Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
This article provides a reference of the alerts that are generated by Microsoft Defender for IoT network sensors, including a list of all alert types and descriptions. W dokumentacji przedstawiono również, które alerty mogą być klasyfikowane jako możliwe do nauki lub nie, aby uzyskać więcej informacji na temat stanu z możliwością nauki, zobacz Stan alertów i opcje klasyfikacji. Możesz użyć tego odwołania do mapowania alertów na podręczniki, zdefiniować reguły przesyłania dalej w czujniku sieciowym technologii operacyjnej (OT) lub innego działania niestandardowego.
Alerty OT są domyślnie wyłączone
Kilka alertów jest domyślnie wyłączonych, co wskazuje gwiazdki (*) w poniższych tabelach. OT sensor Admin users can enable or disable alerts from the Support page on a specific OT network sensor.
Jeśli wyłączysz alerty, do których odwołujesz się w innych miejscach, takich jak reguły przesyłania alertów, pamiętaj o zaktualizowaniu tych odwołań zgodnie z potrzebami.
Alert severities
Alerty usługi Defender dla IoT używają następujących poziomów ważności:
| Azure Portal | OT sensor | Description |
|---|---|---|
| High | Critical | Wskazuje złośliwy atak, który powinien być natychmiast obsługiwany. |
| Medium | Major | Wskazuje zagrożenie bezpieczeństwa, które jest ważne dla rozwiązania problemu. |
| Low | Minor, Warning | Wskazuje pewne odchylenie od zachowania punktu odniesienia, które może zawierać zagrożenie bezpieczeństwa lub nie zawiera żadnych zagrożeń bezpieczeństwa. |
Ważność alertów na tej stronie zawiera listę ważności, jak pokazano w witrynie Azure Portal.
Obsługiwane typy alertów
| Alert type | Description |
|---|---|
| Alerty naruszenia zasad | Wyzwalany, gdy aparat naruszenia zasad wykryje odchylenie od wcześniej poznanego ruchu. For example: — Wykryto nowe urządzenie. — Na urządzeniu zostanie wykryta nowa konfiguracja. - Urządzenie niezdefiniowane jako urządzenie programistyczne przeprowadza zmianę programową. — Zmieniono wersję oprogramowania układowego. |
| Alerty dotyczące naruszeń protokołów | Wyzwalane, gdy aparat naruszenia protokołu wykrywa struktury pakietów lub wartości pól, które nie są zgodne ze specyfikacją protokołu. |
| Operational alerts | Wyzwalane, gdy aparat operacyjny wykryje zdarzenia operacyjne sieci lub urządzenie działa nieprawidłowo. Na przykład urządzenie sieciowe zostało zatrzymane za pośrednictwem polecenia Stop PLC lub interfejsu na czujniku zatrzymano monitorowanie ruchu. |
| Malware alerts | Wyzwalane po wykryciu złośliwego działania sieci przez aparat złośliwego oprogramowania. Na przykład aparat wykrywa znany atak, taki jak Conficker. |
| Anomaly alerts | Wyzwalane, gdy aparat anomalii wykryje odchylenie. Na przykład urządzenie wykonuje skanowanie sieci, ale nie jest zdefiniowane jako urządzenie skanujące. |
Zasady wykrywania alertów w usłudze Defender dla IoT kierują różne aparaty alertów w celu wyzwalania alertów na podstawie wpływu na działalność biznesową i kontekstu sieci oraz zmniejszenia niskiego poziomu alertów związanych z IT. Aby uzyskać więcej informacji, zobacz Ukierunkowane alerty w środowiskach OT/IT.
Obsługiwane kategorie alertów
Każdy alert ma jedną z następujących kategorii:
- Nietypowe zachowanie komunikacji
- Nietypowe zachowanie komunikacji HTTP
- Authentication
- Backup
- Bandwidth Anomalies
- Buffer overflow
- Command Failures
- Configuration changes
- Custom Alerts
- Discovery
- Firmware change
- Illegal commands
- Internet Access
- Operation Failures
- Operational issues
- Programming
- Remote access
- Restart/Stop Commands
- Scan
- Sensor traffic
- Podejrzenie złośliwego działania
- Podejrzenie złośliwego oprogramowania
- Zachowanie nieautoryzowanej komunikacji
- Unresponsive
Alerty aparatu zasad
Alerty aparatu zasad opisują wykryte odchylenia od poznanego zachowania punktu odniesienia.
The policy engine alerts table contains the Aggregated item to indicate that multiple alerts of this type can be grouped together and listed only once in the Alerts page to reduce alert fatigue. For more information, see aggregated alerts.
| Title | Description | Severity | Category | MITRE ATT&CK Taktyka i techniki |
Learnable | Aggregated violations |
|---|---|---|---|---|---|---|
| Zmieniono oprogramowanie Beckhoff | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Medium | Firmware Change |
Tactics: - Hamuj funkcję odpowiedzi - Persistence Techniques: - T0857: Oprogramowanie układowe systemu |
Learnable | No |
| Logowanie bazy danych nie powiodło się | Wykryto nieudaną próbę logowania z urządzenia źródłowego na serwer docelowy. Może to być wynikiem błędu ludzkiego, ale może również wskazywać na złośliwą próbę naruszenia zabezpieczeń serwera lub danych na nim. Próg: 2 błędy logowania w ciągu 5 minut |
Medium | Authentication |
Tactics: - Ruch poprzeczny - Collection Techniques: - T0812: Poświadczenia domyślne - T0811: Dane z repozytoriów informacji |
Not learnable | No |
| Zmieniono wersję oprogramowania układowego Emerson ROC | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Medium | Firmware Change |
Tactics: - Hamuj funkcję odpowiedzi - Persistence Techniques: - T0857: Oprogramowanie układowe systemu |
Learnable | Yes |
| Adres zewnętrzny w sieci komunikującej się z Internetem | Urządzenie internetowe komunikowało się z innym urządzeniem internetowym w sieci. | High | Internet Access |
Tactics: - Dostęp początkowy Techniques: - T0883: Urządzenie dostępne z Internetu |
Learnable | No |
| Urządzenie pola zostało nieoczekiwanie odnalezione | Nowe urządzenie źródłowe zostało wykryte w sieci, ale nie jest autoryzowane. | Medium | Discovery |
Tactics: - Discovery Techniques: - T0842: Wąchanie sieci |
Not learnable | No |
| Wykryto zmianę oprogramowania układowego | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Medium | Firmware Change |
Tactics: - Hamuj funkcję odpowiedzi - Persistence Techniques: - T0857: Oprogramowanie układowe systemu |
Not learnable | No |
| Zmieniono wersję oprogramowania układowego | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Medium | Firmware Change |
Tactics: - Hamuj funkcję odpowiedzi - Persistence Techniques: - T0857: Oprogramowanie układowe systemu |
Learnable | Yes |
| Operacja we/wy nieautoryzowanego we/wy foxboro | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Learnable | Yes |
| Logowanie przy użyciu protokołu FTP nie powiodło się | Wykryto nieudaną próbę logowania z urządzenia źródłowego na serwer docelowy. Ten alert może być wynikiem błędu ludzkiego, ale może również wskazywać na złośliwą próbę naruszenia zabezpieczeń serwera lub danych na nim. | Medium | Authentication |
Tactics: - Ruch poprzeczny - Sterowanie i sterowanie Techniques: - T0812: Poświadczenia domyślne - T0869: Standardowy protokół warstwy aplikacji |
Not learnable | No |
| Kod funkcji zgłosił nieautoryzowany wyjątek * | Urządzenie źródłowe (pomocnicze) zwróciło wyjątek do urządzenia docelowego (podstawowego). | Medium | Command Failures |
Tactics: - Hamuj funkcję odpowiedzi Techniques: - T0835: Manipulowanie obrazem we/wy |
Learnable | Yes |
| Ustawienia typu komunikatów w usłudze GOOSE | Ustawienia komunikatu (zidentyfikowane przez identyfikator protokołu) zostały zmienione na urządzeniu źródłowym. | Low | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0836: Modyfikowanie parametru |
Learnable | Yes |
| Zmieniono wersję oprogramowania układowego honeywell | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Medium | Firmware Change |
Tactics: - Hamuj funkcję odpowiedzi - Persistence Techniques: - T0857: Oprogramowanie układowe systemu |
Learnable | No |
| Niedozwolona komunikacja HTTP * | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Nietypowe zachowanie komunikacji HTTP |
Tactics: - Discovery Techniques: - T0846: Odnajdywanie systemu zdalnego |
Learnable | No |
| Wykryto dostęp do Internetu | Urządzenie wewnętrzne wykonało nieoczekiwaną próbę wykonania wychodzącego połączenia internetowego. | Medium | Internet Access |
Tactics: - Dostęp początkowy Techniques: - T0883: Urządzenie dostępne z Internetu |
Learnable | No |
| Zmieniono wersję oprogramowania układowego Mitsubishi | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Medium | Firmware Change |
Tactics: - Hamuj funkcję odpowiedzi - Persistence Techniques: - T0857: Oprogramowanie układowe systemu |
Learnable | No |
| Naruszenie zakresu adresów Modbus | Urządzenie podstawowe zażądało dostępu do nowego adresu pamięci pomocniczej. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Discovery Techniques: - T0842: Wąchanie sieci |
Learnable | Yes |
| Zmieniono wersję oprogramowania układowego Modbus | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Medium | Firmware Change |
Tactics: - Hamuj funkcję odpowiedzi - Persistence Techniques: - T0857: Oprogramowanie układowe systemu |
Learnable | No |
| Wykryto nowe działanie — klasa | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Discovery Techniques: - T0888: Zdalne odnajdywanie Informacje o systemie |
Learnable | Yes |
| Wykryto nowe działanie — usługa klasy | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Hamuj funkcję odpowiedzi Techniques: - T0836: Modyfikowanie parametru |
Learnable | Yes |
| Wykryto nowe działanie — polecenie PCCC | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Hamuj funkcję odpowiedzi Techniques: - T0836: Modyfikowanie parametru |
Learnable | Yes |
| Wykryto nowe działanie — symbol | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Learnable | Yes |
| Wykryto nowe działanie — Połączenie we/wy sieci EtherNet/IP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Discovery - Hamuj funkcję odpowiedzi Techniques: - T0846: Odnajdywanie systemu zdalnego - T0835: Manipulowanie obrazem we/wy |
Learnable | Yes |
| Wykryto nowe działanie — Polecenie protokołu EtherNet/IP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Hamuj funkcję odpowiedzi Techniques: - T0836: Modyfikowanie parametru |
Learnable | Yes |
| Wykryto nowe działanie — kod komunikatu GSM | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - CommandAndControl Techniques: - T0869: Standardowy protokół warstwy aplikacji |
Learnable | Yes |
| Wykryto nowe działanie — kody poleceń LonTalk | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Collection - Kontrola procesu upośledzonego Techniques: - T0861 — Identyfikacja punktów i tagów - T0855: Brak autoryzacji komunikat polecenia |
Learnable | Yes |
| Wykryto nowe działanie — zmienna sieciowa LonTalk | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia |
Learnable | Yes |
| Wykryto nowe działanie — żądanie danych Ovation | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Collection - Discovery Techniques: - T0801: Monitorowanie stanu procesu - T0888: Zdalne odnajdywanie Informacje o systemie |
Learnable | Yes |
| Wykryto nowe działanie — polecenie odczytu/zapisu (grupa indeksów AMS) | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Configuration Changes |
Tactics: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Learnable | Yes |
| Wykryto nowe działanie — polecenie odczytu/zapisu (przesunięcie indeksu AMS) | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Configuration Changes |
Tactics: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Learnable | Yes |
| Wykryto nowe działanie — nieautoryzowany typ komunikatu deltaV | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego - Execution Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Learnable | Yes |
| Wykryto nowe działanie — nieautoryzowana operacja deltaV ROC | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego - Execution Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Learnable | Yes |
| Wykryto nowe działanie — nieautoryzowany typ komunikatu RPC | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia |
Learnable | Yes |
| Wykryto nowe działanie — za pomocą polecenia protokołu AMS | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi - Execution Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru - T0821: Modyfikowanie zadań kontrolera |
Learnable | Yes |
| Wykryto nowe działanie — używanie polecenia Siemens SICAM | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Learnable | Yes |
| Wykryto nowe działanie — używanie polecenia Suitelink Protocol | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Learnable | Yes |
| Wykryto nowe działanie — używanie sesji protokołu Suitelink | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0836: Modyfikowanie parametru |
Learnable | Yes |
| Wykryto nowe działanie — używanie polecenia Yokogawa VNetIP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego - Execution Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Learnable | Yes |
| Wykryto nowy zasób | Nowe urządzenie źródłowe zostało wykryte w sieci, ale nie jest autoryzowane. Ten alert dotyczy urządzeń odnalezionych w podsieciach OT. Nowe urządzenia odnalezione w podsieciach IT nie wyzwalają alertu. |
Medium | Discovery |
Tactics: - Discovery Techniques: - T0842: Wąchanie sieci |
Learnable | No |
| Nowa konfiguracja urządzenia LLDP | Nowe urządzenie źródłowe zostało wykryte w sieci, ale nie jest autoryzowane. | Medium | Configuration Changes |
Tactics: - Discovery Techniques: - T0842: Wąchanie sieci |
Learnable | No |
| Omron FINS Brak autoryzacji polecenia | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Learnable | Yes |
| Zmieniono oprogramowanie układowe S7 Plus PLC | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Medium | Firmware Change |
Tactics: - Hamuj funkcję odpowiedzi - Persistence Techniques: - T0857: Oprogramowanie układowe systemu |
Learnable | No |
| Ustawienia typu komunikatu z przykładowymi wartościami | Ustawienia komunikatu (zidentyfikowane przez identyfikator protokołu) zostały zmienione na urządzeniu źródłowym. | Low | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0836: Modyfikowanie parametru |
Not learnable | Yes |
| Podejrzenie nielegalnego skanowania integralności * | Wykryto skanowanie na urządzeniu źródłowym DNP3 (przestacja). To skanowanie nie było autoryzowane jako poznany ruch w sieci. | Medium | Scan |
Tactics: - Discovery Techniques: - T0842: Wąchanie sieci |
Learnable | No |
| Toshiba Computer Link Brak autoryzacji polecenia | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Low | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego - Execution Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Learnable | Yes |
| Nieautoryzowana operacja pliku ABB Totalflow | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego - Execution Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Not learnable | Yes |
| Nieautoryzowana operacja rejestracji totalflow abb | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego - Execution Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Not learnable | Yes |
| Nieautoryzowany dostęp do bloku danych Firmy Siemens S7 | Urządzenie źródłowe próbowało uzyskać dostęp do zasobu na innym urządzeniu. Próba dostępu do tego zasobu między tymi dwoma urządzeniami nie jest autoryzowana jako poznany ruch w sieci. | Low | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego - Dostęp początkowy Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0811: Dane z repozytoriów informacji |
Learnable | Yes |
| Nieautoryzowany dostęp do obiektu Siemens S7 Plus | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego - Execution - Hamuj funkcję odpowiedzi Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera - T0809: Niszczenie danych |
Learnable | Yes |
| Nieautoryzowany dostęp do tagu Wonderware | Urządzenie źródłowe próbowało uzyskać dostęp do zasobu na innym urządzeniu. Próba dostępu do tego zasobu między tymi dwoma urządzeniami nie jest autoryzowana jako poznany ruch w sieci. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Collection - Kontrola procesu upośledzonego Techniques: - T0861: Identyfikacja punktów i tagów - T0855: Brak autoryzacji komunikat polecenia |
Learnable | Yes |
| Nieautoryzowany dostęp do obiektu BACNet | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego - Execution Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Learnable | Yes |
| Nieautoryzowana trasa BACNet | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego - Execution Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Learnable | Yes |
| Nieautoryzowane logowanie do bazy danych * | Wykryto próbę logowania między klientem źródłowym a serwerem docelowym. Komunikacja między tymi urządzeniami nie jest autoryzowana jako poznany ruch w sieci. | Medium | Authentication |
Tactics: - Ruch poprzeczny - Persistence - Collection Techniques: - T0859: Prawidłowe konta - T0811: Dane z repozytoriów informacji |
Learnable | No |
| Operacja nieautoryzowanej bazy danych | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Nietypowe zachowanie komunikacji |
Tactics: - Kontrola procesu upośledzonego - Dostęp początkowy Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0811: Dane z repozytoriów informacji |
Learnable | Yes |
| Nieautoryzowana operacja ROC Emersona | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego - Execution Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Learnable | Yes |
| Nieautoryzowany dostęp do plików GE SRTP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Collection - LateralMovement - Persistence Techniques: - T0801: Monitorowanie stanu procesu - T0859: Prawidłowe konta |
Learnable | Yes |
| Nieautoryzowane polecenie protokołu GE SRTP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Learnable | Yes |
| Nieautoryzowana operacja pamięci systemowej GE SRTP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Discovery - Kontrola procesu upośledzonego Techniques: - T0846: Odnajdywanie systemu zdalnego - T0855: Brak autoryzacji komunikat polecenia |
Learnable | Yes |
| Nieautoryzowane działanie HTTP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Nietypowe zachowanie komunikacji HTTP |
Tactics: - Dostęp początkowy - Sterowanie i sterowanie Techniques: - T0822: Zewnętrzne usługi zdalne - T0869: Standardowy protokół warstwy aplikacji |
Learnable | No |
| Nieautoryzowana akcja PROTOKOŁU HTTP SOAP * | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Nietypowe zachowanie komunikacji HTTP |
Tactics: - Sterowanie i sterowanie - Execution Techniques: - T0869: Standardowy protokół warstwy aplikacji - T0871: Wykonywanie za pośrednictwem interfejsu API |
Learnable | No |
| Nieautoryzowany agent użytkownika HTTP * | Wykryto nieautoryzowaną aplikację na urządzeniu źródłowym. Aplikacja nie jest autoryzowana jako wyuczonej aplikacji w sieci. | Medium | Nietypowe zachowanie komunikacji HTTP |
Tactics: - Sterowanie i sterowanie Techniques: - T0869: Standardowy protokół warstwy aplikacji |
Learnable | No |
| Wykryto nieautoryzowaną łączność z Internetem | Urządzenie wewnętrzne pomyślnie komunikowało się z Internetem. | High | Internet Access |
Tactics: - Dostęp początkowy Techniques: - T0883: Urządzenie dostępne z Internetu |
Learnable | No |
| Nieautoryzowane polecenie Mitsubishi MELSEC | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego - Execution Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Learnable | Yes |
| Nieautoryzowany dostęp do programu MMS | Urządzenie źródłowe próbowało uzyskać dostęp do zasobu na innym urządzeniu. Próba dostępu do tego zasobu między tymi dwoma urządzeniami nie jest autoryzowana jako poznany ruch w sieci. | Medium | Programming |
Tactics: - Kontrola procesu upośledzonego - Execution Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Learnable | Yes |
| Nieautoryzowana usługa MMS | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego - Execution Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Learnable | Yes |
| Nieautoryzowane połączenie multiemisji/emisji | Wykryto połączenie multiemisji/emisji między urządzeniem źródłowym a innymi urządzeniami. Komunikacja multiemisji/emisji nie jest autoryzowana. | High | Nietypowe zachowanie komunikacji |
Tactics: - Discovery Techniques: - T0842: Wąchanie sieci |
Learnable | Yes |
| Kwerenda o nieautoryzowaną nazwę | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Nietypowe zachowanie komunikacji |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0836: Modyfikowanie parametru |
Not learnable | Yes |
| Nieautoryzowane działanie OPC UA | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0836: Modyfikowanie parametru |
Learnable | Yes |
| Nieautoryzowane żądanie/odpowiedź OPC UA | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0836: Modyfikowanie parametru |
Learnable | Yes |
| Wykryto nieautoryzowaną operację przez regułę zdefiniowaną przez użytkownika | Wykryto ruch między dwoma urządzeniami. To działanie jest nieautoryzowane na podstawie niestandardowej reguły alertu zdefiniowanej przez użytkownika. | Medium | Custom Alerts |
Tactics: - Discovery Techniques: - T0842: Wąchanie sieci |
Not learnable | No |
| Odczyt konfiguracji nieautoryzowanego sterownika PLC | Urządzenie źródłowe nie jest zdefiniowane jako urządzenie programistyczne, ale wykonało operację odczytu/zapisu na kontrolerze docelowym. Zmiany programistyczne powinny być wykonywane tylko przez urządzenia programistyczne. Na tym urządzeniu mogła zostać zainstalowana aplikacja programistycka. | Low | Configuration Changes |
Tactics: - Collection Techniques: - T0801: Monitorowanie stanu procesu |
Learnable | No |
| Zapis konfiguracji nieautoryzowanego sterownika PLC | Urządzenie źródłowe wysłało polecenie odczytu/zapisu programu kontrolera docelowego. To działanie nie było wcześniej widoczne. | Medium | Configuration Changes |
Tactics: - Kontrola procesu upośledzonego - Persistence - Impact Techniques: - T0839: Oprogramowanie układowe modułu - T0831: Manipulowanie kontrolką - T0889: Modyfikowanie programu |
Learnable | No |
| Przekazywanie nieautoryzowanego programu PLC | Urządzenie źródłowe wysłało polecenie odczytu/zapisu programu kontrolera docelowego. To działanie nie było wcześniej widoczne. | Medium | Programming |
Tactics: - Kontrola procesu upośledzonego - Persistence - Collection Techniques: - T0839: Oprogramowanie układowe modułu - T0845: Przekazywanie programu |
Learnable | No |
| Nieautoryzowane programowanie PLC | Urządzenie źródłowe nie jest zdefiniowane jako urządzenie programistyczne, ale wykonało operację odczytu/zapisu na kontrolerze docelowym. Zmiany programistyczne powinny być wykonywane tylko przez urządzenia programistyczne. Na tym urządzeniu mogła zostać zainstalowana aplikacja programistycka. | High | Programming |
Tactics: - Kontrola procesu upośledzonego - Persistence - Ruch poprzeczny Techniques: - T0839: Oprogramowanie układowe modułu - T0889: Modyfikowanie programu - T0843: Pobieranie programu |
Learnable | No |
| Nieautoryzowany typ ramki profinet | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0836: Modyfikowanie parametru |
Learnable | Yes |
| Nieautoryzowane polecenie S-Bus SAIA | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia |
Learnable | Yes |
| Nieautoryzowana funkcja sterowania Firmy Siemens S7 | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0809: Niszczenie danych |
Learnable | Yes |
| Nieautoryzowane wykonanie funkcji zdefiniowanej przez użytkownika firmy Siemens S7 | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego - Execution Techniques: - T0836: Modyfikowanie parametru - T0863: Wykonywanie użytkownika |
Learnable | Yes |
| Nieautoryzowany dostęp firmy Siemens S7 Plus | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Hamuj funkcję odpowiedzi - Persistence - Execution Techniques: - T0803 — blokuj komunikat polecenia - T0889: Modyfikowanie programu - T0821: Modyfikowanie zadań kontrolera |
Learnable | Yes |
| Nieautoryzowana operacja Siemens S7 Plus | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego - Execution Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0863: Wykonywanie użytkownika |
Learnable | Yes |
| Nieautoryzowane logowanie za pomocą protokołu SMB | Wykryto próbę logowania między klientem źródłowym a serwerem docelowym. Komunikacja między tymi urządzeniami nie jest autoryzowana jako poznany ruch w sieci. | Medium | Authentication |
Tactics: - Dostęp początkowy - Ruch poprzeczny - Persistence Techniques: - T0886: Usługi zdalne - T0859: Prawidłowe konta |
Learnable | Yes |
| Nieautoryzowana operacja SNMP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Nietypowe zachowanie komunikacji |
Tactics: - Discovery - Sterowanie i sterowanie Techniques: - T0842: Wąchanie sieci - T0885: Powszechnie używany port |
Learnable | Yes |
| Nieautoryzowany dostęp za pomocą protokołu SSH | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Remote Access |
Tactics: - InitialAccess - Ruch poprzeczny - Sterowanie i sterowanie Techniques: - T0886: Usługi zdalne - T0869: Standardowy protokół warstwy aplikacji |
Learnable | No |
| Nieautoryzowany proces systemu Windows | Wykryto nieautoryzowaną aplikację na urządzeniu źródłowym. Aplikacja nie jest autoryzowana jako wyuczonej aplikacji w sieci. | Medium | Nietypowe zachowanie komunikacji |
Tactics: - Execution - Eskalacja uprawnień - Sterowanie i sterowanie Techniques: - T0841: Hakowanie - T0885: Powszechnie używany port |
Learnable | Yes |
| Nieautoryzowana usługa systemu Windows | Wykryto nieautoryzowaną aplikację na urządzeniu źródłowym. Aplikacja nie jest autoryzowana jako wyuczonej aplikacji w sieci. | Medium | Nietypowe zachowanie komunikacji |
Tactics: - Dostęp początkowy - Ruch poprzeczny Techniques: - T0866: Wykorzystywanie usług zdalnych |
Learnable | Yes |
| Wykryto nieautoryzowaną operację przez regułę zdefiniowaną przez użytkownika | Wykryto nowe parametry ruchu. Ta kombinacja parametrów narusza regułę zdefiniowaną przez użytkownika | Medium |
Tactics: - Discovery Techniques: - T0842: Wąchanie sieci |
Not learnable | No | |
| Bezsprzedane Modbus Schneider Electric Extension | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia |
Learnable | Yes |
| Nieuprawdzone użycie typów asDU | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia |
Learnable | Yes |
| Nieuprawdzone użycie kodu funkcji DNP3 | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0836: Modyfikowanie parametru |
Learnable | Yes |
| Nieuprawdzone użycie wskazania wewnętrznego (IIN) * | Urządzenie źródłowe DNP3 (przestacja) zgłosiło wewnętrzne wskazanie (IIN), które nie ma autoryzacji jako poznany ruch w sieci. | Medium | Illegal Commands |
Tactics: - Discovery Techniques: - T0842: Wąchanie sieci |
Learnable | No |
| Niewykonane użycie kodu funkcji Modbus | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Medium | Zachowanie nieautoryzowanej komunikacji |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0836: Modyfikowanie parametru |
Learnable | Yes |
Alerty dotyczące aparatu anomalii
Note
This article contains references to the term slave, a term that Microsoft no longer uses. Po usunięciu tego terminu z oprogramowania usuniemy go również z artykułu.
Alerty aparatu anomalii opisują wykryte anomalie w działaniu sieci.
| Title | Description | Severity | Category | MITRE ATT&CK Taktyka i techniki |
Learnable |
|---|---|---|---|---|---|
| Nietypowy wzorzec wyjątku w obiekcie podrzędnym * | Wykryto nadmierną liczbę błędów na urządzeniu źródłowym. Ten alert może być wynikiem problemu operacyjnego. Próg: 20 wyjątków w ciągu 1 godziny |
Low | Nietypowe zachowanie komunikacji |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0806: Atak siłowy we/wy |
Not learnable |
| Nieprawidłowa długość nagłówka HTTP * | Urządzenie źródłowe wysłało nietypowy komunikat. Ten alert może wskazywać na próbę ataku na urządzenie docelowe. | High | Nietypowe zachowanie komunikacji HTTP |
Tactics: - Dostęp początkowy - Ruch poprzeczny - Sterowanie i sterowanie Techniques: - T0866: Wykorzystywanie usług zdalnych - T0869: Standardowy protokół warstwy aplikacji |
Learnable |
| Nieprawidłowa liczba parametrów w nagłówku HTTP * | Urządzenie źródłowe wysłało nietypowy komunikat. Ten alert może wskazywać na próbę ataku na urządzenie docelowe. | High | Nietypowe zachowanie komunikacji HTTP |
Tactics: - Dostęp początkowy - Ruch poprzeczny - Sterowanie i sterowanie Techniques: - T0866: Wykorzystywanie usług zdalnych - T0869: Standardowy protokół warstwy aplikacji |
Learnable |
| Nietypowe zachowanie okresowe w kanale komunikacyjnym | Wykryto zmianę częstotliwości komunikacji między urządzeniami źródłowymi i docelowymi. | Low | Nietypowe zachowanie komunikacji |
Tactics: - Discovery Techniques: - T0842: Wąchanie sieci |
Learnable |
| Nieprawidłowe kończenie aplikacji * | Wykryto nadmierną liczbę poleceń zatrzymania na urządzeniu źródłowym. Ten alert może być wynikiem problemu operacyjnego lub próby manipulowania urządzeniem. Próg: 20 poleceń zatrzymania w ciągu 3 godzin |
Medium | Nietypowe zachowanie komunikacji |
Tactics: - Persistence - Impact Techniques: - T0889: Modyfikowanie programu - T0831: Manipulowanie kontrolką |
Learnable |
| Nietypowa przepustowość ruchu * | Wykryto nietypową przepustowość w kanale. Przepustowość wydaje się być niższa/wyższa niż wcześniej wykryta. Aby uzyskać szczegółowe informacje, należy pracować z widżetem Total Bandwidth (Łączna przepustowość). | Low | Bandwidth Anomalies |
Tactics: - Discovery Techniques: - T0842: Wąchanie sieci |
Learnable |
| Nietypowa przepustowość ruchu między urządzeniami * | Wykryto nietypową przepustowość w kanale. Przepustowość wydaje się być niższa/wyższa niż wcześniej wykryta. Aby uzyskać szczegółowe informacje, należy pracować z widżetem Total Bandwidth (Łączna przepustowość). | Low | Bandwidth Anomalies |
Tactics: - Discovery Techniques: - T0842: Wąchanie sieci |
Not learnable |
| Wykryto skanowanie adresów | Wykryto urządzenie źródłowe skanujące urządzenia sieciowe. To urządzenie nie jest autoryzowane jako urządzenie do skanowania sieci. Próg: 50 połączeń z tą samą podsiecią klasy B w ciągu 2 minut |
High | Scan |
Tactics: - Discovery Techniques: - T0842: Wąchanie sieci |
Learnable |
| Wykryto skanowanie adresów ARP * | Wykryto urządzenie źródłowe skanujące urządzenia sieciowe przy użyciu protokołu ARP (Address Resolution Protocol). Ten adres urządzenia nie jest autoryzowany jako prawidłowy adres skanowania ARP. Próg: 40 skanowań w ciągu 6 minut |
High | Scan |
Tactics: - Discovery - Collection Techniques: - T0842: Wąchanie sieci - T0830: Człowiek w środku |
Learnable |
| Fałszowanie protokołu ARP * | Wykryto nietypową ilość pakietów w sieci. Ten alert może wskazywać na atak, na przykład podszywanie się za pomocą protokołu ARP lub atak powodziowy ICMP. Próg: 60 pakietów w ciągu 1 minuty |
Low | Nietypowe zachowanie komunikacji |
Tactics: - Collection Techniques: - T0830: Człowiek w środku |
Not learnable |
| Nadmierne próby logowania | Na urządzeniu źródłowym wystąpiły nadmierne próby logowania na serwerze docelowym. Ten alert może wskazywać na atak siłowy. Serwer może zostać naruszony przez złośliwego aktora. Próg: 20 prób logowania w ciągu 1 minuty |
High | Authentication |
Tactics: - LateralMovement - Kontrola procesu upośledzonego Techniques: - T0812: Poświadczenia domyślne - T0806: Atak siłowy we/wy |
Not learnable |
| Nadmierna liczba sesji | Na urządzeniu źródłowym wystąpiły nadmierne próby logowania na serwerze docelowym. Może to wskazywać na atak siłowy. Serwer może zostać naruszony przez złośliwego aktora. Próg: 50 sesji w ciągu 1 minuty |
High | Nietypowe zachowanie komunikacji |
Tactics: - Ruch poprzeczny - Kontrola procesu upośledzonego Techniques: - T0812: Poświadczenia domyślne - T0806: Atak siłowy we/wy |
Not learnable |
| Nadmierna szybkość ponownego uruchamiania przestacji * | Wykryto nadmierną liczbę poleceń ponownego uruchamiania na urządzeniu źródłowym. Te alerty mogą być wynikiem problemu operacyjnego lub próby manipulowania urządzeniem. Próg: 10 ponownych uruchomień w ciągu 1 godziny |
Medium | Ponowne uruchamianie/zatrzymywanie poleceń |
Tactics: - Hamuj funkcję odpowiedzi - Kontrola procesu upośledzonego Techniques: - T0814: Odmowa usługi - T0806: Atak siłowy we/wy |
Not learnable |
| Nadmierne próby logowania przy użyciu protokołu SMB | Na urządzeniu źródłowym wystąpiły nadmierne próby logowania na serwerze docelowym. Może to wskazywać na atak siłowy. Serwer może zostać naruszony przez złośliwego aktora. Próg: 10 prób logowania w ciągu 10 minut |
High | Authentication |
Tactics: - Persistence - Execution - LateralMovement Techniques: - T0812: Poświadczenia domyślne - T0853: Skrypty - T0859: Prawidłowe konta |
Not learnable |
| Powodzie ICMP * | Wykryto nietypową ilość pakietów w sieci. Ten alert może wskazywać na atak, na przykład podszywanie się za pomocą protokołu ARP lub atak powodziowy ICMP. Próg: 60 pakietów w ciągu 1 minuty |
Low | Nietypowe zachowanie komunikacji |
Tactics: - Discovery - Collection Techniques: - T0842: Wąchanie sieci - T0830: Człowiek w środku |
Not learnable |
| Niedozwolona zawartość nagłówka HTTP * | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | High | Nietypowe zachowanie komunikacji HTTP |
Tactics: - Dostęp początkowy - LateralMovement Techniques: - T0866: Wykorzystywanie usług zdalnych |
Not learnable |
| Nieaktywny kanał komunikacyjny * | Kanał komunikacyjny między dwoma urządzeniami był nieaktywny w okresie, w którym zwykle obserwowane jest działanie. Może to oznaczać, że program generujący ten ruch został zmieniony lub program może być niedostępny. Zaleca się przejrzenie konfiguracji zainstalowanego programu i sprawdzenie, czy jest prawidłowo skonfigurowany. Próg: 1 minuta |
Low | Unresponsive |
Tactics: - Hamuj funkcję odpowiedzi Techniques: - T0881: Zatrzymywanie usługi |
Not learnable |
| Wykryto skanowanie adresu o długim czasie trwania * | Wykryto urządzenie źródłowe skanujące urządzenia sieciowe. To urządzenie nie jest autoryzowane jako urządzenie do skanowania sieci. Próg: 50 połączeń z tą samą podsiecią klasy B w ciągu 10 minut |
High | Scan |
Tactics: - Discovery Techniques: - T0842: Wąchanie sieci |
Learnable |
| Wykryto próbę odgadnięcia hasła | Na urządzeniu źródłowym wystąpiły nadmierne próby logowania na serwerze docelowym. Może to wskazywać na atak siłowy. Serwer może zostać naruszony przez złośliwego aktora. Próg: 100 prób w ciągu 1 minuty |
High | Authentication |
Tactics: - Ruch poprzeczny Techniques: - T0812: Poświadczenia domyślne - T0806: Atak siłowy we/wy |
Not learnable |
| Wykryto skanowanie sterownika PLC | Wykryto urządzenie źródłowe skanujące urządzenia sieciowe. To urządzenie nie jest autoryzowane jako urządzenie do skanowania sieci. Próg: 10 skanowań w ciągu 2 minut |
High | Scan |
Tactics: - Discovery Techniques: - T0842: Wąchanie sieci |
Learnable |
| Wykryto skanowanie portów | Wykryto urządzenie źródłowe skanujące urządzenia sieciowe. To urządzenie nie jest autoryzowane jako urządzenie do skanowania sieci. Próg: 25 skanowań w ciągu 2 minut |
High | Scan |
Tactics: - Discovery Techniques: - T0842: Wąchanie sieci |
Learnable |
| Nieoczekiwana długość komunikatu | Urządzenie źródłowe wysłało nietypowy komunikat. Ten alert może wskazywać na próbę ataku na urządzenie docelowe. Próg: długość tekstu — 32768 |
High | Nietypowe zachowanie komunikacji |
Tactics: - InitialAccess - LateralMovement Techniques: - T0869: Wykorzystywanie usług zdalnych |
Not learnable |
| Nieoczekiwany ruch dla portu standardowego * | Ruch został wykryty na urządzeniu przy użyciu portu zarezerwowanego dla innego protokołu. | Medium | Nietypowe zachowanie komunikacji |
Tactics: - Sterowanie i sterowanie - Discovery Techniques: - T0869: Standardowy protokół warstwy aplikacji - T0842: Wąchanie sieci |
Not learnable |
Alerty aparatu naruszenia protokołu
Alerty aparatu protokołu opisują wykryte odchylenia w strukturze pakietów lub wartości pól w porównaniu ze specyfikacjami protokołu.
| Title | Description | Severity | Category | MITRE ATT&CK Taktyka i techniki |
Learnable |
|---|---|---|---|---|---|
| Nadmierne źle sformułowane pakiety w jednej sesji * | Nieprawidłowa liczba źle sformułowanych pakietów wysyłanych z urządzenia źródłowego do urządzenia docelowego. Ten alert może wskazywać na błędną komunikację lub próbę manipulowania urządzeniem docelowym. Próg: 2 źle sformułowane pakiety w ciągu 10 minut |
Medium | Illegal Commands |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0806: Atak siłowy we/wy |
Not learnable |
| Firmware Update | Urządzenie źródłowe wysłało polecenie w celu zaktualizowania oprogramowania układowego na urządzeniu docelowym. Sprawdź, czy najnowsze uaktualnienia programowania, konfiguracji i oprogramowania układowego wprowadzone na urządzeniu docelowym są prawidłowe. | Low | Firmware Change |
Tactics: - Hamuj funkcję odpowiedzi - Persistence Techniques: - T0857: Oprogramowanie układowe systemu |
Learnable |
| Kod funkcji nieobsługiwany przez funkcję outstation | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Medium | Illegal Commands |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia |
Not learnable |
| Komunikat o niedozwolonej sieci BACNet | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Medium | Illegal Commands |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Not learnable |
| Próba nielegalnego połączenia na porcie 0 | Urządzenie źródłowe próbowało nawiązać połączenie z urządzeniem docelowym na porcie o numerze zero (0). W przypadku protokołu TCP port 0 jest zarezerwowany i nie można go używać. W przypadku protokołu UDP port jest opcjonalny, a wartość 0 oznacza brak portu. Zwykle nie ma usługi w systemie, który nasłuchuje na porcie 0. To zdarzenie może wskazywać na próbę ataku na urządzenie docelowe lub wskazuje, że aplikacja została nieprawidłowo zaprogramowana. | Low | Illegal Commands |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Not learnable |
| Niedozwolona operacja DNP3 | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Medium | Illegal Commands |
Tactics: - Dostęp początkowy - Ruch poprzeczny Techniques: - T0866: Wykorzystywanie usług zdalnych |
Not learnable |
| Niedozwolona operacja MODBUS (wyjątek zgłoszony przez wzorzec) | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Medium | Illegal Commands |
Tactics: - Dostęp początkowy - Ruch poprzeczny Techniques: - T0866: Wykorzystywanie usług zdalnych |
Not learnable |
| Nielegalna operacja MODBUS (kod funkcji zero) * | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Medium | Illegal Commands |
Tactics: - Dostęp początkowy - Ruch poprzeczny Techniques: - T0866: Wykorzystywanie usług zdalnych |
Not learnable |
| Niedozwolona wersja protokołu * | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Medium | Illegal Commands |
Tactics: - Dostęp początkowy - LateralMovement - Kontrola procesu upośledzonego Techniques: - T0820: Usługi zdalne - T0836: Modyfikowanie parametru |
Not learnable |
| Niepoprawny parametr wysłany do zastągowania | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Medium | Illegal Commands |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Not learnable |
| Inicjowanie przestarzałego kodu funkcji (inicjowanie danych) | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Low | Illegal Commands |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia |
Not learnable |
| Inicjowanie przestarzałego kodu funkcji (Zapisz konfigurację) | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Low | Illegal Commands |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia |
Not learnable |
| Wzorzec zażądał potwierdzenia warstwy aplikacji | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Low | Illegal Commands |
Tactics: - Sterowanie i sterowanie Techniques: - T0869: Standardowy protokół warstwy aplikacji |
Not learnable |
| Modbus Exception | Urządzenie źródłowe (pomocnicze) zwróciło wyjątek do urządzenia docelowego (podstawowego). | Medium | Illegal Commands |
Tactics: - Hamuj funkcję odpowiedzi Techniques: - T0814: Odmowa usługi |
Not learnable |
| Urządzenie podrzędne otrzymało niedozwolony typ ASDU | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Medium | Illegal Commands |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0836: Modyfikowanie parametru |
Not learnable |
| Urządzenie podrzędne otrzymało nielegalną przyczynę transmisji | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Medium | Illegal Commands |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Not learnable |
| Urządzenie podrzędne otrzymało niedozwolony wspólny adres | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Medium | Illegal Commands |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Not learnable |
| Parametr niedozwolonego adresu danych odebrany przez urządzenie podrzędne * | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Medium | Illegal Commands |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Not learnable |
| Parametr niewolniczy urządzenie otrzymało niedozwoloną wartość danych * | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Medium | Illegal Commands |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Not learnable |
| Urządzenie podrzędne otrzymało niedozwolony kod funkcji * | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Medium | Illegal Commands |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Not learnable |
| Urządzenie podrzędne otrzymało niedozwolony adres obiektu informacji | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Medium | Illegal Commands |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Not learnable |
| Nieznany obiekt wysłany do zastągowania | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Medium | Illegal Commands |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia |
Not learnable |
| Użycie kodu funkcji zarezerwowanej | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Medium | Illegal Commands |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0836: Modyfikowanie parametru |
Not learnable |
| Użycie nieprawidłowego formatowania według zaświadczania * | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Low | Illegal Commands |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia |
Not learnable |
| Użycie flag stanu zarezerwowanego (IIN) | Urządzenie źródłowe DNP3 (przestacja) używało zarezerwowanego wskaźnika wewnętrznego 2.6. Zaleca się sprawdzenie konfiguracji urządzenia. | Low | Illegal Commands |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0836: Modyfikowanie parametru |
Not learnable |
Alerty aparatu złośliwego oprogramowania
Alerty aparatu złośliwego oprogramowania opisują wykryte złośliwe działania sieciowe.
| Title | Description | Severity | Category | MITRE ATT&CK Taktyka i techniki |
Learnable |
|---|---|---|---|---|---|
| Próba nawiązania połączenia ze znanym złośliwym adresem IP | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. Wyzwalane przez czujniki sieciowe OT. |
High | Podejrzenie złośliwego działania |
Tactics: - Dostęp początkowy - Sterowanie i sterowanie Techniques: - T0883: Urządzenie dostępne z Internetu - T0884: Serwer proxy połączeń |
Not learnable |
| Nieprawidłowy komunikat SMB (DoublePulsar Backdoor Implant) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | High | Podejrzenie złośliwego oprogramowania |
Tactics: - Dostęp początkowy - LateralMovement Techniques: - T0866: Wykorzystywanie usług zdalnych |
Not learnable |
| Żądanie złośliwej nazwy domeny | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. Wyzwalane przez czujniki sieciowe OT. |
High | Podejrzenie złośliwego działania |
Tactics: - Dostęp początkowy - Sterowanie i sterowanie Techniques: - T0883: Urządzenie dostępne z Internetu - T0884: Serwer proxy połączeń |
Learnable |
| Złośliwa ścieżka adresu URL | Żądanie zostało skierowane do znanej złośliwej ścieżki adresu URL. Żądania dotyczące tej ścieżki adresu URL mogą wskazywać, że źródło wysyłające żądanie zostało naruszone. | High | Podejrzenie złośliwego działania |
Tactics: - Dostęp początkowy - Sterowanie i sterowanie Techniques: - T0883: Urządzenie dostępne z Internetu - T0884: Serwer proxy połączeń |
Not learnable |
| Wykryto plik testowy złośliwego oprogramowania — powodzenie EICAR AV | Plik testowy EICAR AV został wykryty w ruchu między dwoma urządzeniami (za pośrednictwem dowolnego transportu — TCP lub UDP). Plik nie jest złośliwym oprogramowaniem. Służy do potwierdzenia, że oprogramowanie antywirusowe jest poprawnie zainstalowane. Pokazuj, co się stanie po znalezieniu wirusa, i sprawdź wewnętrzne procedury i reakcje po znalezieniu wirusa. Oprogramowanie antywirusowe powinno wykrywać EICAR tak, jakby było to prawdziwy wirus. | High | Podejrzenie złośliwego działania |
Tactics: - Discovery Techniques: - T0842: Wąchanie sieci |
Not learnable |
| Podejrzenie złośliwego oprogramowania Conficker | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Medium | Podejrzenie złośliwego oprogramowania |
Tactics: - Dostęp początkowy - Impact Techniques: - T0826: Utrata dostępności - T0828: Utrata produktywności i przychodów - T0847: Replikacja za pośrednictwem nośnika wymiennego |
Not learnable |
| Podejrzenie ataku typu "odmowa usługi" | Urządzenie źródłowe próbowało zainicjować nadmierną liczbę nowych połączeń z urządzeniem docelowym. Może to wskazywać na atak typu "odmowa usługi" (DOS) na urządzenie docelowe i może przerwać działanie urządzenia, wpłynąć na wydajność i dostępność usługi lub spowodować nieodwracalne błędy. Próg: 3000 prób w ciągu 1 minuty |
High | Podejrzenie złośliwego działania |
Tactics: - Hamuj funkcję odpowiedzi Techniques: - T0814: Odmowa usługi |
Learnable |
| Podejrzenie złośliwego działania | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem, który wyzwolił znane "Wskaźniki naruszenia" (IOCs). Metadane alertu powinny być przeglądane przez zespół ds. zabezpieczeń. | High | Podejrzenie złośliwego działania |
Tactics: - Ruch poprzeczny Techniques: - T0867: Transfer narzędzi bocznych |
Not learnable |
| Podejrzenie złośliwego działania (BlackWald) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | High | Podejrzenie złośliwego oprogramowania |
Tactics: - Sterowanie i sterowanie Techniques: - T0869: Standardowy protokół warstwy aplikacji |
Not learnable |
| Podejrzenie złośliwego działania (DarkComet) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | High | Podejrzenie złośliwego oprogramowania |
Tactics: - Impact Techniques: - T0882: kradzież informacji operacyjnych |
Not learnable |
| Podejrzenie złośliwego działania (Duqu) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | High | Podejrzenie złośliwego oprogramowania |
Tactics: - Impact Techniques: - T0882: kradzież informacji operacyjnych |
Not learnable |
| Podejrzenie złośliwej aktywności (płomień) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | High | Podejrzenie złośliwego oprogramowania |
Tactics: - Collection - Impact Techniques: - T0882: kradzież informacji operacyjnych - T0811: Dane z repozytoriów informacji |
Not learnable |
| Podejrzenie złośliwego działania (Havex) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | High | Podejrzenie złośliwego oprogramowania |
Tactics: - Collection - Discovery - Hamuj funkcję odpowiedzi Techniques: - T0861: Identyfikacja punktów i tagów - T0846: Odnajdywanie systemu zdalnego - T0814: Odmowa usługi |
Not learnable |
| Podejrzenie złośliwego działania (Karagany) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | High | Podejrzenie złośliwego oprogramowania |
Tactics: - Impact Techniques: - T0882: kradzież informacji operacyjnych |
Not learnable |
| Podejrzenie złośliwego działania (LightsOut) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | High | Podejrzenie złośliwego oprogramowania |
Tactics: - Evasion Techniques: - T0849: Maskquerading |
Not learnable |
| Podejrzenie złośliwego działania (zapytania nazw) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. Próg: 25 zapytań dotyczących nazw w ciągu 1 minuty |
High | Podejrzenie złośliwego działania |
Tactics: - Sterowanie i sterowanie Techniques: - T0884: Serwer proxy połączeń |
Not learnable |
| Podejrzenie złośliwej aktywności (Trucizna Bluszcz) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | High | Podejrzenie złośliwego oprogramowania |
Tactics: - Dostęp początkowy - Ruch poprzeczny Techniques: - T0866: Wykorzystywanie usług zdalnych |
Not learnable |
| Podejrzenie złośliwego działania (Regin) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | High | Podejrzenie złośliwego oprogramowania |
Tactics: - Dostęp początkowy - Ruch poprzeczny - Impact Techniques: - T0866: Wykorzystywanie usług zdalnych - T0882: kradzież informacji operacyjnych |
Not learnable |
| Podejrzenie złośliwego działania (Stuxnet) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | High | Podejrzenie złośliwego oprogramowania |
Tactics: - Dostęp początkowy - Ruch poprzeczny - Impact Techniques: - T0818: Naruszenie zabezpieczeń stacji roboczej inżynieryjnej - T0866: Wykorzystywanie usług zdalnych - T0831: Manipulowanie kontrolką |
Not learnable |
| Podejrzenie złośliwej aktywności (WannaCry) * | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Medium | Podejrzenie złośliwego oprogramowania |
Tactics: - Dostęp początkowy - Ruch poprzeczny Techniques: - T0866: Wykorzystywanie usług zdalnych - T0867: Transfer narzędzi bocznych |
Not learnable |
| Podejrzenie złośliwego oprogramowania NotPetya — wykryto nielegalne parametry protokołu SMB | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | High | Podejrzenie złośliwego oprogramowania |
Tactics: - Dostęp początkowy - Ruch poprzeczny Techniques: - T0866: Wykorzystywanie usług zdalnych |
Not learnable |
| Podejrzenie złośliwego oprogramowania NotPetya — wykryto nielegalną transakcję SMB | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | High | Podejrzenie złośliwego oprogramowania |
Tactics: - Ruch poprzeczny Techniques: - T0867: Transfer narzędzi bocznych |
Not learnable |
| Podejrzenie zdalnego wykonywania kodu za pomocą programu PsExec | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | High | Podejrzenie złośliwego działania |
Tactics: - Ruch poprzeczny - Dostęp początkowy Techniques: - T0866: Wykorzystywanie usług zdalnych |
Not learnable |
| Podejrzenie zdalnego zarządzania usługami systemu Windows * | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | High | Podejrzenie złośliwego działania |
Tactics: - Dostęp początkowy Techniques: - T0822: NetworkExternal Remote Services |
Not learnable |
| Wykryto podejrzany plik wykonywalny w punkcie końcowym | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | High | Podejrzenie złośliwego działania |
Tactics: - Evasion - Hamuj funkcję odpowiedzi Techniques: - T0851: Rootkit |
Learnable |
| Wykryto podejrzany ruch * | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem, który wyzwolił znane "Wskaźniki naruszenia" (IOCs). Metadane alertu powinny być przeglądane przez zespół ds. zabezpieczeń | High | Podejrzenie złośliwego działania |
Tactics: - Discovery Techniques: - T0842: Wąchanie sieci |
Not learnable |
| Działanie tworzenia kopii zapasowej z podpisami antywirusowymi | Ruch wykryty między urządzeniem źródłowym a docelowym serwerem kopii zapasowej wyzwolił ten alert. Ruch obejmuje kopię zapasową oprogramowania antywirusowego, które może zawierać podpisy złośliwego oprogramowania. Jest to najprawdopodobniej uzasadnione działanie tworzenia kopii zapasowej. | Low | Backup |
Tactics: - Impact Techniques: - T0882: kradzież informacji operacyjnych |
Not learnable |
Alerty aparatu operacyjnego
Alerty aparatu operacyjnego opisują wykryte zdarzenia operacyjne lub jednostki, które działają nieprawidłowo.
| Title | Description | Severity | Category | MITRE ATT&CK Taktyka i techniki |
Learnable |
|---|---|---|---|---|---|
| Wysłano polecenie S7 Stop PLC | Urządzenie źródłowe wysłało polecenie zatrzymania do kontrolera docelowego. Kontroler przestaje działać do momentu wysłania polecenia uruchamiania. | Low | Ponowne uruchamianie/zatrzymywanie poleceń |
Tactics: - Ruch poprzeczny - Uchylanie się od obrony - Execution - Hamuj funkcję odpowiedzi Techniques: - T0843: Pobieranie programu - T0858: Zmiana trybu operacyjnego - T0814: Odmowa usługi |
Not learnable |
| Operacja BACNet nie powiodła się | Serwer zwrócił kod błędu. Ten alert wskazuje błąd serwera lub nieprawidłowe żądanie klienta. | Medium | Command Failures |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia |
Not learnable |
| Zły stan urządzenia MMS | Usługa MMS Virtual Manufacturing Device (VMD) wysłała komunikat o stanie. Komunikat wskazuje, że serwer może nie być poprawnie skonfigurowany, częściowo operacyjny lub w ogóle nie działa. | Medium | Operational Issues |
Tactics: - Hamuj funkcję odpowiedzi Techniques: - T0814: Odmowa usługi |
Not learnable |
| Zmiana konfiguracji urządzenia * | Wykryto zmianę konfiguracji na urządzeniu źródłowym. | Low | Configuration Changes |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0836: Modyfikowanie parametru |
Not learnable |
| Przepełnienie buforu zdarzeń ciągłych podczas zaświadczania * | Na urządzeniu źródłowym wykryto zdarzenie przepełnienia buforu. Zdarzenie może spowodować uszkodzenie danych, awarię programu lub wykonanie złośliwego kodu. Próg: 3 wystąpienia w ciągu 10 minut |
Medium | Buffer Overflow |
Tactics: - Hamuj funkcję odpowiedzi - Kontrola procesu upośledzonego - Persistence Techniques: - T0814: Odmowa usługi - T0806: Atak siłowy we/wy - T0839: Oprogramowanie układowe modułu |
Not learnable |
| Controller Reset | Urządzenie źródłowe wysłało polecenie resetowania do kontrolera docelowego. Kontroler tymczasowo przestał działać i uruchamiał się ponownie automatycznie. | Low | Ponowne uruchamianie/zatrzymywanie poleceń |
Tactics: - Uchylanie się od obrony - Execution - Hamuj funkcję odpowiedzi Techniques: - T0858: Zmiana trybu operacyjnego - T0814: Odmowa usługi |
Not learnable |
| Controller Stop | Urządzenie źródłowe wysłało polecenie zatrzymania do kontrolera docelowego. Kontroler przestaje działać do momentu wysłania polecenia uruchamiania. | Low | Ponowne uruchamianie/zatrzymywanie poleceń |
Tactics: - Ruch poprzeczny - Uchylanie się od obrony - Execution - Hamuj funkcję odpowiedzi Techniques: - T0843: Pobieranie programu - T0858: Zmiana trybu operacyjnego - T0814: Odmowa usługi |
Not learnable |
| Nie można odebrać dynamicznego adresu IP urządzenia | Urządzenie źródłowe jest skonfigurowane do odbierania dynamicznego adresu IP z serwera DHCP, ale nie otrzymało adresu. Oznacza to błąd konfiguracji na urządzeniu lub błąd operacyjny na serwerze DHCP. Zaleca się powiadamianie administratora sieci o zdarzeniu | Medium | Command Failures |
Tactics: - Discovery Techniques: - T0842: Wąchanie sieci |
Not learnable |
| Urządzenie jest podejrzane o odłączenie (brak odpowiedzi) | Urządzenie źródłowe nie odpowiedziało na wysłane do niego polecenie. Być może został rozłączony po wysłaniu polecenia. Próg: 8 prób w ciągu 5 minut |
Medium | Unresponsive |
Tactics: - Hamuj funkcję odpowiedzi Techniques: - T0881: Zatrzymywanie usługi |
Not learnable |
| Żądanie usługi EtherNet/IP nie powiodło się | Serwer zwrócił kod błędu. Wskazuje to błąd serwera lub nieprawidłowe żądanie klienta. | Medium | Command Failures |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia |
Not learnable |
| Polecenie protokołu hermetyzacji EtherNet/IP nie powiodło się | Serwer zwrócił kod błędu. Wskazuje to błąd serwera lub nieprawidłowe żądanie klienta. | Medium | Command Failures |
Tactics: - Collection Techniques: - T0801: Monitorowanie stanu procesu |
Not learnable |
| Przepełnienie buforu zdarzeń w outstation | Na urządzeniu źródłowym wykryto zdarzenie przepełnienia buforu. Zdarzenie może spowodować uszkodzenie danych, awarię programu lub wykonanie złośliwego kodu. | Medium | Buffer Overflow |
Tactics: - Hamuj funkcję odpowiedzi - Kontrola procesu upośledzonego - Persistence Techniques: - T0814: Odmowa usługi - T0839: Oprogramowanie układowe modułu |
Not learnable |
| Oczekiwana operacja tworzenia kopii zapasowej nie została wykonana | Oczekiwane działanie tworzenia kopii zapasowej/transferu plików nie wystąpiło między dwoma urządzeniami. Ten alert może wskazywać na błędy w procesie tworzenia kopii zapasowej/transferu plików. Próg: 100 sekund |
Medium | Backup |
Tactics: - Hamuj funkcję odpowiedzi Techniques: - T0809: Niszczenie danych |
Learnable |
| Błąd polecenia GE SRTP | Serwer zwrócił kod błędu. Ten alert wskazuje błąd serwera lub nieprawidłowe żądanie klienta. | Medium | Command Failures |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia |
Not learnable |
| Polecenie GE SRTP Stop PLC zostało wysłane | Urządzenie źródłowe wysłało polecenie zatrzymania do kontrolera docelowego. Kontroler przestaje działać do momentu wysłania polecenia uruchamiania. | Low | Ponowne uruchamianie/zatrzymywanie poleceń |
Tactics: - Ruch poprzeczny - Uchylanie się od obrony - Execution - Hamuj funkcję odpowiedzi Techniques: - T0843: Pobieranie programu - T0858: Zmiana trybu operacyjnego - T0814: Odmowa usługi |
Not learnable |
| Blok sterowania systemu GOOSE wymaga dalszej konfiguracji | Urządzenie źródłowe wysłało komunikat z systemem GOOSE wskazujący, że urządzenie wymaga uruchomienia. Oznacza to, że blok sterowania WOSE wymaga dalszej konfiguracji i komunikatów z systemem GOOSE są częściowo lub całkowicie nieoperacyjne. | Medium | Configuration Changes |
Tactics: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi Techniques: - T0803: Blokuj komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Not learnable |
| Konfiguracja zestawu danych GOOSE została zmieniona * | Zestaw danych komunikatu (zidentyfikowany przez identyfikator protokołu) został zmieniony na urządzeniu źródłowym. Oznacza to, że urządzenie zgłasza inny zestaw danych dla tego komunikatu. | Low | Configuration Changes |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0836: Modyfikowanie parametru |
Not learnable |
| Kontroler Honeywell — nieoczekiwany stan | Kontroler Honeywell wysłał nieoczekiwany komunikat diagnostyczny wskazujący zmianę stanu. | Low | Operational Issues |
Tactics: - Evasion - Execution Techniques: - T0858: Zmiana trybu operacyjnego |
Not learnable |
| Błąd klienta HTTP * | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Low | Nietypowe zachowanie komunikacji HTTP |
Tactics: - Sterowanie i sterowanie Techniques: - T0869: Standardowy protokół warstwy aplikacji |
Not learnable |
| Niedozwolony adres IP | System wykrył ruch między urządzeniem źródłowym a adresem IP, który jest nieprawidłowym adresem. Może to wskazywać na nieprawidłową konfigurację lub próbę wygenerowania nielegalnego ruchu. | Low | Nietypowe zachowanie komunikacji |
Tactics: - Discovery - Kontrola procesu upośledzonego Techniques: - T0842: Wąchanie sieci - T0836: Modyfikowanie parametru |
Not learnable |
| Błąd uwierzytelniania typu master-slave | Proces uwierzytelniania między urządzeniem źródłowym DNP3 (podstawowym) i urządzeniem docelowym (outstation) nie powiodło się. | Low | Authentication |
Tactics: - Ruch poprzeczny - Persistence Techniques: - T0859: Prawidłowe konta |
Not learnable |
| Żądanie usługi MMS nie powiodło się | Serwer zwrócił kod błędu. Wskazuje to błąd serwera lub nieprawidłowe żądanie klienta. | Medium | Command Failures |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia |
Not learnable |
| Brak wykrytego ruchu w interfejsie czujnika | Czujnik przestał wykrywać ruch sieciowy w interfejsie sieciowym. | High | Sensor Traffic |
Tactics: - Hamuj funkcję odpowiedzi Techniques: - T0881: Zatrzymywanie usługi |
Not learnable |
| Serwer OPC UA zgłosił zdarzenie wymagające uwagi użytkownika | Serwer OPC UA wysłał powiadomienie o zdarzeniu do klienta. Tego typu zdarzenie wymaga uwagi użytkownika | Medium | Operational Issues |
Tactics: - Hamuj funkcję odpowiedzi Techniques: - T0838: Modyfikowanie ustawień alarmu |
Not learnable |
| Żądanie usługi OPC UA nie powiodło się | Serwer zwrócił kod błędu. Wskazuje to błąd serwera lub nieprawidłowe żądanie klienta. | Medium | Command Failures |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia |
Not learnable |
| Outstation Restarted | Wykryto zimne ponowne uruchomienie na urządzeniu źródłowym. Oznacza to, że urządzenie zostało fizycznie wyłączone i ponownie włączone. | Low | Ponowne uruchamianie/zatrzymywanie poleceń |
Tactics: - Hamuj funkcję odpowiedzi Techniques: - T0816: Ponowne uruchamianie/zamykanie urządzenia |
Not learnable |
| Często uruchamiane są ponowne uruchomienia stacji wychodzącej | Wykryto nadmierną liczbę zimnych ponownych uruchomień na urządzeniu źródłowym. Oznacza to, że urządzenie zostało fizycznie wyłączone i ponownie włączone zbyt wiele razy. Próg: 2 ponowne uruchomienia w ciągu 10 minut |
Low | Ponowne uruchamianie/zatrzymywanie poleceń |
Tactics: - Hamuj funkcję odpowiedzi Techniques: - T0814: Odmowa usługi - T0816: Ponowne uruchamianie/zamykanie urządzenia |
Not learnable |
| Konfiguracja stacji wychodzącej została zmieniona | Wykryto zmianę konfiguracji na urządzeniu źródłowym. | Medium | Configuration Changes |
Tactics: - Hamuj funkcję odpowiedzi - Persistence Techniques: - T0857: Oprogramowanie układowe systemu |
Not learnable |
| Wykryto uszkodzoną konfigurację stacji wychodzącej | To urządzenie źródłowe DNP3 zgłosiło uszkodzoną konfigurację. | Medium | Configuration Changes |
Tactics: - Hamuj funkcję odpowiedzi Techniques: - T0809: Niszczenie danych |
Not learnable |
| Polecenie Profinet DCP nie powiodło się | Serwer zwrócił kod błędu. Wskazuje to błąd serwera lub nieprawidłowe żądanie klienta. | Medium | Command Failures |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia |
Not learnable |
| Profinet Device Factory Reset | Urządzenie źródłowe wysłało polecenie resetowania do ustawień fabrycznych do urządzenia docelowego Profinet. Polecenie reset usuwa konfiguracje urządzeń Profinet i zatrzymuje jego działanie. | Low | Ponowne uruchamianie/zatrzymywanie poleceń |
Tactics: - Uchylanie się od obrony - Execution - Hamuj funkcję odpowiedzi Techniques: - T0858: Zmiana trybu operacyjnego - T0814: Odmowa usługi |
Not learnable |
| Operacja RPC nie powiodła się * | Serwer zwrócił kod błędu. Ten alert wskazuje błąd serwera lub nieprawidłowe żądanie klienta. | Medium | Command Failures |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0855: Brak autoryzacji komunikat polecenia |
Not learnable |
| Zmieniono konfigurację zestawu danych z przykładowymi wartościami * | Zestaw danych komunikatu (zidentyfikowany przez identyfikator protokołu) został zmieniony na urządzeniu źródłowym. Oznacza to, że urządzenie zgłasza inny zestaw danych dla tego komunikatu. | Low | Configuration Changes |
Tactics: - Kontrola procesu upośledzonego Techniques: - T0836: Modyfikowanie parametru |
Not learnable |
| Niepowodzenie nieodzyskiwalne urządzenia podrzędnego * | Wykryto nieodwracalny błąd warunku na urządzeniu źródłowym. Ten rodzaj błędu zwykle wskazuje awarię sprzętu lub niepowodzenie wykonania określonego polecenia. | Medium | Command Failures |
Tactics: - Hamuj funkcję odpowiedzi Techniques: - T0814: Odmowa usługi |
Not learnable |
| Podejrzenie problemów ze sprzętem w zaświadczaniach | Wykryto nieodwracalny błąd warunku na urządzeniu źródłowym. Ten rodzaj błędu zwykle wskazuje awarię sprzętu lub niepowodzenie wykonania określonego polecenia. | Medium | Operational Issues |
Tactics: - Hamuj funkcję odpowiedzi Techniques: - T0814: Odmowa usługi - T0881: Zatrzymywanie usługi |
Not learnable |
| Podejrzenie nieodpowiadanego urządzenia MODBUS | Urządzenie źródłowe nie odpowiedziało na wysłane do niego polecenie. Być może został rozłączony po wysłaniu polecenia. Próg: Minimalna 1 prawidłowa odpowiedź dla co najmniej 3 żądań w ciągu 5 minut |
Low | Unresponsive |
Tactics: - Hamuj funkcję odpowiedzi Techniques: - T0881: Zatrzymywanie usługi |
Not learnable |
| Ruch wykryty w interfejsie czujnika | Czujnik wznowił wykrywanie ruchu sieciowego w interfejsie sieciowym. | Low | Sensor Traffic |
Tactics: - Discovery Techniques: - T0842: Wąchanie sieci |
Not learnable |
| Tryb operacyjny PLC został zmieniony | Tryb operacyjny na tym sterowniku PLC uległ zmianie. Nowy tryb może wskazywać, że sterownik PLC nie jest bezpieczny. Pozostawienie sterownika PLC w niezabezpieczonym trybie operacyjnym może umożliwić przeciwnikom wykonywanie na nim złośliwych działań, takich jak pobieranie programu. W przypadku naruszenia zabezpieczeń sterowników PLC urządzenia i procesy, które współdziałają z nim, mogą mieć wpływ. Może to mieć wpływ na ogólne zabezpieczenia i bezpieczeństwo systemu. | Low | Configuration changes |
Tactics: - Execution - Evasion Techniques: - T0858: Zmiana trybu operacyjnego |
Not learnable |
Next steps
Aby uzyskać więcej informacji, zobacz:
- Wyświetlanie alertów w portalu usługi Defender for IoT i zarządzanie nimi
- Wyświetlanie alertów w czujniku
- Przyspieszanie przepływów pracy alertów
- Przekazywanie informacji o alercie
- Praca z alertami w lokalnej konsoli zarządzania
- Dokumentacja interfejsu API zarządzania alertami dla lokalnych konsol zarządzania
- Dokumentacja interfejsu API zarządzania alertami dla czujników monitorowania OT