Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
This article provides a reference of the alerts that are generated by Microsoft Defender for IoT network sensors, including a list of all alert types and descriptions. A referência também mostra quais alertas podem ser triados como aprendíveis ou não, para obter mais informações sobre o status aprendível, consulte Status de alerta e opções de triagem. Você pode usar essa referência para mapear alertas em playbooks, definir regras de encaminhamento em um sensor de rede de Tecnologia Operacional (OT) ou outra atividade personalizada.
Alertas OT desativados por padrão
Vários alertas são desativados por padrão, conforme indicado pelos asteriscos (*) nas tabelas abaixo. OT sensor Admin users can enable or disable alerts from the Support page on a specific OT network sensor.
Se você desativar alertas referenciados em outros locais, como regras de encaminhamento de alertas, atualize essas referências conforme necessário.
Alert severities
Os alertas do Defender for IoT usam os seguintes níveis de gravidade:
| portal do Azure | OT sensor | Description |
|---|---|---|
| High | Critical | Indica um ataque mal-intencionado que deve ser tratado imediatamente. |
| Medium | Major | Indica uma ameaça à segurança que é importante abordar. |
| Low | Minor, Warning | Indica algum desvio do comportamento da linha de base que pode conter uma ameaça à segurança ou não contém ameaças à segurança. |
As gravidades de alerta nesta página listam a gravidade, conforme mostrado no portal do Azure.
Tipos de alerta suportados
| Alert type | Description |
|---|---|
| Alertas de violação de política | Acionado quando o mecanismo de violação de política deteta um desvio do tráfego aprendido anteriormente. For example: - Um novo dispositivo é detetado. - Uma nova configuração é detetada em um dispositivo. - Um dispositivo não definido como um dispositivo de programação realiza uma mudança de programação. - Uma versão de firmware alterada. |
| Alertas de violação do protocolo | Acionado quando o mecanismo de violação de protocolo deteta estruturas de pacotes ou valores de campo que não estão em conformidade com a especificação do protocolo. |
| Operational alerts | Acionado quando o mecanismo operacional deteta incidentes operacionais de rede ou um mau funcionamento do dispositivo. Por exemplo, um dispositivo de rede foi interrompido através de um comando Stop PLC ou uma interface num sensor parou de monitorizar o tráfego. |
| Malware alerts | Acionado quando o mecanismo de malware deteta atividade maliciosa da rede. Por exemplo, o mecanismo deteta um ataque conhecido, como o Conficker. |
| Anomaly alerts | Acionado quando o mecanismo de anomalia deteta um desvio. Por exemplo, um dispositivo está executando verificações de rede, mas não está definido como um dispositivo de varredura. |
A política de deteção de alertas do Defender for IoT orienta os diferentes mecanismos de alerta para disparar alertas com base no impacto nos negócios e no contexto da rede e reduzir alertas relacionados a TI de baixo valor. Para obter mais informações, consulte Alertas focados em ambientes OT/IT.
Categorias de alerta suportadas
Cada alerta tem uma das seguintes categorias:
- Comportamento anormal de comunicação
- Comportamento anormal de comunicação HTTP
- Authentication
- Backup
- Bandwidth Anomalies
- Buffer overflow
- Command Failures
- Configuration changes
- Custom Alerts
- Discovery
- Firmware change
- Illegal commands
- Internet Access
- Operation Failures
- Operational issues
- Programming
- Remote access
- Restart/Stop Commands
- Scan
- Sensor traffic
- Suspeita de atividade maliciosa
- Suspeita de malware
- Comportamento de comunicação não autorizado
- Unresponsive
Alertas do mecanismo de política
Os alertas do mecanismo de política descrevem os desvios detetados em relação ao comportamento da linha de base aprendido.
The policy engine alerts table contains the Aggregated item to indicate that multiple alerts of this type can be grouped together and listed only once in the Alerts page to reduce alert fatigue. For more information, see aggregated alerts.
| Title | Description | Severity | Category | MITRE ATT&CK Táticas e técnicas |
Learnable | Aggregated violations |
|---|---|---|---|---|---|---|
| Software Beckhoff Alterado | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. | Medium | Firmware Change |
Tactics: - Inibir a função de resposta - Persistence Techniques: - T0857: Firmware do sistema |
Learnable | No |
| Falha no login do banco de dados | Foi detetada uma tentativa de início de sessão falhada de um dispositivo de origem para um servidor de destino. Isso pode ser o resultado de erro humano, mas também pode indicar uma tentativa maliciosa de comprometer o servidor ou os dados nele. Limite: 2 falhas de início de sessão em 5 minutos |
Medium | Authentication |
Tactics: - Movimento Lateral - Collection Techniques: - T0812: Credenciais padrão - T0811: Dados de Repositórios de Informação |
Not learnable | No |
| Versão do firmware Emerson ROC alterada | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. | Medium | Firmware Change |
Tactics: - Inibir a função de resposta - Persistence Techniques: - T0857: Firmware do sistema |
Learnable | Yes |
| Endereço externo dentro da rede comunicada com a Internet | Um dispositivo de Internet comunicava com outro dispositivo de Internet dentro da rede. | High | Internet Access |
Tactics: - Acesso Inicial Techniques: - T0883: Dispositivo acessível pela Internet |
Learnable | No |
| Dispositivo de campo descoberto inesperadamente | Um novo dispositivo de origem foi detetado na rede, mas não está autorizado. | Medium | Discovery |
Tactics: - Discovery Techniques: - T0842: Deteção de rede |
Not learnable | No |
| Alteração de firmware detetada | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. | Medium | Firmware Change |
Tactics: - Inibir a função de resposta - Persistence Techniques: - T0857: Firmware do sistema |
Not learnable | No |
| Versão do firmware alterada | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. | Medium | Firmware Change |
Tactics: - Inibir a função de resposta - Persistence Techniques: - T0857: Firmware do sistema |
Learnable | Yes |
| Foxboro I/A Operação não autorizada | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Learnable | Yes |
| Falha no login do FTP | Foi detetada uma tentativa de início de sessão falhada de um dispositivo de origem para um servidor de destino. Esse alerta pode ser o resultado de erro humano, mas também pode indicar uma tentativa maliciosa de comprometer o servidor ou os dados nele. | Medium | Authentication |
Tactics: - Movimento Lateral - Comando e Controlo Techniques: - T0812: Credenciais padrão - T0869: Protocolo de camada de aplicação padrão |
Not learnable | No |
| Código de função gerado exceção não autorizada * | Um dispositivo de origem (secundário) retornou uma exceção para um dispositivo de destino (primário). | Medium | Command Failures |
Tactics: - Inibir a função de resposta Techniques: - T0835: Manipular imagem de E/S |
Learnable | Yes |
| Configurações de tipo de mensagem GOOSE | As configurações de mensagem (identificadas pelo ID do protocolo) foram alteradas em um dispositivo de origem. | Low | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0836: Modificar parâmetro |
Learnable | Yes |
| Versão do firmware da Honeywell alterada | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. | Medium | Firmware Change |
Tactics: - Inibir a função de resposta - Persistence Techniques: - T0857: Firmware do sistema |
Learnable | No |
| Comunicação HTTP ilegal * | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento anormal de comunicação HTTP |
Tactics: - Discovery Techniques: - T0846: Descoberta remota do sistema |
Learnable | No |
| Acesso à Internet detetado | Um dispositivo interno fez uma tentativa inesperada de executar uma conexão de saída com a Internet. | Medium | Internet Access |
Tactics: - Acesso Inicial Techniques: - T0883: Dispositivo acessível pela Internet |
Learnable | No |
| Versão de firmware Mitsubishi alterada | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. | Medium | Firmware Change |
Tactics: - Inibir a função de resposta - Persistence Techniques: - T0857: Firmware do sistema |
Learnable | No |
| Violação do intervalo de endereços Modbus | Um dispositivo primário solicitou acesso a um novo endereço de memória secundária. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Discovery Techniques: - T0842: Deteção de rede |
Learnable | Yes |
| Versão do firmware Modbus alterada | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. | Medium | Firmware Change |
Tactics: - Inibir a função de resposta - Persistence Techniques: - T0857: Firmware do sistema |
Learnable | No |
| Nova atividade detetada - classe CIP | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Discovery Techniques: - T0888: Descoberta remota de informações do sistema |
Learnable | Yes |
| Nova atividade detetada - Serviço de classe CIP | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Inibir a função de resposta Techniques: - T0836: Modificar parâmetro |
Learnable | Yes |
| Nova atividade detetada - Comando CIP PCCC | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Inibir a função de resposta Techniques: - T0836: Modificar parâmetro |
Learnable | Yes |
| Nova atividade detetada - símbolo CIP | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados - Inibir a função de resposta Techniques: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Learnable | Yes |
| Nova atividade detetada - Conexão de E/S EtherNet/IP | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Discovery - Inibir a função de resposta Techniques: - T0846: Descoberta remota do sistema - T0835: Manipular imagem de E/S |
Learnable | Yes |
| Nova atividade detetada - Comando do protocolo EtherNet/IP | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Inibir a função de resposta Techniques: - T0836: Modificar parâmetro |
Learnable | Yes |
| Nova atividade detetada - Código de mensagem GSM | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - CommandAndControl Techniques: - T0869: Protocolo de camada de aplicação padrão |
Learnable | Yes |
| Nova atividade detetada - Códigos de comando LonTalk | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Collection - Controlo de Processos Prejudicados Techniques: - T0861 - Ponto & Identificação de Tag - T0855: Mensagem de comando não autorizada |
Learnable | Yes |
| Nova atividade detetada - variável de rede LonTalk | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada |
Learnable | Yes |
| Nova atividade detetada - solicitação de dados de ovação | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Collection - Discovery Techniques: - T0801: Estado do processo do monitor - T0888: Descoberta remota de informações do sistema |
Learnable | Yes |
| Nova atividade detetada - comando de leitura/gravação (grupo de índice AMS) | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Configuration Changes |
Tactics: - Controlo de Processos Prejudicados - Inibir a função de resposta Techniques: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Learnable | Yes |
| Nova atividade detetada - comando de leitura/gravação (deslocamento do índice AMS) | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Configuration Changes |
Tactics: - Controlo de Processos Prejudicados - Inibir a função de resposta Techniques: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Learnable | Yes |
| Nova atividade detetada - tipo de mensagem DeltaV não autorizada | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados - Execution Techniques: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Learnable | Yes |
| Nova atividade detetada - operação não autorizada do DeltaV ROC | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados - Execution Techniques: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Learnable | Yes |
| Nova atividade detetada - tipo de mensagem RPC não autorizada | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada |
Learnable | Yes |
| Nova atividade detetada - Usando o comando do protocolo AMS | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados - Inibir a função de resposta - Execution Techniques: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro - T0821: Modificar o controle do controlador |
Learnable | Yes |
| Nova atividade detetada - Usando o comando Siemens SICAM | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados - Inibir a função de resposta Techniques: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Learnable | Yes |
| Nova atividade detetada - Usando o comando Suitelink Protocol | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados - Inibir a função de resposta Techniques: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Learnable | Yes |
| Nova atividade detetada - Usando sessões do protocolo Suitelink | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0836: Modificar parâmetro |
Learnable | Yes |
| Nova atividade detetada - Usando o comando Yokogawa VNetIP | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados - Execution Techniques: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Learnable | Yes |
| Novo ativo detetado | Um novo dispositivo de origem foi detetado na rede, mas não está autorizado. Este alerta aplica-se a dispositivos descobertos em sub-redes OT. Novos dispositivos descobertos em sub-redes de TI não disparam um alerta. |
Medium | Discovery |
Tactics: - Discovery Techniques: - T0842: Deteção de rede |
Learnable | No |
| Nova configuração de dispositivo LLDP | Um novo dispositivo de origem foi detetado na rede, mas não está autorizado. | Medium | Configuration Changes |
Tactics: - Discovery Techniques: - T0842: Deteção de rede |
Learnable | No |
| Comando não autorizado FINS da Omron | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Learnable | Yes |
| Firmware do PLC S7 Plus alterado | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. | Medium | Firmware Change |
Tactics: - Inibir a função de resposta - Persistence Techniques: - T0857: Firmware do sistema |
Learnable | No |
| Valores de amostra Configurações de tipo de mensagem | As configurações de mensagem (identificadas pelo ID do protocolo) foram alteradas em um dispositivo de origem. | Low | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0836: Modificar parâmetro |
Not learnable | Yes |
| Suspeita de Verificação de Integridade Ilegal * | Uma varredura foi detetada em um dispositivo de origem DNP3 (outstation). Esta verificação não foi autorizada como tráfego aprendido na sua rede. | Medium | Scan |
Tactics: - Discovery Techniques: - T0842: Deteção de rede |
Learnable | No |
| Toshiba Computer Link Comando não autorizado | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Low | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados - Execution Techniques: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Learnable | Yes |
| Operação não autorizada do arquivo ABB Totalflow | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados - Execution Techniques: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Not learnable | Yes |
| Operação não autorizada do registro ABB Totalflow | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados - Execution Techniques: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Not learnable | Yes |
| Acesso não autorizado ao bloco de dados Siemens S7 | Um dispositivo de origem tentou acessar um recurso em outro dispositivo. Uma tentativa de acesso a este recurso entre estes dois dispositivos não é autorizada como tráfego aprendido na sua rede. | Low | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados - Acesso Inicial Techniques: - T0855: Mensagem de comando não autorizada - T0811: Dados de Repositórios de Informação |
Learnable | Yes |
| Acesso não autorizado ao objeto Siemens S7 Plus | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados - Execution - Inibir a função de resposta Techniques: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador - T0809: Destruição de Dados |
Learnable | Yes |
| Acesso não autorizado à tag Wonderware | Um dispositivo de origem tentou acessar um recurso em outro dispositivo. Uma tentativa de acesso a este recurso entre estes dois dispositivos não é autorizada como tráfego aprendido na sua rede. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Collection - Controlo de Processos Prejudicados Techniques: - T0861: Ponto & Identificação de Tag - T0855: Mensagem de comando não autorizada |
Learnable | Yes |
| Acesso não autorizado a objetos BACNet | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados - Execution Techniques: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Learnable | Yes |
| Rota BACNet não autorizada | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados - Execution Techniques: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Learnable | Yes |
| Login não autorizado no banco de dados * | Foi detetada uma tentativa de início de sessão entre um cliente de origem e um servidor de destino. A comunicação entre esses dispositivos não é autorizada como tráfego aprendido em sua rede. | Medium | Authentication |
Tactics: - Movimento Lateral - Persistence - Collection Techniques: - T0859: Contas Válidas - T0811: Dados de Repositórios de Informação |
Learnable | No |
| Operação não autorizada do banco de dados | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento anormal de comunicação |
Tactics: - Controlo de Processos Prejudicados - Acesso Inicial Techniques: - T0855: Mensagem de comando não autorizada - T0811: Dados de Repositórios de Informação |
Learnable | Yes |
| Operação ROC não autorizada da Emerson | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados - Execution Techniques: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Learnable | Yes |
| Acesso não autorizado a arquivos SRTP da GE | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Collection - LateralMovement - Persistence Techniques: - T0801: Estado do processo do monitor - T0859: Contas Válidas |
Learnable | Yes |
| Comando não autorizado do protocolo GE SRTP | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Learnable | Yes |
| Operação não autorizada da memória do sistema GE SRTP | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Discovery - Controlo de Processos Prejudicados Techniques: - T0846: Descoberta remota do sistema - T0855: Mensagem de comando não autorizada |
Learnable | Yes |
| Atividade HTTP não autorizada | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento anormal de comunicação HTTP |
Tactics: - Acesso Inicial - Comando e Controlo Techniques: - T0822: Serviços Remotos Externos - T0869: Protocolo de camada de aplicação padrão |
Learnable | No |
| Ação HTTP SOAP não autorizada * | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento anormal de comunicação HTTP |
Tactics: - Comando e Controlo - Execution Techniques: - T0869: Protocolo de camada de aplicação padrão - T0871: Execução através de API |
Learnable | No |
| Agente de usuário HTTP não autorizado * | Um aplicativo não autorizado foi detetado em um dispositivo de origem. O aplicativo não está autorizado como um aplicativo aprendido em sua rede. | Medium | Comportamento anormal de comunicação HTTP |
Tactics: - Comando e Controlo Techniques: - T0869: Protocolo de camada de aplicação padrão |
Learnable | No |
| Conectividade com a Internet não autorizada detetada | Um dispositivo interno se comunicava com sucesso com a internet. | High | Internet Access |
Tactics: - Acesso Inicial Techniques: - T0883: Dispositivo acessível pela Internet |
Learnable | No |
| Comando Mitsubishi MELSEC não autorizado | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados - Execution Techniques: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Learnable | Yes |
| Acesso não autorizado ao programa MMS | Um dispositivo de origem tentou acessar um recurso em outro dispositivo. Uma tentativa de acesso a este recurso entre estes dois dispositivos não é autorizada como tráfego aprendido na sua rede. | Medium | Programming |
Tactics: - Controlo de Processos Prejudicados - Execution Techniques: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Learnable | Yes |
| Serviço MMS não autorizado | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados - Execution Techniques: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Learnable | Yes |
| Conexão Multicast/Broadcast não autorizada | Foi detetada uma ligação Multicast/Broadcast entre um dispositivo de origem e outros dispositivos. A comunicação multicast/broadcast não é autorizada. | High | Comportamento anormal de comunicação |
Tactics: - Discovery Techniques: - T0842: Deteção de rede |
Learnable | Yes |
| Consulta de nome não autorizada | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento anormal de comunicação |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0836: Modificar parâmetro |
Not learnable | Yes |
| Atividade OPC UA não autorizada | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0836: Modificar parâmetro |
Learnable | Yes |
| Solicitação/resposta OPC UA não autorizada | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0836: Modificar parâmetro |
Learnable | Yes |
| A operação não autorizada foi detetada por uma regra definida pelo usuário | Foi detetado tráfego entre dois dispositivos. Essa atividade não é autorizada, com base em uma Regra de Alerta Personalizada definida por um usuário. | Medium | Custom Alerts |
Tactics: - Discovery Techniques: - T0842: Deteção de rede |
Not learnable | No |
| Leitura de configuração de PLC não autorizada | O dispositivo de origem não é definido como um dispositivo de programação, mas executou uma operação de leitura/gravação em um controlador de destino. As alterações de programação só devem ser realizadas por dispositivos de programação. Um aplicativo de programação pode ter sido instalado neste dispositivo. | Low | Configuration Changes |
Tactics: - Collection Techniques: - T0801: Estado do processo do monitor |
Learnable | No |
| Gravação de configuração de PLC não autorizada | O dispositivo de origem enviou um comando para ler/gravar o programa de um controlador de destino. Esta atividade não era vista anteriormente. | Medium | Configuration Changes |
Tactics: - Controlo de Processos Prejudicados - Persistence - Impact Techniques: - T0839: Firmware do módulo - T0831: Manipulação de Controle - T0889: Modificar Programa |
Learnable | No |
| Upload não autorizado do programa PLC | O dispositivo de origem enviou um comando para ler/gravar o programa de um controlador de destino. Esta atividade não era vista anteriormente. | Medium | Programming |
Tactics: - Controlo de Processos Prejudicados - Persistence - Collection Techniques: - T0839: Firmware do módulo - T0845: Upload do Programa |
Learnable | No |
| Programação PLC não autorizada | O dispositivo de origem não é definido como um dispositivo de programação, mas executou uma operação de leitura/gravação em um controlador de destino. As alterações de programação só devem ser realizadas por dispositivos de programação. Um aplicativo de programação pode ter sido instalado neste dispositivo. | High | Programming |
Tactics: - Controlo de Processos Prejudicados - Persistence - Movimento Lateral Techniques: - T0839: Firmware do módulo - T0889: Modificar Programa - T0843: Download do Programa |
Learnable | No |
| Tipo de quadro Profinet não autorizado | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0836: Modificar parâmetro |
Learnable | Yes |
| Comando SAIA S-Bus não autorizado | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada |
Learnable | Yes |
| Execução não autorizada da função de controle Siemens S7 | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados - Inibir a função de resposta Techniques: - T0855: Mensagem de comando não autorizada - T0809: Destruição de Dados |
Learnable | Yes |
| Execução não autorizada Siemens S7 de função definida pelo usuário | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados - Execution Techniques: - T0836: Modificar parâmetro - T0863: Execução do usuário |
Learnable | Yes |
| Acesso não autorizado a blocos Siemens S7 Plus | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Inibir a função de resposta - Persistence - Execution Techniques: - T0803 - Bloquear mensagem de comando - T0889: Modificar Programa - T0821: Modificar o controle do controlador |
Learnable | Yes |
| Operação não autorizada Siemens S7 Plus | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados - Execution Techniques: - T0855: Mensagem de comando não autorizada - T0863: Execução do usuário |
Learnable | Yes |
| Login SMB não autorizado | Foi detetada uma tentativa de início de sessão entre um cliente de origem e um servidor de destino. A comunicação entre esses dispositivos não é autorizada como tráfego aprendido em sua rede. | Medium | Authentication |
Tactics: - Acesso Inicial - Movimento Lateral - Persistence Techniques: - T0886: Serviços Remotos - T0859: Contas Válidas |
Learnable | Yes |
| Operação SNMP não autorizada | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento anormal de comunicação |
Tactics: - Discovery - Comando e Controlo Techniques: - T0842: Deteção de rede - T0885: Porta comumente usada |
Learnable | Yes |
| Acesso SSH não autorizado | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Remote Access |
Tactics: - InitialAccess - Movimento Lateral - Comando e Controlo Techniques: - T0886: Serviços Remotos - T0869: Protocolo de camada de aplicação padrão |
Learnable | No |
| Processo não autorizado do Windows | Um aplicativo não autorizado foi detetado em um dispositivo de origem. O aplicativo não está autorizado como um aplicativo aprendido em sua rede. | Medium | Comportamento anormal de comunicação |
Tactics: - Execution - Escalonamento de privilégios - Comando e Controlo Techniques: - T0841: Gancho - T0885: Porta comumente usada |
Learnable | Yes |
| Serviço Windows não autorizado | Um aplicativo não autorizado foi detetado em um dispositivo de origem. O aplicativo não está autorizado como um aplicativo aprendido em sua rede. | Medium | Comportamento anormal de comunicação |
Tactics: - Acesso Inicial - Movimento Lateral Techniques: - T0866: Exploração de Serviços Remotos |
Learnable | Yes |
| A operação não autorizada foi detetada por uma regra definida pelo usuário | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros viola uma regra definida pelo usuário | Medium |
Tactics: - Discovery Techniques: - T0842: Deteção de rede |
Not learnable | No | |
| Extensão Modbus Schneider Electric não permitida | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada |
Learnable | Yes |
| Uso não permitido de tipos ASDU | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada |
Learnable | Yes |
| Uso não permitido do código de função DNP3 | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0836: Modificar parâmetro |
Learnable | Yes |
| Uso não permitido de indicação interna (IIN) * | Um dispositivo de origem DNP3 (outstation) relatou uma indicação interna (IIN) que não autorizou como tráfego aprendido em sua rede. | Medium | Illegal Commands |
Tactics: - Discovery Techniques: - T0842: Deteção de rede |
Learnable | No |
| Uso não permitido do código de função Modbus | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Medium | Comportamento de comunicação não autorizado |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0836: Modificar parâmetro |
Learnable | Yes |
Alertas do mecanismo de anomalia
Note
This article contains references to the term slave, a term that Microsoft no longer uses. Quando o termo for removido do software, iremos removê-lo deste artigo.
Os alertas do mecanismo de anomalias descrevem anomalias detetadas na atividade da rede.
| Title | Description | Severity | Category | MITRE ATT&CK Táticas e técnicas |
Learnable |
|---|---|---|---|---|---|
| Padrão de exceção anormal em escravo * | Um número excessivo de erros foi detetado em um dispositivo de origem. Este alerta pode ser o resultado de um problema operacional. Limite: 20 exceções em 1 hora |
Low | Comportamento anormal de comunicação |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0806: E/S de Força Bruta |
Not learnable |
| Comprimento anormal do cabeçalho HTTP * | O dispositivo de origem enviou uma mensagem anormal. Este alerta pode indicar uma tentativa de ataque ao dispositivo de destino. | High | Comportamento anormal de comunicação HTTP |
Tactics: - Acesso Inicial - Movimento Lateral - Comando e Controlo Techniques: - T0866: Exploração de Serviços Remotos - T0869: Protocolo de camada de aplicação padrão |
Learnable |
| Número anormal de parâmetros no cabeçalho HTTP * | O dispositivo de origem enviou uma mensagem anormal. Este alerta pode indicar uma tentativa de ataque ao dispositivo de destino. | High | Comportamento anormal de comunicação HTTP |
Tactics: - Acesso Inicial - Movimento Lateral - Comando e Controlo Techniques: - T0866: Exploração de Serviços Remotos - T0869: Protocolo de camada de aplicação padrão |
Learnable |
| Comportamento periódico anormal no canal de comunicação | Foi detetada uma alteração na frequência de comunicação entre os dispositivos de origem e de destino. | Low | Comportamento anormal de comunicação |
Tactics: - Discovery Techniques: - T0842: Deteção de rede |
Learnable |
| Cessação anormal das candidaturas * | Um número excessivo de comandos stop foi detetado em um dispositivo de origem. Este alerta pode ser o resultado de um problema operacional ou de uma tentativa de manipular o dispositivo. Limite: 20 comandos de paragem em 3 horas |
Medium | Comportamento anormal de comunicação |
Tactics: - Persistence - Impact Techniques: - T0889: Modificar Programa - T0831: Manipulação de Controle |
Learnable |
| Largura de banda de tráfego anormal * | Largura de banda anormal foi detetada em um canal. A largura de banda parece ser menor/maior do que a detetada anteriormente. Para obter detalhes, trabalhe com o widget Largura de banda total. | Low | Bandwidth Anomalies |
Tactics: - Discovery Techniques: - T0842: Deteção de rede |
Learnable |
| Largura de banda de tráfego anormal entre dispositivos * | Largura de banda anormal foi detetada em um canal. A largura de banda parece ser menor/maior do que a detetada anteriormente. Para obter detalhes, trabalhe com o widget Largura de banda total. | Low | Bandwidth Anomalies |
Tactics: - Discovery Techniques: - T0842: Deteção de rede |
Not learnable |
| Varredura de endereço detetada | Um dispositivo de origem foi detetado verificando dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede. Limite: 50 conexões para a mesma sub-rede de classe B em 2 minutos |
High | Scan |
Tactics: - Discovery Techniques: - T0842: Deteção de rede |
Learnable |
| Varredura de endereço ARP detetada * | Um dispositivo de origem foi detetado verificando dispositivos de rede usando o protocolo ARP (Address Resolution Protocol). Este endereço de dispositivo não está autorizado como endereço de verificação ARP válido. Limite: 40 exames em 6 minutos |
High | Scan |
Tactics: - Discovery - Collection Techniques: - T0842: Deteção de rede - T0830: Homem no Meio |
Learnable |
| Falsificação ARP * | Foi detetada uma quantidade anormal de pacotes na rede. Esse alerta pode indicar um ataque, por exemplo, uma falsificação de ARP ou um ataque de inundação ICMP. Limite: 60 pacotes em 1 minuto |
Low | Comportamento anormal de comunicação |
Tactics: - Collection Techniques: - T0830: Homem no Meio |
Not learnable |
| Tentativas de login excessivas | Um dispositivo de origem foi visto executando tentativas excessivas de entrada em um servidor de destino. Este alerta pode indicar um ataque de força bruta. O servidor pode ser comprometido por um agente mal-intencionado. Limite: 20 tentativas de início de sessão em 1 minuto |
High | Authentication |
Tactics: - LateralMovement - Controlo de Processos Prejudicados Techniques: - T0812: Credenciais padrão - T0806: E/S de Força Bruta |
Not learnable |
| Número excessivo de sessões | Um dispositivo de origem foi visto executando tentativas excessivas de entrada em um servidor de destino. Isso pode indicar um ataque de força bruta. O servidor pode ser comprometido por um agente mal-intencionado. Limite: 50 sessões em 1 minuto |
High | Comportamento anormal de comunicação |
Tactics: - Movimento Lateral - Controlo de Processos Prejudicados Techniques: - T0812: Credenciais padrão - T0806: E/S de Força Bruta |
Not learnable |
| Taxa de reinicialização excessiva de um Outstation * | Um número excessivo de comandos de reinicialização foi detetado em um dispositivo de origem. Esses alertas podem ser o resultado de um problema operacional ou uma tentativa de manipular o dispositivo. Limite: 10 reinícios em 1 hora |
Medium | Comandos Reiniciar/Parar |
Tactics: - Inibir a função de resposta - Controlo de Processos Prejudicados Techniques: - T0814: Negação de Serviço - T0806: E/S de Força Bruta |
Not learnable |
| Tentativas excessivas de login SMB | Um dispositivo de origem foi visto executando tentativas excessivas de entrada em um servidor de destino. Isso pode indicar um ataque de força bruta. O servidor pode ser comprometido por um agente mal-intencionado. Limite: 10 tentativas de início de sessão em 10 minutos |
High | Authentication |
Tactics: - Persistence - Execution - LateralMovement Techniques: - T0812: Credenciais padrão - T0853: Scripts - T0859: Contas Válidas |
Not learnable |
| Inundação ICMP * | Foi detetada uma quantidade anormal de pacotes na rede. Esse alerta pode indicar um ataque, por exemplo, uma falsificação de ARP ou um ataque de inundação ICMP. Limite: 60 pacotes em 1 minuto |
Low | Comportamento anormal de comunicação |
Tactics: - Discovery - Collection Techniques: - T0842: Deteção de rede - T0830: Homem no Meio |
Not learnable |
| Conteúdo de cabeçalho HTTP ilegal * | O dispositivo de origem iniciou uma solicitação inválida. | High | Comportamento anormal de comunicação HTTP |
Tactics: - Acesso Inicial - LateralMovement Techniques: - T0866: Exploração de Serviços Remotos |
Not learnable |
| Canal de comunicação inativo * | Um canal de comunicação entre dois dispositivos esteve inativo durante um período em que a atividade é geralmente observada. Isso pode indicar que o programa que gera esse tráfego foi alterado ou o programa pode estar indisponível. Recomenda-se rever a configuração do programa instalado e verificar se ele está configurado corretamente. Limiar: 1 minuto |
Low | Unresponsive |
Tactics: - Inibir a função de resposta Techniques: - T0881: Paragem de Serviço |
Not learnable |
| Varredura de endereço de longa duração detetada * | Um dispositivo de origem foi detetado verificando dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede. Limite: 50 conexões com a mesma sub-rede de classe B em 10 minutos |
High | Scan |
Tactics: - Discovery Techniques: - T0842: Deteção de rede |
Learnable |
| Tentativa de adivinhação de senha detetada | Um dispositivo de origem foi visto executando tentativas excessivas de entrada em um servidor de destino. Isso pode indicar um ataque de força bruta. O servidor pode ser comprometido por um agente mal-intencionado. Limite: 100 tentativas em 1 minuto |
High | Authentication |
Tactics: - Movimento Lateral Techniques: - T0812: Credenciais padrão - T0806: E/S de Força Bruta |
Not learnable |
| Verificação de PLC detetada | Um dispositivo de origem foi detetado verificando dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede. Limite: 10 exames em 2 minutos |
High | Scan |
Tactics: - Discovery Techniques: - T0842: Deteção de rede |
Learnable |
| Varredura de porta detetada | Um dispositivo de origem foi detetado verificando dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede. Limite: 25 exames em 2 minutos |
High | Scan |
Tactics: - Discovery Techniques: - T0842: Deteção de rede |
Learnable |
| Comprimento inesperado da mensagem | O dispositivo de origem enviou uma mensagem anormal. Este alerta pode indicar uma tentativa de ataque ao dispositivo de destino. Limite: comprimento do texto - 32768 |
High | Comportamento anormal de comunicação |
Tactics: - InitialAccess - LateralMovement Techniques: - T0869: Exploração de Serviços Remotos |
Not learnable |
| Tráfego inesperado para porta padrão * | O tráfego foi detetado em um dispositivo usando uma porta reservada para outro protocolo. | Medium | Comportamento anormal de comunicação |
Tactics: - Comando e Controlo - Discovery Techniques: - T0869: Protocolo de camada de aplicação padrão - T0842: Deteção de rede |
Not learnable |
Alertas do mecanismo de violação de protocolo
Os alertas do mecanismo de protocolo descrevem desvios detetados na estrutura do pacote ou valores de campo em comparação com as especificações do protocolo.
| Title | Description | Severity | Category | MITRE ATT&CK Táticas e técnicas |
Learnable |
|---|---|---|---|---|---|
| Pacotes malformados excessivos em uma única sessão * | Um número anormal de pacotes malformados enviados do dispositivo de origem para o dispositivo de destino. Este alerta pode indicar comunicações erradas ou uma tentativa de manipular o dispositivo visado. Limite: 2 pacotes malformados em 10 minutos |
Medium | Illegal Commands |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0806: E/S de Força Bruta |
Not learnable |
| Firmware Update | Um dispositivo de origem enviou um comando para atualizar o firmware em um dispositivo de destino. Verifique se as atualizações recentes de programação, configuração e firmware feitas no dispositivo de destino são válidas. | Low | Firmware Change |
Tactics: - Inibir a função de resposta - Persistence Techniques: - T0857: Firmware do sistema |
Learnable |
| Código de função não suportado pelo Outstation | O dispositivo de destino recebeu uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada |
Not learnable |
| Mensagem BACNet ilegal | O dispositivo de origem iniciou uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Not learnable |
| Tentativa de conexão ilegal na porta 0 | Um dispositivo de origem tentou se conectar ao dispositivo de destino na porta número zero (0). Para TCP, a porta 0 é reservada e não pode ser usada. Para UDP, a porta é opcional e um valor de 0 significa que não há porta. Normalmente, não há serviço em um sistema que escuta na porta 0. Esse evento pode indicar uma tentativa de atacar o dispositivo de destino ou indicar que um aplicativo foi programado incorretamente. | Low | Illegal Commands |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Not learnable |
| Operação DNP3 ilegal | O dispositivo de origem iniciou uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Acesso Inicial - Movimento Lateral Techniques: - T0866: Exploração de Serviços Remotos |
Not learnable |
| Operação ilegal do MODBUS (exceção levantada pelo mestre) | O dispositivo de origem iniciou uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Acesso Inicial - Movimento Lateral Techniques: - T0866: Exploração de Serviços Remotos |
Not learnable |
| Operação ilegal MODBUS (código de função zero) * | O dispositivo de origem iniciou uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Acesso Inicial - Movimento Lateral Techniques: - T0866: Exploração de Serviços Remotos |
Not learnable |
| Versão do protocolo ilegal * | O dispositivo de origem iniciou uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Acesso Inicial - LateralMovement - Controlo de Processos Prejudicados Techniques: - T0820: Serviços Remotos - T0836: Modificar parâmetro |
Not learnable |
| Parâmetro incorreto enviado para Outstation | O dispositivo de destino recebeu uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Not learnable |
| Início de um código de função obsoleto (inicializar dados) | O dispositivo de origem iniciou uma solicitação inválida. | Low | Illegal Commands |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada |
Not learnable |
| Início de um código de função obsoleto (Save Config) | O dispositivo de origem iniciou uma solicitação inválida. | Low | Illegal Commands |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada |
Not learnable |
| Master solicitou uma confirmação da camada de aplicativo | O dispositivo de origem iniciou uma solicitação inválida. | Low | Illegal Commands |
Tactics: - Comando e Controlo Techniques: - T0869: Protocolo de camada de aplicação padrão |
Not learnable |
| Modbus Exception | Um dispositivo de origem (secundário) retornou uma exceção para um dispositivo de destino (primário). | Medium | Illegal Commands |
Tactics: - Inibir a função de resposta Techniques: - T0814: Negação de Serviço |
Not learnable |
| Dispositivo escravo recebeu tipo ASDU ilegal | O dispositivo de destino recebeu uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0836: Modificar parâmetro |
Not learnable |
| Dispositivo escravo recebeu comando ilegal causa de transmissão | O dispositivo de destino recebeu uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Not learnable |
| Dispositivo escravo recebeu endereço comum ilegal | O dispositivo de destino recebeu uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Not learnable |
| Dispositivo escravo recebeu dados ilegais parâmetro de endereço * | O dispositivo de destino recebeu uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Not learnable |
| Dispositivo escravo recebeu dados ilegais parâmetro de valor * | O dispositivo de destino recebeu uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Not learnable |
| Dispositivo escravo recebeu código de função ilegal * | O dispositivo de destino recebeu uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Not learnable |
| Dispositivo escravo recebeu endereço de objeto de informação ilegal | O dispositivo de destino recebeu uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Not learnable |
| Objeto desconhecido enviado para Outstation | O dispositivo de destino recebeu uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada |
Not learnable |
| Uso de um código de função reservada | O dispositivo de origem iniciou uma solicitação inválida. | Medium | Illegal Commands |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0836: Modificar parâmetro |
Not learnable |
| Uso de formatação imprópria por Outstation * | O dispositivo de origem iniciou uma solicitação inválida. | Low | Illegal Commands |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada |
Not learnable |
| Uso de sinalizadores de status reservado (IIN) | Um dispositivo de origem DNP3 (outstation) utilizou o Indicador Interno 2.6 reservado. Recomenda-se verificar a configuração do dispositivo. | Low | Illegal Commands |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0836: Modificar parâmetro |
Not learnable |
Alertas do mecanismo de malware
Os alertas do mecanismo de malware descrevem a atividade maliciosa da rede detetada.
| Title | Description | Severity | Category | MITRE ATT&CK Táticas e técnicas |
Learnable |
|---|---|---|---|---|---|
| Tentativa de conexão com IP mal-intencionado conhecido | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Acionado pelos sensores de rede OT. |
High | Suspeita de atividade maliciosa |
Tactics: - Acesso Inicial - Comando e Controlo Techniques: - T0883: Dispositivo acessível pela Internet - T0884: Proxy de conexão |
Not learnable |
| Mensagem SMB inválida (implante DoublePulsar Backdoor) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Acesso Inicial - LateralMovement Techniques: - T0866: Exploração de Serviços Remotos |
Not learnable |
| Solicitação de nome de domínio mal-intencionado | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Acionado pelos sensores de rede OT. |
High | Suspeita de atividade maliciosa |
Tactics: - Acesso Inicial - Comando e Controlo Techniques: - T0883: Dispositivo acessível pela Internet - T0884: Proxy de conexão |
Learnable |
| Caminho de URL malicioso | Foi feita uma solicitação para um caminho de URL mal-intencionado conhecido. As solicitações feitas para esse caminho de URL podem indicar que a fonte que faz a solicitação está comprometida. | High | Suspeita de atividade maliciosa |
Tactics: - Acesso Inicial - Comando e Controlo Techniques: - T0883: Dispositivo acessível pela Internet - T0884: Proxy de conexão |
Not learnable |
| Arquivo de teste de malware detetado - EICAR AV Success | Um arquivo de teste EICAR AV foi detetado no tráfego entre dois dispositivos (em qualquer transporte - TCP ou UDP). O ficheiro não é malware. É usado para confirmar se o software antivírus está instalado corretamente. Demonstre o que acontece quando um vírus é encontrado e verifique os procedimentos internos e as reações quando um vírus é encontrado. O software antivírus deve detetar EICAR como se fosse um vírus real. | High | Suspeita de atividade maliciosa |
Tactics: - Discovery Techniques: - T0842: Deteção de rede |
Not learnable |
| Suspeita de malware Conficker | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Medium | Suspeita de malware |
Tactics: - Acesso Inicial - Impact Techniques: - T0826: Perda de disponibilidade - T0828: Perda de Produtividade e Receita - T0847: Replicação através de mídia removível |
Not learnable |
| Suspeita de ataque de negação de serviço | Um dispositivo de origem tentou iniciar um número excessivo de novas conexões com um dispositivo de destino. Isso pode indicar um ataque de negação de serviço (DOS) contra o dispositivo de destino e pode interromper a funcionalidade do dispositivo, afetar o desempenho e a disponibilidade do serviço ou causar erros irrecuperáveis. Limite: 3000 tentativas em 1 minuto |
High | Suspeita de atividade maliciosa |
Tactics: - Inibir a função de resposta Techniques: - T0814: Negação de Serviço |
Learnable |
| Suspeita de atividade maliciosa | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que desencadeou os conhecidos "Indicadores de Compromisso" (IOC). Os metadados de alerta devem ser revisados pela equipe de segurança. | High | Suspeita de atividade maliciosa |
Tactics: - Movimento Lateral Techniques: - T0867: Transferência de Ferramenta Lateral |
Not learnable |
| Suspeita de atividade maliciosa (BlackEnergy) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Comando e Controlo Techniques: - T0869: Protocolo de camada de aplicação padrão |
Not learnable |
| Suspeita de atividade maliciosa (DarkComet) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Impact Techniques: - T0882: Roubo de Informação Operacional |
Not learnable |
| Suspeita de atividade maliciosa (Duqu) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Impact Techniques: - T0882: Roubo de Informação Operacional |
Not learnable |
| Suspeita de atividade maliciosa (chama) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Collection - Impact Techniques: - T0882: Roubo de Informação Operacional - T0811: Dados de Repositórios de Informação |
Not learnable |
| Suspeita de atividade maliciosa (Havex) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Collection - Discovery - Inibir a função de resposta Techniques: - T0861: Ponto & Identificação de Tag - T0846: Descoberta remota do sistema - T0814: Negação de Serviço |
Not learnable |
| Suspeita de atividade maliciosa (Karagany) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Impact Techniques: - T0882: Roubo de Informação Operacional |
Not learnable |
| Suspeita de atividade maliciosa (LightsOut) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Evasion Techniques: - T0849: Mascaramento |
Not learnable |
| Suspeita de atividade maliciosa (consultas de nome) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Limite: 25 consultas de nome em 1 minuto |
High | Suspeita de atividade maliciosa |
Tactics: - Comando e Controlo Techniques: - T0884: Proxy de conexão |
Not learnable |
| Suspeita de atividade maliciosa (Hera Venenosa) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Acesso Inicial - Movimento Lateral Techniques: - T0866: Exploração de Serviços Remotos |
Not learnable |
| Suspeita de atividade maliciosa (Regin) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Acesso Inicial - Movimento Lateral - Impact Techniques: - T0866: Exploração de Serviços Remotos - T0882: Roubo de Informação Operacional |
Not learnable |
| Suspeita de atividade maliciosa (Stuxnet) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Acesso Inicial - Movimento Lateral - Impact Techniques: - T0818: Compromisso da Estação de Trabalho de Engenharia - T0866: Exploração de Serviços Remotos - T0831: Manipulação de Controle |
Not learnable |
| Suspeita de atividade maliciosa (WannaCry) * | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Medium | Suspeita de malware |
Tactics: - Acesso Inicial - Movimento Lateral Techniques: - T0866: Exploração de Serviços Remotos - T0867: Transferência de Ferramenta Lateral |
Not learnable |
| Suspeita de NotPetya Malware - Parâmetros SMB ilegais detetados | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Acesso Inicial - Movimento Lateral Techniques: - T0866: Exploração de Serviços Remotos |
Not learnable |
| Suspeita de NotPetya Malware - Transação SMB ilegal detetada | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de malware |
Tactics: - Movimento Lateral Techniques: - T0867: Transferência de Ferramenta Lateral |
Not learnable |
| Suspeita de execução remota de código com PsExec | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de atividade maliciosa |
Tactics: - Movimento Lateral - Acesso Inicial Techniques: - T0866: Exploração de Serviços Remotos |
Not learnable |
| Suspeita de Gerenciamento Remoto de Serviços do Windows * | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de atividade maliciosa |
Tactics: - Acesso Inicial Techniques: - T0822: RedeServiços Remotos Externos |
Not learnable |
| Arquivo executável suspeito detetado no ponto de extremidade | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | High | Suspeita de atividade maliciosa |
Tactics: - Evasion - Inibir a função de resposta Techniques: - T0851: Rootkit |
Learnable |
| Tráfego suspeito detetado * | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que desencadeou os conhecidos "Indicadores de Compromisso" (IOC). Os metadados de alerta devem ser revisados pela equipe de segurança | High | Suspeita de atividade maliciosa |
Tactics: - Discovery Techniques: - T0842: Deteção de rede |
Not learnable |
| Atividade de backup com assinaturas antivírus | O tráfego detetado entre o dispositivo de origem e o servidor de backup de destino disparou esse alerta. O tráfego inclui backup de software antivírus que pode conter assinaturas de malware. Esta é provavelmente uma atividade de backup legítima. | Low | Backup |
Tactics: - Impact Techniques: - T0882: Roubo de Informação Operacional |
Not learnable |
Alertas do mecanismo operacional
Os alertas do mecanismo operacional descrevem incidentes operacionais detetados ou entidades com mau funcionamento.
| Title | Description | Severity | Category | MITRE ATT&CK Táticas e técnicas |
Learnable |
|---|---|---|---|---|---|
| Um comando S7 Stop PLC foi enviado | O dispositivo de origem enviou um comando stop para um controlador de destino. O controlador para de operar até que um comando start seja enviado. | Low | Comandos Reiniciar/Parar |
Tactics: - Movimento Lateral - Evasão de Defesa - Execution - Inibir a função de resposta Techniques: - T0843: Download do Programa - T0858: Alterar Modo de Operação - T0814: Negação de Serviço |
Not learnable |
| Falha na operação BACNet | Um servidor retornou um código de erro. Esse alerta indica um erro do servidor ou uma solicitação inválida de um cliente. | Medium | Command Failures |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada |
Not learnable |
| Estado incorreto do dispositivo MMS | Um MMS Virtual Manufacturing Device (VMD) enviou uma mensagem de status. A mensagem indica que o servidor pode não estar configurado corretamente, parcialmente operacional ou não estar operacional. | Medium | Operational Issues |
Tactics: - Inibir a função de resposta Techniques: - T0814: Negação de Serviço |
Not learnable |
| Alteração da configuração do dispositivo * | Uma alteração de configuração foi detetada em um dispositivo de origem. | Low | Configuration Changes |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0836: Modificar parâmetro |
Not learnable |
| Estouro contínuo do buffer de eventos na estação externa * | Um evento de estouro de buffer foi detetado em um dispositivo de origem. O evento pode causar corrupção de dados, falhas de programa ou execução de código mal-intencionado. Limiar: 3 ocorrências em 10 minutos |
Medium | Buffer Overflow |
Tactics: - Inibir a função de resposta - Controlo de Processos Prejudicados - Persistence Techniques: - T0814: Negação de Serviço - T0806: E/S de Força Bruta - T0839: Firmware do módulo |
Not learnable |
| Controller Reset | Um dispositivo de origem enviou um comando reset para um controlador de destino. O controlador parou de funcionar temporariamente e reiniciou automaticamente. | Low | Comandos Reiniciar/Parar |
Tactics: - Evasão de Defesa - Execution - Inibir a função de resposta Techniques: - T0858: Alterar Modo de Operação - T0814: Negação de Serviço |
Not learnable |
| Controller Stop | O dispositivo de origem enviou um comando stop para um controlador de destino. O controlador para de operar até que um comando start seja enviado. | Low | Comandos Reiniciar/Parar |
Tactics: - Movimento Lateral - Evasão de Defesa - Execution - Inibir a função de resposta Techniques: - T0843: Download do Programa - T0858: Alterar Modo de Operação - T0814: Negação de Serviço |
Not learnable |
| Falha do dispositivo ao receber um endereço IP dinâmico | O dispositivo de origem está configurado para receber um endereço IP dinâmico de um servidor DHCP, mas não recebeu um endereço. Isso indica um erro de configuração no dispositivo ou um erro operacional no servidor DHCP. Recomenda-se notificar o administrador da rede sobre o incidente | Medium | Command Failures |
Tactics: - Discovery Techniques: - T0842: Deteção de rede |
Not learnable |
| Suspeita-se que o dispositivo esteja desconectado (sem resposta) | Um dispositivo de origem não respondeu a um comando enviado a ele. Ele pode ter sido desconectado quando o comando foi enviado. Limite: 8 tentativas em 5 minutos |
Medium | Unresponsive |
Tactics: - Inibir a função de resposta Techniques: - T0881: Paragem de Serviço |
Not learnable |
| Falha na solicitação de serviço CIP EtherNet/IP | Um servidor retornou um código de erro. Isso indica um erro do servidor ou uma solicitação inválida de um cliente. | Medium | Command Failures |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada |
Not learnable |
| Falha no comando do protocolo de encapsulamento EtherNet/IP | Um servidor retornou um código de erro. Isso indica um erro do servidor ou uma solicitação inválida de um cliente. | Medium | Command Failures |
Tactics: - Collection Techniques: - T0801: Estado do processo do monitor |
Not learnable |
| Estouro de buffer de eventos no Outstation | Um evento de estouro de buffer foi detetado em um dispositivo de origem. O evento pode causar corrupção de dados, falhas de programa ou execução de código mal-intencionado. | Medium | Buffer Overflow |
Tactics: - Inibir a função de resposta - Controlo de Processos Prejudicados - Persistence Techniques: - T0814: Negação de Serviço - T0839: Firmware do módulo |
Not learnable |
| A operação de backup esperada não ocorreu | A atividade esperada de backup/transferência de arquivos não ocorreu entre dois dispositivos. Este alerta pode indicar erros no processo de backup / transferência de arquivos. Limite: 100 segundos |
Medium | Backup |
Tactics: - Inibir a função de resposta Techniques: - T0809: Destruição de Dados |
Learnable |
| Falha de comando do GE SRTP | Um servidor retornou um código de erro. Esse alerta indica um erro do servidor ou uma solicitação inválida de um cliente. | Medium | Command Failures |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada |
Not learnable |
| GE SRTP Stop PLC Command foi enviado | O dispositivo de origem enviou um comando stop para um controlador de destino. O controlador para de operar até que um comando start seja enviado. | Low | Comandos Reiniciar/Parar |
Tactics: - Movimento Lateral - Evasão de Defesa - Execution - Inibir a função de resposta Techniques: - T0843: Download do Programa - T0858: Alterar Modo de Operação - T0814: Negação de Serviço |
Not learnable |
| Bloco de controle GOOSE requer configuração adicional | Um dispositivo de origem enviou uma mensagem GOOSE indicando que o dispositivo precisa de comissionamento. Isso significa que o bloco de controle GOOSE requer configuração adicional e as mensagens GOOSE são parcial ou completamente inoperacionais. | Medium | Configuration Changes |
Tactics: - Controlo de Processos Prejudicados - Inibir a função de resposta Techniques: - T0803: Bloquear mensagem de comando - T0821: Modificar o controle do controlador |
Not learnable |
| A configuração do conjunto de dados GOOSE foi alterada * | Um conjunto de dados de mensagem (identificado pelo ID de protocolo) foi alterado em um dispositivo de origem. Isso significa que o dispositivo relata um conjunto de dados diferente para essa mensagem. | Low | Configuration Changes |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0836: Modificar parâmetro |
Not learnable |
| Status inesperado do controlador Honeywell | Um controlador Honeywell enviou uma mensagem de diagnóstico inesperada indicando uma alteração de status. | Low | Operational Issues |
Tactics: - Evasion - Execution Techniques: - T0858: Alterar Modo de Operação |
Not learnable |
| Erro do cliente HTTP * | O dispositivo de origem iniciou uma solicitação inválida. | Low | Comportamento anormal de comunicação HTTP |
Tactics: - Comando e Controlo Techniques: - T0869: Protocolo de camada de aplicação padrão |
Not learnable |
| Endereço IP ilegal | O sistema detetou tráfego entre um dispositivo de origem e um endereço IP que é um endereço inválido. Isso pode indicar uma configuração errada ou uma tentativa de gerar tráfego ilegal. | Low | Comportamento anormal de comunicação |
Tactics: - Discovery - Controlo de Processos Prejudicados Techniques: - T0842: Deteção de rede - T0836: Modificar parâmetro |
Not learnable |
| Erro de autenticação mestre-escravo | O processo de autenticação entre um dispositivo de origem DNP3 (primário) e um dispositivo de destino (estação de saída) falhou. | Low | Authentication |
Tactics: - Movimento Lateral - Persistence Techniques: - T0859: Contas Válidas |
Not learnable |
| Falha na solicitação de serviço MMS | Um servidor retornou um código de erro. Isso indica um erro do servidor ou uma solicitação inválida de um cliente. | Medium | Command Failures |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada |
Not learnable |
| Nenhum tráfego detetado na interface do sensor | Um sensor parou de detetar tráfego de rede em uma interface de rede. | High | Sensor Traffic |
Tactics: - Inibir a função de resposta Techniques: - T0881: Paragem de Serviço |
Not learnable |
| OPC UA Server levantou um evento que requer a atenção do usuário | Um servidor OPC UA enviou uma notificação de evento para um cliente. Este tipo de evento requer atenção do utilizador | Medium | Operational Issues |
Tactics: - Inibir a função de resposta Techniques: - T0838: Modificar configurações de alarme |
Not learnable |
| Falha na solicitação de serviço OPC UA | Um servidor retornou um código de erro. Isso indica um erro do servidor ou uma solicitação inválida de um cliente. | Medium | Command Failures |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada |
Not learnable |
| Outstation Restarted | Uma reinicialização a frio foi detetada em um dispositivo de origem. Isso significa que o dispositivo foi fisicamente desligado e ligado novamente. | Low | Comandos Reiniciar/Parar |
Tactics: - Inibir a função de resposta Techniques: - T0816: Reinicialização/desligamento do dispositivo |
Not learnable |
| Outstation reinicia com freqüência | Um número excessivo de reinicializações a frio foi detetado em um dispositivo de origem. Isso significa que o dispositivo foi fisicamente desligado e ligado novamente um número excessivo de vezes. Limite: 2 reinícios em 10 minutos |
Low | Comandos Reiniciar/Parar |
Tactics: - Inibir a função de resposta Techniques: - T0814: Negação de Serviço - T0816: Reinicialização/desligamento do dispositivo |
Not learnable |
| Configuração do Outstation alterada | Uma alteração de configuração foi detetada em um dispositivo de origem. | Medium | Configuration Changes |
Tactics: - Inibir a função de resposta - Persistence Techniques: - T0857: Firmware do sistema |
Not learnable |
| Configuração corrompida do Outstation detetada | Este dispositivo de origem DNP3 (outstation) relatou uma configuração corrompida. | Medium | Configuration Changes |
Tactics: - Inibir a função de resposta Techniques: - T0809: Destruição de Dados |
Not learnable |
| Falha no comando DCP do Profinet | Um servidor retornou um código de erro. Isso indica um erro do servidor ou uma solicitação inválida de um cliente. | Medium | Command Failures |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada |
Not learnable |
| Redefinição de fábrica do dispositivo Profinet | Um dispositivo de origem enviou um comando de redefinição de fábrica para um dispositivo de destino Profinet. O comando reset limpa as configurações do dispositivo Profinet e interrompe sua operação. | Low | Comandos Reiniciar/Parar |
Tactics: - Evasão de Defesa - Execution - Inibir a função de resposta Techniques: - T0858: Alterar Modo de Operação - T0814: Negação de Serviço |
Not learnable |
| Falha na operação RPC * | Um servidor retornou um código de erro. Esse alerta indica um erro do servidor ou uma solicitação inválida de um cliente. | Medium | Command Failures |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0855: Mensagem de comando não autorizada |
Not learnable |
| Valores de amostra A configuração do conjunto de dados da mensagem foi alterada * | Um conjunto de dados de mensagem (identificado pelo ID de protocolo) foi alterado em um dispositivo de origem. Isso significa que o dispositivo relata um conjunto de dados diferente para essa mensagem. | Low | Configuration Changes |
Tactics: - Controlo de Processos Prejudicados Techniques: - T0836: Modificar parâmetro |
Not learnable |
| Falha irrecuperável do dispositivo escravo * | Um erro de condição irrecuperável foi detetado em um dispositivo de origem. Esse tipo de erro geralmente indica uma falha de hardware ou falha na execução de um comando específico. | Medium | Command Failures |
Tactics: - Inibir a função de resposta Techniques: - T0814: Negação de Serviço |
Not learnable |
| Suspeita de problemas de hardware em Outstation | Um erro de condição irrecuperável foi detetado em um dispositivo de origem. Esse tipo de erro geralmente indica uma falha de hardware ou falha na execução de um comando específico. | Medium | Operational Issues |
Tactics: - Inibir a função de resposta Techniques: - T0814: Negação de Serviço - T0881: Paragem de Serviço |
Not learnable |
| Suspeita de dispositivo MODBUS sem resposta | Um dispositivo de origem não respondeu a um comando enviado a ele. Ele pode ter sido desconectado quando o comando foi enviado. Limite: Mínimo de 1 resposta válida para um mínimo de 3 pedidos no prazo de 5 minutos |
Low | Unresponsive |
Tactics: - Inibir a função de resposta Techniques: - T0881: Paragem de Serviço |
Not learnable |
| Tráfego detetado na interface do sensor | Um sensor retomou a deteção de tráfego de rede em uma interface de rede. | Low | Sensor Traffic |
Tactics: - Discovery Techniques: - T0842: Deteção de rede |
Not learnable |
| Modo de operação do PLC alterado | O modo de funcionamento deste PLC foi alterado. O novo modo pode indicar que o PLC não é seguro. Deixar o PLC em um modo de operação inseguro pode permitir que adversários executem atividades maliciosas nele, como um download de programa. Se o PLC estiver comprometido, os dispositivos e processos que interagem com ele podem ser afetados. Isso pode afetar a segurança geral do sistema. | Low | Configuration changes |
Tactics: - Execution - Evasion Techniques: - T0858: Alterar Modo de Operação |
Not learnable |
Next steps
Para obter mais informações, consulte:
- Visualizar e gerenciar alertas no portal do Defender for IoT
- Ver alertas no sensor
- Acelere os fluxos de trabalho de alerta
- Encaminhar informações de alerta
- Trabalhar com alertas no console de gerenciamento local
- Referência da API de gerenciamento de alertas para consoles de gerenciamento locais
- Referência da API de gerenciamento de alertas para sensores de monitoramento OT