionsfunktion Techniques: - T0835: E/A-Image bearbeiten	Learnable	Yes
Einstellungen für GOOSE-Nachrichtentyp	Die Einstellungen einer Nachricht (identifiziert durch Protokoll-ID) wurden auf einem Quellgerät geändert.	Low	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0836: Parameter ändern	Learnable	Yes
Honeywell-Firmwareversion geändert	Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren.	Medium	Firmware Change	Tactics: - Hemmung der Reaktionsfunktion - Persistence Techniques: - T0857: Systemfirmware	Learnable	No
Unzulässige HTTP-Kommunikation *	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Ungewöhnliches Verhalten bei der HTTP-Kommunikation	Tactics: - Discovery Techniques: - T0846: Remotesystemermittlung	Learnable	No
Internetzugriff erkannt	Ein internes Gerät hat unerwartet versucht, eine ausgehende Internetverbindung durchzuführen.	Medium	Internet Access	Tactics: - Erstzugriff Techniques: - T0883: Internetfähiges Gerät	Learnable	No
Mitsubishi-Firmwareversion geändert	Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren.	Medium	Firmware Change	Tactics: - Hemmung der Reaktionsfunktion - Persistence Techniques: - T0857: Systemfirmware	Learnable	No
Verstoß gegen Modbus-Adressbereich	Ein primäres Gerät hat Zugriff auf eine neue Speicheradresse auf dem sekundären Gerät angefordert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Discovery Techniques: - T0842: Netzwerkermittlung	Learnable	Yes
Modbus-Firmwareversion geändert	Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren.	Medium	Firmware Change	Tactics: - Hemmung der Reaktionsfunktion - Persistence Techniques: - T0857: Systemfirmware	Learnable	No
Neue Aktivität erkannt: CIP-Klasse	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Discovery Techniques: - T0888: Ermittlung von Remotesysteminformationen	Learnable	Yes
Neue Aktivität erkannt: CIP-Klassendienst	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Hemmung der Reaktionsfunktion Techniques: - T0836: Parameter ändern	Learnable	Yes
Neue Aktivität erkannt: CIP-PCCC-Befehl	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Hemmung der Reaktionsfunktion Techniques: - T0836: Parameter ändern	Learnable	Yes
Neue Aktivität erkannt: CIP-Symbol	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle - Hemmung der Reaktionsfunktion Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Learnable	Yes
Neue Aktivität erkannt: Ethernet/IP-E/A-Verbindung	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Discovery - Hemmung der Reaktionsfunktion Techniques: - T0846: Remote System Discovery - T0835: E/A-Image bearbeiten	Learnable	Yes
Neue Aktivität erkannt: Ethernet/IP-Protokollbefehl	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Hemmung der Reaktionsfunktion Techniques: - T0836: Parameter ändern	Learnable	Yes
Neue Aktivität erkannt: GSM-Nachrichtencode	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - CommandAndControl Techniques: - T0869: Standardmäßiges Anwendungsebenenprotokoll	Learnable	Yes
Neue Aktivität erkannt: LonTalk-Befehlscodes	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Collection - Beeinträchtigung der Prozesskontrolle Techniques: - T0861 - Point & Tag Identification - T0855: Meldung zu nicht autorisierten Befehlen	Learnable	Yes
Neue Aktivität erkannt: LonTalk-Netzwerkvariable	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Meldung zu nicht autorisierten Befehlen	Learnable	Yes
Neue Aktivität erkannt: Ovation-Datenanforderung	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Collection - Discovery Techniques: - T0801: Überwachen des Prozesszustands - T0888: Ermittlung von Remotesysteminformationen	Learnable	Yes
Neue Aktivität erkannt: Befehl zum Lesen/Schreiben (AMS-Indexgruppe)	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Configuration Changes	Tactics: - Beeinträchtigung der Prozesskontrolle - Hemmung der Reaktionsfunktion Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Learnable	Yes
Neue Aktivität erkannt: Befehl zum Lesen/Schreiben (AMS-Indexoffset)	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Configuration Changes	Tactics: - Beeinträchtigung der Prozesskontrolle - Hemmung der Reaktionsfunktion Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Learnable	Yes
Neue Aktivität erkannt: Nicht autorisierter DeltaV-Nachrichtentyp	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle - Execution Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern	Learnable	Yes
Neue Aktivität erkannt: Nicht autorisierter DeltaV-ROC-Vorgang	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle - Execution Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern	Learnable	Yes
Neue Aktivität erkannt: Nicht autorisierter RPC-Nachrichtentyp	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Meldung zu nicht autorisierten Befehlen	Learnable	Yes
Neue Aktivität erkannt: Verwendung des AMS-Protokollbefehls	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle - Hemmung der Reaktionsfunktion - Execution Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern - T0821: Controllertasking ändern	Learnable	Yes
Neue Aktivität erkannt: Verwendung des Siemens SICAM-Befehls	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle - Hemmung der Reaktionsfunktion Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Learnable	Yes
Neue Aktivität erkannt: Verwendung des Suitelink-Protokollbefehls	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle - Hemmung der Reaktionsfunktion Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Learnable	Yes
Neue Aktivität erkannt: Verwendung von Suitelink-Protokollsitzungen	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0836: Parameter ändern	Learnable	Yes
Neue Aktivität erkannt: Verwendung des Yokogawa-VNetIP-Befehls	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle - Execution Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern	Learnable	Yes
Neue Ressource erkannt	Ein neues Quellgerät wurde im Netzwerk erkannt, ist aber nicht autorisiert. Diese Warnung gilt für Geräte, die in OT-Subnetzen entdeckt wurden. Neue Geräte, die in IT-Subnetzen entdeckt werden, lösen keine Warnung aus.	Medium	Discovery	Tactics: - Discovery Techniques: - T0842: Netzwerkermittlung	Learnable	No
Neue LLDP-Gerätekonfiguration	Ein neues Quellgerät wurde im Netzwerk erkannt, ist aber nicht autorisiert.	Medium	Configuration Changes	Tactics: - Discovery Techniques: - T0842: Netzwerkermittlung	Learnable	No
Nicht autorisierter Omron-FINS-Befehl	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Learnable	Yes
S7 Plus SPS-Firmware geändert	Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren.	Medium	Firmware Change	Tactics: - Hemmung der Reaktionsfunktion - Persistence Techniques: - T0857: Systemfirmware	Learnable	No
Einstellungen für Nachrichtentyp mit Stichprobenwerten	Die Einstellungen einer Nachricht (identifiziert durch Protokoll-ID) wurden auf einem Quellgerät geändert.	Low	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0836: Parameter ändern	Not learnable	Yes
Verdacht auf unzulässige Integritätsüberprüfung*	Es wurde eine Überprüfung auf einem DNP3-Quellgerät (Outstation) erkannt. Diese Überprüfung war nicht als erlernter Datenverkehr in Ihrem Netzwerk autorisiert.	Medium	Scan	Tactics: - Discovery Techniques: - T0842: Netzwerkermittlung	Learnable	No
Nicht autorisierter Befehl für Verknüpfung von Toshiba-Computer	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Low	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle - Execution Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern	Learnable	Yes
Nicht autorisierter ABB Totalflow-Dateivorgang	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle - Execution Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern	Not learnable	Yes
Nicht autorisierter ABB Totalflow-Registrierungsvorgang	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle - Execution Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern	Not learnable	Yes
Nicht autorisierter Zugriff auf Siemens S7-Datenblock	Ein Quellgerät hat versucht, auf eine Ressource auf einem anderen Gerät zuzugreifen. Ein Zugriffsversuch auf diese Ressource zwischen diesen beiden Geräten ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert.	Low	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle - Erstzugriff Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0811: Daten aus Informationsrepositorys	Learnable	Yes
Nicht autorisierter Zugriff auf Siemens S7 Plus-Objekt	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle - Execution - Hemmung der Reaktionsfunktion Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controlleraufgaben ändern - T0809: Datenvernichtung	Learnable	Yes
Nicht autorisierter Zugriff auf ein Wonderware-Tag	Ein Quellgerät hat versucht, auf eine Ressource auf einem anderen Gerät zuzugreifen. Ein Zugriffsversuch auf diese Ressource zwischen diesen beiden Geräten ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Collection - Beeinträchtigung der Prozesskontrolle Techniques: - T0861: Point & Tag Identification - T0855: Meldung zu nicht autorisierten Befehlen	Learnable	Yes
Nicht autorisierter BACNet-Objektzugriff	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle - Execution Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern	Learnable	Yes
Nicht autorisierte BACNet-Route	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle - Execution Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern	Learnable	Yes
Nicht autorisierte Datenbankanmeldung*	Es wurde ein Anmeldeversuch zwischen einem Quellclient und einem Zielserver erkannt. Die Kommunikation zwischen diesen Geräten ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert.	Medium	Authentication	Tactics: -Lateralverschiebung - Persistence - Collection Techniques: - T0859: Gültige Konten - T0811: Daten aus Informationsrepositorys	Learnable	No
Nicht autorisierter Datenbankvorgang	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Ungewöhnliches Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle - Erstzugriff Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0811: Daten aus Informationsrepositorys	Learnable	Yes
Nicht autorisierter Emerson ROC-Vorgang	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle - Execution Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern	Learnable	Yes
Nicht autorisierter GE SRTP-Dateizugriff	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Collection - LateralMovement - Persistence Techniques: - T0801: Überwachen des Prozesszustands - T0859: Gültige Konten	Learnable	Yes
Nicht autorisierter GE SRTP-Protokollbefehl	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern	Learnable	Yes
Nicht autorisierter GE SRTP-Systemspeichervorgang	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Discovery - Beeinträchtigung der Prozesskontrolle Techniques: - T0846: Remote System Discovery - T0855: Meldung zu nicht autorisierten Befehlen	Learnable	Yes
Nicht autorisierte HTTP-Aktivität	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Ungewöhnliches Verhalten bei der HTTP-Kommunikation	Tactics: - Erstzugriff - Befehl und Steuerung Techniques: - T0822: Externe Remotedienste - T0869: Standardmäßiges Anwendungsebenenprotokoll	Learnable	No
Nicht autorisierte HTTP-SOAP-Aktion *	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Ungewöhnliches Verhalten bei der HTTP-Kommunikation	Tactics: - Befehl und Steuerung - Execution Techniques: - T0869: Standard Application Layer Protocol - T0871: Ausführung über die API	Learnable	No
Nicht autorisierter HTTP-Benutzer-Agent *	Auf einem Quellgerät wurde eine nicht autorisierte Anwendung erkannt. Die Anwendung ist nicht als gelernte Anwendung in Ihrem Netzwerk autorisiert.	Medium	Ungewöhnliches Verhalten bei der HTTP-Kommunikation	Tactics: - Befehl und Steuerung Techniques: - T0869: Standardmäßiges Anwendungsebenenprotokoll	Learnable	No
Nicht autorisierte Internetverbindung erkannt	Ein internes Gerät hat erfolgreich mit dem Internet kommuniziert.	High	Internet Access	Tactics: - Erstzugriff Techniques: - T0883: Internetfähiges Gerät	Learnable	No
Nicht autorisierter Mitsubishi MELSEC-Befehl	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle - Execution Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern	Learnable	Yes
Nicht autorisierter Zugriff auf MMS-Programm	Ein Quellgerät hat versucht, auf eine Ressource auf einem anderen Gerät zuzugreifen. Ein Zugriffsversuch auf diese Ressource zwischen diesen beiden Geräten ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert.	Medium	Programming	Tactics: - Beeinträchtigung der Prozesskontrolle - Execution Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern	Learnable	Yes
Nicht autorisierter MMS-Dienst	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle - Execution Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern	Learnable	Yes
Nicht autorisierte Multicast-/Übertragungsverbindung	Zwischen einem Quellgerät und anderen Geräten wurde eine Multicast-/Übertragungsverbindung erkannt. Die Multicast-/Übertragungskommunikation ist nicht autorisiert.	High	Ungewöhnliches Kommunikationsverhalten	Tactics: - Discovery Techniques: - T0842: Netzwerkermittlung	Learnable	Yes
Nicht autorisierte Namensabfrage	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Ungewöhnliches Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0836: Parameter ändern	Not learnable	Yes
Nicht autorisierte OPC UA-Aktivität	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0836: Parameter ändern	Learnable	Yes
Nicht autorisierte OPC UA-Anforderung/-Antwort	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0836: Parameter ändern	Learnable	Yes
Nicht autorisierter Vorgang durch benutzerdefinierte Regel erkannt	Datenverkehr zwischen zwei Geräten wurde erkannt. Diese Aktivität ist aufgrund einer benutzerdefinierten Warnungsregel nicht autorisiert.	Medium	Custom Alerts	Tactics: - Discovery Techniques: - T0842: Netzwerkermittlung	Not learnable	No
Nicht autorisierter Lesevorgang für SPS-Konfiguration	Das Quellgerät ist nicht als Programmiergerät definiert, sondern hat einen Lese-/Schreibvorgang auf einem Zielcontroller ausgeführt. Programmieränderungen sollten nur von Programmiergeräten durchgeführt werden. Auf diesem Gerät wurde möglicherweise eine Programmieranwendung installiert.	Low	Configuration Changes	Tactics: - Collection Techniques: - T0801: Überwachen des Prozessstatus	Learnable	No
Nicht autorisierter Schreibvorgang für SPS-Konfiguration	Das Quellgerät hat einen Befehl zum Lesen/Schreiben des Programms eines Zielcontrollers gesendet. Diese Aktivität wurde zuvor nicht beobachtet.	Medium	Configuration Changes	Tactics: - Beeinträchtigung der Prozesskontrolle - Persistence - Impact Techniques: - T0839: Modulfirmware - T0831: Manipulation der Steuerung - T0889: Programm ändern	Learnable	No
Nicht autorisierter Upload von SPS-Programm	Das Quellgerät hat einen Befehl zum Lesen/Schreiben des Programms eines Zielcontrollers gesendet. Diese Aktivität wurde zuvor nicht beobachtet.	Medium	Programming	Tactics: - Beeinträchtigung der Prozesskontrolle - Persistence - Collection Techniques: - T0839: Modulfirmware - T0845: Programmupload	Learnable	No
Nicht autorisierte SPS-Programmierung	Das Quellgerät ist nicht als Programmiergerät definiert, sondern hat einen Lese-/Schreibvorgang auf einem Zielcontroller ausgeführt. Programmieränderungen sollten nur von Programmiergeräten durchgeführt werden. Auf diesem Gerät wurde möglicherweise eine Programmieranwendung installiert.	High	Programming	Tactics: - Beeinträchtigung der Prozesskontrolle - Persistence -Lateralverschiebung Techniques: - T0839: Modulfirmware - T0889: Programm ändern - T0843: Programmdownload	Learnable	No
Nicht autorisierter Profinet-Frametyp	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0836: Parameter ändern	Learnable	Yes
Nicht autorisierter SAIA S-Bus-Befehl	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Meldung zu nicht autorisierten Befehlen	Learnable	Yes
Nicht autorisierte Ausführung der Steuerungsfunktion von Siemens S7	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle - Hemmung der Reaktionsfunktion Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0809: Datenvernichtung	Learnable	Yes
Nicht autorisierte Siemens S7-Ausführung von benutzerdefinierter Funktion	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle - Execution Techniques: - T0836: Parameter ändern - T0863: Benutzerausführung	Learnable	Yes
Nicht autorisierter Siemens S7 Plus-Blockzugriff	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Hemmung der Reaktionsfunktion - Persistence - Execution Techniques: - T0803 – Befehlsmeldung blockieren - T0889: Programm ändern - T0821: Controllertasking ändern	Learnable	Yes
Nicht autorisierter Siemens S7 Plus-Vorgang	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle - Execution Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0863: Benutzerausführung	Learnable	Yes
Nicht autorisierte SMB-Anmeldung	Es wurde ein Anmeldeversuch zwischen einem Quellclient und einem Zielserver erkannt. Die Kommunikation zwischen diesen Geräten ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert.	Medium	Authentication	Tactics: - Erstzugriff -Lateralverschiebung - Persistence Techniques: - T0886: Remotedienste - T0859: Gültige Konten	Learnable	Yes
Nicht autorisierter SNMP-Vorgang	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Ungewöhnliches Kommunikationsverhalten	Tactics: - Discovery - Befehl und Steuerung Techniques: - T0842: Netzwerk-Sniffing - T0885: Häufig verwendeter Port	Learnable	Yes
Nicht autorisierter SSH-Zugriff	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Remote Access	Tactics: - InitialAccess -Lateralverschiebung - Befehl und Steuerung Techniques: - T0886: Remotedienste - T0869: Standardmäßiges Anwendungsebenenprotokoll	Learnable	No
Nicht autorisierter Windows-Prozess	Auf einem Quellgerät wurde eine nicht autorisierte Anwendung erkannt. Die Anwendung ist nicht als gelernte Anwendung in Ihrem Netzwerk autorisiert.	Medium	Ungewöhnliches Kommunikationsverhalten	Tactics: - Execution - Berechtigungseskalation - Befehl und Steuerung Techniques: - T0841: Hooking - T0885: Häufig verwendeter Port	Learnable	Yes
Nicht autorisierter Windows-Dienst	Auf einem Quellgerät wurde eine nicht autorisierte Anwendung erkannt. Die Anwendung ist nicht als gelernte Anwendung in Ihrem Netzwerk autorisiert.	Medium	Ungewöhnliches Kommunikationsverhalten	Tactics: - Erstzugriff -Lateralverschiebung Techniques: - T0866: Ausnutzung von Remotediensten	Learnable	Yes
Nicht autorisierter Vorgang durch benutzerdefinierte Regel erkannt	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination verstößt gegen eine benutzerdefinierte Regel.	Medium		Tactics: - Discovery Techniques: - T0842: Netzwerkermittlung	Not learnable	No
Nicht zugelassene Modbus Schneider Electric-Erweiterung	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Meldung zu nicht autorisierten Befehlen	Learnable	Yes
Nicht zugelassene Verwendung von ASDU-Typen	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Meldung zu nicht autorisierten Befehlen	Learnable	Yes
Unzulässige Verwendung von DNP3-Funktionscode	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0836: Parameter ändern	Learnable	Yes
Unzulässige Verwendung von internem Hinweis*	Ein DNP3-Quellgerät (Outstation) hat einen internen Hinweis gemeldet, der nicht als erlernter Datenverkehr in Ihrem Netzwerk autorisiert wurde.	Medium	Illegal Commands	Tactics: - Discovery Techniques: - T0842: Netzwerkermittlung	Learnable	No
Unzulässige Verwendung von Modbus-Funktionscode	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Medium	Unautorisiertes Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0836: Parameter ändern	Learnable	Yes

Engine-Warnungen zu Anomalien

Note

This article contains references to the term slave, a term that Microsoft no longer uses. Sobald der Begriff aus der Software entfernt wird, wird er auch aus diesem Artikel entfernt.

Warnungen der Anomalie-Engine beschreiben erkannte Anomalien in der Netzwerkaktivität.

Title	Description	Severity	Category	MITRE ATT&CK Taktiken und Techniken	Learnable
Ungewöhnliches Ausnahmemuster auf untergeordnetem Gerät*	Auf einem Quellgerät wurde eine übermäßige Anzahl von Fehlern erkannt. Diese Warnung kann das Ergebnis eines operativen Problems sein. Schwellenwert: 20 Ausnahmen in 1 Stunde	Low	Ungewöhnliches Kommunikationsverhalten	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0806: Brute Force-E/A	Not learnable
Ungewöhnliche Länge des HTTP-Headers *	Das Quellgerät hat eine ungewöhnliche Nachricht gesendet. Diese Warnung weist möglicherweise auf einen Versuch hin, das Zielgerät anzugreifen.	High	Ungewöhnliches Verhalten bei der HTTP-Kommunikation	Tactics: - Erstzugriff -Lateralverschiebung - Befehl und Steuerung Techniques: - T0866: Nutzung von Remotediensten - T0869: Standardmäßiges Anwendungsebenenprotokoll	Learnable
Ungewöhnliche Anzahl von Parametern im HTTP-Header *	Das Quellgerät hat eine ungewöhnliche Nachricht gesendet. Diese Warnung weist möglicherweise auf einen Versuch hin, das Zielgerät anzugreifen.	High	Ungewöhnliches Verhalten bei der HTTP-Kommunikation	Tactics: - Erstzugriff -Lateralverschiebung - Befehl und Steuerung Techniques: - T0866: Nutzung von Remotediensten - T0869: Standardmäßiges Anwendungsebenenprotokoll	Learnable
Ungewöhnliches regelmäßiges Verhalten im Kommunikationskanal	Eine Änderung der Kommunikationshäufigkeit zwischen dem Quell- und dem Zielgerät wurde erkannt.	Low	Ungewöhnliches Kommunikationsverhalten	Tactics: - Discovery Techniques: - T0842: Netzwerkermittlung	Learnable
Ungewöhnliche Beendung von Anwendungen*	Auf einem Quellgerät wurde eine übermäßige Anzahl von Stoppbefehlen erkannt. Diese Warnung kann das Ergebnis eines betriebstechnischen Problems oder ein Versuch sein, das Gerät zu bearbeiten. Schwellenwert: 20 Befehle zum Beenden in 3 Stunden	Medium	Ungewöhnliches Kommunikationsverhalten	Tactics: - Persistence - Impact Techniques: - T0889: Programm ändern - T0831: Manipulation der Steuerung	Learnable
Ungewöhnliche Datenverkehrsbandbreite*	Auf einem Kanal wurde eine ungewöhnliche Bandbreite erkannt. Die Bandbreite scheint niedriger oder höher als zuvor erkannt zu sein. Weitere Informationen erhalten Sie, wenn Sie mit dem Widget für die Gesamtbandbreite arbeiten.	Low	Bandwidth Anomalies	Tactics: - Discovery Techniques: - T0842: Netzwerkermittlung	Learnable
Ungewöhnliche Datenverkehrsbandbreite zwischen Geräten*	Auf einem Kanal wurde eine ungewöhnliche Bandbreite erkannt. Die Bandbreite scheint niedriger oder höher als zuvor erkannt zu sein. Weitere Informationen erhalten Sie, wenn Sie mit dem Widget für die Gesamtbandbreite arbeiten.	Low	Bandwidth Anomalies	Tactics: - Discovery Techniques: - T0842: Netzwerkermittlung	Not learnable
Adressüberprüfung erkannt	Es wurde erkannt, dass ein Quellgerät Netzwerkgeräte überprüft. Dieses Gerät ist nicht als Netzwerkscangerät autorisiert. Schwellenwert: 50 Verbindungen mit dem gleichen B-Klassensubnetz in 2 Minuten	High	Scan	Tactics: - Discovery Techniques: - T0842: Netzwerkermittlung	Learnable
ARP-Adressenüberprüfung erkannt*	Es wurde erkannt, dass ein Quellgerät Netzwerkgeräte mithilfe des Address Resolution-Protokolls (ARP) überprüft. Diese Geräteadresse ist nicht als gültige ARP-Scanadresse autorisiert. Schwellenwert: 40 Scans in 6 Minuten	High	Scan	Tactics: - Discovery - Collection Techniques: - T0842: Netzwerk-Sniffing - T0830: Man-in-the-Middle	Learnable
ARP-Spoofing*	Im Netzwerk wurde eine ungewöhnliche Menge von Paketen erkannt. Diese Warnung könnte auf einen Angriff hindeuten, z. B. auf ARP-Spoofing oder einen ICMP-Floodingangriff. Schwellenwert: 60 Pakete in 1 Minute	Low	Ungewöhnliches Kommunikationsverhalten	Tactics: - Collection Techniques: - T0830: Man-in-the-Middle	Not learnable
Übermäßige Anzahl von Anmeldeversuchen	Ein Quellgerät hat eine übermäßige Anzahl von Anmeldeversuchen auf einem Zielserver erkannt. Diese Warnung kann auf einen Brute-Force-Angriff hinweisen. Der Server kann von einem böswilligen Akteur kompromittiert werden. Schwellenwert: 20 Anmeldeversuche in 1 Minute	High	Authentication	Tactics: - LateralMovement - Beeinträchtigung der Prozesskontrolle Techniques: - T0812: Standardanmeldeinformationen - T0806: Brute Force-E/A	Not learnable
Übermäßige Anzahl von Sitzungen	Ein Quellgerät hat eine übermäßige Anzahl von Anmeldeversuchen auf einem Zielserver erkannt. Dies kann auf einen Brute-Force-Angriff hinweisen. Der Server kann von einem böswilligen Akteur kompromittiert werden. Schwellenwert: 50 Sitzungen in 1 Minute	High	Ungewöhnliches Kommunikationsverhalten	Tactics: -Lateralverschiebung - Beeinträchtigung der Prozesskontrolle Techniques: - T0812: Standardanmeldeinformationen - T0806: Brute Force-E/A	Not learnable
Übermäßige Neustartrate einer Outstation*	Auf einem Quellgerät wurde eine übermäßige Anzahl von Neustartbefehlen erkannt. Diese Warnungen können das Ergebnis eines betriebstechnischen Problems oder ein Versuch sein, das Gerät zu bearbeiten. Schwellenwert: 10 Neustarts in 1 Stunde	Medium	Befehle zum Neustarten/Beenden	Tactics: - Hemmung der Reaktionsfunktion - Beeinträchtigung der Prozesskontrolle Techniques: - T0814: Denial of Service - T0806: Brute Force-E/A	Not learnable
Übermäßige Anzahl von SMB-Anmeldeversuchen	Ein Quellgerät hat eine übermäßige Anzahl von Anmeldeversuchen auf einem Zielserver erkannt. Dies kann auf einen Brute-Force-Angriff hinweisen. Der Server kann von einem böswilligen Akteur kompromittiert werden. Schwellenwert: 10 Anmeldeversuche in 10 Minuten	High	Authentication	Tactics: - Persistence - Execution - LateralMovement Techniques: - T0812: Standardanmeldeinformationen - T0853: Skripting - T0859: Gültige Konten	Not learnable
ICMP-Flooding*	Im Netzwerk wurde eine ungewöhnliche Menge von Paketen erkannt. Diese Warnung könnte auf einen Angriff hindeuten, z. B. auf ARP-Spoofing oder einen ICMP-Floodingangriff. Schwellenwert: 60 Pakete in 1 Minute	Low	Ungewöhnliches Kommunikationsverhalten	Tactics: - Discovery - Collection Techniques: - T0842: Netzwerk-Sniffing - T0830: Man-in-the-Middle	Not learnable
Unzulässiger Inhalt von HTTP-Header *	Das Quellgerät hat eine ungültige Anforderung initiiert.	High	Ungewöhnliches Verhalten bei der HTTP-Kommunikation	Tactics: - Erstzugriff - LateralMovement Techniques: - T0866: Ausnutzung von Remotediensten	Not learnable
Inaktiver Kommunikationskanal*	Ein Kommunikationskanal zwischen zwei Geräten war während eines Zeitraums inaktiv, in dem die Aktivität normalerweise beobachtet wird. Dies deutet möglicherweise darauf hin, dass das Programm, das diesen Datenverkehr erzeugt, geändert wurde oder nicht verfügbar ist. Es wird empfohlen, die ordnungsgemäße Konfiguration des installierten Programms zu überprüfen. Schwellenwert: 1 Minute	Low	Unresponsive	Tactics: - Hemmung der Reaktionsfunktion Techniques: - T0881: Dienstende	Not learnable
Zeitintensive Adressüberprüfung erkannt*	Es wurde erkannt, dass ein Quellgerät Netzwerkgeräte überprüft. Dieses Gerät ist nicht als Netzwerkscangerät autorisiert. Schwellenwert: 50 Verbindungen mit dem gleichen B-Klassensubnetz in 10 Minuten	High	Scan	Tactics: - Discovery Techniques: - T0842: Netzwerkermittlung	Learnable
Versuch zum Erraten des Kennworts erkannt	Ein Quellgerät hat eine übermäßige Anzahl von Anmeldeversuchen auf einem Zielserver erkannt. Dies kann auf einen Brute-Force-Angriff hinweisen. Der Server kann von einem böswilligen Akteur kompromittiert werden. Schwellenwert: 100 Versuche in 1 Minute	High	Authentication	Tactics: -Lateralverschiebung Techniques: - T0812: Standardanmeldeinformationen - T0806: Brute Force-E/A	Not learnable
SPS-Überprüfung erkannt	Es wurde erkannt, dass ein Quellgerät Netzwerkgeräte überprüft. Dieses Gerät ist nicht als Netzwerkscangerät autorisiert. Schwellenwert: 10 Scans in 2 Minuten	High	Scan	Tactics: - Discovery Techniques: - T0842: Netzwerkermittlung	Learnable
Portüberprüfung erkannt	Es wurde erkannt, dass ein Quellgerät Netzwerkgeräte überprüft. Dieses Gerät ist nicht als Netzwerkscangerät autorisiert. Schwellenwert: 25 Scans in 2 Minuten	High	Scan	Tactics: - Discovery Techniques: - T0842: Netzwerkermittlung	Learnable
Unerwartete Nachrichtenlänge	Das Quellgerät hat eine ungewöhnliche Nachricht gesendet. Diese Warnung weist möglicherweise auf einen Versuch hin, das Zielgerät anzugreifen. Schwellenwert: Textlänge - 32768	High	Ungewöhnliches Kommunikationsverhalten	Tactics: - InitialAccess - LateralMovement Techniques: - T0869: Ausnutzung von Remotediensten	Not learnable
Unerwarteter Datenverkehr für Standardport*	Auf einem Gerät wurde Datenverkehr über einen Port erkannt, der für ein anderes Protokoll reserviert ist.	Medium	Ungewöhnliches Kommunikationsverhalten	Tactics: - Befehl und Steuerung - Discovery Techniques: - T0869: Standard Application Layer Protocol - T0842: Netzwerkermittlung	Not learnable

Warnungen der Protokollverstoß-Engine

Warnungen der Protokoll-Engine beschreiben erkannte Abweichungen in der Paketstruktur oder in Feldwerten im Vergleich zu Protokollspezifikationen.

Title	Description	Severity	Category	MITRE ATT&CK Taktiken und Techniken	Learnable
Übermäßige Anzahl falsch formatierter Pakete in einer einzelnen Sitzung*	Eine ungewöhnliche Anzahl falsch formatierter Pakete, die vom Quellgerät an das Zielgerät gesendet werden. Diese Warnung könnte auf eine fehlerhafte Kommunikation oder einen Versuch hindeuten, das Zielgerät zu manipulieren. Schwellenwert: 2 falsch formatierte Pakete in 10 Minuten	Medium	Illegal Commands	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0806: Brute Force-E/A	Not learnable
Firmware Update	Ein Quellgerät hat einen Befehl zum Aktualisieren der Firmware auf einem Zielgerät gesendet. Vergewissern Sie sich, dass die aktuellen, auf dem Zielgerät durchgeführten Programmierungs-, Konfigurations- und Firmwareupgrades gültig sind.	Low	Firmware Change	Tactics: - Hemmung der Reaktionsfunktion - Persistence Techniques: - T0857: Systemfirmware	Learnable
Funktionscode von Outstation nicht unterstützt	Das Zielgerät hat eine ungültige Anforderung empfangen.	Medium	Illegal Commands	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Meldung zu nicht autorisierten Befehlen	Not learnable
Unzulässige BACNet-Nachricht	Das Quellgerät hat eine ungültige Anforderung initiiert.	Medium	Illegal Commands	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Not learnable
Unzulässiger Verbindungsversuch an Port 0	Ein Quellgerät hat versucht, über die Portnummer 0 eine Verbindung mit dem Zielgerät herzustellen. Für das TCP ist Port 0 reserviert und kann nicht verwendet werden. Für UDP ist der Port optional, und der Wert 0 bedeutet, dass es keinen Port gibt. In der Regel gibt es auf Systemen keinen Dienst, der Port 0 überwacht. Dieses Ereignis kann auf einen Versuch hinweisen, das Zielgerät anzugreifen, oder darauf hinweisen, dass eine Anwendung falsch programmiert wurde.	Low	Illegal Commands	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Not learnable
Unzulässiger DNP3-Vorgang	Das Quellgerät hat eine ungültige Anforderung initiiert.	Medium	Illegal Commands	Tactics: - Erstzugriff -Lateralverschiebung Techniques: - T0866: Ausnutzung von Remotediensten	Not learnable
Unzulässiger Modbus-Vorgang (Ausnahme durch Master ausgelöst)	Das Quellgerät hat eine ungültige Anforderung initiiert.	Medium	Illegal Commands	Tactics: - Erstzugriff -Lateralverschiebung Techniques: - T0866: Ausnutzung von Remotediensten	Not learnable
Unzulässiger Modbus-Vorgang (Funktionscode null)*	Das Quellgerät hat eine ungültige Anforderung initiiert.	Medium	Illegal Commands	Tactics: - Erstzugriff -Lateralverschiebung Techniques: - T0866: Ausnutzung von Remotediensten	Not learnable
Unzulässige Protokollversion*	Das Quellgerät hat eine ungültige Anforderung initiiert.	Medium	Illegal Commands	Tactics: - Erstzugriff - LateralMovement - Beeinträchtigung der Prozesskontrolle Techniques: - T0820: Remotedienste - T0836: Parameter ändern	Not learnable
Falscher Parameter an Outstation gesendet	Das Zielgerät hat eine ungültige Anforderung empfangen.	Medium	Illegal Commands	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Not learnable
Initiierung eines veralteten Funktionscodes (Daten initialisieren)	Das Quellgerät hat eine ungültige Anforderung initiiert.	Low	Illegal Commands	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Meldung zu nicht autorisierten Befehlen	Not learnable
Initiierung eines veralteten Funktionscodes (Konfiguration speichern)	Das Quellgerät hat eine ungültige Anforderung initiiert.	Low	Illegal Commands	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Meldung zu nicht autorisierten Befehlen	Not learnable
Das übergeordnete Gerät hat die Bestätigung einer Anwendungsebene angefordert.	Das Quellgerät hat eine ungültige Anforderung initiiert.	Low	Illegal Commands	Tactics: - Befehl und Steuerung Techniques: - T0869: Standardmäßiges Anwendungsebenenprotokoll	Not learnable
Modbus Exception	Ein Quellgerät (sekundär) hat eine Ausnahme an ein Zielgerät (primär) zurückgegeben.	Medium	Illegal Commands	Tactics: - Hemmung der Reaktionsfunktion Techniques: - T0814: Denial-of-Service	Not learnable
Unzulässiger ASDU-Typ von untergeordnetem Gerät empfangen	Das Zielgerät hat eine ungültige Anforderung empfangen.	Medium	Illegal Commands	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0836: Parameter ändern	Not learnable
Unzulässige Befehlsursache für die Übertragung von untergeordnetem Gerät empfangen	Das Zielgerät hat eine ungültige Anforderung empfangen.	Medium	Illegal Commands	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Not learnable
Unzulässige allgemeine Adresse von untergeordnetem Gerät empfangen	Das Zielgerät hat eine ungültige Anforderung empfangen.	Medium	Illegal Commands	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Not learnable
Unzulässiger Datenadressparameter von untergeordnetem Gerät empfangen*	Das Zielgerät hat eine ungültige Anforderung empfangen.	Medium	Illegal Commands	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Not learnable
Unzulässiger Datenwertparameter von untergeordnetem Gerät empfangen*	Das Zielgerät hat eine ungültige Anforderung empfangen.	Medium	Illegal Commands	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Not learnable
Unzulässiger Funktionscode von untergeordnetem Gerät empfangen*	Das Zielgerät hat eine ungültige Anforderung empfangen.	Medium	Illegal Commands	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Not learnable
Unzulässige Informationsobjektadresse von untergeordnetem Gerät empfangen	Das Zielgerät hat eine ungültige Anforderung empfangen.	Medium	Illegal Commands	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Not learnable
Unbekanntes Objekt an Outstation gesendet	Das Zielgerät hat eine ungültige Anforderung empfangen.	Medium	Illegal Commands	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Meldung zu nicht autorisierten Befehlen	Not learnable
Verwendung eines reservierten Funktionscodes	Das Quellgerät hat eine ungültige Anforderung initiiert.	Medium	Illegal Commands	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0836: Parameter ändern	Not learnable
Verwendung einer unsachgemäßen Formatierung durch Outstation*	Das Quellgerät hat eine ungültige Anforderung initiiert.	Low	Illegal Commands	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Meldung zu nicht autorisierten Befehlen	Not learnable
Verwendung reservierter Statuskennzeichnungen (IIN)	Ein DNP3-Quellgerät (Outstation) hat den reservierten internen Indikator 2.6 verwendet. Es wird empfohlen, die Konfiguration des Geräts zu überprüfen.	Low	Illegal Commands	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0836: Parameter ändern	Not learnable

Warnungen der Malware-Engine

Warnungen der Schadsoftware-Engine beschreiben erkannte schädliche Netzwerkaktivitäten.

Title	Description	Severity	Category	MITRE ATT&CK Taktiken und Techniken	Learnable
Verbindungsversuch mit bekannter böswilliger IP-Adresse	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Ausgelöst durch die OT-Netzwerksensoren.	High	Verdacht auf schädliche Aktivität	Tactics: - Erstzugriff - Befehl und Steuerung Techniques: - T0883: Internet Accessible Device - T0884: Verbindungsproxy	Not learnable
Ungültige SMB-Nachricht (Hintertürinstallation von DoublePulsar)	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	High	Verdacht auf Schadsoftware	Tactics: - Erstzugriff - LateralMovement Techniques: - T0866: Ausnutzung von Remotediensten	Not learnable
Schädliche Domänennamenanforderung	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Ausgelöst durch die OT-Netzwerksensoren.	High	Verdacht auf schädliche Aktivität	Tactics: - Erstzugriff - Befehl und Steuerung Techniques: - T0883: Internet Accessible Device - T0884: Verbindungsproxy	Learnable
Bösartiger URL-Pfad	Eine Anforderung wurde an einen bekannten bösartigen URL-Pfad gestellt. Anforderungen für diesen URL-Pfad können darauf hinweisen, dass die Quelle, die die Anforderung stellt, kompromittiert ist.	High	Verdacht auf schädliche Aktivität	Tactics: - Erstzugriff - Befehl und Steuerung Techniques: - T0883: Internet Accessible Device - T0884: Verbindungsproxy	Not learnable
Malwaretestdatei erkannt: EICAR AV erfolgreich	Im Datenverkehr zwischen zwei Geräten (über jeden beliebigen Transport – TCP oder UDP) wurde eine EICAR AV-Testdatei erkannt. Die Datei ist keine Schadsoftware. Sie wird zur Bestätigung verwendet, dass die Antivirensoftware ordnungsgemäß installiert wurde. Veranschaulichen Sie, was geschieht, wenn ein Virus gefunden wurde, und überprüfen Sie interne Prozeduren und Reaktionen, wenn das zutrifft. Antivirussoftware sollte EICAR wie einen echten Virus erkennen.	High	Verdacht auf schädliche Aktivität	Tactics: - Discovery Techniques: - T0842: Netzwerkermittlung	Not learnable
Verdacht auf Conficker-Malware	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	Medium	Verdacht auf Schadsoftware	Tactics: - Erstzugriff - Impact Techniques: - T0826: Verfügbarkeitsverlust - T0828: Verlust der Produktivität und des Umsatzes - T0847: Replikation über Wechselmedien	Not learnable
Verdacht auf Denial-of-Service-Angriff	Ein Quellgerät hat versucht, eine übermäßige Anzahl neuer Verbindungen mit einem Zielgerät zu initiieren. Dies kann auf einen DoS-Angriff (Denial Of Service) auf das Zielgerät hinweisen und die Gerätefunktionalität unterbrechen, die Leistung und die Dienstverfügbarkeit beeinträchtigen oder nicht behebbare Fehler verursachen. Schwellenwert: 3000 Versuche in 1 Minute	High	Verdacht auf schädliche Aktivität	Tactics: - Hemmung der Reaktionsfunktion Techniques: - T0814: Denial-of-Service	Learnable
Verdacht auf schädliche Aktivität	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der bekannte "Indicators of Compromise" (IOCs) ausgelöst hat. Das Sicherheitsteam muss die Metadaten der Warnung überprüfen.	High	Verdacht auf schädliche Aktivität	Tactics: -Lateralverschiebung Techniques: - T0867: Lateral Tool-Übertragung	Not learnable
Verdacht auf schädliche Aktivität (BlackEnergy)	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	High	Verdacht auf Schadsoftware	Tactics: - Befehl und Steuerung Techniques: - T0869: Standardmäßiges Anwendungsebenenprotokoll	Not learnable
Verdacht auf schädliche Aktivität (DarkComet)	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	High	Verdacht auf Schadsoftware	Tactics: - Impact Techniques: - T0882: Diebstahl von Betriebsinformationen	Not learnable
Verdacht auf schädliche Aktivität (Duqu)	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	High	Verdacht auf Schadsoftware	Tactics: - Impact Techniques: - T0882: Diebstahl von Betriebsinformationen	Not learnable
Verdacht auf schädliche Aktivität (Flame)	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	High	Verdacht auf Schadsoftware	Tactics: - Collection - Impact Techniques: - T0882: Diebstahl operativer Informationen - T0811: Daten aus Informationsrepositorys	Not learnable
Verdacht auf schädliche Aktivität (Havex)	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	High	Verdacht auf Schadsoftware	Tactics: - Collection - Discovery - Hemmung der Reaktionsfunktion Techniques: - T0861: Point & Tag Identification - T0846: Remote System Discovery - T0814: Denial-of-Service	Not learnable
Verdacht auf schädlich Aktivität (Karagany)	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	High	Verdacht auf Schadsoftware	Tactics: - Impact Techniques: - T0882: Diebstahl von Betriebsinformationen	Not learnable
Verdacht auf schädliche Aktivität (LightsOut)	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	High	Verdacht auf Schadsoftware	Tactics: - Evasion Techniques: - T0849: Maskierung	Not learnable
Verdacht auf schädliche Aktivität (Namensabfragen)	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Schwellenwert: 25 Namensabfragen in 1 Minute	High	Verdacht auf schädliche Aktivität	Tactics: - Befehl und Steuerung Techniques: - T0884: Verbindungsproxy	Not learnable
Verdacht auf schädliche Aktivität (Poison Ivy)	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	High	Verdacht auf Schadsoftware	Tactics: - Erstzugriff -Lateralverschiebung Techniques: - T0866: Ausnutzung von Remotediensten	Not learnable
Verdacht auf schädliche Aktivität (Regin)	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	High	Verdacht auf Schadsoftware	Tactics: - Erstzugriff -Lateralverschiebung - Impact Techniques: - T0866: Nutzung von Remotediensten - T0882: Diebstahl von Betriebsinformationen	Not learnable
Verdacht auf schädliche Aktivität (Stuxnet)	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	High	Verdacht auf Schadsoftware	Tactics: - Erstzugriff -Lateralverschiebung - Impact Techniques: - T0818: Engineering Workstation Compromise - T0866: Nutzung von Remotediensten - T0831: Manipulation der Steuerung	Not learnable
Verdacht auf schädliche Aktivität (WannaCry)*	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	Medium	Verdacht auf Schadsoftware	Tactics: - Erstzugriff -Lateralverschiebung Techniques: - T0866: Nutzung von Remotediensten - T0867: Lateral Tool-Übertragung	Not learnable
Verdacht auf NotPetya-Malware: Unzulässige SMB-Parameter erkannt	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	High	Verdacht auf Schadsoftware	Tactics: - Erstzugriff -Lateralverschiebung Techniques: - T0866: Ausnutzung von Remotediensten	Not learnable
Verdacht auf NotPetya-Malware: Unzulässige SMB-Transaktion erkannt	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	High	Verdacht auf Schadsoftware	Tactics: -Lateralverschiebung Techniques: - T0867: Lateral Tool-Übertragung	Not learnable
Verdacht auf Remotecodeausführung mit PsExec	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	High	Verdacht auf schädliche Aktivität	Tactics: -Lateralverschiebung - Erstzugriff Techniques: - T0866: Ausnutzung von Remotediensten	Not learnable
Verdacht auf Remoteverwaltung von Windows-Diensten*	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	High	Verdacht auf schädliche Aktivität	Tactics: - Erstzugriff Techniques: - T0822: Netzwerkexterne Remotedienste	Not learnable
Verdächtige ausführbare Datei am Endpunkt erkannt	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	High	Verdacht auf schädliche Aktivität	Tactics: - Evasion - Hemmung der Reaktionsfunktion Techniques: - T0851: Rootkit	Learnable
Verdächtiger Datenverkehr erkannt*	Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der bekannte "Indicators of Compromise" (IOCs) ausgelöst hat. Das Sicherheitsteam muss die Metadaten der Warnung überprüfen.	High	Verdacht auf schädliche Aktivität	Tactics: - Discovery Techniques: - T0842: Netzwerkermittlung	Not learnable
Sicherungsaktivität mit Antivirussignaturen	Der zwischen dem Quellgerät und dem Zielsicherungsserver erkannte Datenverkehr hat diese Warnung ausgelöst. Der Datenverkehr umfasst die Sicherung von Antivirensoftware, die möglicherweise Schadsoftwaresignaturen enthält. Dies ist höchstwahrscheinlich eine legitime Sicherungsaktivität.	Low	Backup	Tactics: - Impact Techniques: - T0882: Diebstahl von Betriebsinformationen	Not learnable

Warnungen der Betriebs-Engine

Warnungen der Betriebs-Engine beschreiben erkannte Betriebsvorfälle oder Entitäten mit Funktionsfehlern.

Title	Description	Severity	Category	MITRE ATT&CK Taktiken und Techniken	Learnable
S7-Befehl zum Beenden der SPS gesendet	Das Quellgerät hat einen Stoppbefehl an einen Zielcontroller gesendet. Der Controller wird nicht mehr ausgeführt, bis ein Startbefehl gesendet wird.	Low	Befehle zum Neustarten/Beenden	Tactics: -Lateralverschiebung - Verteidigungshinterziehung - Execution - Hemmung der Reaktionsfunktion Techniques: - T0843: Programmdownload - T0858: Betriebsmodus ändern - T0814: Denial-of-Service	Not learnable
BACNet-Vorgang fehlgeschlagen	Ein Server hat einen Fehlercode zurückgegeben. Diese Warnung deutet auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin.	Medium	Command Failures	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Meldung zu nicht autorisierten Befehlen	Not learnable
Fehlerhafter MMS-Gerätestatus	Von einem MMS-VMD (Virtual Manufacturing Device) wurde eine Statusmeldung gesendet. Die Meldung gibt an, dass der Server möglicherweise nicht ordnungsgemäß, teilweise betriebsbereit oder gar nicht betriebsbereit ist.	Medium	Operational Issues	Tactics: - Hemmung der Reaktionsfunktion Techniques: - T0814: Denial-of-Service	Not learnable
Änderung der Gerätekonfiguration*	Auf einem Quellgerät wurde eine Konfigurationsänderung erkannt.	Low	Configuration Changes	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0836: Parameter ändern	Not learnable
Ständiger Ereignispufferüberlauf in Outstation*	Ein Pufferüberlaufereignis wurde auf einem Quellgerät erkannt. Das Ereignis kann zu Datenbeschädigungen, Programmabstürzen oder Ausführung von bösartigem Code führen. Schwellenwert: 3 Vorkommen in 10 Minuten	Medium	Buffer Overflow	Tactics: - Hemmung der Reaktionsfunktion - Beeinträchtigung der Prozesskontrolle - Persistence Techniques: - T0814: Denial of Service - T0806: Brute Force E/A - T0839: Modulfirmware	Not learnable
Controller Reset	Ein Quellgerät hat einen Befehl zum Zurücksetzen an einen Zielcontroller gesendet. Der Controller wurde beendet und automatisch neu gestartet.	Low	Befehle zum Neustarten/Beenden	Tactics: - Verteidigungshinterziehung - Execution - Hemmung der Reaktionsfunktion Techniques: - T0858: Betriebsmodus ändern - T0814: Denial-of-Service	Not learnable
Controller Stop	Das Quellgerät hat einen Stoppbefehl an einen Zielcontroller gesendet. Der Controller wird nicht mehr ausgeführt, bis ein Startbefehl gesendet wird.	Low	Befehle zum Neustarten/Beenden	Tactics: -Lateralverschiebung - Verteidigungshinterziehung - Execution - Hemmung der Reaktionsfunktion Techniques: - T0843: Programmdownload - T0858: Betriebsmodus ändern - T0814: Denial-of-Service	Not learnable
Gerät konnte keine dynamische IP-Adresse empfangen	Das Quellgerät ist so konfiguriert, dass es eine dynamische IP-Adresse von einem DHCP-Server empfängt, aber keine Adresse empfangen hat. Dies weist auf einen Konfigurationsfehler auf dem Gerät oder auf einen Betriebsfehler auf dem DHCP-Server hin. Es wird empfohlen, den Netzwerkadministrator über den Incident zu benachrichtigen.	Medium	Command Failures	Tactics: - Discovery Techniques: - T0842: Netzwerkermittlung	Not learnable
Verbindung des Geräts möglicherweise getrennt (keine Reaktion)	Ein Quellgerät hat nicht auf einen an dieses gesendeten Befehl geantwortet. Möglicherweise wurde die Verbindung getrennt, wenn der Befehl gesendet wurde. Schwellenwert: 8 Versuche in 5 Minuten	Medium	Unresponsive	Tactics: - Hemmung der Reaktionsfunktion Techniques: - T0881: Dienstende	Not learnable
Fehler bei Ethernet/IP-CIP-Dienstanforderung	Ein Server hat einen Fehlercode zurückgegeben. Dies weist auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin.	Medium	Command Failures	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Meldung zu nicht autorisierten Befehlen	Not learnable
Fehler bei Befehl von Ethernet/IP-Kapselungsprotokoll	Ein Server hat einen Fehlercode zurückgegeben. Dies weist auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin.	Medium	Command Failures	Tactics: - Collection Techniques: - T0801: Überwachen des Prozessstatus	Not learnable
Ereignispufferüberlauf in Outstation	Ein Pufferüberlaufereignis wurde auf einem Quellgerät erkannt. Das Ereignis kann zu Datenbeschädigungen, Programmabstürzen oder Ausführung von bösartigem Code führen.	Medium	Buffer Overflow	Tactics: - Hemmung der Reaktionsfunktion - Beeinträchtigung der Prozesskontrolle - Persistence Techniques: - T0814: Denial of Service - T0839: Modulfirmware	Not learnable
Erwarteter Sicherungsvorgang fand nicht statt	Die erwartete Sicherungs-/Dateiübertragungsaktivität zwischen zwei Geräten hat nicht stattgefunden. Diese Warnung kann auf Fehler im Sicherungs-/Dateiübertragungsprozess hinweisen. Schwellenwert: 100 Sekunden	Medium	Backup	Tactics: - Hemmung der Reaktionsfunktion Techniques: - T0809: Datenvernichtung	Learnable
Fehler bei GE SRTP-Befehl	Ein Server hat einen Fehlercode zurückgegeben. Diese Warnung deutet auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin.	Medium	Command Failures	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Meldung zu nicht autorisierten Befehlen	Not learnable
GE SRTP-Befehl zum Beenden der SPS gesendet	Das Quellgerät hat einen Stoppbefehl an einen Zielcontroller gesendet. Der Controller wird nicht mehr ausgeführt, bis ein Startbefehl gesendet wird.	Low	Befehle zum Neustarten/Beenden	Tactics: -Lateralverschiebung - Verteidigungshinterziehung - Execution - Hemmung der Reaktionsfunktion Techniques: - T0843: Programmdownload - T0858: Betriebsmodus ändern - T0814: Denial-of-Service	Not learnable
Weitere Konfiguration für GOOSE-Kontrollblock erforderlich	Ein Quellgerät hat eine GOOSE-Meldung gesendet, in der darauf hingewiesen wird, dass das Gerät in Betrieb genommen werden muss. Dies bedeutet, dass der GOOSE-Kontrollblock weitere Konfiguration erfordert und die GOOSE-Meldungen teilweise oder überhaupt nicht funktionsfähig sind.	Medium	Configuration Changes	Tactics: - Beeinträchtigung der Prozesskontrolle - Hemmung der Reaktionsfunktion Techniques: - T0803: Blockbefehlsnachricht - T0821: Controllertasking ändern	Not learnable
GOOSE-Datasetkonfiguration geändert*	Ein Nachrichtendataset (identifiziert durch die Protokoll-ID) wurde auf einem Quellgerät geändert. Dies bedeutet, dass das Gerät ein anderes Dataset für diese Nachricht meldet.	Low	Configuration Changes	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0836: Parameter ändern	Not learnable
Unerwarteter Status von Honeywell-Controller	Ein Honeywell-Controller hat eine unerwartete Diagnosemeldung gesendet, die auf eine Statusänderung hinweist.	Low	Operational Issues	Tactics: - Evasion - Execution Techniques: - T0858: Betriebsmodus ändern	Not learnable
HTTP-Clientfehler *	Das Quellgerät hat eine ungültige Anforderung initiiert.	Low	Ungewöhnliches Verhalten bei der HTTP-Kommunikation	Tactics: - Befehl und Steuerung Techniques: - T0869: Standardmäßiges Anwendungsebenenprotokoll	Not learnable
Unzulässige IP-Adresse	Vom System wurde Datenverkehr zwischen einem Quellgerät und einer IP-Adresse erkannt, die eine ungültige Adresse darstellt. Dies kann auf eine falsche Konfiguration oder auf einen Versuch zum Generieren eines illegalen Datenverkehrs hinweisen.	Low	Ungewöhnliches Kommunikationsverhalten	Tactics: - Discovery - Beeinträchtigung der Prozesskontrolle Techniques: - T0842: Netzwerk-Sniffing - T0836: Parameter ändern	Not learnable
Authentifizierungsfehler zwischen übergeordnetem und untergeordnetem Gerät	Fehler beim Authentifizierungsprozess zwischen einem DNP3-Quellgerät (primär) und einem Zielgerät (Outstation).	Low	Authentication	Tactics: -Lateralverschiebung - Persistence Techniques: - T0859: Gültige Konten	Not learnable
Fehler bei MMS-Dienstanforderung	Ein Server hat einen Fehlercode zurückgegeben. Dies weist auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin.	Medium	Command Failures	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Meldung zu nicht autorisierten Befehlen	Not learnable
Kein Datenverkehr an Sensorschnittstelle erkannt	Ein Sensor hat die Erkennung von Netzwerkdatenverkehr an einer Netzwerkschnittstelle beendet.	High	Sensor Traffic	Tactics: - Hemmung der Reaktionsfunktion Techniques: - T0881: Dienstende	Not learnable
OPC UA-Server hat ein Ereignis ausgelöst, das einen Benutzereingriff erfordert	Ein OPC UA-Server hat eine Ereignisbenachrichtigung an einen Client gesendet. Dieser Ereignistyp erfordert einen Benutzereingriff.	Medium	Operational Issues	Tactics: - Hemmung der Reaktionsfunktion Techniques: - T0838: Alarmeinstellungen ändern	Not learnable
Fehler bei OPC UA-Dienstanforderung	Ein Server hat einen Fehlercode zurückgegeben. Dies weist auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin.	Medium	Command Failures	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Meldung zu nicht autorisierten Befehlen	Not learnable
Outstation Restarted	Auf einem Quellgerät wurde ein kalter Neustart erkannt. Das bedeutet, dass das Gerät physisch aus- und wieder eingeschaltet wurde.	Low	Befehle zum Neustarten/Beenden	Tactics: - Hemmung der Reaktionsfunktion Techniques: - T0816: Neustarten/Herunterfahren des Geräts	Not learnable
Häufige Neustarts der Outstation	Auf einem Quellgerät wurde eine übermäßige Anzahl von kalten Neustarts erkannt. Das bedeutet, dass das Gerät übermäßig häufig physisch aus- und wieder eingeschaltet wurde. Schwellenwert: 2 Neustarts in 10 Minuten	Low	Befehle zum Neustarten/Beenden	Tactics: - Hemmung der Reaktionsfunktion Techniques: - T0814: Denial of Service - T0816: Neustarten/Herunterfahren des Geräts	Not learnable
Konfiguration der Outstation geändert	Auf einem Quellgerät wurde eine Konfigurationsänderung erkannt.	Medium	Configuration Changes	Tactics: - Hemmung der Reaktionsfunktion - Persistence Techniques: - T0857: Systemfirmware	Not learnable
Beschädigte Konfiguration der Outstation erkannt	Dieses DNP3-Quellgerät (Outstation) hat eine beschädigte Konfiguration gemeldet.	Medium	Configuration Changes	Tactics: - Hemmung der Reaktionsfunktion Techniques: - T0809: Datenvernichtung	Not learnable
Fehler bei Profinet-DCP-Befehl	Ein Server hat einen Fehlercode zurückgegeben. Dies weist auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin.	Medium	Command Failures	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Meldung zu nicht autorisierten Befehlen	Not learnable
Zurücksetzung von Profinet-Gerät auf Werkseinstellungen	Ein Quellgerät hat einen Befehl zum Zurücksetzen auf die Werkseinstellungen an ein Profinet-Zielgerät gesendet. Mit dem Befehl zum Zurücksetzen werden Gerätekonfigurationen von Profinet gelöscht, und der Vorgang wird beendet.	Low	Befehle zum Neustarten/Beenden	Tactics: - Verteidigungshinterziehung - Execution - Hemmung der Reaktionsfunktion Techniques: - T0858: Betriebsmodus ändern - T0814: Denial-of-Service	Not learnable
Fehler bei RPC-Vorgang *	Ein Server hat einen Fehlercode zurückgegeben. Diese Warnung deutet auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin.	Medium	Command Failures	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0855: Meldung zu nicht autorisierten Befehlen	Not learnable
Konfiguration für Nachrichtendataset mit Stichprobenwerten geändert*	Ein Nachrichtendataset (identifiziert durch die Protokoll-ID) wurde auf einem Quellgerät geändert. Dies bedeutet, dass das Gerät ein anderes Dataset für diese Nachricht meldet.	Low	Configuration Changes	Tactics: - Beeinträchtigung der Prozesskontrolle Techniques: - T0836: Parameter ändern	Not learnable
Nicht behebbarer Fehler auf untergeordnetem Gerät*	Ein nicht behebbarer Bedingungsfehler wurde auf einem Quellgerät erkannt. Diese Art von Fehler deutet in der Regel auf einen Hardwarefehler oder einen Fehler bei der Ausführung eines bestimmten Befehls hin.	Medium	Command Failures	Tactics: - Hemmung der Reaktionsfunktion Techniques: - T0814: Denial-of-Service	Not learnable
Verdacht auf Hardwareprobleme an der Outstation	Ein nicht behebbarer Bedingungsfehler wurde auf einem Quellgerät erkannt. Diese Art von Fehler deutet in der Regel auf einen Hardwarefehler oder einen Fehler bei der Ausführung eines bestimmten Befehls hin.	Medium	Operational Issues	Tactics: - Hemmung der Reaktionsfunktion Techniques: - T0814: Denial of Service - T0881: Dienstende	Not learnable
Verdacht auf nicht reagierendes Modbus-Gerät	Ein Quellgerät hat nicht auf einen an dieses gesendeten Befehl geantwortet. Möglicherweise wurde die Verbindung getrennt, wenn der Befehl gesendet wurde. Schwellenwert: Mindestens 1 gültige Antwort für mindestens 3 Anforderungen innerhalb von 5 Minuten	Low	Unresponsive	Tactics: - Hemmung der Reaktionsfunktion Techniques: - T0881: Dienstende	Not learnable
Datenverkehr an Sensorschnittstelle erkannt	Ein Sensor hat die Erkennung von Netzwerkdatenverkehr an einer Netzwerkschnittstelle fortgesetzt.	Low	Sensor Traffic	Tactics: - Discovery Techniques: - T0842: Netzwerkermittlung	Not learnable
SPS-Betriebsmodus geändert	Der Betriebsmodus auf dieser SPS wurde geändert. Der neue Modus kann darauf hinweisen, dass die SPS nicht sicher ist. Wenn die PLG in einem unsicheren Betriebsmodus bleibt, können Angreifer böswillige Aktivitäten daran ausführen, z. B. einen Programmdownload. Wenn die SPS kompromittiert ist, können Geräte und Prozesse, die mit ihr interagieren, beeinträchtigt werden. Dies kann sich auf die Gesamtsystemsicherheit und -sicherheit auswirken.	Low	Configuration changes	Tactics: - Execution - Evasion Techniques: - T0858: Betriebsmodus ändern	Not learnable

Next steps

Weitere Informationen finden Sie unter

Feedback

War diese Seite hilfreich?

Last updated on 2025-07-14