Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
This article provides a reference of the alerts that are generated by Microsoft Defender for IoT network sensors, including a list of all alert types and descriptions. A referência também mostra quais alertas podem ser triados como aprendíveis ou não, para obter mais informações sobre o status aprendível, consulte Status de alerta e opções de triagem. Você pode usar essa referência para mapear alertas em guias estratégicos, definir regras de encaminhamento em um sensor de rede de Tecnologia Operacional (OT) ou outra atividade personalizada.
Alertas de OT desativados por padrão
Vários alertas estão desativados por padrão, conforme indicado pelos asteriscos (*) nas tabelas abaixo. OT sensor Admin users can enable or disable alerts from the Support page on a specific OT network sensor.
Caso desative os alertas referenciados em outros locais, como regras de encaminhamento de alertas, atualize essas referências conforme o necessário.
Alert severities
Os alertas do Defender para IoT usam os seguintes níveis de gravidade:
| portal do Azure | OT sensor | Description |
|---|---|---|
| High | Critical | Indica um ataque mal- intencionado com o qual você deve lidar imediatamente. |
| Medium | Major | Indica uma ameaça de segurança que é importante resolver. |
| Low | Minor, Warning | Indica algum desvio do comportamento da base de referência que pode conter uma ameaça à segurança ou não contém nenhuma ameaça à segurança. |
As gravidades de alerta nesta página listam a gravidade, conforme mostrado no portal do Azure.
Tipos de alertas com suporte
| Alert type | Description |
|---|---|
| Alertas de violação de política | Disparado quando o mecanismo de Violação de Política detecta um desvio do tráfego aprendido anteriormente. For example: - Um novo dispositivo é detectado. - Uma nova configuração em um dispositivo é detectada. - Um dispositivo não definido como dispositivo de programação, realiza uma alteração de programação. - Uma versão de firmware é alterada. |
| Alertas de violação de protocolo | Disparado quando o mecanismo de Violação de Protocolo detecta estruturas de pacotes ou valores de campos que não estão em conformidade com a especificação do protocolo. |
| Operational alerts | Disparado quando o mecanismo Operacional detecta incidentes operacionais de rede ou um problema no funcionamento do dispositivo. Por exemplo: um dispositivo de rede foi parado usando um comando Stop PLC, ou uma interface em um sensor interrompeu o tráfego de monitoramento. |
| Malware alerts | Disparados quando o mecanismo de malware detecta uma atividade de rede mal-intencionada. Por exemplo, o mecanismo detecta um ataque conhecido como Conficker. |
| Anomaly alerts | Disparados quando o mecanismo de Anomalia detecta um desvio. Por exemplo: um dispositivo executa a verificação de rede, mas não está definido como um dispositivo de verificação. |
A política de detecção de alertas do Defender para IoT orienta os diferentes mecanismos de alerta para disparar alertas com base no impacto nos negócios e no contexto da rede e reduzir os alertas relacionados à TI de baixo valor. Para obter mais informações, confira Alertas com foco em ambientes de OT/TI.
Categorias de alertas compatíveis
Cada alerta tem uma das seguintes categorias:
- Comportamento de comunicação anormal
- Comportamento anormal de comunicação HTTP
- Authentication
- Backup
- Bandwidth Anomalies
- Buffer overflow
- Command Failures
- Configuration changes
- Custom Alerts
- Discovery
- Firmware change
- Illegal commands
- Internet Access
- Operation Failures
- Operational issues
- Programming
- Remote access
- Restart/Stop Commands
- Scan
- Sensor traffic
- Suspeita de atividade mal-intencionada
- Suspeita de malware
- Comportamento de comunicação não autorizado
- Unresponsive
Alertas do mecanismo de política
Os alertas do mecanismo de política descrevem desvios detectados do comportamento da linha de base aprendido.
The policy engine alerts table contains the Aggregated item to indicate that multiple alerts of this type can be grouped together and listed only once in the Alerts page to reduce alert fatigue. For more information, see aggregated alerts.
| Title | Description | Severity | Category | MITRE ATT&CK Táticas e técnicas |
Learnable | Aggregated violations |
|---|---|---|---|---|---|---|
| Software Beckhoff alterado | O firmware foi atualizado em um dispositivo de origem. Isso pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Medium | Firmware Change |
Tactics: - Função de Inibição de Resposta - Persistence Techniques: – T0857: Firmware do sistema |
Learnable | No |
| Falha no logon do banco de dados | Foi detectada uma tentativa de entrada com falha por meio de um dispositivo de origem em um servidor de destino. Isso pode ser o resultado de um erro humano, mas também pode indicar uma tentativa mal-intencionada de comprometer o servidor ou os dados contidos nele. Limite: Duas falhas de entrada em cinco minutos |
Medium | Authentication |
Tactics: - Movimento lateral - Collection Techniques: - T0812: Credenciais padrão – T0811: Dados dos repositórios de informações |
Not learnable | No |
| Versão do firmware Emerson ROC alterada | O firmware foi atualizado em um dispositivo de origem. Isso pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Medium | Firmware Change |
Tactics: - Função de Inibição de Resposta - Persistence Techniques: – T0857: Firmware do sistema |
Learnable | Yes |
| Comunicação do endereço externo na rede com a Internet | Um dispositivo de Internet se comunicou com outro dispositivo de Internet dentro da rede. | High | Internet Access |
Tactics: - Acesso inicial Techniques: – T0883: Dispositivo acessível pela Internet |
Learnable | No |
| Dispositivo de campo descoberto inesperadamente | Um novo dispositivo de origem foi detectado na rede, mas não está autorizado. | Medium | Discovery |
Tactics: - Discovery Techniques: – T0842: Detecção da rede |
Not learnable | No |
| Alteração de firmware detectada | O firmware foi atualizado em um dispositivo de origem. Isso pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Medium | Firmware Change |
Tactics: - Função de Inibição de Resposta - Persistence Techniques: – T0857: Firmware do sistema |
Not learnable | No |
| Versão do firmware alterada | O firmware foi atualizado em um dispositivo de origem. Isso pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Medium | Firmware Change |
Tactics: - Função de Inibição de Resposta - Persistence Techniques: – T0857: Firmware do sistema |
Learnable | Yes |
| Operação não autorizada de Foxboro I/A | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo Techniques: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Learnable | Yes |
| Falha no logon do FTP | Foi detectada uma tentativa de entrada com falha por meio de um dispositivo de origem em um servidor de destino. Este alerta pode ser o resultado de um erro humano, mas também pode indicar uma tentativa mal-intencionada de comprometer o servidor ou os dados contidos nele. | Medium | Authentication |
Tactics: - Movimento lateral - Comando e controle Techniques: - T0812: Credenciais padrão – T0869: Protocolo de camada de aplicativo padrão |
Not learnable | No |
| O código de função gerou uma exceção não autorizada* | Um dispositivo de origem (secundário) retornou uma exceção para um dispositivo de destino (primário). | Medium | Command Failures |
Tactics: - Função de Inibição de Resposta Techniques: – T0835: Manipular a imagem de E/S |
Learnable | Yes |
| Configurações de tipo de mensagem GOOSE | As configurações da mensagem (identificada pela ID de protocolo) foram alteradas em um dispositivo de origem. | Low | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo Techniques: – T0836: Modificar o parâmetro |
Learnable | Yes |
| Versão do firmware Honeywell alterada | O firmware foi atualizado em um dispositivo de origem. Isso pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Medium | Firmware Change |
Tactics: - Função de Inibição de Resposta - Persistence Techniques: – T0857: Firmware do sistema |
Learnable | No |
| Comunicação HTTP inválida* | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento anormal de comunicação HTTP |
Tactics: - Discovery Techniques: – T0846: Descoberta do sistema remoto |
Learnable | No |
| Acesso à Internet detectado | Um dispositivo interno fez uma tentativa inesperada de executar uma conexão de saída com a Internet. | Medium | Internet Access |
Tactics: - Acesso inicial Techniques: – T0883: Dispositivo acessível pela Internet |
Learnable | No |
| Versão do firmware Mitsubishi alterada | O firmware foi atualizado em um dispositivo de origem. Isso pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Medium | Firmware Change |
Tactics: - Função de Inibição de Resposta - Persistence Techniques: – T0857: Firmware do sistema |
Learnable | No |
| Violação de intervalo de endereços Modbus | Um dispositivo primário solicitou acesso a um novo endereço de memória secundária. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Discovery Techniques: – T0842: Detecção da rede |
Learnable | Yes |
| Versão do firmware Modbus alterada | O firmware foi atualizado em um dispositivo de origem. Isso pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Medium | Firmware Change |
Tactics: - Função de Inibição de Resposta - Persistence Techniques: – T0857: Firmware do sistema |
Learnable | No |
| Nova atividade detectada – Classe CIP | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Discovery Techniques: – T0888: Descoberta de informações do sistema remoto |
Learnable | Yes |
| Nova atividade detectada – Serviço de classe CIP | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Função de Inibição de Resposta Techniques: – T0836: Modificar o parâmetro |
Learnable | Yes |
| Nova atividade detectada – Comando CIP PCCC | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Função de Inibição de Resposta Techniques: – T0836: Modificar o parâmetro |
Learnable | Yes |
| Nova atividade detectada – Símbolo CIP | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo - Função de Inibição de Resposta Techniques: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Learnable | Yes |
| Nova atividade detectada – Conexão de E/S de Ethernet/IP | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Discovery - Função de Inibição de Resposta Techniques: - T0846: Descoberta remota do sistema – T0835: Manipular a imagem de E/S |
Learnable | Yes |
| Nova atividade detectada – Comando do protocolo Ethernet/IP | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Função de Inibição de Resposta Techniques: – T0836: Modificar o parâmetro |
Learnable | Yes |
| Nova atividade detectada – Código de mensagem GSM | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - CommandAndControl Techniques: – T0869: Protocolo de camada de aplicativo padrão |
Learnable | Yes |
| Nova atividade detectada – Códigos de comando LonTalk | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Collection - Prejudicar o controle do processo Techniques: - T0861 - Identificação de Pontos e Etiquetas – T0855: Mensagem de comando não autorizada |
Learnable | Yes |
| Nova atividade detectada – Variável de rede LonTalk | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo Techniques: – T0855: Mensagem de comando não autorizada |
Learnable | Yes |
| Nova atividade detectada – Solicitação de dados de Ovation | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Collection - Discovery Techniques: - T0801: Monitorar o estado do processo – T0888: Descoberta de informações do sistema remoto |
Learnable | Yes |
| Nova atividade detectada – Comando de leitura/gravação (grupo de índice do AMS) | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Configuration Changes |
Tactics: - Prejudicar o controle do processo - Função de Inibição de Resposta Techniques: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Learnable | Yes |
| Nova atividade detectada – Comando de leitura/gravação (deslocamento do índice do AMS) | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Configuration Changes |
Tactics: - Prejudicar o controle do processo - Função de Inibição de Resposta Techniques: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Learnable | Yes |
| Nova atividade detectada – Tipo de mensagem DeltaV não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo - Execution Techniques: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Learnable | Yes |
| Nova atividade detectada – Operação DeltaV ROC não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo - Execution Techniques: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Learnable | Yes |
| Nova atividade detectada – Tipo de mensagem RPC não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo Techniques: – T0855: Mensagem de comando não autorizada |
Learnable | Yes |
| Nova atividade detectada – Uso do comando do protocolo AMS | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo - Função de Inibição de Resposta - Execution Techniques: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro – T0821: Modificar a tarefa do controlador |
Learnable | Yes |
| Nova atividade detectada – Uso do comando do Siemens SICAM | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo - Função de Inibição de Resposta Techniques: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Learnable | Yes |
| Nova atividade detectada – Uso do comando do protocolo Suitelink | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo - Função de Inibição de Resposta Techniques: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Learnable | Yes |
| Nova atividade detectada – Uso de sessões do protocolo Suitelink | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo Techniques: – T0836: Modificar o parâmetro |
Learnable | Yes |
| Nova atividade detectada – Uso do comando Yokogawa VNetIP | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo - Execution Techniques: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Learnable | Yes |
| Novo ativo detectado | Um novo dispositivo de origem foi detectado na rede, mas não está autorizado. Esse alerta se aplica a dispositivos descobertos em sub-redes de OT. Novos dispositivos descobertos em sub-redes de TI não disparam um alerta. |
Medium | Discovery |
Tactics: - Discovery Techniques: – T0842: Detecção da rede |
Learnable | No |
| Nova configuração de dispositivo LLDP | Um novo dispositivo de origem foi detectado na rede, mas não está autorizado. | Medium | Configuration Changes |
Tactics: - Discovery Techniques: – T0842: Detecção da rede |
Learnable | No |
| Comando não autorizado do Omron FINS | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo Techniques: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Learnable | Yes |
| Firmware S7 Plus PLC alterado | O firmware foi atualizado em um dispositivo de origem. Isso pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Medium | Firmware Change |
Tactics: - Função de Inibição de Resposta - Persistence Techniques: – T0857: Firmware do sistema |
Learnable | No |
| Configurações de amostra de tipo de mensagem de valores | As configurações da mensagem (identificada pela ID de protocolo) foram alteradas em um dispositivo de origem. | Low | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo Techniques: – T0836: Modificar o parâmetro |
Not learnable | Yes |
| Suspeita de verificação de integridade inválida* | Uma verificação foi detectada em um dispositivo de origem DNP3 (outstation). Essa verificação não foi autorizada como tráfego aprendido na sua rede. | Medium | Scan |
Tactics: - Discovery Techniques: – T0842: Detecção da rede |
Learnable | No |
| Comando não autorizado de link de computador Toshiba | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Low | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo - Execution Techniques: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Learnable | Yes |
| Operação de arquivo ABB Totalflow não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo - Execution Techniques: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Not learnable | Yes |
| Operação de registro Totalflow ABB não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo - Execution Techniques: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Not learnable | Yes |
| Acesso não autorizado ao bloco de dados do Siemens S7 | Um dispositivo de origem tentou acessar um recurso em outro dispositivo. Uma tentativa de acesso a esse recurso entre esses dois dispositivos não é autorizada como tráfego aprendido em sua rede. | Low | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo - Acesso inicial Techniques: - T0855: Mensagem de comando não autorizada – T0811: Dados dos repositórios de informações |
Learnable | Yes |
| Acesso não autorizado ao objeto do Siemens S7 Plus | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo - Execution - Função de Inibição de Resposta Techniques: - T0855: Mensagem de comando não autorizada - T0821: Modificar a tarefa do controlador – T0809: Destruição de dados |
Learnable | Yes |
| Acesso não autorizado à marca de Wonderware | Um dispositivo de origem tentou acessar um recurso em outro dispositivo. Uma tentativa de acesso a esse recurso entre esses dois dispositivos não é autorizada como tráfego aprendido em sua rede. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Collection - Prejudicar o controle do processo Techniques: - T0861: Identificação de pontos e etiquetas – T0855: Mensagem de comando não autorizada |
Learnable | Yes |
| Acesso a objeto BACNet não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo - Execution Techniques: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Learnable | Yes |
| Rota do BACNet não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo - Execution Techniques: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Learnable | Yes |
| Logon de banco de dados não autorizado* | Foi detectada uma tentativa de entrada de um cliente de origem em um servidor de destino. A comunicação entre esses dispositivos não é autorizada como tráfego aprendido em sua rede. | Medium | Authentication |
Tactics: - Movimento lateral - Persistence - Collection Techniques: - T0859: Contas válidas – T0811: Dados dos repositórios de informações |
Learnable | No |
| Operação de banco de dados não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação anormal |
Tactics: - Prejudicar o controle do processo - Acesso inicial Techniques: - T0855: Mensagem de comando não autorizada – T0811: Dados dos repositórios de informações |
Learnable | Yes |
| Operação de Emerson ROC não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo - Execution Techniques: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Learnable | Yes |
| Acesso a arquivo do GE SRTP não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Collection - LateralMovement - Persistence Techniques: - T0801: Monitorar o estado do processo – T0859: Contas válidas |
Learnable | Yes |
| Comando de protocolo GE SRTP não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo Techniques: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Learnable | Yes |
| Operação de memória do sistema GE SRTP não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Discovery - Prejudicar o controle do processo Techniques: - T0846: Descoberta remota do sistema – T0855: Mensagem de comando não autorizada |
Learnable | Yes |
| Atividade HTTP não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento anormal de comunicação HTTP |
Tactics: - Acesso inicial - Comando e controle Techniques: - T0822: Serviços remotos externos – T0869: Protocolo de camada de aplicativo padrão |
Learnable | No |
| Ação SOAP HTTP não autorizada * | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento anormal de comunicação HTTP |
Tactics: - Comando e controle - Execution Techniques: - T0869: Protocolo de Camada de Aplicativo Padrão – T0871: Execução por meio da API |
Learnable | No |
| Agente do usuário HTTP não autorizado * | Um aplicativo não autorizado foi detectado em um dispositivo de origem. O aplicativo não está autorizado como um aplicativo aprendido em sua rede. | Medium | Comportamento anormal de comunicação HTTP |
Tactics: - Comando e controle Techniques: – T0869: Protocolo de camada de aplicativo padrão |
Learnable | No |
| Conectividade com a Internet não autorizada detectada | Um dispositivo interno se comunicou com êxito com a Internet. | High | Internet Access |
Tactics: - Acesso inicial Techniques: – T0883: Dispositivo acessível pela Internet |
Learnable | No |
| Comando Mitsubishi MELSEC não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo - Execution Techniques: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Learnable | Yes |
| Acesso de programa MMS não autorizado | Um dispositivo de origem tentou acessar um recurso em outro dispositivo. Uma tentativa de acesso a esse recurso entre esses dois dispositivos não é autorizada como tráfego aprendido em sua rede. | Medium | Programming |
Tactics: - Prejudicar o controle do processo - Execution Techniques: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Learnable | Yes |
| Serviço MMS não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo - Execution Techniques: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Learnable | Yes |
| Conexão de multicast/difusão não autorizada | Uma conexão multicast/difusão foi detectada entre um dispositivo de origem e outros dispositivos. A comunicação multicast/difundida não está autorizada. | High | Comportamento de comunicação anormal |
Tactics: - Discovery Techniques: – T0842: Detecção da rede |
Learnable | Yes |
| Consulta de nome não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação anormal |
Tactics: - Prejudicar o controle do processo Techniques: – T0836: Modificar o parâmetro |
Not learnable | Yes |
| Atividade de agente do usuário OPC não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo Techniques: – T0836: Modificar o parâmetro |
Learnable | Yes |
| Solicitação/resposta de agente do usuário OPC não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo Techniques: – T0836: Modificar o parâmetro |
Learnable | Yes |
| Uma operação não autorizada foi detectada por uma regra definida pelo usuário | Foi detectado o tráfego entre dois dispositivos. Essa atividade não é autorizada com base em uma regra de alerta personalizada definida por um usuário. | Medium | Custom Alerts |
Tactics: - Discovery Techniques: – T0842: Detecção da rede |
Not learnable | No |
| Leitura de configuração de PLC não autorizada | O dispositivo de origem não está definido como um dispositivo de programação, mas realizou uma operação de leitura/gravação em um controlador de destino. As alterações de programação só devem ser executadas por dispositivos de programação. Um aplicativo de programação pode ter sido instalado neste dispositivo. | Low | Configuration Changes |
Tactics: - Collection Techniques: – T0801: Monitorar o estado do processo |
Learnable | No |
| Gravação de configuração de PLC não autorizada | O dispositivo de origem enviou um comando para ler/gravar o programa de um controlador de destino. Essa atividade não foi observada anteriormente. | Medium | Configuration Changes |
Tactics: - Prejudicar o controle do processo - Persistence - Impact Techniques: - T0839: Firmware do módulo - T0831: Manipulação de Controle – T0889: Modificar o programa |
Learnable | No |
| Upload de programa PLC não autorizado | O dispositivo de origem enviou um comando para ler/gravar o programa de um controlador de destino. Essa atividade não foi observada anteriormente. | Medium | Programming |
Tactics: - Prejudicar o controle do processo - Persistence - Collection Techniques: - T0839: Firmware do módulo – T0845: Upload do programa |
Learnable | No |
| Programação de PLC não autorizada | O dispositivo de origem não está definido como um dispositivo de programação, mas realizou uma operação de leitura/gravação em um controlador de destino. As alterações de programação só devem ser executadas por dispositivos de programação. Um aplicativo de programação pode ter sido instalado neste dispositivo. | High | Programming |
Tactics: - Prejudicar o controle do processo - Persistence - Movimento lateral Techniques: - T0839: Firmware do módulo - T0889: Modificar programa – T0843: Download de programas |
Learnable | No |
| Tipo de quadro do Profinet não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo Techniques: – T0836: Modificar o parâmetro |
Learnable | Yes |
| Comando SAIA S-Bus não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo Techniques: – T0855: Mensagem de comando não autorizada |
Learnable | Yes |
| Execução não autorizada da função de controle do Siemens S7 | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo - Função de Inibição de Resposta Techniques: - T0855: Mensagem de comando não autorizada – T0809: Destruição de dados |
Learnable | Yes |
| Execução não autorizada da função definida pelo usuário do Siemens S7 | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo - Execution Techniques: - T0836: Modificar parâmetro – T0863: Execução do usuário |
Learnable | Yes |
| Acesso de bloqueio não autorizado do Siemens S7 Plus | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Função de Inibição de Resposta - Persistence - Execution Techniques: - T0803 - Mensagem de comando de bloqueio - T0889: Modificar programa – T0821: Modificar a tarefa do controlador |
Learnable | Yes |
| Operação não autorizada do Siemens S7 Plus | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo - Execution Techniques: - T0855: Mensagem de comando não autorizada – T0863: Execução do usuário |
Learnable | Yes |
| Logon do SMB não autorizado | Foi detectada uma tentativa de entrada de um cliente de origem em um servidor de destino. A comunicação entre esses dispositivos não é autorizada como tráfego aprendido em sua rede. | Medium | Authentication |
Tactics: - Acesso inicial - Movimento lateral - Persistence Techniques: - T0886: Serviços remotos – T0859: Contas válidas |
Learnable | Yes |
| Operação do SNMP não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação anormal |
Tactics: - Discovery - Comando e controle Techniques: - T0842: Detecção de rede – T0885: Porta comumente usada |
Learnable | Yes |
| Acesso do SSH não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Remote Access |
Tactics: - InitialAccess - Movimento lateral - Comando e controle Techniques: - T0886: Serviços remotos – T0869: Protocolo de camada de aplicativo padrão |
Learnable | No |
| Processo do Windows não autorizado | Um aplicativo não autorizado foi detectado em um dispositivo de origem. O aplicativo não está autorizado como um aplicativo aprendido em sua rede. | Medium | Comportamento de comunicação anormal |
Tactics: - Execution - Escalonamento de privilégios - Comando e controle Techniques: - T0841: Enganchar – T0885: Porta comumente usada |
Learnable | Yes |
| Serviço Windows não autorizado | Um aplicativo não autorizado foi detectado em um dispositivo de origem. O aplicativo não está autorizado como um aplicativo aprendido em sua rede. | Medium | Comportamento de comunicação anormal |
Tactics: - Acesso inicial - Movimento lateral Techniques: – T0866: Exploração de serviços remotos |
Learnable | Yes |
| Uma operação não autorizada foi detectada por uma regra definida pelo usuário | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros viola uma regra definida pelo usuário | Medium |
Tactics: - Discovery Techniques: – T0842: Detecção da rede |
Not learnable | No | |
| Extensão do Modbus Schneider Electric não permitida | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo Techniques: – T0855: Mensagem de comando não autorizada |
Learnable | Yes |
| Uso não permitido de tipos ASDU | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo Techniques: – T0855: Mensagem de comando não autorizada |
Learnable | Yes |
| Uso não permitido de código de função DNP3 | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo Techniques: – T0836: Modificar o parâmetro |
Learnable | Yes |
| Uso não permitido de IIN (indicação interna) * | Um dispositivo de origem DNP3 (outstation) relatou uma IIN (indicação interna) que não foi autorizada como tráfego aprendido na sua rede. | Medium | Illegal Commands |
Tactics: - Discovery Techniques: – T0842: Detecção da rede |
Learnable | No |
| Uso não permitido de código de função Modbus | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Prejudicar o controle do processo Techniques: – T0836: Modificar o parâmetro |
Learnable | Yes |
Alertas do mecanismo de anomalias
Note
This article contains references to the term slave, a term that Microsoft no longer uses. Quando o termo for removido do software, também o removeremos deste artigo.
Os alertas do mecanismo de anomalias descrevem anomalias detectadas na atividade de rede.
| Title | Description | Severity | Category | MITRE ATT&CK Táticas e técnicas |
Learnable |
|---|---|---|---|---|---|
| Padrão de exceção anormal no subordinado* | Um número excessivo de erros foi detectado em um dispositivo de origem. Esse alerta pode ser o resultado de um problema operacional. Limite: 20 exceções em 1 hora |
Low | Comportamento de comunicação anormal |
Tactics: - Prejudicar o controle do processo Techniques: – T0806: E/S de força bruta |
Not learnable |
| Comprimento anormal de cabeçalho HTTP * | O dispositivo de origem enviou uma mensagem anormal. Esse alerta pode indicar uma tentativa de atacar o dispositivo de destino. | High | Comportamento anormal de comunicação HTTP |
Tactics: - Acesso inicial - Movimento lateral - Comando e controle Techniques: - T0866: Exploração de serviços remotos – T0869: Protocolo de camada de aplicativo padrão |
Learnable |
| Número anormal de parâmetros no cabeçalho HTTP * | O dispositivo de origem enviou uma mensagem anormal. Esse alerta pode indicar uma tentativa de atacar o dispositivo de destino. | High | Comportamento anormal de comunicação HTTP |
Tactics: - Acesso inicial - Movimento lateral - Comando e controle Techniques: - T0866: Exploração de serviços remotos – T0869: Protocolo de camada de aplicativo padrão |
Learnable |
| Comportamento periódico anormal no canal de comunicação | Foi detectada uma alteração na frequência de comunicação entre os dispositivos de origem e de destino. | Low | Comportamento de comunicação anormal |
Tactics: - Discovery Techniques: – T0842: Detecção da rede |
Learnable |
| Término anormal de aplicativos * | Um número excessivo de comandos de parada foi detectado em um dispositivo de origem. Esse alerta pode ser o resultado de um problema operacional ou de uma tentativa de manipular o dispositivo. Limite: 20 comandos de parada em 3 horas |
Medium | Comportamento de comunicação anormal |
Tactics: - Persistence - Impact Techniques: - T0889: Modificar programa – T0831: Manipulação do controle |
Learnable |
| Largura de Banda de tráfego anormal * | Largura de banda anormal detectada em um canal. A largura de banda parece ser inferior/superior à que foi detectada anteriormente. Para obter detalhes, trabalhe com o widget de Largura de Banda Total. | Low | Bandwidth Anomalies |
Tactics: - Discovery Techniques: – T0842: Detecção da rede |
Learnable |
| Largura de Banda de tráfego anormal entre dispositivos * | Largura de banda anormal detectada em um canal. A largura de banda parece ser inferior/superior à que foi detectada anteriormente. Para obter detalhes, trabalhe com o widget de Largura de Banda Total. | Low | Bandwidth Anomalies |
Tactics: - Discovery Techniques: – T0842: Detecção da rede |
Not learnable |
| Verificação de endereço detectada | Um dispositivo de origem foi detectado verificando os dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede. Limite: 50 conexões com a mesma sub-rede de classe B em 2 minutos |
High | Scan |
Tactics: - Discovery Techniques: – T0842: Detecção da rede |
Learnable |
| Verificação de endereço ARP detectada * | Um dispositivo de origem foi detectado verificando dispositivos de rede usando o protocolo ARP. Esse endereço de dispositivo não está autorizado como endereço de verificação ARP válido. Limite: 40 verificações em 6 minutos |
High | Scan |
Tactics: - Discovery - Collection Techniques: - T0842: Detecção de rede – T0830: Ataque man-in-the-middle |
Learnable |
| Falsificação de ARP * | Um volume anormal de pacotes foi detectado na rede. Este alerta pode indicar um ataque, por exemplo, uma falsificação de ARP ou um ataque de inundação por ICMP. Limite: 60 pacotes em 1 minuto |
Low | Comportamento de comunicação anormal |
Tactics: - Collection Techniques: – T0830: Ataque man-in-the-middle |
Not learnable |
| Número de excesso de tentativas de logon | Um dispositivo de origem foi observado executando tentativas de entrada excessivas em um servidor de destino. Esse alerta pode indicar um ataque de força bruta. O servidor pode estar comprometido por um agente mal-intencionado. Limite: 20 tentativas de sincronização em um minuto |
High | Authentication |
Tactics: - LateralMovement - Prejudicar o controle do processo Techniques: - T0812: Credenciais padrão – T0806: E/S de força bruta |
Not learnable |
| Número excessivo de sessões | Um dispositivo de origem foi observado executando tentativas de entrada excessivas em um servidor de destino. Isso pode indicar um ataque de força bruta. O servidor pode estar comprometido por um agente mal-intencionado. Limite: 50 sessões em 1 minuto |
High | Comportamento de comunicação anormal |
Tactics: - Movimento lateral - Prejudicar o controle do processo Techniques: - T0812: Credenciais padrão – T0806: E/S de força bruta |
Not learnable |
| Número excessivo da taxa de reinicialização de uma Outstation * | Um número excessivo de comandos de reinicialização foi detectado em um dispositivo de origem. Esses alertas podem ser o resultado de um problema operacional ou de uma tentativa de manipular o dispositivo. Limite: 10 reinicializações em 1 hora |
Medium | Comandos Reiniciar/Parar |
Tactics: - Função de Inibição de Resposta - Prejudicar o controle do processo Techniques: - T0814: Negação de serviço – T0806: E/S de força bruta |
Not learnable |
| Número excessivo de tentativas de logon SMB | Um dispositivo de origem foi observado executando tentativas de entrada excessivas em um servidor de destino. Isso pode indicar um ataque de força bruta. O servidor pode estar comprometido por um agente mal-intencionado. Limite: Dez tentativas de logon em dez minutos |
High | Authentication |
Tactics: - Persistence - Execution - LateralMovement Techniques: - T0812: Credenciais padrão - T0853: Script – T0859: Contas válidas |
Not learnable |
| Inundação por ICMP * | Um volume anormal de pacotes foi detectado na rede. Este alerta pode indicar um ataque, por exemplo, uma falsificação de ARP ou um ataque de inundação por ICMP. Limite: 60 pacotes em 1 minuto |
Low | Comportamento de comunicação anormal |
Tactics: - Discovery - Collection Techniques: - T0842: Detecção de rede – T0830: Ataque man-in-the-middle |
Not learnable |
| Conteúdo de cabeçalho HTTP inválido * | O dispositivo de origem iniciou uma solicitação inválida. | High | Comportamento anormal de comunicação HTTP |
Tactics: - Acesso inicial - LateralMovement Techniques: – T0866: Exploração de serviços remotos |
Not learnable |
| Canal de comunicação inativo * | Um canal de comunicação entre dois dispositivos estava inativo durante um período em que a atividade geralmente é observada. Isso pode indicar que o programa que gera esse tráfego foi alterado ou o programa pode estar não disponível. É recomendável examinar a configuração do programa instalado e verificar se ele está configurado corretamente. Limite: 1 minuto |
Low | Unresponsive |
Tactics: - Função de Inibição de Resposta Techniques: – T0881: Parada de serviço |
Not learnable |
| Verificação de endereço de longa duração detectada* | Um dispositivo de origem foi detectado verificando os dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede. Limite: 50 conexões com a mesma sub-rede de classe B em 10 minutos |
High | Scan |
Tactics: - Discovery Techniques: – T0842: Detecção da rede |
Learnable |
| Tentativa de detecção de senha detectada | Um dispositivo de origem foi observado executando tentativas de entrada excessivas em um servidor de destino. Isso pode indicar um ataque de força bruta. O servidor pode estar comprometido por um agente mal-intencionado. Limite: 100 tentativas em 1 minuto |
High | Authentication |
Tactics: - Movimento lateral Techniques: - T0812: Credenciais padrão – T0806: E/S de força bruta |
Not learnable |
| Verificação de PLC detectada | Um dispositivo de origem foi detectado verificando os dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede. Limite: 10 verificações em 2 minutos |
High | Scan |
Tactics: - Discovery Techniques: – T0842: Detecção da rede |
Learnable |
| Verificação de porta detectada | Um dispositivo de origem foi detectado verificando os dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede. Limite: 25 verificações em 2 minutos |
High | Scan |
Tactics: - Discovery Techniques: – T0842: Detecção da rede |
Learnable |
| Comprimento de mensagem inesperado | O dispositivo de origem enviou uma mensagem anormal. Esse alerta pode indicar uma tentativa de atacar o dispositivo de destino. Limite: comprimento do texto – 32768 |
High | Comportamento de comunicação anormal |
Tactics: - InitialAccess - LateralMovement Techniques: – T0869: Exploração de serviços remotos |
Not learnable |
| Tráfego inesperado para a porta Standard* | Foi detectado o tráfego em um dispositivo usando uma porta reservada para outro protocolo. | Medium | Comportamento de comunicação anormal |
Tactics: - Comando e controle - Discovery Techniques: - T0869: Protocolo de Camada de Aplicativo Padrão – T0842: Detecção da rede |
Not learnable |
Alertas do mecanismo de violação de protocolo
Os alertas do mecanismo de protocolo descrevem os desvios detectados na estrutura do pacote ou os valores de campo em comparação com especificações de protocolo.
| Title | Description | Severity | Category | MITRE ATT&CK Táticas e técnicas |
Learnable |
|---|---|---|---|---|---|
| Número excessivo de pacotes malformados em uma única sessão * | Um número anormal de pacotes malformados enviados do dispositivo de origem para o dispositivo de destino. Este alerta pode indicar comunicações incorretas ou uma tentativa de manipular o dispositivo de destino. Limite: 2 pacotes malformados em 10 minutos |
Medium | Illegal Commands |
Tactics: - Prejudicar o controle do processo Techniques: – T0806: E/S de força bruta |
Not learnable |
| Firmware Update | Um dispositivo de origem enviou um comando para atualizar o firmware em um dispositivo de destino. Verifique se as atualizações recentes de programação, configuração e firmware feitas no dispositivo de destino são válidas. | Low | Firmware Change |
Tactics: - Função de Inibição de Resposta - Persistence Techniques: – T0857: Firmware do sistema |
Learnable |
| Código de função sem suporte na outstation | O dispositivo de destino recebeu uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Prejudicar o controle do processo Techniques: – T0855: Mensagem de comando não autorizada |
Not learnable |
| Mensagem do BACNet inválida | O dispositivo de origem iniciou uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Prejudicar o controle do processo Techniques: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Not learnable |
| Tentativa de conexão inválida na porta 0 | Um dispositivo de origem tentou se conectar ao dispositivo de destino no número da porta 0 (zero). Para o TCP, a porta 0 é reservada e não pode ser usada. Para o UDP, a porta é opcional e um valor igual a 0 significa nenhuma porta. Normalmente, não há nenhum serviço em sistemas que escutam na porta 0. Esse evento pode indicar uma tentativa de atacar o dispositivo de destino ou indicar que um aplicativo foi programado incorretamente. | Low | Illegal Commands |
Tactics: - Prejudicar o controle do processo Techniques: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Not learnable |
| Operação do DNP3 inválida | O dispositivo de origem iniciou uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Acesso inicial - Movimento lateral Techniques: – T0866: Exploração de serviços remotos |
Not learnable |
| Operação do Modbus inválida (exceção gerada pelo mestre) | O dispositivo de origem iniciou uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Acesso inicial - Movimento lateral Techniques: – T0866: Exploração de serviços remotos |
Not learnable |
| Operação do MODBUS inválida (código de função zero) * | O dispositivo de origem iniciou uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Acesso inicial - Movimento lateral Techniques: – T0866: Exploração de serviços remotos |
Not learnable |
| Versão de protocolo inválida * | O dispositivo de origem iniciou uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Acesso inicial - LateralMovement - Prejudicar o controle do processo Techniques: - T0820: Serviços remotos – T0836: Modificar o parâmetro |
Not learnable |
| Parâmetro incorreto enviado para a outstation | O dispositivo de destino recebeu uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Prejudicar o controle do processo Techniques: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Not learnable |
| Inicialização de um código de função obsoleto (inicializar dados) | O dispositivo de origem iniciou uma solicitação inválida. | Low | Illegal Commands |
Tactics: - Prejudicar o controle do processo Techniques: – T0855: Mensagem de comando não autorizada |
Not learnable |
| Inicialização de um código de função obsoleto (salvar configuração) | O dispositivo de origem iniciou uma solicitação inválida. | Low | Illegal Commands |
Tactics: - Prejudicar o controle do processo Techniques: – T0855: Mensagem de comando não autorizada |
Not learnable |
| O mestre solicitou uma confirmação de camada de aplicativo | O dispositivo de origem iniciou uma solicitação inválida. | Low | Illegal Commands |
Tactics: - Comando e controle Techniques: – T0869: Protocolo de camada de aplicativo padrão |
Not learnable |
| Modbus Exception | Um dispositivo de origem (secundário) retornou uma exceção para um dispositivo de destino (primário). | Medium | Illegal Commands |
Tactics: - Função de Inibição de Resposta Techniques: – T0814: Negação de serviço |
Not learnable |
| O dispositivo subordinado recebeu um tipo de ASDU inválido | O dispositivo de destino recebeu uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Prejudicar o controle do processo Techniques: – T0836: Modificar o parâmetro |
Not learnable |
| O dispositivo subordinado recebeu uma causa de comando de transmissão inválida | O dispositivo de destino recebeu uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Prejudicar o controle do processo Techniques: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Not learnable |
| O dispositivo subordinado recebeu um endereço comum inválido | O dispositivo de destino recebeu uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Prejudicar o controle do processo Techniques: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Not learnable |
| O dispositivo subordinado recebeu um parâmetro de endereço de dados inválido * | O dispositivo de destino recebeu uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Prejudicar o controle do processo Techniques: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Not learnable |
| O dispositivo subordinado recebeu um parâmetro de valor de dados inválido * | O dispositivo de destino recebeu uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Prejudicar o controle do processo Techniques: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Not learnable |
| O dispositivo subordinado recebeu um código de função inválido * | O dispositivo de destino recebeu uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Prejudicar o controle do processo Techniques: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Not learnable |
| O dispositivo subordinado recebeu um endereço de objeto de informações inválido | O dispositivo de destino recebeu uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Prejudicar o controle do processo Techniques: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Not learnable |
| Objeto desconhecido enviado para o outstation | O dispositivo de destino recebeu uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Prejudicar o controle do processo Techniques: – T0855: Mensagem de comando não autorizada |
Not learnable |
| Uso de um código de função reservado | O dispositivo de origem iniciou uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Prejudicar o controle do processo Techniques: – T0836: Modificar o parâmetro |
Not learnable |
| Uso de formatação imprópria pela Outstation * | O dispositivo de origem iniciou uma solicitação inválida. | Low | Illegal Commands |
Tactics: - Prejudicar o controle do processo Techniques: – T0855: Mensagem de comando não autorizada |
Not learnable |
| Uso de sinalizadores de status reservados (IIN) | Um dispositivo de origem DNP3 (outstation) usou o indicador interno reservado 2.6. É recomendável verificar a configuração do dispositivo. | Low | Illegal Commands |
Tactics: - Prejudicar o controle do processo Techniques: – T0836: Modificar o parâmetro |
Not learnable |
Alertas do mecanismo de malware
Os alertas do mecanismo de malware descrevem a atividade de rede mal-intencionada detectada.
| Title | Description | Severity | Category | MITRE ATT&CK Táticas e técnicas |
Learnable |
|---|---|---|---|---|---|
| Tentativa de conexão com IP mal-intencionado conhecido | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Disparado pelos sensores de rede OT. |
High | Suspeita de atividade mal-intencionada |
Tactics: - Acesso inicial - Comando e controle Techniques: - T0883: Dispositivo acessível pela Internet – T0884: Proxy da conexão |
Not learnable |
| Mensagem SMB inválida (implante de backdoor DoublePulsar) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Acesso inicial - LateralMovement Techniques: – T0866: Exploração de serviços remotos |
Not learnable |
| Solicitação de nome de domínio mal-intencionado | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Disparado pelos sensores de rede OT. |
High | Suspeita de atividade mal-intencionada |
Tactics: - Acesso inicial - Comando e controle Techniques: - T0883: Dispositivo acessível pela Internet – T0884: Proxy da conexão |
Learnable |
| Caminho de URL malicioso | Uma solicitação foi feita para um caminho de URL mal-intencionado conhecido. As solicitações feitas para esse caminho de URL podem indicar que a fonte que faz a solicitação está comprometida. | High | Suspeita de atividade mal-intencionada |
Tactics: - Acesso inicial - Comando e controle Techniques: - T0883: Dispositivo acessível pela Internet – T0884: Proxy da conexão |
Not learnable |
| Arquivo de teste de malware detectado – êxito do EICAR AV | Um arquivo de teste do EICAR AV foi detectado no tráfego entre dois dispositivos (em qualquer transporte – TCP ou UDP). O arquivo não é um malware. Ele é usado para confirmar se o software antivírus foi instalado corretamente. Demonstra o que acontece quando um vírus é encontrado e verifica os procedimentos internos e as reações quando um vírus é encontrado. O software antivírus deve detectar o EICAR como se ele fosse um vírus real. | High | Suspeita de atividade mal-intencionada |
Tactics: - Discovery Techniques: – T0842: Detecção da rede |
Not learnable |
| Suspeita de malware Conficker | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Medium | Suspeita de malware |
Tactics: - Acesso inicial - Impact Techniques: - T0826: Perda de disponibilidade - T0828: Perda de Produtividade e Receita – T0847: Replicação por meio de mídia removível |
Not learnable |
| Suspeita de ataque de negação de serviço | Um dispositivo de origem tentou iniciar um número excessivo de novas conexões com um dispositivo de destino. Isso pode indicar um ataque de negação de serviço (DOS) contra o dispositivo de destino e pode interromper a funcionalidade do dispositivo, afetar o desempenho e a disponibilidade do serviço ou causar erros irrecuperáveis. Limite: Três mil tentativas em um minuto |
High | Suspeita de atividade mal-intencionada |
Tactics: - Função de Inibição de Resposta Techniques: – T0814: Negação de serviço |
Learnable |
| Suspeita de atividade mal-intencionada | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que acionou 'Indicadores de Comprometimento' (IOCs) conhecidos. Os metadados de alerta devem ser revisados pela equipe de segurança. | High | Suspeita de atividade mal-intencionada |
Tactics: - Movimento lateral Techniques: – T0867: Transferência de ferramenta lateral |
Not learnable |
| Suspeita de atividade mal-intencionada (BlackEnergy) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Comando e controle Techniques: – T0869: Protocolo de camada de aplicativo padrão |
Not learnable |
| Suspeita de atividade mal-intencionada (DarkComet) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Impact Techniques: – T0882: Roubo de informações operacionais |
Not learnable |
| Suspeita de atividade mal-intencionada (Duqu) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Impact Techniques: – T0882: Roubo de informações operacionais |
Not learnable |
| Suspeita de atividade mal-intencionada (Flame) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Collection - Impact Techniques: - T0882: Roubo de informações operacionais – T0811: Dados dos repositórios de informações |
Not learnable |
| Suspeita de atividade mal-intencionada (Havex) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Collection - Discovery - Função de Inibição de Resposta Techniques: - T0861: Identificação de pontos e etiquetas - T0846: Descoberta remota do sistema – T0814: Negação de serviço |
Not learnable |
| Suspeita de atividade mal-intencionada (Karagany) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Impact Techniques: – T0882: Roubo de informações operacionais |
Not learnable |
| Suspeita de atividade mal-intencionada (LightsOut) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Evasion Techniques: – T0849: Mascaramento |
Not learnable |
| Suspeita de atividade mal-intencionada (consultas de nome) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Limite: 25 consultas de nome em 1 minuto |
High | Suspeita de atividade mal-intencionada |
Tactics: - Comando e controle Techniques: – T0884: Proxy da conexão |
Not learnable |
| Suspeita de atividade mal-intencionada (Poison Ivy) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Acesso inicial - Movimento lateral Techniques: – T0866: Exploração de serviços remotos |
Not learnable |
| Suspeita de atividade mal-intencionada (Regin) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Acesso inicial - Movimento lateral - Impact Techniques: - T0866: Exploração de serviços remotos – T0882: Roubo de informações operacionais |
Not learnable |
| Suspeita de atividade mal-intencionada (Stuxnet) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Acesso inicial - Movimento lateral - Impact Techniques: - T0818: Comprometimento da estação de trabalho de engenharia - T0866: Exploração de serviços remotos – T0831: Manipulação do controle |
Not learnable |
| Suspeita de atividade mal-intencionada (WannaCry) * | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Medium | Suspeita de malware |
Tactics: - Acesso inicial - Movimento lateral Techniques: - T0866: Exploração de serviços remotos – T0867: Transferência de ferramenta lateral |
Not learnable |
| Suspeita de malware NotPetya – Parâmetros de SMB inválidos detectados | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Acesso inicial - Movimento lateral Techniques: – T0866: Exploração de serviços remotos |
Not learnable |
| Suspeita de malware NotPetya – Transação SMB inválida detectada | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Movimento lateral Techniques: – T0867: Transferência de ferramenta lateral |
Not learnable |
| Suspeita de execução remota de código com o PsExec | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de atividade mal-intencionada |
Tactics: - Movimento lateral - Acesso inicial Techniques: – T0866: Exploração de serviços remotos |
Not learnable |
| Suspeita de gerenciamento de serviços remotos do Windows * | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de atividade mal-intencionada |
Tactics: - Acesso inicial Techniques: – T0822: Serviços remoto externos da rede |
Not learnable |
| Arquivo executável suspeito detectado no ponto de extremidade | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de atividade mal-intencionada |
Tactics: - Evasion - Função de Inibição de Resposta Techniques: – T0851: Rootkit |
Learnable |
| Tráfego suspeito detectado * | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que acionou 'Indicadores de Comprometimento' (IOCs) conhecidos. Os metadados de alerta devem ser revisados pela equipe de segurança | High | Suspeita de atividade mal-intencionada |
Tactics: - Discovery Techniques: – T0842: Detecção da rede |
Not learnable |
| Atividade de backup com assinaturas de antivírus | O tráfego detectado entre o dispositivo de origem e o servidor de backup de destino disparou esse alerta. O tráfego inclui o backup do software antivírus que pode conter assinaturas de malware. Essa provavelmente é uma atividade legítima de backup. | Low | Backup |
Tactics: - Impact Techniques: – T0882: Roubo de informações operacionais |
Not learnable |
Alertas do mecanismo operacional
Os alertas do mecanismo operacional descrevem incidentes operacionais detectados ou entidades com funcionamento inadequado.
| Title | Description | Severity | Category | MITRE ATT&CK Táticas e técnicas |
Learnable |
|---|---|---|---|---|---|
| Um comando S7 Stop PLC foi enviado | O dispositivo de origem enviou um comando de parada para um controlador de destino. O controlador para de operar até que um comando de início seja enviado. | Low | Comandos Reiniciar/Parar |
Tactics: - Movimento lateral - Evasão de Defesa - Execution - Função de Inibição de Resposta Techniques: - T0843: Download do programa - T0858: Alterar o modo de operação – T0814: Negação de serviço |
Not learnable |
| Falha na operação do BACNet | Um servidor retornou um código de erro. Este alerta indica um erro de servidor ou uma solicitação inválida por um cliente. | Medium | Command Failures |
Tactics: - Prejudicar o controle do processo Techniques: – T0855: Mensagem de comando não autorizada |
Not learnable |
| Estado do dispositivo MMS inválido | Um VMD (Dispositivo Virtual de Manufatura) MMS enviou uma mensagem de status. A mensagem indica que o servidor pode não estar configurado corretamente, parcialmente operacional ou não estar operacional. | Medium | Operational Issues |
Tactics: - Função de Inibição de Resposta Techniques: – T0814: Negação de serviço |
Not learnable |
| Alteração da configuração do dispositivo * | Uma alteração de configuração foi detectada em um dispositivo de origem. | Low | Configuration Changes |
Tactics: - Prejudicar o controle do processo Techniques: – T0836: Modificar o parâmetro |
Not learnable |
| Estouro de buffer de eventos contínuo na Outstation * | Um evento de estouro de buffer foi detectado em um dispositivo de origem. O evento pode causar corrupção de dados, falhas de programa ou execução de código mal-intencionado. Limite: 3 ocorrências em 10 minutos |
Medium | Buffer Overflow |
Tactics: - Função de Inibição de Resposta - Prejudicar o controle do processo - Persistence Techniques: - T0814: Negação de serviço - T0806: E/S de força bruta – T0839: Firmware de módulo |
Not learnable |
| Controller Reset | Um dispositivo de origem enviou um comando de redefinição para um controlador de destino. O controlador parou de operar temporariamente e foi iniciado de modo automático. | Low | Comandos Reiniciar/Parar |
Tactics: - Evasão de Defesa - Execution - Função de Inibição de Resposta Techniques: - T0858: Alterar o modo de operação – T0814: Negação de serviço |
Not learnable |
| Controller Stop | O dispositivo de origem enviou um comando de parada para um controlador de destino. O controlador para de operar até que um comando de início seja enviado. | Low | Comandos Reiniciar/Parar |
Tactics: - Movimento lateral - Evasão de Defesa - Execution - Função de Inibição de Resposta Techniques: - T0843: Download do programa - T0858: Alterar o modo de operação – T0814: Negação de serviço |
Not learnable |
| O dispositivo não pôde receber um endereço IP dinâmico | O dispositivo de origem está configurado para receber um endereço IP dinâmico de um servidor DHCP, mas não recebeu um endereço. Isso indica um erro de configuração no dispositivo ou um erro operacional no servidor DHCP. É recomendável notificar o administrador de rede do incidente | Medium | Command Failures |
Tactics: - Discovery Techniques: – T0842: Detecção da rede |
Not learnable |
| Suspeita de desconexão do dispositivo (sem resposta) | Um dispositivo de origem não respondeu a um comando enviado para ele. Ele pode ter sido desconectado quando o comando foi enviado. Limite: 8 tentativas em 5 minutos |
Medium | Unresponsive |
Tactics: - Função de Inibição de Resposta Techniques: – T0881: Parada de serviço |
Not learnable |
| Falha na solicitação de serviço CIP de Ethernet/IP | Um servidor retornou um código de erro. Isso indica um erro de servidor ou uma solicitação inválida por um cliente. | Medium | Command Failures |
Tactics: - Prejudicar o controle do processo Techniques: – T0855: Mensagem de comando não autorizada |
Not learnable |
| Falha no comando de protocolo de encapsulamento Ethernet/IP | Um servidor retornou um código de erro. Isso indica um erro de servidor ou uma solicitação inválida por um cliente. | Medium | Command Failures |
Tactics: - Collection Techniques: – T0801: Monitorar o estado do processo |
Not learnable |
| Estouro de buffer de eventos na outstation | Um evento de estouro de buffer foi detectado em um dispositivo de origem. O evento pode causar corrupção de dados, falhas de programa ou execução de código mal-intencionado. | Medium | Buffer Overflow |
Tactics: - Função de Inibição de Resposta - Prejudicar o controle do processo - Persistence Techniques: - T0814: Negação de serviço – T0839: Firmware de módulo |
Not learnable |
| A operação de backup esperada não ocorreu | A atividade esperada de transferência de arquivo/backup entre dois dispositivos não ocorreu. Este alerta pode indicar erros no processo de backup/transferência de arquivos. Limite: 100 segundos |
Medium | Backup |
Tactics: - Função de Inibição de Resposta Techniques: – T0809: Destruição de dados |
Learnable |
| Falha do comando GE SRTP | Um servidor retornou um código de erro. Este alerta indica um erro de servidor ou uma solicitação inválida por um cliente. | Medium | Command Failures |
Tactics: - Prejudicar o controle do processo Techniques: – T0855: Mensagem de comando não autorizada |
Not learnable |
| O comando GE SRTP Stop PLC foi enviado | O dispositivo de origem enviou um comando de parada para um controlador de destino. O controlador para de operar até que um comando de início seja enviado. | Low | Comandos Reiniciar/Parar |
Tactics: - Movimento lateral - Evasão de Defesa - Execution - Função de Inibição de Resposta Techniques: - T0843: Download do programa - T0858: Alterar o modo de operação – T0814: Negação de serviço |
Not learnable |
| O bloco de controle GOOSE exige configuração adicional | Um dispositivo de origem enviou uma mensagem GOOSE indicando que o dispositivo precisa de comissões. Isso significa que o bloco de controle GOOSE exige configuração adicional e que as mensagens GOOSE estão parcial ou completamente não operacionais. | Medium | Configuration Changes |
Tactics: - Prejudicar o controle do processo - Função de Inibição de Resposta Techniques: - T0803: Mensagem de comando de bloqueio – T0821: Modificar a tarefa do controlador |
Not learnable |
| A configuração do conjunto de dados GOOSE foi alterada* | Um conjunto de dados da mensagem (identificada pela ID de protocolo) foi alterado em um dispositivo de origem. Isso significa que o dispositivo relata um conjunto de dados diferente para essa mensagem. | Low | Configuration Changes |
Tactics: - Prejudicar o controle do processo Techniques: – T0836: Modificar o parâmetro |
Not learnable |
| Status inesperado do controlador Honeywell | Um controlador Honeywell enviou uma mensagem de diagnóstico inesperada indicando uma alteração de status. | Low | Operational Issues |
Tactics: - Evasion - Execution Techniques: – T0858: Alterar o modo operacional |
Not learnable |
| Erro do cliente HTTP * | O dispositivo de origem iniciou uma solicitação inválida. | Low | Comportamento anormal de comunicação HTTP |
Tactics: - Comando e controle Techniques: – T0869: Protocolo de camada de aplicativo padrão |
Not learnable |
| Endereço IP inválido | O sistema detectou o tráfego entre um dispositivo de origem e um endereço IP inválido. Isso pode indicar configuração incorreta ou uma tentativa de gerar tráfego ilegal. | Low | Comportamento de comunicação anormal |
Tactics: - Discovery - Prejudicar o controle do processo Techniques: - T0842: Detecção de rede – T0836: Modificar o parâmetro |
Not learnable |
| Erro de autenticação de mestre/subordinado | Falha no processo de autenticação entre um dispositivo de origem DNP3 (primário) e um dispositivo de destino (outstation). | Low | Authentication |
Tactics: - Movimento lateral - Persistence Techniques: – T0859: Contas válidas |
Not learnable |
| Falha na solicitação de serviço MMS | Um servidor retornou um código de erro. Isso indica um erro de servidor ou uma solicitação inválida por um cliente. | Medium | Command Failures |
Tactics: - Prejudicar o controle do processo Techniques: – T0855: Mensagem de comando não autorizada |
Not learnable |
| Nenhum tráfego detectado na interface do sensor | Um sensor parou de detectar o tráfego de rede em um adaptador de rede. | High | Sensor Traffic |
Tactics: - Função de Inibição de Resposta Techniques: – T0881: Parada de serviço |
Not learnable |
| O servidor OPC UA gerou um evento que exige a atenção do usuário | Um servidor OPC UA enviou uma notificação de eventos para um cliente. Esse tipo de evento exige a atenção do usuário | Medium | Operational Issues |
Tactics: - Função de Inibição de Resposta Techniques: – T0838: Modificar as configurações do alarme |
Not learnable |
| Falha na solicitação de serviço OPC UA | Um servidor retornou um código de erro. Isso indica um erro de servidor ou uma solicitação inválida por um cliente. | Medium | Command Failures |
Tactics: - Prejudicar o controle do processo Techniques: – T0855: Mensagem de comando não autorizada |
Not learnable |
| Outstation Restarted | Foi detectada uma reinicialização a frio em um dispositivo de origem. Isso significa que o dispositivo foi fisicamente desligado e reconectado. | Low | Comandos Reiniciar/Parar |
Tactics: - Função de Inibição de Resposta Techniques: – T0816: Reinicialização/desligamento de dispositivo |
Not learnable |
| Reinicializações frequentes da outstation | Um número excessivo de reinicializações a frio foi detectado em um dispositivo de origem. Isso significa que o dispositivo foi fisicamente desligado e reconectado um número excessivo de vezes. Limite: 2 reinicializações em 10 minutos |
Low | Comandos Reiniciar/Parar |
Tactics: - Função de Inibição de Resposta Techniques: - T0814: Negação de serviço – T0816: Reinicialização/desligamento de dispositivo |
Not learnable |
| Configuração alterada da outstation | Uma alteração de configuração foi detectada em um dispositivo de origem. | Medium | Configuration Changes |
Tactics: - Função de Inibição de Resposta - Persistence Techniques: – T0857: Firmware do sistema |
Not learnable |
| Configuração corrompida da outstation detectada | Este dispositivo de origem DNP3 (outstation) relatou uma configuração corrompida. | Medium | Configuration Changes |
Tactics: - Função de Inibição de Resposta Techniques: – T0809: Destruição de dados |
Not learnable |
| Falha do comando de DCP do Profinet | Um servidor retornou um código de erro. Isso indica um erro de servidor ou uma solicitação inválida por um cliente. | Medium | Command Failures |
Tactics: - Prejudicar o controle do processo Techniques: – T0855: Mensagem de comando não autorizada |
Not learnable |
| Redefinição de fábrica de dispositivo do Profinet | Um dispositivo de origem enviou um comando de redefinição de fábrica para um dispositivo de destino Profinet. O comando de redefinição limpa as configurações de dispositivo Profinet e interrompe a operação dele. | Low | Comandos Reiniciar/Parar |
Tactics: - Evasão de Defesa - Execution - Função de Inibição de Resposta Techniques: - T0858: Alterar o modo de operação – T0814: Negação de serviço |
Not learnable |
| Falha na operação do RPC * | Um servidor retornou um código de erro. Este alerta indica um erro de servidor ou uma solicitação inválida por um cliente. | Medium | Command Failures |
Tactics: - Prejudicar o controle do processo Techniques: – T0855: Mensagem de comando não autorizada |
Not learnable |
| Alteração nos valores de amostra da configuração do conjunto de dados da mensagem * | Um conjunto de dados da mensagem (identificada pela ID de protocolo) foi alterado em um dispositivo de origem. Isso significa que o dispositivo relata um conjunto de dados diferente para essa mensagem. | Low | Configuration Changes |
Tactics: - Prejudicar o controle do processo Techniques: – T0836: Modificar o parâmetro |
Not learnable |
| Falha irrecuperável do dispositivo subordinado * | Um erro de condição irrecuperável foi detectado em um dispositivo de origem. Esse tipo de erro geralmente indica uma falha de hardware ou uma falha ao executar um comando específico. | Medium | Command Failures |
Tactics: - Função de Inibição de Resposta Techniques: – T0814: Negação de serviço |
Not learnable |
| Suspeita de problemas de hardware na outstation | Um erro de condição irrecuperável foi detectado em um dispositivo de origem. Esse tipo de erro geralmente indica uma falha de hardware ou uma falha ao executar um comando específico. | Medium | Operational Issues |
Tactics: - Função de Inibição de Resposta Techniques: - T0814: Negação de serviço – T0881: Parada de serviço |
Not learnable |
| Suspeita de dispositivo Modbus sem resposta | Um dispositivo de origem não respondeu a um comando enviado para ele. Ele pode ter sido desconectado quando o comando foi enviado. Limite: mínimo de 1 resposta válida para um mínimo de 3 solicitações dentro de 5 minutos |
Low | Unresponsive |
Tactics: - Função de Inibição de Resposta Techniques: – T0881: Parada de serviço |
Not learnable |
| Tráfego detectado na interface do sensor | Um sensor retomou a detecção do tráfego de rede em um adaptador de rede. | Low | Sensor Traffic |
Tactics: - Discovery Techniques: – T0842: Detecção da rede |
Not learnable |
| Modo de operação PLC alterado | O modo de operação neste PLC foi alterado. O novo modo pode indicar que o PLC não é seguro. Deixar o PLC em um modo operacional inseguro pode permitir que adversários executem atividades maliciosas nele, como o download de um programa. Se o PLC for comprometido, os dispositivos e processos que interagem com ele podem ser afetados. Isso pode afetar a segurança geral do sistema. | Low | Configuration changes |
Tactics: - Execution - Evasion Techniques: – T0858: Alterar o modo operacional |
Not learnable |
Next steps
Para saber mais, veja:
- Exibir e gerenciar alertas no portal Defender para IoT
- Exibir alertas no sensor
- Acelerar fluxos de trabalho de alertas
- Encaminhar informações de alertas
- Trabalhar com alertas no console de gerenciamento local
- Referência da API de gerenciamento de alerta para consoles de gerenciamento locais
- Referência da API de gerenciamento de alertas para sensores de monitoramento de OT