This article provides a reference of the alerts that are generated by Microsoft Defender for IoT network sensors, including a list of all alert types and descriptions. 또한 참조는 학습 가능한 상태로 심사할 수 있는 경고를 보여 줍니다. 학습 가능한 상태에 대한 자세한 내용은 경고 상태 및 심사 옵션을 참조 하세요. 이 참조를 사용하여 경고를 플레이북에 매핑하고, OT(운영 기술) 네트워크 센서 또는 기타 사용자 지정 활동에 대한 전달 규칙을 정의할 수 있습니다.
OT 경고는 기본적으로 꺼져 있습니다.
아래 표의 별표(*)로 표시된 대로 여러 경고가 기본적으로 꺼져 있습니다. OT sensor Admin users can enable or disable alerts from the Support page on a specific OT network sensor.
경고 전달 규칙과 같은 다른 위치에서 참조되는 경고를 해제하는 경우 필요에 따라 해당 참조를 업데이트해야 합니다.
Alert severities
Defender for IoT 경고는 다음 심각도 수준을 사용합니다.
| Azure portal | OT sensor | Description |
|---|---|---|
| High | Critical | 즉시 처리해야 하는 악의적인 공격을 나타냅니다. |
| Medium | Major | 해결해야 할 보안 위협을 나타냅니다. |
| Low | Minor, Warning | 보안 위협이 포함되거나 보안 위협이 포함되지 않은 기준 동작의 일부 편차를 나타냅니다. |
이 페이지의 경고 심각도는 Azure Portal에 표시된 대로 심각도를 나열합니다.
지원되는 경고 유형
| Alert type | Description |
|---|---|
| 정책 위반 경고 | 정책 위반 엔진이 이전에 학습한 트래픽의 편차를 감지할 때 트리거됩니다. For example: - 새 디바이스가 검색됩니다. - 디바이스에서 새 구성이 검색됩니다. - 프로그래밍 디바이스로 정의되지 않은 디바이스가 프로그래밍 변경을 수행합니다. - 펌웨어 버전이 변경되었습니다. |
| 프로토콜 위반 경고 | 프로토콜 위반 엔진이 프로토콜 사양을 따르지 않는 패킷 구조 또는 필드 값을 감지하면 트리거됩니다. |
| Operational alerts | 운영 엔진이 네트워크 운영 인시던트 또는 디바이스 오작동을 감지하면 트리거됩니다. 예를 들어 Stop PLC 명령을 사용하여 네트워크 디바이스를 중지했거나 센서의 인터페이스가 트래픽 모니터링을 중단했습니다. |
| Malware alerts | 맬웨어 엔진이 악의적인 네트워크 활동을 검색할 때 트리거됩니다. 예를 들어 엔진은 Conficker와 같은 알려진 공격을 감지합니다. |
| Anomaly alerts | 변칙 엔진이 편차를 감지한 경우 트리거됩니다. 예를 들어 디바이스가 네트워크 검색을 수행하지만, 검색 디바이스로 정의되어 있지 않습니다. |
Defender for IoT의 경고 검색 정책은 다양한 경고 엔진을 조정하여 비즈니스 영향 및 네트워크 컨텍스트에 따라 경고를 트리거하고 낮은 가치의 IT 관련 경고를 줄입니다. 자세한 내용은 OT/IT 환경의 집중 경고을 참조하세요.
지원되는 경고 범주
각 경고에는 다음 범주 중 하나가 있습니다.
- 비정상적인 통신 동작
- 비정상적인 HTTP 통신 동작
- Authentication
- Backup
- Bandwidth Anomalies
- Buffer overflow
- Command Failures
- Configuration changes
- Custom Alerts
- Discovery
- Firmware change
- Illegal commands
- Internet Access
- Operation Failures
- Operational issues
- Programming
- Remote access
- Restart/Stop Commands
- Scan
- Sensor traffic
- 악의적 활동이 의심됨
- 맬웨어가 의심됨
- 무단 통신 동작
- Unresponsive
정책 엔진 경고
정책 엔진 경고는 학습된 기준 동작에서 검색된 편차를 설명합니다.
The policy engine alerts table contains the Aggregated item to indicate that multiple alerts of this type can be grouped together and listed only once in the Alerts page to reduce alert fatigue. For more information, see aggregated alerts.
| Title | Description | Severity | Category | MITRE ATT&CK 전술과 기술 |
Learnable | Aggregated violations |
|---|---|---|---|---|---|---|
| Beckhoff Software Changed | 원본 디바이스에서 펌웨어가 업데이트되었습니다. 이 작업은 권한 있는 작업(예: 계획된 유지 관리 절차)일 수 있습니다. | Medium | Firmware Change |
Tactics: - 응답 함수 억제 - Persistence Techniques: - T0857: 시스템 펌웨어 |
Learnable | No |
| 데이터베이스 로그인 실패 | 원본 디바이스에서 대상 서버로 로그인 시도가 실패한 것이 감지되었습니다. 이는 사용자 오류의 결과일 수 있지만 서버 또는 해당 서버의 데이터를 손상시키려는 악의적인 시도를 나타낼 수도 있습니다. - 임계값: 5분 내 로그인 실패 2회 |
Medium | Authentication |
Tactics: - 횡적 이동 - Collection Techniques: - T0812: 기본 자격 증명 - T0811: 정보 리포지토리의 데이터 |
Not learnable | No |
| Emerson ROC 펌웨어 버전이 변경됨 | 원본 디바이스에서 펌웨어가 업데이트되었습니다. 이 작업은 권한 있는 작업(예: 계획된 유지 관리 절차)일 수 있습니다. | Medium | Firmware Change |
Tactics: - 응답 함수 억제 - Persistence Techniques: - T0857: 시스템 펌웨어 |
Learnable | Yes |
| 인터넷과 통신하는 네트워크 내의 외부 주소 | 인터넷 디바이스가 네트워크 내의 다른 인터넷 디바이스와 통신했습니다. | High | Internet Access |
Tactics: - 초기 액세스 Techniques: - T0883: 인터넷에 액세스할 수 있는 디바이스 |
Learnable | No |
| 필드 디바이스가 예기치 않게 검색됨 | 네트워크에서 새 원본 디바이스가 검색되었지만 권한이 부여되지 않았습니다. | Medium | Discovery |
Tactics: - Discovery Techniques: - T0842: 네트워크 스니핑 |
Not learnable | No |
| 펌웨어 변경이 감지됨 | 원본 디바이스에서 펌웨어가 업데이트되었습니다. 이 작업은 권한 있는 작업(예: 계획된 유지 관리 절차)일 수 있습니다. | Medium | Firmware Change |
Tactics: - 응답 함수 억제 - Persistence Techniques: - T0857: 시스템 펌웨어 |
Not learnable | No |
| 펌웨어 버전 변경됨 | 원본 디바이스에서 펌웨어가 업데이트되었습니다. 이 작업은 권한 있는 작업(예: 계획된 유지 관리 절차)일 수 있습니다. | Medium | Firmware Change |
Tactics: - 응답 함수 억제 - Persistence Techniques: - T0857: 시스템 펌웨어 |
Learnable | Yes |
| Foxboro I/A 권한 없는 작업 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
Learnable | Yes |
| FTP 로그인 실패 | 원본 디바이스에서 대상 서버로 로그인 시도가 실패한 것이 감지되었습니다. 이 경고는 사람의 실수로 인한 결과일 수 있지만 서버나 서버에 있는 데이터를 손상시키려는 악의적인 시도를 나타낼 수도 있습니다. | Medium | Authentication |
Tactics: - 횡적 이동 - 명령 및 제어 Techniques: - T0812: 기본 자격 증명 - T0869: 표준 애플리케이션 레이어 프로토콜 |
Not learnable | No |
| 함수 코드에서 권한 없는 예외 발생 * | 원본 디바이스(보조)가 대상 디바이스(기본)에 예외를 반환했습니다. | Medium | Command Failures |
Tactics: - 응답 함수 억제 Techniques: - T0835: I/O 이미지 조작 |
Learnable | Yes |
| GOOSE 메시지 유형 설정 | 원본 디바이스에서 메시지(프로토콜 ID로 식별됨) 설정이 변경되었습니다. | Low | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 Techniques: - T0836: 매개 변수 수정 |
Learnable | Yes |
| Honeywell 펌웨어 버전이 변경됨 | 원본 디바이스에서 펌웨어가 업데이트되었습니다. 이 작업은 권한 있는 작업(예: 계획된 유지 관리 절차)일 수 있습니다. | Medium | Firmware Change |
Tactics: - 응답 함수 억제 - Persistence Techniques: - T0857: 시스템 펌웨어 |
Learnable | No |
| 잘못된 HTTP 통신 * | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 비정상적인 HTTP 통신 동작 |
Tactics: - Discovery Techniques: - T0846: 원격 시스템 검색 |
Learnable | No |
| 인터넷 액세스가 검색됨 | 내부 디바이스에서 아웃바운드 인터넷 연결을 예기치 않게 시도했습니다. | Medium | Internet Access |
Tactics: - 초기 액세스 Techniques: - T0883: 인터넷에 액세스할 수 있는 디바이스 |
Learnable | No |
| 미쓰비시 펌웨어 버전이 변경됨 | 원본 디바이스에서 펌웨어가 업데이트되었습니다. 이 작업은 권한 있는 작업(예: 계획된 유지 관리 절차)일 수 있습니다. | Medium | Firmware Change |
Tactics: - 응답 함수 억제 - Persistence Techniques: - T0857: 시스템 펌웨어 |
Learnable | No |
| Modbus 주소 범위 위반 | 기본 디바이스가 새 보조 메모리 주소에 대한 액세스를 요청했습니다. | Medium | 무단 통신 동작 |
Tactics: - Discovery Techniques: - T0842: 네트워크 스니핑 |
Learnable | Yes |
| Modbus 펌웨어 버전이 변경됨 | 원본 디바이스에서 펌웨어가 업데이트되었습니다. 이 작업은 권한 있는 작업(예: 계획된 유지 관리 절차)일 수 있습니다. | Medium | Firmware Change |
Tactics: - 응답 함수 억제 - Persistence Techniques: - T0857: 시스템 펌웨어 |
Learnable | No |
| 검색된 새 활동 - CIP 클래스 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - Discovery Techniques: - T0888: 원격 시스템 정보 검색 |
Learnable | Yes |
| 검색된 새 활동 - CIP 클래스 서비스 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 응답 함수 억제 Techniques: - T0836: 매개 변수 수정 |
Learnable | Yes |
| 검색된 새 활동 - CIP PCCC 명령 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 응답 함수 억제 Techniques: - T0836: 매개 변수 수정 |
Learnable | Yes |
| 검색된 새 활동 - CIP 기호 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 - 응답 함수 억제 Techniques: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
Learnable | Yes |
| 검색된 새 활동 - 이더넷/IP I/O 연결 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - Discovery - 응답 함수 억제 Techniques: - T0846: 원격 시스템 검색 - T0835: I/O 이미지 조작 |
Learnable | Yes |
| 검색된 새 활동 - 이더넷/IP 프로토콜 명령 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 응답 함수 억제 Techniques: - T0836: 매개 변수 수정 |
Learnable | Yes |
| 검색된 새 활동 - GSM 메시지 코드 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - CommandAndControl Techniques: - T0869: 표준 애플리케이션 레이어 프로토콜 |
Learnable | Yes |
| 검색된 새 활동 - LonTalk 명령 코드 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - Collection - 프로세스 제어 손상 Techniques: - T0861 - 지점 및 태그 식별 - T0855: 권한 없는 명령 메시지 |
Learnable | Yes |
| 검색된 새 활동 - LonTalk 네트워크 변수 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 |
Learnable | Yes |
| 검색된 새 활동 - 박수 데이터 요청 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - Collection - Discovery Techniques: - T0801: 프로세스 상태 모니터링 - T0888: 원격 시스템 정보 검색 |
Learnable | Yes |
| 검색된 새 활동 - 읽기/쓰기 명령(AMS 인덱스 그룹) | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | Configuration Changes |
Tactics: - 프로세스 제어 손상 - 응답 함수 억제 Techniques: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
Learnable | Yes |
| 새 활동 검색됨 - 읽기/쓰기 명령(AMS 인덱스 오프셋) | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | Configuration Changes |
Tactics: - 프로세스 제어 손상 - 응답 함수 억제 Techniques: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
Learnable | Yes |
| 새 활동 검색됨 - 권한이 없는 DeltaV 메시지 유형 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 - Execution Techniques: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
Learnable | Yes |
| 새 활동 검색됨 - 권한 없는 DeltaV ROC 작업 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 - Execution Techniques: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
Learnable | Yes |
| 새 활동 검색됨 - 권한이 없는 RPC 메시지 유형 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 |
Learnable | Yes |
| 검색된 새 활동 - AMS 프로토콜 명령 사용 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 - 응답 함수 억제 - Execution Techniques: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 - T0821: 컨트롤러 작업 수정 |
Learnable | Yes |
| 감지된 새 활동 - Siemens SICAM 명령 사용 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 - 응답 함수 억제 Techniques: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
Learnable | Yes |
| 검색된 새 활동 - Suitelink 프로토콜 명령 사용 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 - 응답 함수 억제 Techniques: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
Learnable | Yes |
| 검색된 새 활동 - Suitelink 프로토콜 세션 사용 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 Techniques: - T0836: 매개 변수 수정 |
Learnable | Yes |
| 검색된 새 활동 - Yokogawa VNetIP 명령 사용 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 - Execution Techniques: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
Learnable | Yes |
| 새 자산이 탐지됨 | 네트워크에서 새 원본 디바이스가 검색되었지만 권한이 부여되지 않았습니다. 이 경고는 OT 서브넷에서 검색된 디바이스에 적용됩니다. IT 서브넷에서 검색된 새 디바이스는 경고를 트리거하지 않습니다. |
Medium | Discovery |
Tactics: - Discovery Techniques: - T0842: 네트워크 스니핑 |
Learnable | No |
| 새 LLDP 디바이스 구성 | 네트워크에서 새 원본 디바이스가 검색되었지만 권한이 부여되지 않았습니다. | Medium | Configuration Changes |
Tactics: - Discovery Techniques: - T0842: 네트워크 스니핑 |
Learnable | No |
| Omron FINS 권한 없음 명령 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
Learnable | Yes |
| S7 Plus PLC 펌웨어 변경됨 | 원본 디바이스에서 펌웨어가 업데이트되었습니다. 이 작업은 권한 있는 작업(예: 계획된 유지 관리 절차)일 수 있습니다. | Medium | Firmware Change |
Tactics: - 응답 함수 억제 - Persistence Techniques: - T0857: 시스템 펌웨어 |
Learnable | No |
| 샘플링된 값 메시지 유형 설정 | 원본 디바이스에서 메시지(프로토콜 ID로 식별됨) 설정이 변경되었습니다. | Low | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 Techniques: - T0836: 매개 변수 수정 |
Not learnable | Yes |
| 불법 무결성 검사 의혹 * | DNP3 원본 디바이스(아웃스테이션)에서 검색이 검색되었습니다. 이 검사는 네트워크에서 학습된 트래픽으로 권한이 부여되지 않았습니다. | Medium | Scan |
Tactics: - Discovery Techniques: - T0842: 네트워크 스니핑 |
Learnable | No |
| 도시바 컴퓨터 링크 권한 없음 명령 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Low | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 - Execution Techniques: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
Learnable | Yes |
| 권한 없는 ABB Totalflow 파일 작업 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 - Execution Techniques: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
Not learnable | Yes |
| 권한 없는 ABB Totalflow 레지스터 작업 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 - Execution Techniques: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
Not learnable | Yes |
| Siemens S7 데이터 블록에 대한 무단 액세스 | 원본 디바이스가 다른 디바이스에 있는 리소스에 액세스하려고 했습니다. 이 두 디바이스 간의 이 리소스에 대한 액세스 시도는 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. | Low | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 - 초기 액세스 Techniques: - T0855: 권한 없는 명령 메시지 - T0811: 정보 리포지토리의 데이터 |
Learnable | Yes |
| Siemens S7 Plus 개체에 대한 무단 액세스 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 - Execution - 응답 함수 억제 Techniques: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 - T0809: 데이터 파기 |
Learnable | Yes |
| Wonderware 태그에 대한 무단 액세스 | 원본 디바이스가 다른 디바이스에 있는 리소스에 액세스하려고 했습니다. 이 두 디바이스 간의 이 리소스에 대한 액세스 시도는 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. | Medium | 무단 통신 동작 |
Tactics: - Collection - 프로세스 제어 손상 Techniques: - T0861: 지점 및 태그 식별 - T0855: 권한 없는 명령 메시지 |
Learnable | Yes |
| 권한 없는 BACNet 개체 액세스 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 - Execution Techniques: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
Learnable | Yes |
| 권한 없는 BACNet 경로 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 - Execution Techniques: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
Learnable | Yes |
| 권한 없는 데이터베이스 로그인 * | 원본 클라이언트와 대상 서버 간의 로그인 시도가 감지되었습니다. 이러한 디바이스 간의 통신은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. | Medium | Authentication |
Tactics: - 횡적 이동 - Persistence - Collection Techniques: - T0859: 유효한 계정 - T0811: 정보 리포지토리의 데이터 |
Learnable | No |
| 권한 없는 데이터베이스 작업 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 비정상적인 통신 동작 |
Tactics: - 프로세스 제어 손상 - 초기 액세스 Techniques: - T0855: 권한 없는 명령 메시지 - T0811: 정보 리포지토리의 데이터 |
Learnable | Yes |
| 권한 없는 에머슨 ROC 작업 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 - Execution Techniques: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
Learnable | Yes |
| 권한 없는 GE SRTP 파일 액세스 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - Collection - LateralMovement - Persistence Techniques: - T0801: 프로세스 상태 모니터링 - T0859: 유효한 계정 |
Learnable | Yes |
| 권한 없는 GE SRTP 프로토콜 명령 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
Learnable | Yes |
| 권한 없는 GE SRTP 시스템 메모리 작업 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - Discovery - 프로세스 제어 손상 Techniques: - T0846: 원격 시스템 검색 - T0855: 권한 없는 명령 메시지 |
Learnable | Yes |
| 권한 없는 HTTP 활동 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 비정상적인 HTTP 통신 동작 |
Tactics: - 초기 액세스 - 명령 및 제어 Techniques: - T0822: 외부 원격 서비스 - T0869: 표준 애플리케이션 레이어 프로토콜 |
Learnable | No |
| 권한 없는 HTTP SOAP 작업 * | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 비정상적인 HTTP 통신 동작 |
Tactics: - 명령 및 제어 - Execution Techniques: - T0869: 표준 애플리케이션 계층 프로토콜 - T0871: API를 통한 실행 |
Learnable | No |
| 권한 없는 HTTP 사용자 에이전트* | 원본 디바이스에서 권한이 없는 애플리케이션이 감지되었습니다. 애플리케이션은 네트워크에서 학습된 애플리케이션으로 권한이 부여되지 않습니다. | Medium | 비정상적인 HTTP 통신 동작 |
Tactics: - 명령 및 제어 Techniques: - T0869: 표준 애플리케이션 레이어 프로토콜 |
Learnable | No |
| 무단 인터넷 연결이 감지됨 | 내부 디바이스가 인터넷과 성공적으로 통신되었습니다. | High | Internet Access |
Tactics: - 초기 액세스 Techniques: - T0883: 인터넷에 액세스할 수 있는 디바이스 |
Learnable | No |
| 권한 없는 미쓰비시 MELSEC 명령 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 - Execution Techniques: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
Learnable | Yes |
| 권한 없는 MMS 프로그램 액세스 | 원본 디바이스가 다른 디바이스에 있는 리소스에 액세스하려고 했습니다. 이 두 디바이스 간의 이 리소스에 대한 액세스 시도는 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. | Medium | Programming |
Tactics: - 프로세스 제어 손상 - Execution Techniques: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
Learnable | Yes |
| 권한 없는 MMS 서비스 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 - Execution Techniques: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
Learnable | Yes |
| 권한 없는 멀티캐스트/브로드캐스트 연결 | 원본 디바이스와 다른 디바이스 간에 멀티캐스트/브로드캐스트 연결이 검색되었습니다. 멀티캐스트/브로드캐스트 통신에는 권한이 부여되지 않았습니다. | High | 비정상적인 통신 동작 |
Tactics: - Discovery Techniques: - T0842: 네트워크 스니핑 |
Learnable | Yes |
| 권한 없는 이름 쿼리 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 비정상적인 통신 동작 |
Tactics: - 프로세스 제어 손상 Techniques: - T0836: 매개 변수 수정 |
Not learnable | Yes |
| 권한 없는 OPC UA 작업 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 Techniques: - T0836: 매개 변수 수정 |
Learnable | Yes |
| 권한 없는 OPC UA 요청/응답 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 Techniques: - T0836: 매개 변수 수정 |
Learnable | Yes |
| 사용자 정의 규칙에 의해 권한 없는 작업이 검색됨 | 두 디바이스 간에 트래픽이 감지되었습니다. 사용자가 정의한 사용자 지정 경고 규칙에 따라 이 작업은 권한이 없습니다. | Medium | Custom Alerts |
Tactics: - Discovery Techniques: - T0842: 네트워크 스니핑 |
Not learnable | No |
| 권한 없는 PLC 구성 읽기 | 원본 디바이스가 프로그래밍 디바이스로 정의되어 있지 않은데 대상 컨트롤러에서 읽기/쓰기 작업을 수행했습니다. 프로그래밍 변경은 프로그래밍 디바이스에서만 수행해야 합니다. 프로그래밍 애플리케이션이 이 디바이스에 설치되었을 수 있습니다. | Low | Configuration Changes |
Tactics: - Collection Techniques: - T0801: 프로세스 상태 모니터링 |
Learnable | No |
| 권한 없는 PLC 구성 쓰기 | 원본 디바이스가 대상 컨트롤러의 프로그램을 읽고 쓰기 위한 명령을 보냈습니다. 이전에는 이런 활동이 보이지 않았습니다. | Medium | Configuration Changes |
Tactics: - 프로세스 제어 손상 - Persistence - Impact Techniques: - T0839: 모듈 펌웨어 - T0831: 제어 조작 - T0889: 프로그램 수정 |
Learnable | No |
| 권한 없는 PLC 프로그램 업로드 | 원본 디바이스가 대상 컨트롤러의 프로그램을 읽고 쓰기 위한 명령을 보냈습니다. 이전에는 이런 활동이 보이지 않았습니다. | Medium | Programming |
Tactics: - 프로세스 제어 손상 - Persistence - Collection Techniques: - T0839: 모듈 펌웨어 - T0845: 프로그램 업로드 |
Learnable | No |
| 권한 없는 PLC 프로그래밍 | 원본 디바이스가 프로그래밍 디바이스로 정의되어 있지 않은데 대상 컨트롤러에서 읽기/쓰기 작업을 수행했습니다. 프로그래밍 변경은 프로그래밍 디바이스에서만 수행해야 합니다. 프로그래밍 애플리케이션이 이 디바이스에 설치되었을 수 있습니다. | High | Programming |
Tactics: - 프로세스 제어 손상 - Persistence - 횡적 이동 Techniques: - T0839: 모듈 펌웨어 - T0889: 프로그램 수정 - T0843: 프로그램 다운로드 |
Learnable | No |
| 권한 없는 Profinet 프레임 형식 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 Techniques: - T0836: 매개 변수 수정 |
Learnable | Yes |
| 권한 없는 SAIA S-Bus 명령 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 |
Learnable | Yes |
| 제어 함수의 권한 없는 Siemens S7 실행 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 - 응답 함수 억제 Techniques: - T0855: 권한 없는 명령 메시지 - T0809: 데이터 파기 |
Learnable | Yes |
| 사용자 정의 함수의 권한이 없는 Siemens S7 실행 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 - Execution Techniques: - T0836: 매개 변수 수정 - T0863: 사용자 실행 |
Learnable | Yes |
| 권한 없는 Siemens S7 Plus 블록 액세스 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 응답 함수 억제 - Persistence - Execution Techniques: - T0803 - 명령 메시지 차단 - T0889: 프로그램 수정 - T0821: 컨트롤러 작업 수정 |
Learnable | Yes |
| 권한 없는 지멘스 S7 Plus 작업 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 - Execution Techniques: - T0855: 권한 없는 명령 메시지 - T0863: 사용자 실행 |
Learnable | Yes |
| 권한 없는 SMB 로그인 | 원본 클라이언트와 대상 서버 간의 로그인 시도가 감지되었습니다. 이러한 디바이스 간의 통신은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. | Medium | Authentication |
Tactics: - 초기 액세스 - 횡적 이동 - Persistence Techniques: - T0886: 원격 서비스 - T0859: 유효한 계정 |
Learnable | Yes |
| 권한 없는 SNMP 작업 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 비정상적인 통신 동작 |
Tactics: - Discovery - 명령 및 제어 Techniques: - T0842: 네트워크 스니핑 - T0885: 일반적으로 사용되는 포트 |
Learnable | Yes |
| 권한 없는 SSH 액세스 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | Remote Access |
Tactics: - InitialAccess - 횡적 이동 - 명령 및 제어 Techniques: - T0886: 원격 서비스 - T0869: 표준 애플리케이션 레이어 프로토콜 |
Learnable | No |
| 권한 없는 Windows 프로세스 | 원본 디바이스에서 권한이 없는 애플리케이션이 감지되었습니다. 애플리케이션은 네트워크에서 학습된 애플리케이션으로 권한이 부여되지 않습니다. | Medium | 비정상적인 통신 동작 |
Tactics: - Execution - 권한 에스컬레이션 - 명령 및 제어 Techniques: - T0841: 후킹 - T0885: 일반적으로 사용되는 포트 |
Learnable | Yes |
| 권한 없는 Windows 서비스 | 원본 디바이스에서 권한이 없는 애플리케이션이 감지되었습니다. 애플리케이션은 네트워크에서 학습된 애플리케이션으로 권한이 부여되지 않습니다. | Medium | 비정상적인 통신 동작 |
Tactics: - 초기 액세스 - 횡적 이동 Techniques: - T0866: 원격 서비스 악용 |
Learnable | Yes |
| 사용자 정의 규칙에 의해 권한 없는 작업이 검색됨 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 사용자 정의 규칙을 위반합니다. | Medium |
Tactics: - Discovery Techniques: - T0842: 네트워크 스니핑 |
Not learnable | No | |
| 허용되지 않는 모드버스 슈나이더 일렉트릭 확장 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 |
Learnable | Yes |
| ASDU 형식의 허용되지 않은 사용 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 |
Learnable | Yes |
| DNP3 함수 코드의 허용되지 않은 사용 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 Techniques: - T0836: 매개 변수 수정 |
Learnable | Yes |
| IIN(내부 표시의 허용되지 않은 사용) * | DNP3 원본 디바이스(Outstation)가 네트워크에서 학습된 트래픽으로 권한이 부여되지 않은 IIN(Internal Indication)을 보고했습니다. | Medium | Illegal Commands |
Tactics: - Discovery Techniques: - T0842: 네트워크 스니핑 |
Learnable | No |
| Modbus 함수 코드의 허용되지 않은 사용 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | Medium | 무단 통신 동작 |
Tactics: - 프로세스 제어 손상 Techniques: - T0836: 매개 변수 수정 |
Learnable | Yes |
변칙 엔진 경고
Note
This article contains references to the term slave, a term that Microsoft no longer uses. 소프트웨어에서 용어가 제거되면 이 문서에서 해당 용어가 제거됩니다.
변칙 엔진 경고는 네트워크 활동에서 검색된 변칙을 설명합니다.
| Title | Description | Severity | Category | MITRE ATT&CK 전술과 기술 |
Learnable |
|---|---|---|---|---|---|
| 슬레이브의 비정상적인 예외 패턴 * | 원본 디바이스에서 과도한 수의 오류가 검색되었습니다. 이 경고는 운영 문제의 결과일 수 있습니다. 임계값: 1시간 내 예외 20개 |
Low | 비정상적인 통신 동작 |
Tactics: - 프로세스 제어 손상 Techniques: - T0806: 무차별 암호 대입 I/O |
Not learnable |
| 비정상적인 HTTP 헤더 길이 * | 원본 디바이스가 비정상적인 메시지를 보냈습니다. 이 경고는 대상 디바이스를 공격하려는 시도를 나타낼 수 있습니다. | High | 비정상적인 HTTP 통신 동작 |
Tactics: - 초기 액세스 - 횡적 이동 - 명령 및 제어 Techniques: - T0866: 원격 서비스 악용 - T0869: 표준 애플리케이션 레이어 프로토콜 |
Learnable |
| HTTP 헤더의 비정상적인 매개 변수 수 * | 원본 디바이스가 비정상적인 메시지를 보냈습니다. 이 경고는 대상 디바이스를 공격하려는 시도를 나타낼 수 있습니다. | High | 비정상적인 HTTP 통신 동작 |
Tactics: - 초기 액세스 - 횡적 이동 - 명령 및 제어 Techniques: - T0866: 원격 서비스 악용 - T0869: 표준 애플리케이션 레이어 프로토콜 |
Learnable |
| 통신 채널의 비정상적인 주기적 동작 | 원본 디바이스와 대상 디바이스 간의 통신 빈도 변경이 감지되었습니다. | Low | 비정상적인 통신 동작 |
Tactics: - Discovery Techniques: - T0842: 네트워크 스니핑 |
Learnable |
| 애플리케이션의 비정상적인 종료 * | 원본 디바이스에서 과도한 수의 중지 명령이 감지되었습니다. 이 경고는 작동 문제 또는 디바이스 조작 시도의 결과일 수 있습니다. 임계값: 3시간 내 중지 명령 20개 |
Medium | 비정상적인 통신 동작 |
Tactics: - Persistence - Impact Techniques: - T0889: 프로그램 수정 - T0831: 제어 조작 |
Learnable |
| 비정상적인 트래픽 대역폭 * | 채널에서 비정상적인 대역폭이 감지되었습니다. 대역폭이 이전에 감지된 것 보다 훨씬 더 낮거나 높은 것으로 보입니다. 자세한 내용은 총 대역폭 위젯을 사용하여 참조하세요. | Low | Bandwidth Anomalies |
Tactics: - Discovery Techniques: - T0842: 네트워크 스니핑 |
Learnable |
| 디바이스 간 비정상적인 트래픽 대역폭 * | 채널에서 비정상적인 대역폭이 감지되었습니다. 대역폭이 이전에 감지된 것 보다 훨씬 더 낮거나 높은 것으로 보입니다. 자세한 내용은 총 대역폭 위젯을 사용하여 참조하세요. | Low | Bandwidth Anomalies |
Tactics: - Discovery Techniques: - T0842: 네트워크 스니핑 |
Not learnable |
| 주소 검색이 검색됨 | 네트워크 디바이스를 검색하는 원본 디바이스가 검색되었습니다. 이 디바이스는 네트워크 검사 디바이스로 권한이 부여되지 않습니다. 임계값: 2분 내 동일한 B 클래스 서브넷에 대한 연결 50개 |
High | Scan |
Tactics: - Discovery Techniques: - T0842: 네트워크 스니핑 |
Learnable |
| ARP 주소 검색이 검색됨 * | ARP(주소 확인 프로토콜)를 사용하여 네트워크 디바이스를 검색하는 원본 디바이스가 검색되었습니다. 이 디바이스 주소는 유효한 ARP 검사 주소로 권한이 부여되지 않습니다. 임계값: 6분 내 검사 40회 |
High | Scan |
Tactics: - Discovery - Collection Techniques: - T0842: 네트워크 스니핑 - T0830: 메시지 가로채기(Man in the Middle) |
Learnable |
| ARP 스푸핑 * | 네트워크에서 비정상적인 양의 패킷이 감지되었습니다. 이 경고는 ARP 스푸핑 또는 ICMP 플러드(flood) 공격과 같은 공격을 나타내는 것일 수 있습니다. 임계값: 1분 내 패킷 60개 |
Low | 비정상적인 통신 동작 |
Tactics: - Collection Techniques: - T0830: 메시지 가로채기(Man in the Middle) |
Not learnable |
| 과도한 로그인 시도 | 원본 디바이스가 대상 서버에 대한 과도한 로그인 시도를 수행하는 것으로 나타났습니다. 이 경고는 무차별 암호 대입 공격을 나타낼 수 있습니다. 악의적인 행위자가 서버를 손상할 수 있습니다. 임계값: 1분 내 로그인 시도 20회 |
High | Authentication |
Tactics: - LateralMovement - 프로세스 제어 손상 Techniques: - T0812: 기본 자격 증명 - T0806: 무차별 암호 대입 I/O |
Not learnable |
| 과도한 세션 수 | 원본 디바이스가 대상 서버에 대한 과도한 로그인 시도를 수행하는 것으로 나타났습니다. 이는 무차별 암호 대입 공격을 나타낼 수 있습니다. 악의적인 행위자가 서버를 손상할 수 있습니다. 임계값: 1분 내 세션 50개 |
High | 비정상적인 통신 동작 |
Tactics: - 횡적 이동 - 프로세스 제어 손상 Techniques: - T0812: 기본 자격 증명 - T0806: 무차별 암호 대입 I/O |
Not learnable |
| 아웃스테이션의 과도한 다시 시작 속도 * | 원본 디바이스에서 과도한 수의 다시 시작 명령이 감지되었습니다. 이러한 경고는 작동 문제 또는 디바이스 조작 시도의 결과일 수 있습니다. 임계값: 1시간 내 다시 시작 10회 |
Medium | 명령 다시 시작/중지 |
Tactics: - 응답 함수 억제 - 프로세스 제어 손상 Techniques: - T0814: 서비스 거부 - T0806: 무차별 암호 대입 I/O |
Not learnable |
| 과도한 SMB 로그인 시도 | 원본 디바이스가 대상 서버에 대한 과도한 로그인 시도를 수행하는 것으로 나타났습니다. 이는 무차별 암호 대입 공격을 나타낼 수 있습니다. 악의적인 행위자가 서버를 손상할 수 있습니다. 임계값: 10분 내 로그인 시도 10회 |
High | Authentication |
Tactics: - Persistence - Execution - LateralMovement Techniques: - T0812: 기본 자격 증명 - T0853: 스크립팅 - T0859: 유효한 계정 |
Not learnable |
| ICMP 홍수 * | 네트워크에서 비정상적인 양의 패킷이 감지되었습니다. 이 경고는 ARP 스푸핑 또는 ICMP 플러드(flood) 공격과 같은 공격을 나타내는 것일 수 있습니다. 임계값: 1분 내 패킷 60개 |
Low | 비정상적인 통신 동작 |
Tactics: - Discovery - Collection Techniques: - T0842: 네트워크 스니핑 - T0830: 메시지 가로채기(Man in the Middle) |
Not learnable |
| 잘못된 HTTP 헤더 콘텐츠 * | 원본 디바이스가 잘못된 요청을 시작했습니다. | High | 비정상적인 HTTP 통신 동작 |
Tactics: - 초기 액세스 - LateralMovement Techniques: - T0866: 원격 서비스 악용 |
Not learnable |
| 비활성 통신 채널 * | 두 디바이스 간의 통신 채널이 일반적으로 활동이 보이는 기간 동안 비활성 상태였습니다. 이 트래픽을 생성하는 프로그램이 변경되었거나 프로그램을 사용할 수 없음을 나타낼 수 있습니다. 설치된 프로그램의 구성을 검토하고 제대로 구성되었는지 확인하는 것이 좋습니다. 임계값: 1분 |
Low | Unresponsive |
Tactics: - 응답 함수 억제 Techniques: - T0881: 서비스 중지 |
Not learnable |
| 장기 주소 검색이 검색됨 * | 네트워크 디바이스를 검색하는 원본 디바이스가 검색되었습니다. 이 디바이스는 네트워크 검사 디바이스로 권한이 부여되지 않습니다. 임계값: 10분 내 동일한 B 클래스 서브넷에 대한 연결 50개 |
High | Scan |
Tactics: - Discovery Techniques: - T0842: 네트워크 스니핑 |
Learnable |
| 암호 추측 시도가 감지됨 | 원본 디바이스가 대상 서버에 대한 과도한 로그인 시도를 수행하는 것으로 나타났습니다. 이는 무차별 암호 대입 공격을 나타낼 수 있습니다. 악의적인 행위자가 서버를 손상할 수 있습니다. 임계값: 1분 내 시도 100회 |
High | Authentication |
Tactics: - 횡적 이동 Techniques: - T0812: 기본 자격 증명 - T0806: 무차별 암호 대입 I/O |
Not learnable |
| PLC 검사 검색됨 | 네트워크 디바이스를 검색하는 원본 디바이스가 검색되었습니다. 이 디바이스는 네트워크 검사 디바이스로 권한이 부여되지 않습니다. 임계값: 2분 내 검사 10회 |
High | Scan |
Tactics: - Discovery Techniques: - T0842: 네트워크 스니핑 |
Learnable |
| 포트 검색이 검색됨 | 네트워크 디바이스를 검색하는 원본 디바이스가 검색되었습니다. 이 디바이스는 네트워크 검사 디바이스로 권한이 부여되지 않습니다. 임계값: 2분 내 검사 25회 |
High | Scan |
Tactics: - Discovery Techniques: - T0842: 네트워크 스니핑 |
Learnable |
| 예기치 않은 메시지 길이 | 원본 디바이스가 비정상적인 메시지를 보냈습니다. 이 경고는 대상 디바이스를 공격하려는 시도를 나타낼 수 있습니다. 임계값: 텍스트 길이 - 32768 |
High | 비정상적인 통신 동작 |
Tactics: - InitialAccess - LateralMovement Techniques: - T0869: 원격 서비스 악용 |
Not learnable |
| 표준 포트에 대한 예기치 않은 트래픽 * | 다른 프로토콜용으로 예약된 포트를 사용하여 디바이스에서 트래픽이 검색되었습니다. | Medium | 비정상적인 통신 동작 |
Tactics: - 명령 및 제어 - Discovery Techniques: - T0869: 표준 애플리케이션 계층 프로토콜 - T0842: 네트워크 스니핑 |
Not learnable |
프로토콜 위반 엔진 경고
프로토콜 엔진 경고는 패킷 구조에서 감지된 편차 또는 프로토콜 사양에 비해 필드 값을 설명합니다.
| Title | Description | Severity | Category | MITRE ATT&CK 전술과 기술 |
Learnable |
|---|---|---|---|---|---|
| 단일 세션에서 잘못된 형식의 패킷 * | 원본 디바이스에서 대상 디바이스로 잘못된 형식의 패킷을 비정상적으로 많이 보냈습니다. 이 경고는 잘못된 통신 또는 대상 디바이스를 조작하려는 시도를 나타내는 것일 수 있습니다. 임계값: 10분 내 형식이 잘못된 패킷 2개 |
Medium | Illegal Commands |
Tactics: - 프로세스 제어 손상 Techniques: - T0806: 무차별 암호 대입 I/O |
Not learnable |
| Firmware Update | 원본 디바이스는 대상 디바이스에서 펌웨어를 업데이트하는 명령을 보냈습니다. 대상 디바이스에 대한 최근 프로그래밍, 구성, 펌웨어 업그레이드가 유효한지 확인합니다. | Low | Firmware Change |
Tactics: - 응답 함수 억제 - Persistence Techniques: - T0857: 시스템 펌웨어 |
Learnable |
| 아웃스테이션에서 지원되지 않는 함수 코드 | 대상 디바이스가 잘못된 요청을 받았습니다. | Medium | Illegal Commands |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 |
Not learnable |
| 잘못된 BACNet 메시지 | 원본 디바이스가 잘못된 요청을 시작했습니다. | Medium | Illegal Commands |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
Not learnable |
| 포트 0에서 잘못된 연결 시도 | 원본 디바이스가 포트 번호 0(0)에서 대상 디바이스에 연결하려고 했습니다. TCP의 경우 포트 0이 예약되어 있어서 사용할 수 없습니다. UDP의 경우 포트는 선택 사항이며 값이 0이면 포트가 없음을 의미합니다. 일반적으로 포트 0에서 수신 대기하는 시스템에는 서비스가 없습니다. 이 이벤트는 대상 디바이스를 공격하려는 시도를 나타내거나 애플리케이션이 잘못 프로그래밍되었음을 나타낼 수 있습니다. | Low | Illegal Commands |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
Not learnable |
| 잘못된 DNP3 작업 | 원본 디바이스가 잘못된 요청을 시작했습니다. | Medium | Illegal Commands |
Tactics: - 초기 액세스 - 횡적 이동 Techniques: - T0866: 원격 서비스 악용 |
Not learnable |
| 잘못된 MODBUS 작업(마스터에서 발생한 예외) | 원본 디바이스가 잘못된 요청을 시작했습니다. | Medium | Illegal Commands |
Tactics: - 초기 액세스 - 횡적 이동 Techniques: - T0866: 원격 서비스 악용 |
Not learnable |
| 잘못된 MODBUS 작업(함수 코드 0) * | 원본 디바이스가 잘못된 요청을 시작했습니다. | Medium | Illegal Commands |
Tactics: - 초기 액세스 - 횡적 이동 Techniques: - T0866: 원격 서비스 악용 |
Not learnable |
| 잘못된 프로토콜 버전 * | 원본 디바이스가 잘못된 요청을 시작했습니다. | Medium | Illegal Commands |
Tactics: - 초기 액세스 - LateralMovement - 프로세스 제어 손상 Techniques: - T0820: 원격 서비스 - T0836: 매개 변수 수정 |
Not learnable |
| 잘못된 매개 변수가 아웃스테이션으로 전송됨 | 대상 디바이스가 잘못된 요청을 받았습니다. | Medium | Illegal Commands |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
Not learnable |
| 사용되지 않는 함수 코드 시작(데이터 초기화) | 원본 디바이스가 잘못된 요청을 시작했습니다. | Low | Illegal Commands |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 |
Not learnable |
| 사용되지 않는 함수 코드 시작(구성 저장) | 원본 디바이스가 잘못된 요청을 시작했습니다. | Low | Illegal Commands |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 |
Not learnable |
| 마스터가 애플리케이션 계층 확인을 요청했습니다. | 원본 디바이스가 잘못된 요청을 시작했습니다. | Low | Illegal Commands |
Tactics: - 명령 및 제어 Techniques: - T0869: 표준 애플리케이션 레이어 프로토콜 |
Not learnable |
| Modbus Exception | 원본 디바이스(보조)가 대상 디바이스(기본)에 예외를 반환했습니다. | Medium | Illegal Commands |
Tactics: - 응답 함수 억제 Techniques: - T0814: 서비스 거부 |
Not learnable |
| 슬레이브 디바이스가 잘못된 ASDU 유형을 수신했습니다. | 대상 디바이스가 잘못된 요청을 받았습니다. | Medium | Illegal Commands |
Tactics: - 프로세스 제어 손상 Techniques: - T0836: 매개 변수 수정 |
Not learnable |
| 슬레이브 디바이스가 잘못된 전송 명령 원인을 수신했습니다. | 대상 디바이스가 잘못된 요청을 받았습니다. | Medium | Illegal Commands |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
Not learnable |
| 슬레이브 디바이스가 잘못된 일반 주소를 받았습니다. | 대상 디바이스가 잘못된 요청을 받았습니다. | Medium | Illegal Commands |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
Not learnable |
| 슬레이브 디바이스가 잘못된 데이터 주소 매개 변수를 수신했습니다. * | 대상 디바이스가 잘못된 요청을 받았습니다. | Medium | Illegal Commands |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
Not learnable |
| 슬레이브 디바이스에서 잘못된 데이터 값 매개 변수를 받았습니다. * | 대상 디바이스가 잘못된 요청을 받았습니다. | Medium | Illegal Commands |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
Not learnable |
| 슬레이브 디바이스가 잘못된 함수 코드를 받았습니다. * | 대상 디바이스가 잘못된 요청을 받았습니다. | Medium | Illegal Commands |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
Not learnable |
| 슬레이브 디바이스에서 잘못된 정보 개체 주소를 받았습니다. | 대상 디바이스가 잘못된 요청을 받았습니다. | Medium | Illegal Commands |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
Not learnable |
| 아웃스테이션으로 전송된 알 수 없는 개체 | 대상 디바이스가 잘못된 요청을 받았습니다. | Medium | Illegal Commands |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 |
Not learnable |
| 예약 함수 코드 사용 | 원본 디바이스가 잘못된 요청을 시작했습니다. | Medium | Illegal Commands |
Tactics: - 프로세스 제어 손상 Techniques: - T0836: 매개 변수 수정 |
Not learnable |
| 아웃스테이션별 부적절한 서식 사용 * | 원본 디바이스가 잘못된 요청을 시작했습니다. | Low | Illegal Commands |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 |
Not learnable |
| IIN(예약 상태 플래그) 사용 | DNP3 원본 디바이스(Outstation)가 예약된 Internal Indicator 2.6을 사용했습니다. 디바이스의 구성을 확인하는 것이 좋습니다. | Low | Illegal Commands |
Tactics: - 프로세스 제어 손상 Techniques: - T0836: 매개 변수 수정 |
Not learnable |
맬웨어 엔진 경고
맬웨어 엔진 경고는 검색된 악성 네트워크 활동을 설명합니다.
| Title | Description | Severity | Category | MITRE ATT&CK 전술과 기술 |
Learnable |
|---|---|---|---|---|---|
| 알려진 악성 IP에 연결 시도 | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. OT 네트워크 센서에 의해 트리거됩니다. |
High | 악의적 활동이 의심됨 |
Tactics: - 초기 액세스 - 명령 및 제어 Techniques: - T0883: 인터넷 액세스 가능 디바이스 - T0884: 연결 프록시 |
Not learnable |
| 잘못된 SMB 메시지(DoublePulsar Backdoor Implant) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | High | 맬웨어가 의심됨 |
Tactics: - 초기 액세스 - LateralMovement Techniques: - T0866: 원격 서비스 악용 |
Not learnable |
| 악의적인 도메인 이름 요청 | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. OT 네트워크 센서에 의해 트리거됩니다. |
High | 악의적 활동이 의심됨 |
Tactics: - 초기 액세스 - 명령 및 제어 Techniques: - T0883: 인터넷 액세스 가능 디바이스 - T0884: 연결 프록시 |
Learnable |
| 악의적인 URL 경로 | 알려진 악성 URL 경로에 대한 요청이 수행되었습니다. 이 URL 경로에 대한 요청은 요청을 만드는 원본이 손상되었음을 나타낼 수 있습니다. | High | 악의적 활동이 의심됨 |
Tactics: - 초기 액세스 - 명령 및 제어 Techniques: - T0883: 인터넷 액세스 가능 디바이스 - T0884: 연결 프록시 |
Not learnable |
| 맬웨어 테스트 파일 검색됨 - EICAR AV 성공 | 두 디바이스 간의 트래픽에서 EICAR AV 테스트 파일이 검색되었습니다(모든 전송을 통해 TCP 또는 UDP). 파일이 맬웨어가 아닙니다. 이는 바이러스 백신 소프트웨어가 올바르게 설치되었는지 확인하는 데 사용됩니다. 바이러스가 발견되면 어떤 일이 발생하는지 보여주고 바이러스 발견 시 내부 절차와 반응을 확인합니다. 바이러스 백신 소프트웨어는 실제 바이러스인 것처럼 EICAR를 감지해야 합니다. | High | 악의적 활동이 의심됨 |
Tactics: - Discovery Techniques: - T0842: 네트워크 스니핑 |
Not learnable |
| Conficker 맬웨어 의심 | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | Medium | 맬웨어가 의심됨 |
Tactics: - 초기 액세스 - Impact Techniques: - T0826: 가용성 손실 - T0828: 생산성 및 수익 손실 - T0847: 이동식 미디어를 통한 복제 |
Not learnable |
| 서비스 거부 공격 의혹 | 원본 디바이스가 대상 디바이스에 대한 과도한 수의 새 연결을 시작하려고 했습니다. 이는 대상 디바이스에 대한 DOS(서비스 거부) 공격을 나타내고, 디바이스 기능을 중단하거나, 성능 및 서비스 가용성에 영향을 주거나, 복구할 수 없는 오류를 일으킬 수 있습니다. 임계값: 1분 내 시도 3,000회 |
High | 악의적 활동이 의심됨 |
Tactics: - 응답 함수 억제 Techniques: - T0814: 서비스 거부 |
Learnable |
| 악의적인 활동 의심 | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 IOC('손상 지표')를 트리거한 공격과 연결될 수 있습니다. 경고 메타데이터는 보안 팀에서 검토해야 합니다. | High | 악의적 활동이 의심됨 |
Tactics: - 횡적 이동 Techniques: - T0867: 수평 도구 전송 |
Not learnable |
| 악의적인 활동 의심(BlackEnergy) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | High | 맬웨어가 의심됨 |
Tactics: - 명령 및 제어 Techniques: - T0869: 표준 애플리케이션 레이어 프로토콜 |
Not learnable |
| 악의적인 활동 의심(DarkComet) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | High | 맬웨어가 의심됨 |
Tactics: - Impact Techniques: - T0882: 운영 정보 도용 |
Not learnable |
| 악의적인 활동 의심(Duqu) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | High | 맬웨어가 의심됨 |
Tactics: - Impact Techniques: - T0882: 운영 정보 도용 |
Not learnable |
| 악의적인 활동 의심(화염) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | High | 맬웨어가 의심됨 |
Tactics: - Collection - Impact Techniques: - T0882: 운영 정보 도난 - T0811: 정보 리포지토리의 데이터 |
Not learnable |
| 악의적인 활동 의심(Havex) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | High | 맬웨어가 의심됨 |
Tactics: - Collection - Discovery - 응답 함수 억제 Techniques: - T0861: 지점 및 태그 식별 - T0846: 원격 시스템 검색 - T0814: 서비스 거부 |
Not learnable |
| 악의적인 활동 의심(Karagany) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | High | 맬웨어가 의심됨 |
Tactics: - Impact Techniques: - T0882: 운영 정보 도용 |
Not learnable |
| 악의적인 활동 의심(LightsOut) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | High | 맬웨어가 의심됨 |
Tactics: - Evasion Techniques: - T0849: 가장 |
Not learnable |
| 악의적인 활동 의심(이름 쿼리) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. 임계값: 1분 내 이름 쿼리 25개 |
High | 악의적 활동이 의심됨 |
Tactics: - 명령 및 제어 Techniques: - T0884: 연결 프록시 |
Not learnable |
| 악의적인 활동 의심(포이즌 아이비) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | High | 맬웨어가 의심됨 |
Tactics: - 초기 액세스 - 횡적 이동 Techniques: - T0866: 원격 서비스 악용 |
Not learnable |
| 악의적인 활동 의심(Regin) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | High | 맬웨어가 의심됨 |
Tactics: - 초기 액세스 - 횡적 이동 - Impact Techniques: - T0866: 원격 서비스 악용 - T0882: 운영 정보 도용 |
Not learnable |
| 악의적인 활동 의심(Stuxnet) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | High | 맬웨어가 의심됨 |
Tactics: - 초기 액세스 - 횡적 이동 - Impact Techniques: - T0818: 엔지니어링 워크스테이션 손상 - T0866: 원격 서비스 악용 - T0831: 제어 조작 |
Not learnable |
| 악의적인 활동 의심(WannaCry) * | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | Medium | 맬웨어가 의심됨 |
Tactics: - 초기 액세스 - 횡적 이동 Techniques: - T0866: 원격 서비스 악용 - T0867: 수평 도구 전송 |
Not learnable |
| NotPetya 맬웨어 의심 - 잘못된 SMB 매개 변수 검색됨 | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | High | 맬웨어가 의심됨 |
Tactics: - 초기 액세스 - 횡적 이동 Techniques: - T0866: 원격 서비스 악용 |
Not learnable |
| NotPetya 맬웨어 의심 - 잘못된 SMB 트랜잭션이 감지됨 | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | High | 맬웨어가 의심됨 |
Tactics: - 횡적 이동 Techniques: - T0867: 수평 도구 전송 |
Not learnable |
| PsExec를 사용하여 원격 코드 실행 의심 | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | High | 악의적 활동이 의심됨 |
Tactics: - 횡적 이동 - 초기 액세스 Techniques: - T0866: 원격 서비스 악용 |
Not learnable |
| 원격 Windows 서비스 관리의 의심 * | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | High | 악의적 활동이 의심됨 |
Tactics: - 초기 액세스 Techniques: - T0822: 네트워크 외부 원격 서비스 |
Not learnable |
| 엔드포인트에서 의심스러운 실행 파일 검색됨 | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | High | 악의적 활동이 의심됨 |
Tactics: - Evasion - 응답 함수 억제 Techniques: - T0851: 루트킷 |
Learnable |
| 의심스러운 트래픽이 감지됨 * | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 IOC('손상 지표')를 트리거한 공격과 연결될 수 있습니다. 경고 메타데이터는 보안 팀에서 검토해야 합니다. | High | 악의적 활동이 의심됨 |
Tactics: - Discovery Techniques: - T0842: 네트워크 스니핑 |
Not learnable |
| 바이러스 백신 서명을 사용한 백업 작업 | 원본 디바이스와 대상 백업 서버 간에 검색된 트래픽이 이 경고를 트리거했습니다. 트래픽에는 맬웨어 서명을 포함할 수 있는 바이러스 백신 소프트웨어의 백업이 포함됩니다. 이는 합법적인 백업 작업일 가능성이 큽니다. | Low | Backup |
Tactics: - Impact Techniques: - T0882: 운영 정보 도용 |
Not learnable |
운영 엔진 경고
운영 엔진 경고는 검색된 운영 인시던트 또는 오작동하는 엔터티를 설명합니다.
| Title | Description | Severity | Category | MITRE ATT&CK 전술과 기술 |
Learnable |
|---|---|---|---|---|---|
| S7 PLC 중지 명령이 전송됨 | 원본 디바이스가 대상 컨트롤러에 중지 명령을 보냈습니다. 컨트롤러는 시작 명령이 전송될 때까지 작동을 중지합니다. | Low | 명령 다시 시작/중지 |
Tactics: - 횡적 이동 - 방어 회피 - Execution - 응답 함수 억제 Techniques: - T0843: 프로그램 다운로드 - T0858: 운영 모드 변경 - T0814: 서비스 거부 |
Not learnable |
| BACNet 작업 실패 | 서버가 오류 코드를 반환했습니다. 이 경고는 서버 오류 또는 클라이언트의 잘못된 요청을 나타냅니다. | Medium | Command Failures |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 |
Not learnable |
| 잘못된 MMS 디바이스 상태 | MMS VMD(가상 제조 디바이스)에서 상태 메시지를 보냈습니다. 메시지는 서버가 올바르게 구성되지 않았거나, 부분적으로 작동하거나, 전혀 작동하지 않을 수 있음을 나타냅니다. | Medium | Operational Issues |
Tactics: - 응답 함수 억제 Techniques: - T0814: 서비스 거부 |
Not learnable |
| 디바이스 구성 변경 * | 원본 디바이스에서 구성 변경이 감지되었습니다. | Low | Configuration Changes |
Tactics: - 프로세스 제어 손상 Techniques: - T0836: 매개 변수 수정 |
Not learnable |
| 아웃스테이션의 연속 이벤트 버퍼 오버플로 * | 원본 디바이스에서 버퍼 오버플로 이벤트가 검색되었습니다. 이 이벤트는 데이터 손상, 프로그램 충돌 또는 악성 코드 실행을 일으킬 수 있습니다. 임계값: 10분 내 발생 3개 |
Medium | Buffer Overflow |
Tactics: - 응답 함수 억제 - 프로세스 제어 손상 - Persistence Techniques: - T0814: 서비스 거부 - T0806: 무차별 암호 대입 I/O - T0839: 모듈 펌웨어 |
Not learnable |
| Controller Reset | 원본 디바이스가 대상 컨트롤러에 재설정 명령을 보냈습니다. 컨트롤러가 일시적으로 작동을 중지하고 자동으로 다시 시작했습니다. | Low | 명령 다시 시작/중지 |
Tactics: - 방어 회피 - Execution - 응답 함수 억제 Techniques: - T0858: 운영 모드 변경 - T0814: 서비스 거부 |
Not learnable |
| Controller Stop | 원본 디바이스가 대상 컨트롤러에 중지 명령을 보냈습니다. 컨트롤러는 시작 명령이 전송될 때까지 작동을 중지합니다. | Low | 명령 다시 시작/중지 |
Tactics: - 횡적 이동 - 방어 회피 - Execution - 응답 함수 억제 Techniques: - T0843: 프로그램 다운로드 - T0858: 운영 모드 변경 - T0814: 서비스 거부 |
Not learnable |
| 디바이스가 동적 IP 주소를 수신하지 못했습니다. | 원본 디바이스가 DHCP 서버에서 동적 IP 주소를 받도록 구성되었지만 주소를 받지 못했습니다. 디바이스의 구성 오류 또는 DHCP 서버의 작동 오류를 나타냅니다. 네트워크 관리자에게 인시던트를 알리는 것이 좋습니다. | Medium | Command Failures |
Tactics: - Discovery Techniques: - T0842: 네트워크 스니핑 |
Not learnable |
| 디바이스 연결이 끊어진 것으로 의심됨(응답하지 않는) | 원본 디바이스가 전송된 명령에 응답하지 않았습니다. 명령이 전송되었을 때 연결이 끊어졌을 수 있습니다. 임계값: 5분 내 시도 8회 |
Medium | Unresponsive |
Tactics: - 응답 함수 억제 Techniques: - T0881: 서비스 중지 |
Not learnable |
| EtherNet/IP CIP 서비스 요청 실패 | 서버가 오류 코드를 반환했습니다. 이는 서버 오류 또는 클라이언트의 잘못된 요청을 나타냅니다. | Medium | Command Failures |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 |
Not learnable |
| EtherNet/IP 캡슐화 프로토콜 명령 실패 | 서버가 오류 코드를 반환했습니다. 이는 서버 오류 또는 클라이언트의 잘못된 요청을 나타냅니다. | Medium | Command Failures |
Tactics: - Collection Techniques: - T0801: 프로세스 상태 모니터링 |
Not learnable |
| 아웃스테이션의 이벤트 버퍼 오버플로 | 원본 디바이스에서 버퍼 오버플로 이벤트가 검색되었습니다. 이 이벤트는 데이터 손상, 프로그램 충돌 또는 악성 코드 실행을 일으킬 수 있습니다. | Medium | Buffer Overflow |
Tactics: - 응답 함수 억제 - 프로세스 제어 손상 - Persistence Techniques: - T0814: 서비스 거부 - T0839: 모듈 펌웨어 |
Not learnable |
| 예상 백업 작업이 수행되지 않음 | 예상한 백업/파일 전송 활동이 두 디바이스 간에 발생하지 않았습니다. 이 경고는 백업/파일 전송 프로세스의 오류를 나타낼 수 있습니다. 임계값: 100초 |
Medium | Backup |
Tactics: - 응답 함수 억제 Techniques: - T0809: 데이터 파기 |
Learnable |
| GE SRTP 명령 실패 | 서버가 오류 코드를 반환했습니다. 이 경고는 서버 오류 또는 클라이언트의 잘못된 요청을 나타냅니다. | Medium | Command Failures |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 |
Not learnable |
| GE SRTP STOP PLC 명령이 전송됨 | 원본 디바이스가 대상 컨트롤러에 중지 명령을 보냈습니다. 컨트롤러는 시작 명령이 전송될 때까지 작동을 중지합니다. | Low | 명령 다시 시작/중지 |
Tactics: - 횡적 이동 - 방어 회피 - Execution - 응답 함수 억제 Techniques: - T0843: 프로그램 다운로드 - T0858: 운영 모드 변경 - T0814: 서비스 거부 |
Not learnable |
| GOOSE 제어 블록에 추가 구성 필요 | 원본 디바이스는 디바이스에 시운전이 필요하다는 GOOSE 메시지를 보냈습니다. GOOSE 제어 블록에 추가 구성이 필요하고 GOOSE 메시지가 부분적으로 또는 완전히 작동하지 않음을 의미합니다. | Medium | Configuration Changes |
Tactics: - 프로세스 제어 손상 - 응답 함수 억제 Techniques: - T0803: 명령 메시지 차단 - T0821: 컨트롤러 작업 수정 |
Not learnable |
| GOOSE 데이터 세트 구성이 변경되었습니다. * | 원본 디바이스에서 메시지(프로토콜 ID로 식별됨) 데이터 세트가 변경되었습니다. 즉, 디바이스가 이 메시지에 대해 다른 데이터 세트를 보고합니다. | Low | Configuration Changes |
Tactics: - 프로세스 제어 손상 Techniques: - T0836: 매개 변수 수정 |
Not learnable |
| Honeywell 컨트롤러 예기치 않은 상태 | Honeywell 컨트롤러가 상태 변경을 나타내는 예기치 않은 진단 메시지를 보냈습니다. | Low | Operational Issues |
Tactics: - Evasion - Execution Techniques: - T0858: 운영 모드 변경 |
Not learnable |
| HTTP 클라이언트 오류 * | 원본 디바이스가 잘못된 요청을 시작했습니다. | Low | 비정상적인 HTTP 통신 동작 |
Tactics: - 명령 및 제어 Techniques: - T0869: 표준 애플리케이션 레이어 프로토콜 |
Not learnable |
| 잘못된 IP 주소 | 원본 디바이스와 잘못된 주소인 IP 주소 간의 트래픽이 시스템에서 감지되었습니다. 잘못된 구성 또는 잘못된 트래픽을 생성하려는 시도를 나타낼 수 있습니다. | Low | 비정상적인 통신 동작 |
Tactics: - Discovery - 프로세스 제어 손상 Techniques: - T0842: 네트워크 스니핑 - T0836: 매개 변수 수정 |
Not learnable |
| 마스터-슬레이브 인증 오류 | DNP3 원본 디바이스(기본)와 대상 디바이스(Outstation) 간의 인증 프로세스가 실패했습니다. | Low | Authentication |
Tactics: - 횡적 이동 - Persistence Techniques: - T0859: 유효한 계정 |
Not learnable |
| MMS 서비스 요청 실패 | 서버가 오류 코드를 반환했습니다. 이는 서버 오류 또는 클라이언트의 잘못된 요청을 나타냅니다. | Medium | Command Failures |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 |
Not learnable |
| 센서 인터페이스에서 트래픽이 검색되지 않음 | 센서가 네트워크 인터페이스에서 네트워크 트래픽 검색을 중지했습니다. | High | Sensor Traffic |
Tactics: - 응답 함수 억제 Techniques: - T0881: 서비스 중지 |
Not learnable |
| OPC UA 서버가 사용자의 주의가 필요한 이벤트를 발생시켰습니다. | OPC UA 서버가 클라이언트에 이벤트 알림을 보냈습니다. 이 유형의 이벤트에는 사용자의 주의가 필요합니다. | Medium | Operational Issues |
Tactics: - 응답 함수 억제 Techniques: - T0838: 경보 설정 수정 |
Not learnable |
| OPC UA 서비스 요청 실패 | 서버가 오류 코드를 반환했습니다. 이는 서버 오류 또는 클라이언트의 잘못된 요청을 나타냅니다. | Medium | Command Failures |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 |
Not learnable |
| Outstation Restarted | 원본 디바이스에서 콜드 다시 시작이 검색되었습니다. 즉, 디바이스가 물리적으로 꺼져 다시 켜져 있습니다. | Low | 명령 다시 시작/중지 |
Tactics: - 응답 함수 억제 Techniques: - T0816: 디바이스 다시 시작/종료 |
Not learnable |
| 아웃스테이션이 자주 다시 시작됩니다. | 원본 디바이스에서 과도한 수의 콜드 다시 시작이 감지되었습니다. 즉, 디바이스가 물리적으로 꺼져 있고 다시 과도한 횟수만큼 다시 켜져 있습니다. 임계값: 10분 내 다시 시작 2회 |
Low | 명령 다시 시작/중지 |
Tactics: - 응답 함수 억제 Techniques: - T0814: 서비스 거부 - T0816: 디바이스 다시 시작/종료 |
Not learnable |
| 아웃스테이션의 구성이 변경됨 | 원본 디바이스에서 구성 변경이 감지되었습니다. | Medium | Configuration Changes |
Tactics: - 응답 함수 억제 - Persistence Techniques: - T0857: 시스템 펌웨어 |
Not learnable |
| 아웃스테이션의 손상된 구성이 검색됨 | DNP3 원본 디바이스(Outstation)가 손상된 구성을 보고했습니다. | Medium | Configuration Changes |
Tactics: - 응답 함수 억제 Techniques: - T0809: 데이터 파기 |
Not learnable |
| Profinet DCP 명령 실패 | 서버가 오류 코드를 반환했습니다. 이는 서버 오류 또는 클라이언트의 잘못된 요청을 나타냅니다. | Medium | Command Failures |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 |
Not learnable |
| Profinet Device Factory Reset | 원본 디바이스는 Profinet 대상 디바이스에 공장 재설정 명령을 보냈습니다. Reset 명령은 Profinet 디바이스 구성을 지우고 해당 작업을 중지합니다. | Low | 명령 다시 시작/중지 |
Tactics: - 방어 회피 - Execution - 응답 함수 억제 Techniques: - T0858: 운영 모드 변경 - T0814: 서비스 거부 |
Not learnable |
| RPC 작업 실패 * | 서버가 오류 코드를 반환했습니다. 이 경고는 서버 오류 또는 클라이언트의 잘못된 요청을 나타냅니다. | Medium | Command Failures |
Tactics: - 프로세스 제어 손상 Techniques: - T0855: 권한 없는 명령 메시지 |
Not learnable |
| 샘플링된 값 메시지 데이터 세트 구성이 변경됨 * | 원본 디바이스에서 메시지(프로토콜 ID로 식별됨) 데이터 세트가 변경되었습니다. 즉, 디바이스가 이 메시지에 대해 다른 데이터 세트를 보고합니다. | Low | Configuration Changes |
Tactics: - 프로세스 제어 손상 Techniques: - T0836: 매개 변수 수정 |
Not learnable |
| 슬레이브 디바이스 복구할 수 없음 오류 * | 원본 디바이스에서 복구할 수 없는 조건 오류가 감지되었습니다. 이러한 종류의 오류는 일반적으로 하드웨어 오류 또는 특정 명령을 수행하지 못했음을 나타냅니다. | Medium | Command Failures |
Tactics: - 응답 함수 억제 Techniques: - T0814: 서비스 거부 |
Not learnable |
| 아웃스테이션의 하드웨어 문제 의심 | 원본 디바이스에서 복구할 수 없는 조건 오류가 감지되었습니다. 이러한 종류의 오류는 일반적으로 하드웨어 오류 또는 특정 명령을 수행하지 못했음을 나타냅니다. | Medium | Operational Issues |
Tactics: - 응답 함수 억제 Techniques: - T0814: 서비스 거부 - T0881: 서비스 중지 |
Not learnable |
| 응답하지 않는 MODBUS 디바이스 의심 | 원본 디바이스가 전송된 명령에 응답하지 않았습니다. 명령이 전송되었을 때 연결이 끊어졌을 수 있습니다. 임계값: 5분 내 최소 3개의 요청에 대한 유효 응답 1개 이상 |
Low | Unresponsive |
Tactics: - 응답 함수 억제 Techniques: - T0881: 서비스 중지 |
Not learnable |
| 센서 인터페이스에서 검색된 트래픽 | 센서가 네트워크 인터페이스에서 네트워크 트래픽 감지를 재개했습니다. | Low | Sensor Traffic |
Tactics: - Discovery Techniques: - T0842: 네트워크 스니핑 |
Not learnable |
| PLC 운영 모드 변경됨 | 이 PLC의 운영 모드가 변경되었습니다. 새 모드는 PLC가 안전하지 않음을 나타낼 수 있습니다. PLC를 안전하지 않은 운영 모드로 두면 악의적 사용자가 프로그램 다운로드와 같은 악의적인 활동을 수행할 수 있습니다. PLC가 손상된 경우 해당 PLC와 상호 작용하는 디바이스 및 프로세스가 영향을 받을 수 있습니다. 이는 전반적인 시스템 보안 및 안전에 영향을 줄 수 있습니다. | Low | Configuration changes |
Tactics: - Execution - Evasion Techniques: - T0858: 운영 모드 변경 |
Not learnable |
Next steps
자세한 내용은 다음을 참조하세요.