Référence d’alerte Microsoft Defender pour IoT
Cet article fournit une référence de toutes les alertes générées par les capteurs réseau Microsoft Defender pour IoT, y compris une liste de tous les types d’alerte et descriptions. La référence indique également quelles alertes peuvent être triées comme lisibles ou non, pour plus d’informations sur l’état appris, consultez les états des alertes et les options de triage. Vous pouvez utiliser cette référence pour mapper des alertes dans des playbooks, définir des règles de transfert sur un capteur réseau ot (Operational Technology) ou d’autres activités personnalisées.
Alertes OT désactivées par défaut
Plusieurs alertes sont désactivées par défaut, comme indiqué par les astérisques (*) dans les tableaux ci-dessous. Les utilisateurs administrateurs de capteurs OT peuvent activer ou désactiver des alertes pour un capteur réseau OT spécifique dans la page Support.
Si vous désactivez des alertes référencées ailleurs, comme des règles de transfert des alertes, veillez à mettre à jour ces références si nécessaire.
Gravités des alertes
Les alertes Defender pour IoT utilisent les niveaux de gravité suivants :
Portail Azure | Capteur OT | Description |
---|---|---|
Importante | Critical | Indique une attaque malveillante qui doit être gérée immédiatement. |
Moyenne | Majeure | Indique une menace de sécurité qu’il est important de traiter. |
Faible | Mineur, Avertissement | Indique un écart par rapport au comportement de ligne de base qui peut (ou pas) contenir une menace de sécurité. |
Les gravités d’alerte de cette page répertorient la gravité, comme indiqué dans la Portail Azure.
Types d’alertes pris en charge
Type d’alerte | Description |
---|---|
Alertes de violation de stratégie | Déclenchées lorsque le moteur de violation de stratégie détecte un écart par rapport au trafic précédemment appris. Par exemple : - un nouvel appareil est détecté - une nouvelle configuration est détectée sur un appareil - un appareil non défini en tant que périphérique de programmation effectue une modification de programmation - une version de microprogramme est modifiée. |
Alertes de violation de protocole | Déclenchées lorsque le moteur de violation du protocole détecte des structures de paquets ou des valeurs de champ qui ne sont pas conformes avec la spécification du protocole. |
Alertes opérationnelles | Déclenchées lorsque le moteur opérationnel détecte des incidents opérationnels réseau ou un appareil défectueux. Par exemple, un périphérique réseau a été arrêté à l’aide d’une commande Stop PLC ou une interface sur un capteur a cessé d’analyser le trafic. |
Alertes de programmes malveillants | Déclenchées lorsque le moteur de programmes malveillants détecte une activité réseau malveillante. Par exemple, le moteur détecte une attaque connue telle que Conficker. |
Alertes concernant des anomalies | Déclenchées lorsque le moteur Anomalie détecte un écart. Par exemple, un appareil effectue des analyses réseau, mais n’est pas défini en tant qu’appareil d’analyse. |
La stratégie de détection des alertes de Defender pour IoT dirige les différents moteurs d’alerte afin de déclencher des alertes en fonction de l’impact de l’entreprise et du contexte réseau, et de réduire les alertes liées à l’informatique à faible valeur. Pour plus d’informations, consultez Alertes prioritaires dans les environnements TO/TI.
Catégories d’alertes prises en charge
Chaque alerte est associée à l’une des catégories suivantes :
- Comportement de communication anormal
- Comportement de communication HTTP anormal
- Authentification
- Sauvegarde
- Anomalies de la bande passante
- Dépassement de capacité de la mémoire tampon
- Échecs de commande
- Modifications de configuration
- Alertes personnalisées
- Découverte
- Modification du microprogramme
- Commandes non conformes
- Accès à Internet
- Échecs d’opération
- Problèmes de fonctionnement
- Programmation
- Accès à distance
- Commandes de redémarrage/arrêt
- Analyser
- Trafic de capteur
- Suspicion d’activité malveillante
- Suspicion de programme malveillant
- Comportement de communication non autorisé
- Sans réponse
Alertes du moteur de stratégie
Les alertes du moteur de stratégie décrivent les écarts détectés par rapport au comportement de base appris.
Titre | Description | Gravité | Catégorie | MITRE ATT&CK Tactiques et techniques |
Learnable |
---|---|---|---|---|---|
Logiciel Beckhoff modifié | Le microprogramme a été mis à jour sur un appareil source. Il peut s’agir d’une activité autorisée, par exemple une procédure de maintenance planifiée. | Moyenne | Modification du microprogramme | Tactique : - Empêcher la fonction de réponse -Persistance Techniques : - T0857 : microprogramme système |
Learnable |
Échec de connexion à la base de données | Un échec de tentative de connexion d’un appareil source à un serveur de destination a été détecté. Cela peut être dû à une erreur humaine, mais peut également indiquer une tentative malveillante de compromission du serveur ou des données qu’il contient. Seuil : 2 échecs de connexion en 5 minutes |
Moyenne | Authentification | Tactique : - Mouvement latéral -Collection Techniques : - T0812 : Informations d’identification par défaut - T0811 : données des référentiels d’informations |
Impossible d’apprendre |
Version du microprogramme ROC Emerson modifiée | Le microprogramme a été mis à jour sur un appareil source. Il peut s’agir d’une activité autorisée, par exemple une procédure de maintenance planifiée. | Moyenne | Modification du microprogramme | Tactique : - Empêcher la fonction de réponse -Persistance Techniques : - T0857 : microprogramme système |
Learnable |
Une adresse externe sur le réseau a communiqué avec Internet | Un appareil source défini comme faisant partie de votre réseau communique avec des adresses Internet. La source n’est pas autorisée à communiquer avec des adresses Internet. | Élevé | Accès à Internet | Tactique : - Accès initial Techniques : - T0883 : appareil accessible via Internet |
Learnable |
Périphérique de champ découvert de façon inattendue | Un nouvel appareil source a été détecté sur le réseau, mais n’est pas autorisé. | Moyenne | Découverte | Tactique : -Découverte Techniques : - T0842 : détection du réseau |
Impossible d’apprendre |
Changement de microprogramme détecté | Le microprogramme a été mis à jour sur un appareil source. Il peut s’agir d’une activité autorisée, par exemple une procédure de maintenance planifiée. | Moyenne | Modification du microprogramme | Tactique : - Empêcher la fonction de réponse -Persistance Techniques : - T0857 : microprogramme système |
Impossible d’apprendre |
Version du microprogramme modifiée | Le microprogramme a été mis à jour sur un appareil source. Il peut s’agir d’une activité autorisée, par exemple une procédure de maintenance planifiée. | Moyenne | Modification du microprogramme | Tactique : - Empêcher la fonction de réponse -Persistance Techniques : - T0857 : microprogramme système |
Learnable |
Opération Foxboro I/A non autorisée | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : Message de commande non autorisé - T0836 : modifier le paramètre |
Learnable |
Échec d’ouverture de session FTP | Un échec de tentative de connexion d’un appareil source à un serveur de destination a été détecté. Cette alerte peut être due à une erreur humaine, mais peut également indiquer une tentative malveillante de compromission du serveur ou des données qu’il contient. | Moyenne | Authentification | Tactique : - Mouvement latéral - Commande et contrôle Techniques : - T0812 : Informations d’identification par défaut - T0869 : protocole de couche Application Standard |
Impossible d’apprendre |
Exception non autorisée levée dans le code de fonction * | Un appareil source (secondaire) a retourné une exception à un appareil de destination (principal). | Moyenne | Échecs de commande | Tactique : - Empêcher la fonction de réponse Techniques : - T0835 : manipuler une image d’E/S |
Learnable |
Paramètres de type de message GOOSE | Des paramètres du message (identifiés par l’ID de protocole) ont été modifiés sur un appareil source. | Faible | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération Techniques : - T0836 : modifier le paramètre |
Learnable |
Version du microprogramme Honeywell modifiée | Le microprogramme a été mis à jour sur un appareil source. Il peut s’agir d’une activité autorisée, par exemple une procédure de maintenance planifiée. | Moyenne | Modification du microprogramme | Tactique : - Empêcher la fonction de réponse -Persistance Techniques : - T0857 : microprogramme système |
Learnable |
Communication HTTP interdite * | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication HTTP anormal | Tactique : -Découverte Techniques : - T0846 : découverte du système distant |
Learnable |
Accès à Internet détecté | Un appareil source défini comme faisant partie de votre réseau communique avec des adresses Internet. La source n’est pas autorisée à communiquer avec des adresses Internet. | Moyenne | Accès à Internet | Tactique : - Accès initial Techniques : - T0883 : appareil accessible via Internet |
Learnable |
Version du microprogramme Mitsubishi modifiée | Le microprogramme a été mis à jour sur un appareil source. Il peut s’agir d’une activité autorisée, par exemple une procédure de maintenance planifiée. | Moyenne | Modification du microprogramme | Tactique : - Empêcher la fonction de réponse -Persistance Techniques : - T0857 : microprogramme système |
Learnable |
Violation de la plage d’adresses Modbus | Un appareil principal a demandé l’accès à une nouvelle adresse mémoire secondaire. | Moyenne | Comportement de communication non autorisé | Tactique : -Découverte Techniques : - T0842 : détection du réseau |
Learnable |
Version du microprogramme Modbus modifiée | Le microprogramme a été mis à jour sur un appareil source. Il peut s’agir d’une activité autorisée, par exemple une procédure de maintenance planifiée. | Moyenne | Modification du microprogramme | Tactique : - Empêcher la fonction de réponse -Persistance Techniques : - T0857 : microprogramme système |
Learnable |
Nouvelle activité détectée – Classe CIP | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : -Découverte Techniques : - T0888 : découverte d’informations système à distance |
Learnable |
Nouvelle activité détectée – Service de classe CIP | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Empêcher la fonction de réponse Techniques : - T0836 : modifier le paramètre |
Learnable |
Nouvelle activité détectée – Commande CIP PCCC | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Empêcher la fonction de réponse Techniques : - T0836 : modifier le paramètre |
Learnable |
Nouvelle activité détectée – Symbole CIP | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération - Empêcher la fonction de réponse Techniques : - T0855 : Message de commande non autorisé - T0836 : modifier le paramètre |
Learnable |
Nouvelle activité détectée – Connexion E/S EtherNet/IP | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : -Découverte - Empêcher la fonction de réponse Techniques : - T0846 : Découverte du système distant - T0835 : manipuler une image d’E/S |
Learnable |
Nouvelle activité détectée – Commande de protocole EtherNet/IP | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Empêcher la fonction de réponse Techniques : - T0836 : modifier le paramètre |
Learnable |
Nouvelle activité détectée – Code de message GSM | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - CommandAndControl Techniques : - T0869 : protocole de couche Application Standard |
Learnable |
Nouvelle activité détectée – Codes de commande LonTalk | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : -Collection - Contrôle des processus d’altération Techniques : - T0861 - Identification des points et des étiquettes - T0855 : message Commande non autorisée |
Learnable |
Découverte de nouveau port | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Faible | Découverte | Tactique : - Mouvement latéral Techniques : - T0867 : transfert d’outils latéral |
Learnable |
Nouvelle activité détectée – Variable réseau LonTalk | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : message Commande non autorisée |
Learnable |
Nouvelle activité détectée – Demande de données Ovation | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : -Collection -Découverte Techniques : - T0801 : Surveiller l’état du processus - T0888 : découverte d’informations système à distance |
Learnable |
Nouvelle activité détectée – Commande de lecture/écriture (groupe d’index AMS) | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Medium | Modifications de configuration | Tactique : - Contrôle des processus d’altération - Empêcher la fonction de réponse Techniques : - T0855 : Message de commande non autorisé - T0836 : modifier le paramètre |
Learnable |
Nouvelle activité détectée – Commande de lecture/écriture (décalage d’index AMS) | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Medium | Modifications de configuration | Tactique : - Contrôle des processus d’altération - Empêcher la fonction de réponse Techniques : - T0855 : Message de commande non autorisé - T0836 : modifier le paramètre |
Learnable |
Nouvelle activité détectée – Type de message DeltaV non autorisé | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération -Exécution Techniques : - T0855 : Message de commande non autorisé - T0821 : modifier les tâches du contrôleur |
Learnable |
Nouvelle activité détectée – Opération ROC DeltaV non autorisée | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération -Exécution Techniques : - T0855 : Message de commande non autorisé - T0821 : modifier les tâches du contrôleur |
Learnable |
Nouvelle activité détectée – Type de message RPC non autorisé | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : message Commande non autorisée |
Learnable |
Nouvelle activité détectée – Utilisation de la commande de protocole AMS | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération - Empêcher la fonction de réponse -Exécution Techniques : - T0855 : Message de commande non autorisé - T0836 : Modifier le paramètre - T0821 : modifier les tâches du contrôleur |
Learnable |
Nouvelle activité détectée – Utilisation de la commande SICAM Siemens | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération - Empêcher la fonction de réponse Techniques : - T0855 : Message de commande non autorisé - T0836 : modifier le paramètre |
Learnable |
Nouvelle activité détectée – Utilisation de la commande de protocole Suitelink | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération - Empêcher la fonction de réponse Techniques : - T0855 : Message de commande non autorisé - T0836 : modifier le paramètre |
Learnable |
Nouvelle activité détectée – Utilisation de sessions de protocole Suitelink | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération Techniques : - T0836 : modifier le paramètre |
Learnable |
Nouvelle activité détectée – Utilisation de la commande VNetIP Yokogawa | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération -Exécution Techniques : - T0855 : Message de commande non autorisé - T0821 : modifier les tâches du contrôleur |
Learnable |
Nouvelle ressource détectée | Un nouvel appareil source a été détecté sur le réseau, mais n’est pas autorisé. Cette alerte s’applique aux appareils découverts dans les sous-réseaux OT. Les nouveaux appareils découverts dans les sous-réseaux informatiques ne déclenchent pas d’alerte. |
Moyenne | Découverte | Tactique : -Découverte Techniques : - T0842 : détection du réseau |
Learnable |
Nouvelle configuration d’appareil LLDP | Un nouvel appareil source a été détecté sur le réseau, mais n’est pas autorisé. | Moyenne | Modifications de configuration | Tactique : -Découverte Techniques : - T0842 : détection du réseau |
Learnable |
Commande Omron FINS non autorisée | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : Message de commande non autorisé - T0836 : modifier le paramètre |
Learnable |
Microprogramme S7 Plus PLC modifié | Le microprogramme a été mis à jour sur un appareil source. Il peut s’agir d’une activité autorisée, par exemple une procédure de maintenance planifiée. | Moyenne | Modification du microprogramme | Tactique : - Empêcher la fonction de réponse -Persistance Techniques : - T0857 : microprogramme système |
Learnable |
Paramètres de type de message des valeurs échantillonnées | Des paramètres du message (identifiés par l’ID de protocole) ont été modifiés sur un appareil source. | Faible | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération Techniques : - T0836 : modifier le paramètre |
Impossible d’apprendre |
Suspicion d’analyse d’intégrité interdite * | Une analyse a été détectée sur un appareil source DNP3 (station à distance). Cette analyse n’a pas été autorisée en tant que trafic appris sur votre réseau. | Moyenne | Analyser | Tactique : -Découverte Techniques : - T0842 : détection du réseau |
Learnable |
Commande non autorisée de lien d’ordinateur Toshiba | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Faible | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération -Exécution Techniques : - T0855 : Message de commande non autorisé - T0821 : modifier les tâches du contrôleur |
Learnable |
Opération de fichier ABB Totalflow non autorisée | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération -Exécution Techniques : - T0855 : Message de commande non autorisé - T0821 : modifier les tâches du contrôleur |
Impossible d’apprendre |
Opération de registre ABB Totalflow non autorisée | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération -Exécution Techniques : - T0855 : Message de commande non autorisé - T0821 : modifier les tâches du contrôleur |
Impossible d’apprendre |
Accès non autorisé à un bloc de données Siemens S7 Plus | Un appareil source a tenté d’accéder à une ressource sur un autre appareil. Une tentative d’accès à cette ressource entre ces deux appareils n’est pas autorisée en tant que trafic appris sur votre réseau. | Faible | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération - Accès initial Techniques : - T0855 : Message de commande non autorisé - T0811 : données des référentiels d’informations |
Learnable |
Accès non autorisé à un objet Siemens S7 Plus | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération -Exécution - Empêcher la fonction de réponse Techniques : - T0855 : Message de commande non autorisé - T0821 : Modifier la tâche du contrôleur - T0809 : destruction de données |
Learnable |
Accès non autorisé à une étiquette Wonderware | Un appareil source a tenté d’accéder à une ressource sur un autre appareil. Une tentative d’accès à cette ressource entre ces deux appareils n’est pas autorisée en tant que trafic appris sur votre réseau. | Moyenne | Comportement de communication non autorisé | Tactique : -Collection - Contrôle des processus d’altération Techniques : - T0861 : Identification de point et d’étiquette - T0855 : message Commande non autorisée |
Learnable |
Accès à un objet BACNet non autorisé | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération -Exécution Techniques : - T0855 : Message de commande non autorisé - T0821 : modifier les tâches du contrôleur |
Learnable |
Itinéraire BACNet non autorisé | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération -Exécution Techniques : - T0855 : Message de commande non autorisé - T0821 : modifier les tâches du contrôleur |
Learnable |
Connexion à la base de données non autorisée * | Une tentative de connexion entre un client source et un serveur de destination a été détectée. La communication entre ces appareils n’est pas autorisée en tant que trafic appris sur votre réseau. | Moyenne | Authentification | Tactique : - Mouvement latéral -Persistance -Collection Techniques : - T0859 : Comptes valides - T0811 : données des référentiels d’informations |
Learnable |
Opération de base de données non autorisée | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Medium | Comportement de communication anormal | Tactique : - Contrôle des processus d’altération - Accès initial Techniques : - T0855 : Message de commande non autorisé - T0811 : données des référentiels d’informations |
Learnable |
Opération ROC Emerson non autorisée | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération -Exécution Techniques : - T0855 : Message de commande non autorisé - T0821 : modifier les tâches du contrôleur |
Learnable |
Accès au fichier GE SRTP non autorisé | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : -Collection - LateralMovement -Persistance Techniques : - T0801 : Surveiller l’état du processus - T0859 : comptes valides |
Learnable |
Commande de protocole GE SRTP non autorisée | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : Message de commande non autorisé - T0821 : modifier les tâches du contrôleur |
Learnable |
Opération de mémoire système GE SRTP non autorisée | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : -Découverte - Contrôle des processus d’altération Techniques : - T0846 : Découverte du système distant - T0855 : message Commande non autorisée |
Learnable |
Activité HTTP non autorisée | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication HTTP anormal | Tactique : - Accès initial - Commande et contrôle Techniques : - T0822 : Services distants externes - T0869 : protocole de couche Application Standard |
Learnable |
Action HTTP SOAP non autorisée * | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication HTTP anormal | Tactique : - Commande et contrôle -Exécution Techniques : - T0869 : Protocole de couche d’application standard - T0871 : Exécution via l’API |
Learnable |
Agent utilisateur HTTP non autorisé * | Une application non autorisée a été détectée sur un appareil source. L’application n’est pas autorisée en tant qu’application apprise sur votre réseau. | Moyenne | Comportement de communication HTTP anormal | Tactique : - Commande et contrôle Techniques : - T0869 : protocole de couche Application Standard |
Learnable |
Connectivité Internet non autorisée détectée | Un appareil source défini comme faisant partie de votre réseau communique avec des adresses Internet. La source n’est pas autorisée à communiquer avec des adresses Internet. | Élevé | Accès à Internet | Tactique : - Accès initial Techniques : - T0883 : appareil accessible via Internet |
Learnable |
Commande MELSEC Mitsubishi non autorisée | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération -Exécution Techniques : - T0855 : Message de commande non autorisé - T0821 : modifier les tâches du contrôleur |
Learnable |
Accès au programme MMS non autorisé | Un appareil source a tenté d’accéder à une ressource sur un autre appareil. Une tentative d’accès à cette ressource entre ces deux appareils n’est pas autorisée en tant que trafic appris sur votre réseau. | Moyenne | Programmation | Tactique : - Contrôle des processus d’altération -Exécution Techniques : - T0855 : Message de commande non autorisé - T0821 : modifier les tâches du contrôleur |
Learnable |
Service MMS non autorisé | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération -Exécution Techniques : - T0855 : Message de commande non autorisé - T0821 : modifier les tâches du contrôleur |
Learnable |
Connexion de multidiffusion/diffusion non autorisée | Une connexion de multidiffusion/diffusion a été détectée entre un appareil source et d’autres appareils. La communication par multidiffusion/diffusion n’est pas autorisée. | Élevé | Comportement de communication anormal | Tactique : -Découverte Techniques : - T0842 : détection du réseau |
Learnable |
Requête de nom non autorisée | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Medium | Comportement de communication anormal | Tactique : - Contrôle des processus d’altération Techniques : - T0836 : modifier le paramètre |
Impossible d’apprendre |
Activité OPC UA non autorisée | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération Techniques : - T0836 : modifier le paramètre |
Learnable |
Demande/réponse OPC UA non autorisée | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération Techniques : - T0836 : modifier le paramètre |
Learnable |
Une opération non autorisée a été détectée par une règle définie par l’utilisateur | Un trafic a été détecté entre deux appareils. Cette activité n’est pas autorisée en vertu d’une règle d’alerte personnalisée définie par un utilisateur. | Moyenne | Alertes personnalisées | Tactique : -Découverte Techniques : - T0842 : détection du réseau |
Impossible d’apprendre |
Lecture de la configuration PLC non autorisée | L’appareil source n’est pas défini en tant qu’appareil de programmation, mais a effectué une opération de lecture/écriture sur un contrôleur de destination. Les modifications de programmation doivent être effectuées uniquement par des appareils de programmation. Une application de programmation a peut-être été installée sur cet appareil. | Faible | Modifications de configuration | Tactique : -Collection Techniques : - T0801 : monitorer l’état du processus |
Learnable |
Écriture dans la configuration PLC non autorisée | L’appareil source a envoyé une commande pour lire/écrire le programme d’un contrôleur de destination. Cette activité n’a pas été observée précédemment. | Moyenne | Modifications de configuration | Tactique : - Contrôle des processus d’altération -Persistance -Impact Techniques : - T0839 : Microprogramme du module - T0831 : Manipulation du contrôle - T0889 : modifier le programme |
Learnable |
Chargement de programme PLC non autorisé | L’appareil source a envoyé une commande pour lire/écrire le programme d’un contrôleur de destination. Cette activité n’a pas été observée précédemment. | Moyenne | Programmation | Tactique : - Contrôle des processus d’altération -Persistance -Collection Techniques : - T0839 : Microprogramme du module - T0845 : chargement de programme |
Learnable |
Programmation de PLC non autorisée | L’appareil source n’est pas défini en tant qu’appareil de programmation, mais a effectué une opération de lecture/écriture sur un contrôleur de destination. Les modifications de programmation doivent être effectuées uniquement par des appareils de programmation. Une application de programmation a peut-être été installée sur cet appareil. | Élevé | Programmation | Tactique : - Contrôle des processus d’altération -Persistance - Mouvement latéral Techniques : - T0839 : Microprogramme du module - T0889 : Modifier le programme - T0843 : téléchargement de programme |
Learnable |
Type de trame Profinet non autorisé | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération Techniques : - T0836 : modifier le paramètre |
Learnable |
Commande SAIA S-Bus non autorisée | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : message Commande non autorisée |
Learnable |
Exécution de la fonction de contrôle Siemens S7 non autorisée | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération - Empêcher la fonction de réponse Techniques : - T0855 : Message de commande non autorisé - T0809 : destruction de données |
Learnable |
Exécution de la fonction définie par l’utilisateur Siemens S7 non autorisée | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération -Exécution Techniques : - T0836 : Modifier le paramètre - T0863 : exécution par l’utilisateur |
Learnable |
Accès au bloc Siemens S7 Plus non autorisé | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Empêcher la fonction de réponse -Persistance -Exécution Techniques : - T0803 - Bloquer le message de commande - T0889 : Modifier le programme - T0821 : modifier les tâches du contrôleur |
Learnable |
Opération Siemens S7 Plus non autorisée | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération -Exécution Techniques : - T0855 : Message de commande non autorisé - T0863 : exécution par l’utilisateur |
Learnable |
Connexion SMB non autorisée | Une tentative de connexion entre un client source et un serveur de destination a été détectée. La communication entre ces appareils n’est pas autorisée en tant que trafic appris sur votre réseau. | Moyenne | Authentification | Tactique : - Accès initial - Mouvement latéral -Persistance Techniques : - T0886 : Services distants - T0859 : comptes valides |
Learnable |
Opération SNMP non autorisée | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Medium | Comportement de communication anormal | Tactique : -Découverte - Commande et contrôle Techniques : - T0842 : Sniffing réseau - T0885 : port couramment utilisé |
Learnable |
Accès SSH non autorisé | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Accès à distance | Tactique : - InitialAccess - Mouvement latéral - Commande et contrôle Techniques : - T0886 : Services distants - T0869 : protocole de couche Application Standard |
Learnable |
Processus Windows non autorisé | Une application non autorisée a été détectée sur un appareil source. L’application n’est pas autorisée en tant qu’application apprise sur votre réseau. | Moyenne | Comportement de communication anormal | Tactique : -Exécution - Escalade de privilèges - Commande et contrôle Techniques : - T0841 : Hooking - T0885 : port couramment utilisé |
Learnable |
Service Windows non autorisé | Une application non autorisée a été détectée sur un appareil source. L’application n’est pas autorisée en tant qu’application apprise sur votre réseau. | Moyenne | Comportement de communication anormal | Tactique : - Accès initial - Mouvement latéral Techniques : - T0866 : exploitation des services distants |
Learnable |
Une opération non autorisée a été détectée par une règle définie par l’utilisateur | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres enfreint une règle définie par l’utilisateur | Moyenne | Tactique : -Découverte Techniques : - T0842 : détection du réseau |
Impossible d’apprendre | |
Extension Modbus Schneider Electric non autorisée | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : message Commande non autorisée |
Learnable |
Utilisation non autorisée de types d’ASDU | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : message Commande non autorisée |
Learnable |
Utilisation non autorisée de code de fonction DNP3 | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération Techniques : - T0836 : modifier le paramètre |
Learnable |
Utilisation non autorisée d’une indication interne (IIN) * | Un appareil source DNP3 (station à distance) a signalé une indication interne (IIN) qui n’est pas autorisée en tant que trafic appris sur votre réseau. | Moyenne | Commandes non conformes | Tactique : -Découverte Techniques : - T0842 : détection du réseau |
Learnable |
Utilisation non autorisée de code de fonction Modbus | De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. | Moyenne | Comportement de communication non autorisé | Tactique : - Contrôle des processus d’altération Techniques : - T0836 : modifier le paramètre |
Learnable |
Alertes du moteur d’anomalies
Notes
Cet article contient des références au terme esclave, un terme que Microsoft n’utilise plus. Lorsque le terme sera supprimé du logiciel, nous le supprimerons de cet article.
Les alertes du moteur d’anomalies décrivent les anomalies détectées dans l’activité réseau.
Titre | Description | Gravité | Catégorie | MITRE ATT&CK Tactiques et techniques |
Learnable |
---|---|---|---|---|---|
Modèle d’exception anormale dans l’esclave * | Un nombre excessif d’erreurs a été détecté sur un appareil source. Cette alerte peut être le résultat d’un problème opérationnel. Seuil : 20 exceptions en 1 heure |
Faible | Comportement de communication anormal | Tactique : - Contrôle des processus d’altération Techniques : - T0806 : E/S de force brute |
Impossible d’apprendre |
Longueur anormale d’en-tête HTTP * | L’appareil source a envoyé un message anormal. Cette alerte peut indiquer une tentative d’attaque de l’appareil de destination. | Élevé | Comportement de communication HTTP anormal | Tactique : - Accès initial - Mouvement latéral - Commande et contrôle Techniques : - T0866 : Exploitation des services distants - T0869 : protocole de couche Application Standard |
Learnable |
Nombre anormal de paramètres dans l’en-tête HTTP * | L’appareil source a envoyé un message anormal. Cette alerte peut indiquer une tentative d’attaque de l’appareil de destination. | Élevé | Comportement de communication HTTP anormal | Tactique : - Accès initial - Mouvement latéral - Commande et contrôle Techniques : - T0866 : Exploitation des services distants - T0869 : protocole de couche Application Standard |
Learnable |
Comportement périodique anormal dans le canal de communication | Une modification de la fréquence de communication entre les appareils source et de destination a été détectée. | Faible | Comportement de communication anormal | Tactique : -Découverte Techniques : - T0842 : détection du réseau |
Learnable |
Arrêt anormal d’applications * | Un nombre excessif de commandes d’arrêt a été détecté sur un appareil source. Cette alerte peut être le résultat d’un problème opérationnel ou d’une tentative de manipulation de l’appareil. Seuil : 20 commandes d’arrêt en 3 heures |
Moyenne | Comportement de communication anormal | Tactique : -Persistance -Impact Techniques : - T0889 : Modifier le programme - T0831 : manipulation du contrôle |
Learnable |
Bande passante de trafic anormale * | Une bande passante anormale a été détectée sur un canal. La bande passante semble être inférieure/supérieure à celle détectée précédemment. Pour plus d’informations, utilisez le widget Bande passante totale. | Faible | Anomalies de la bande passante | Tactique : -Découverte Techniques : - T0842 : détection du réseau |
Learnable |
Bande passante de trafic anormale entre des appareils * | Une bande passante anormale a été détectée sur un canal. La bande passante semble être inférieure/supérieure à celle détectée précédemment. Pour plus d’informations, utilisez le widget Bande passante totale. | Faible | Anomalies de la bande passante | Tactique : -Découverte Techniques : - T0842 : détection du réseau |
Impossible d’apprendre |
Analyse d’adresses détectée | Un appareil source a été détecté des périphériques réseau effectuant une analyse. Cet appareil n’est pas autorisé en tant qu’appareil d’analyse réseau. Seuil : 50 connexions au même sous-réseau de classe B en 2 minutes |
Élevé | Analyser | Tactique : -Découverte Techniques : - T0842 : détection du réseau |
Learnable |
Analyse d’adresse ARP détectée * | Un appareil source a été détecté en train d’analyser les périphériques réseau à l’aide du protocole ARP. Cette adresse d’appareil n’est pas autorisée comme adresse d’analyse ARP valide. Seuil : 40 analyses en 6 minutes |
Élevé | Analyser | Tactique : -Découverte -Collection Techniques : - T0842 : Sniffing réseau - T0830 : homme du milieu |
Learnable |
Usurpation d’ARP * | Une quantité anormale de paquets a été détectée sur le réseau. Cette alerte peut indiquer une attaque, par exemple une attaque par usurpation d’ARP ou par saturation ICMP. Seuil : 60 paquets en 1 minute |
Faible | Comportement de communication anormal | Tactique : -Collection Techniques : - T0830 : homme du milieu |
Impossible d’apprendre |
Nombre excessif de tentatives de connexion | Un appareil source a été observé en train d’effectuer un nombre excessif de tentatives de connexion à un serveur de destination. Cette alerte peut indiquer une attaque par force brute. Le serveur peut être compromis par un acteur malveillant. Seuil : 20 tentatives de connexion en 1 minute |
Élevé | Authentification | Tactique : - LateralMovement - Contrôle des processus d’altération Techniques : - T0812 : Informations d’identification par défaut - T0806 : E/S de force brute |
Impossible d’apprendre |
Nombre excessif de sessions | Un appareil source a été observé en train d’effectuer un nombre excessif de tentatives de connexion à un serveur de destination. Cela peut indiquer une attaque par force brute. Le serveur peut être compromis par un acteur malveillant. Seuil : 50 sessions en 1 minute |
Élevé | Comportement de communication anormal | Tactique : - Mouvement latéral - Contrôle des processus d’altération Techniques : - T0812 : Informations d’identification par défaut - T0806 : E/S de force brute |
Impossible d’apprendre |
Taux de redémarrage excessif d’une station à distance * | Un nombre excessif de commandes de redémarrage ont été détectées sur un appareil source. Ces alertes peuvent être le résultat d’un problème opérationnel ou d’une tentative de manipulation de l’appareil. Seuil : 10 redémarrages en 1 heure |
Moyenne | Commandes de redémarrage/arrêt | Tactique : - Empêcher la fonction de réponse - Contrôle des processus d’altération Techniques : - T0814 : Déni de service - T0806 : E/S de force brute |
Impossible d’apprendre |
Nombre excessif de tentatives de connexion SMB | Un appareil source a été observé en train d’effectuer un nombre excessif de tentatives de connexion à un serveur de destination. Cela peut indiquer une attaque par force brute. Le serveur peut être compromis par un acteur malveillant. Seuil : 10 tentatives de connexion en 10 minutes |
Élevé | Authentification | Tactique : -Persistance -Exécution - LateralMovement Techniques : - T0812 : Informations d’identification par défaut - T0853 : Script - T0859 : comptes valides |
Impossible d’apprendre |
Saturation ICMP * | Une quantité anormale de paquets a été détectée sur le réseau. Cette alerte peut indiquer une attaque, par exemple une attaque par usurpation d’ARP ou par saturation ICMP. Seuil : 60 paquets en 1 minute |
Faible | Comportement de communication anormal | Tactique : -Découverte -Collection Techniques : - T0842 : Sniffing réseau - T0830 : homme du milieu |
Impossible d’apprendre |
Contenu d’en-tête HTTP interdit * | L’appareil source a initié une demande non valide. | Élevé | Comportement de communication HTTP anormal | Tactique : - Accès initial - LateralMovement Techniques : - T0866 : exploitation des services distants |
Impossible d’apprendre |
Canal de communication inactif * | Un canal de communication entre deux appareils a été inactif durant une période pendant laquelle une activité est généralement observée. Cela peut indiquer que le programme qui génère ce trafic a été modifié ou n’est pas disponible. Il est recommandé d’examiner la configuration du programme installé et de vérifier s’il est correctement configuré. Seuil : 1 minute |
Faible | Sans réponse | Tactique : - Empêcher la fonction de réponse Techniques : - T0881 : arrêt de service |
Impossible d’apprendre |
Analyse d’adresse de longue durée détectée * | Un appareil source a été détecté des périphériques réseau effectuant une analyse. Cet appareil n’est pas autorisé en tant qu’appareil d’analyse réseau. Seuil : 50 connexions au même sous-réseau de classe B en 10 minutes |
Élevé | Analyser | Tactique : -Découverte Techniques : - T0842 : détection du réseau |
Learnable |
Tentative de deviner un mot de passe détectée | Un appareil source a été observé en train d’effectuer un nombre excessif de tentatives de connexion à un serveur de destination. Cela peut indiquer une attaque par force brute. Le serveur peut être compromis par un acteur malveillant. Seuil : 100 tentatives de connexion en 1 minute |
Élevé | Authentification | Tactique : - Mouvement latéral Techniques : - T0812 : Informations d’identification par défaut - T0806 : E/S de force brute |
Impossible d’apprendre |
Analyse PLC détectée | Un appareil source a été détecté des périphériques réseau effectuant une analyse. Cet appareil n’est pas autorisé en tant qu’appareil d’analyse réseau. Seuil : 10 analyses en 2 minutes |
Élevé | Analyser | Tactique : -Découverte Techniques : - T0842 : détection du réseau |
Learnable |
Analyse de port détectée | Un appareil source a été détecté des périphériques réseau effectuant une analyse. Cet appareil n’est pas autorisé en tant qu’appareil d’analyse réseau. Seuil : 25 analyses en 2 minutes |
Élevé | Analyser | Tactique : -Découverte Techniques : - T0842 : détection du réseau |
Learnable |
Longueur de message inattendue | L’appareil source a envoyé un message anormal. Cette alerte peut indiquer une tentative d’attaque de l’appareil de destination. Seuil : longueur du texte - 32768 |
Élevé | Comportement de communication anormal | Tactique : - InitialAccess - LateralMovement Techniques : - T0869 : exploitation des services distants |
Impossible d’apprendre |
Trafic inattendu pour un port standard * | Du trafic a été détecté sur un appareil à l’aide d’un port réservé pour un autre protocole. | Moyenne | Comportement de communication anormal | Tactique : - Commande et contrôle -Découverte Techniques : - T0869 : Protocole de couche d’application standard - T0842 : détection du réseau |
Impossible d’apprendre |
Alertes du moteur de violation de protocole
Les alertes du moteur de protocole décrivent les écarts détectés dans la structure de paquets ou les valeurs de champs par rapport aux spécifications de protocole.
Titre | Description | Gravité | Catégorie | MITRE ATT&CK Tactiques et techniques |
Learnable |
---|---|---|---|---|---|
Nombre excessif de paquets incorrects dans une seule session * | Nombre anormal de paquets mal formés envoyés de l’appareil source à l’appareil de destination. Cette alerte peut indiquer des communications erronées ou une tentative de manipulation de l’appareil ciblé. Seuil : 2 paquets mal formés en 10 minutes |
Moyenne | Commandes non conformes | Tactique : - Contrôle des processus d’altération Techniques : - T0806 : E/S de force brute |
Impossible d’apprendre |
Mise à jour du microprogramme | Un appareil source a envoyé une commande de mise à jour du microprogramme sur un appareil de destination. Vérifiez que les mises à jour récentes de la programmation, de la configuration et du microprogramme effectuées sur l’appareil de destination sont valides. | Faible | Modification du microprogramme | Tactique : - Empêcher la fonction de réponse -Persistance Techniques : - T0857 : microprogramme système |
Learnable |
Code de fonction non pris en charge par une station à distance | L’appareil de destination a reçu une demande non valide. | Moyenne | Commandes non conformes | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : message Commande non autorisée |
Impossible d’apprendre |
Message BACNet interdit | L’appareil source a initié une demande non valide. | Moyenne | Commandes non conformes | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : Message de commande non autorisé - T0836 : modifier le paramètre |
Impossible d’apprendre |
Tentative de connexion interdite sur le port 0 | Un appareil source a tenté de se connecter à l’appareil de destination sur le port numéro zéro (0). Pour le protocole TCP, le port 0 est réservé et ne peut pas être utilisé. Pour le protocole UDP, le port est facultatif et la valeur 0 signifie aucun port. Il n’y a généralement aucun service sur un système qui écoute sur le port 0. Cet événement peut indiquer une tentative d’attaque de l’appareil de destination ou indiquer qu’une application a été mal programmée. | Faible | Commandes non conformes | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : Message de commande non autorisé - T0836 : modifier le paramètre |
Impossible d’apprendre |
Opération DNP3 interdite | L’appareil source a initié une demande non valide. | Moyenne | Commandes non conformes | Tactique : - Accès initial - Mouvement latéral Techniques : - T0866 : exploitation des services distants |
Impossible d’apprendre |
Opération MODBUS interdite (exception déclenchée par le maître) | L’appareil source a initié une demande non valide. | Moyenne | Commandes non conformes | Tactique : - Accès initial - Mouvement latéral Techniques : - T0866 : exploitation des services distants |
Impossible d’apprendre |
Opération MODBUS interdite (code de fonction zéro) * | L’appareil source a initié une demande non valide. | Moyenne | Commandes non conformes | Tactique : - Accès initial - Mouvement latéral Techniques : - T0866 : exploitation des services distants |
Impossible d’apprendre |
Version de protocole interdite * | L’appareil source a initié une demande non valide. | Moyenne | Commandes non conformes | Tactique : - Accès initial - LateralMovement - Contrôle des processus d’altération Techniques : - T0820 : Services distants - T0836 : modifier le paramètre |
Impossible d’apprendre |
Paramètre incorrect envoyé à une station externe | L’appareil de destination a reçu une demande non valide. | Moyenne | Commandes non conformes | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : Message de commande non autorisé - T0836 : modifier le paramètre |
Impossible d’apprendre |
Lancement d’un code de fonction obsolète (Initialiser des données) | L’appareil source a initié une demande non valide. | Faible | Commandes non conformes | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : message Commande non autorisée |
Impossible d’apprendre |
Lancement d’un code de fonction obsolète (Enregistrer la configuration) | L’appareil source a initié une demande non valide. | Faible | Commandes non conformes | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : message Commande non autorisée |
Impossible d’apprendre |
Le maître a demandé une confirmation de la couche Application | L’appareil source a initié une demande non valide. | Faible | Commandes non conformes | Tactique : - Commande et contrôle Techniques : - T0869 : protocole de couche Application Standard |
Impossible d’apprendre |
Exception Modbus | Un appareil source (secondaire) a retourné une exception à un appareil de destination (principal). | Moyenne | Commandes non conformes | Tactique : - Empêcher la fonction de réponse Techniques : - T0814 : déni de service |
Impossible d’apprendre |
Un appareil esclave a reçu un type d’ASDU interdit | L’appareil de destination a reçu une demande non valide. | Moyenne | Commandes non conformes | Tactique : - Contrôle des processus d’altération Techniques : - T0836 : modifier le paramètre |
Impossible d’apprendre |
Un appareil esclave a reçu une commande interdite à l’origine de la transmission | L’appareil de destination a reçu une demande non valide. | Moyenne | Commandes non conformes | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : Message de commande non autorisé - T0836 : modifier le paramètre |
Impossible d’apprendre |
Un appareil esclave a reçu une adresse courante interdite | L’appareil de destination a reçu une demande non valide. | Moyenne | Commandes non conformes | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : Message de commande non autorisé - T0836 : modifier le paramètre |
Impossible d’apprendre |
Un appareil esclave a reçu un paramètre d’adresse de données interdit * | L’appareil de destination a reçu une demande non valide. | Moyenne | Commandes non conformes | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : Message de commande non autorisé - T0836 : modifier le paramètre |
Impossible d’apprendre |
L’appareil esclave a reçu un paramètre de valeur de données interdit * | L’appareil de destination a reçu une demande non valide. | Moyenne | Commandes non conformes | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : Message de commande non autorisé - T0836 : modifier le paramètre |
Impossible d’apprendre |
Un appareil esclave a reçu un code de fonction interdit * | L’appareil de destination a reçu une demande non valide. | Moyenne | Commandes non conformes | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : Message de commande non autorisé - T0836 : modifier le paramètre |
Impossible d’apprendre |
Un appareil esclave a reçu une adresse d’objet d’information interdite | L’appareil de destination a reçu une demande non valide. | Moyenne | Commandes non conformes | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : Message de commande non autorisé - T0836 : modifier le paramètre |
Impossible d’apprendre |
Objet inconnu envoyé à une station à distance | L’appareil de destination a reçu une demande non valide. | Moyenne | Commandes non conformes | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : message Commande non autorisée |
Impossible d’apprendre |
Utilisation d’un code de fonction réservé | L’appareil source a initié une demande non valide. | Moyenne | Commandes non conformes | Tactique : - Contrôle des processus d’altération Techniques : - T0836 : modifier le paramètre |
Impossible d’apprendre |
Utilisation d’une mise en forme incorrecte par une station à distance * | L’appareil source a initié une demande non valide. | Faible | Commandes non conformes | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : message Commande non autorisée |
Impossible d’apprendre |
Utilisation des indicateurs d’état réservés (IIN) | Un appareil source DNP3 (station à distance) a utilisé l’indicateur interne réservé 2.6. Il est recommandé de vérifier la configuration de l’appareil. | Faible | Commandes non conformes | Tactique : - Contrôle des processus d’altération Techniques : - T0836 : modifier le paramètre |
Impossible d’apprendre |
Alertes du moteur de programme malveillant
Les alertes du moteur de programme malveillant décrivent l’activité réseau malveillante détectée.
Titre | Description | Gravité | Catégorie | MITRE ATT&CK Tactiques et techniques |
Learnable |
---|---|---|---|---|---|
Tentative de connexion à une adresse IP malveillante connue | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. Déclenchée par les capteurs réseau OT et IoT Entreprise. |
Élevé | Suspicion d’activité malveillante | Tactique : - Accès initial - Commande et contrôle Techniques : - T0883 : Appareil accessible à Internet - T0884 : proxy de connexion |
Impossible d’apprendre |
Message SMB non valide (implant de porte dérobée DoublePulsar) | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. | Élevé | Suspicion de programme malveillant | Tactique : - Accès initial - LateralMovement Techniques : - T0866 : exploitation des services distants |
Impossible d’apprendre |
Demande malveillante de nom de domaine | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. Déclenchée par les capteurs réseau OT et IoT Entreprise. |
Élevé | Suspicion d’activité malveillante | Tactique : - Accès initial - Commande et contrôle Techniques : - T0883 : Appareil accessible à Internet - T0884 : proxy de connexion |
Learnable |
Chemin d’accès d’URL malveillant | Une requête a été adressée à un chemin d’URL malveillant connu. Les demandes effectuées pour ce chemin d’URL peuvent indiquer que la source qui effectue la requête est compromise. | Élevé | Suspicion d’activité malveillante | Tactique : - Accès initial - Commande et contrôle Techniques : - T0883 : Appareil accessible à Internet - T0884 : proxy de connexion |
Impossible d’apprendre |
Fichier de test de programme malveillant détecté – Succès de l’antivirus EICAR | Un fichier de test AV EICAR a été détecté dans le trafic entre deux appareils (sur n’importe quel transport, TCP ou UDP). Le fichier n’est pas un programme malveillant. Il permet de confirmer que le logiciel antivirus est correctement installé. Montrez ce qui se passe en cas de détection d’un virus et consultez les procédures internes et les réactions lors de la détection d’un virus. Le logiciel antivirus doit détecter EICAR comme s’il s’agissait d’un vrai virus. | Élevé | Suspicion d’activité malveillante | Tactique : -Découverte Techniques : - T0842 : détection du réseau |
Impossible d’apprendre |
Suspicion de programme malveillant Conficker | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. | Moyenne | Suspicion de programme malveillant | Tactique : - Accès initial -Impact Techniques : - T0826 : Perte de disponibilité - T0828 : Perte de productivité et de revenus - T0847 : réplication via un média amovible |
Impossible d’apprendre |
Suspicion d’attaque par type déni de service | Un appareil source a tenté d’initier un nombre excessif de nouvelles connexions à un appareil de destination. Cela peut indiquer une attaque par déni de service (DOS) contre l’appareil de destination, et peut interrompre la fonctionnalité de l’appareil, affecter les performances et la disponibilité du service, ou provoquer des erreurs irrécupérables. Seuil : 3 000 tentatives de connexion en 1 minute |
Élevé | Suspicion d’activité malveillante | Tactique : - Empêcher la fonction de réponse Techniques : - T0814 : déni de service |
Learnable |
Suspicion d’activité malveillante | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui a déclenché des « indicateurs de compromission » connus. Les métadonnées d’alerte doivent être examinées par l’équipe de sécurité. | Élevé | Suspicion d’activité malveillante | Tactique : - Mouvement latéral Techniques : - T0867 : transfert d’outils latéral |
Impossible d’apprendre |
Suspicion d’activité malveillante (BlackEnergy) | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. | Élevé | Suspicion de programme malveillant | Tactique : - Commande et contrôle Techniques : - T0869 : protocole de couche Application Standard |
Impossible d’apprendre |
Suspicion d’activité malveillante (DarkComet) | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. | Élevé | Suspicion de programme malveillant | Tactique : -Impact Techniques : - T0882 : vol d’informations opérationnelles |
Impossible d’apprendre |
Suspicion d’activité malveillante (Duqu) | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. | Élevé | Suspicion de programme malveillant | Tactique : -Impact Techniques : - T0882 : vol d’informations opérationnelles |
Impossible d’apprendre |
Suspicion d’activité malveillante (Flame) | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. | Élevé | Suspicion de programme malveillant | Tactique : -Collection -Impact Techniques : - T0882 : Vol d’informations opérationnelles - T0811 : données des référentiels d’informations |
Impossible d’apprendre |
Suspicion d’activité malveillante (Havex) | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. | Élevé | Suspicion de programme malveillant | Tactique : -Collection -Découverte - Empêcher la fonction de réponse Techniques : - T0861 : Identification de point et d’étiquette - T0846 : Découverte du système distant - T0814 : déni de service |
Impossible d’apprendre |
Suspicion d’activité malveillante (Karagany) | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. | Élevé | Suspicion de programme malveillant | Tactique : -Impact Techniques : - T0882 : vol d’informations opérationnelles |
Impossible d’apprendre |
Suspicion d’activité malveillante (LightsOut) | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. | Élevé | Suspicion de programme malveillant | Tactique : -Évasion Techniques : - T0849 : mascarade |
Impossible d’apprendre |
Suspicion d’activité malveillante (Name Queries) | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. Seuil : 25 requêtes de noms en 1 minute |
Élevé | Suspicion d’activité malveillante | Tactique : - Commande et contrôle Techniques : - T0884 : proxy de connexion |
Impossible d’apprendre |
Suspicion d’activité malveillante (Poison Ivy) | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. | Élevé | Suspicion de programme malveillant | Tactique : - Accès initial - Mouvement latéral Techniques : - T0866 : exploitation des services distants |
Impossible d’apprendre |
Suspicion d’activité malveillante (Regin) | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. | Élevé | Suspicion de programme malveillant | Tactique : - Accès initial - Mouvement latéral -Impact Techniques : - T0866 : Exploitation des services distants - T0882 : vol d’informations opérationnelles |
Impossible d’apprendre |
Suspicion d’activité malveillante (Stuxnet) | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. | Élevé | Suspicion de programme malveillant | Tactique : - Accès initial - Mouvement latéral -Impact Techniques : - T0818 : Compromission de station de travail d’ingénierie - T0866 : Exploitation des services distants - T0831 : manipulation du contrôle |
Impossible d’apprendre |
Suspicion d’activité malveillante (WannaCry) * | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. | Moyenne | Suspicion de programme malveillant | Tactique : - Accès initial - Mouvement latéral Techniques : - T0866 : Exploitation des services distants - T0867 : transfert d’outils latéral |
Impossible d’apprendre |
Suspicion de programme malveillant NotPetya – Paramètres SMB interdits détectés | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. | Élevé | Suspicion de programme malveillant | Tactique : - Accès initial - Mouvement latéral Techniques : - T0866 : exploitation des services distants |
Impossible d’apprendre |
Suspicion de programme malveillant NotPetya – Transaction SMB interdite détectée | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. | Élevé | Suspicion de programme malveillant | Tactique : - Mouvement latéral Techniques : - T0867 : transfert d’outils latéral |
Impossible d’apprendre |
Suspicion d’exécution de code à distance avec PsExec | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. | Élevé | Suspicion d’activité malveillante | Tactique : - Mouvement latéral - Accès initial Techniques : - T0866 : exploitation des services distants |
Impossible d’apprendre |
Suspicion de gestion à distance du service Windows * | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. | Élevé | Suspicion d’activité malveillante | Tactique : - Accès initial Techniques : - T0822 : services distants NetworkExternal |
Impossible d’apprendre |
Fichier exécutable suspect détecté sur un point de terminaison | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. | Élevé | Suspicion d’activité malveillante | Tactique : -Évasion - Empêcher la fonction de réponse Techniques : - T0851 : rootkit |
Learnable |
Trafic suspect détecté * | Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui a déclenché des « indicateurs de compromission » connus. Les métadonnées d’alerte doivent être examinées par l’équipe de sécurité | Élevé | Suspicion d’activité malveillante | Tactique : -Découverte Techniques : - T0842 : détection du réseau |
Impossible d’apprendre |
Activité de sauvegarde avec signatures antivirus | Le trafic détecté entre l’appareil source et le serveur de sauvegarde de destination a déclenché cette alerte. Le trafic comprend la sauvegarde du logiciel antivirus qui peut contenir des signatures de programmes malveillants. Il s’agit très probablement d’une activité de sauvegarde légitime. | Faible | Sauvegarde | Tactique : -Impact Techniques : - T0882 : vol d’informations opérationnelles |
Impossible d’apprendre |
Alertes du moteur opérationnel
Les alertes du moteur opérationnel décrivent les incidents opérationnels détectés, ou les entités défectueuses.
Titre | Description | Gravité | Catégorie | MITRE ATT&CK Tactiques et techniques |
Learnable |
---|---|---|---|---|---|
Une commande S7 Stop PLC a été envoyée | L’appareil source a envoyé une commande d’arrêt à un contrôleur de destination. Le contrôleur cesse de fonctionner jusqu’à ce qu’une commande de démarrage soit envoyée. | Faible | Commandes de redémarrage/arrêt | Tactique : - Mouvement latéral - Évasion de défense -Exécution - Empêcher la fonction de réponse Techniques : - T0843 : Téléchargement du programme - T0858 : Modifier le mode d’exploitation - T0814 : déni de service |
Impossible d’apprendre |
Échec d’opération BACNet | Un serveur a retourné un code d’erreur. Cette alerte indique une erreur de serveur ou une demande non valide d’un client. | Medium | Échecs de commande | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : message Commande non autorisée |
Impossible d’apprendre |
État de l’appareil MMS incorrect | Un appareil de fabrication virtuelle (VMD) MMS a envoyé un message d’état. Le message indique que le serveur peut ne pas être configuré correctement, partiellement opérationnel ou non opérationnel du tout. | Moyenne | Problèmes opérationnels | Tactique : - Empêcher la fonction de réponse Techniques : - T0814 : déni de service |
Impossible d’apprendre |
Modification de configuration d’appareil * | Une modification de configuration a été détectée sur un appareil source. | Faible | Modifications de configuration | Tactique : - Contrôle des processus d’altération Techniques : - T0836 : modifier le paramètre |
Impossible d’apprendre |
Dépassement continu de mémoire tampon des événements sur la station à distance * | Un événement de dépassement de mémoire tampon a été détecté sur un appareil source. L’événement peut entraîner une altération des données, un plantage du programme ou l’exécution de code malveillant. Seuil : 3 occurrences en 10 minutes |
Moyenne | Dépassement de capacité du tampon | Tactique : - Empêcher la fonction de réponse - Contrôle des processus d’altération -Persistance Techniques : - T0814 : Déni de service - T0806 : E/S de force brute - T0839 : microprogramme du module |
Impossible d’apprendre |
Réinitialisation du contrôleur | Un appareil source a envoyé une commande de réinitialisation à un contrôleur de destination. Le contrôleur a cessé de fonctionner temporairement, puis a redémarré automatiquement. | Faible | Commandes de redémarrage/arrêt | Tactique : - Évasion de défense -Exécution - Empêcher la fonction de réponse Techniques : - T0858 : Modifier le mode d’exploitation - T0814 : déni de service |
Impossible d’apprendre |
Arrêt du contrôleur | L’appareil source a envoyé une commande d’arrêt à un contrôleur de destination. Le contrôleur cesse de fonctionner jusqu’à ce qu’une commande de démarrage soit envoyée. | Faible | Commandes de redémarrage/arrêt | Tactique : - Mouvement latéral - Évasion de défense -Exécution - Empêcher la fonction de réponse Techniques : - T0843 : Téléchargement du programme - T0858 : Modifier le mode d’exploitation - T0814 : déni de service |
Impossible d’apprendre |
L’appareil n’a pas pu recevoir une adresse IP dynamique | L’appareil source est configuré pour recevoir une adresse IP dynamique d’un serveur DHCP, mais n’a pas reçu d’adresse. Cela indique une erreur de configuration sur l’appareil ou une erreur opérationnelle sur le serveur DHCP. Il est recommandé d’informer l’administrateur réseau de l’incident | Medium | Échecs de commande | Tactique : -Découverte Techniques : - T0842 : détection du réseau |
Impossible d’apprendre |
Un appareil est soupçonné d’être déconnecté (ne répond pas) | Un appareil source n’a pas répondu à une commande qui lui a été envoyée. Il a peut-être été déconnecté lorsque la commande a été envoyée. Seuil : 8 tentatives de connexion en 5 minutes |
Medium | Sans réponse | Tactique : - Empêcher la fonction de réponse Techniques : - T0881 : arrêt de service |
Impossible d’apprendre |
Échec de la demande de service CIP EtherNet/IP | Un serveur a retourné un code d’erreur. Cela indique une erreur de serveur ou une demande non valide d’un client. | Moyenne | Échecs de commande | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : message Commande non autorisée |
Impossible d’apprendre |
Échec de la commande du protocole d’encapsulation EtherNet/IP | Un serveur a retourné un code d’erreur. Cela indique une erreur de serveur ou une demande non valide d’un client. | Moyenne | Échecs de commande | Tactique : -Collection Techniques : - T0801 : monitorer l’état du processus |
Impossible d’apprendre |
Dépassement de mémoire tampon des événements dans la station à distance | Un événement de dépassement de mémoire tampon a été détecté sur un appareil source. L’événement peut entraîner une altération des données, un plantage du programme ou l’exécution de code malveillant. | Moyenne | Dépassement de capacité du tampon | Tactique : - Empêcher la fonction de réponse - Contrôle des processus d’altération -Persistance Techniques : - T0814 : Déni de service - T0839 : microprogramme du module |
Impossible d’apprendre |
Une opération de sauvegarde attendue n’a pas eu lieu | Une activité de transfert de sauvegarde ou de fichier attendue n’a pas eu lieu entre deux appareils. Cette alerte peut indiquer des erreurs dans le processus de sauvegarde/transfert de fichiers. Seuil : 100 secondes |
Moyenne | Sauvegarde | Tactique : - Empêcher la fonction de réponse Techniques : - T0809 : destruction de données |
Learnable |
Échec de la commande GE SRTP | Un serveur a retourné un code d’erreur. Cette alerte indique une erreur de serveur ou une demande non valide d’un client. | Medium | Échecs de commande | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : message Commande non autorisée |
Impossible d’apprendre |
Une commande GE SRTP Stop PLC a été envoyée | L’appareil source a envoyé une commande d’arrêt à un contrôleur de destination. Le contrôleur cesse de fonctionner jusqu’à ce qu’une commande de démarrage soit envoyée. | Faible | Commandes de redémarrage/arrêt | Tactique : - Mouvement latéral - Évasion de défense -Exécution - Empêcher la fonction de réponse Techniques : - T0843 : Téléchargement du programme - T0858 : Modifier le mode d’exploitation - T0814 : déni de service |
Impossible d’apprendre |
Le bloc de contrôle GOOSE nécessite une configuration supplémentaire | Un appareil source a envoyé un message GOOSE indiquant que l’appareil doit être mis en service. Cela signifie que le bloc de contrôle GOOSE requiert une configuration supplémentaire et que des messages GOOSE sont partiellement ou totalement non opérationnels. | Moyenne | Modifications de configuration | Tactique : - Contrôle des processus d’altération - Empêcher la fonction de réponse Techniques : - T0803 : Bloquer le message de commande - T0821 : modifier les tâches du contrôleur |
Impossible d’apprendre |
La configuration du jeu de données GOOSE a été modifiée * | Un jeu de données de message (identifié par un ID de protocole) a été modifié sur un appareil source. Cela signifie que l’appareil signale un jeu de données différent pour ce message. | Faible | Modifications de configuration | Tactique : - Contrôle des processus d’altération Techniques : - T0836 : modifier le paramètre |
Impossible d’apprendre |
État inattendu du contrôleur Honeywell | Un contrôleur Honeywell a envoyé un message de diagnostic inattendu indiquant un changement d’état. | Faible | Problèmes opérationnels | Tactique : -Évasion -Exécution Techniques : - T0858 : modifier le mode d’exploitation |
Impossible d’apprendre |
Erreur de client HTTP * | L’appareil source a initié une demande non valide. | Faible | Comportement de communication HTTP anormal | Tactique : - Commande et contrôle Techniques : - T0869 : protocole de couche Application Standard |
Impossible d’apprendre |
Adresse IP interdite | Le système a détecté du trafic entre un appareil source et une adresse IP qui n’est pas valide. Cela peut indiquer une configuration incorrecte ou une tentative de générer du trafic illégal. | Faible | Comportement de communication anormal | Tactique : -Découverte - Contrôle des processus d’altération Techniques : - T0842 : Sniffing réseau - T0836 : modifier le paramètre |
Impossible d’apprendre |
Erreur d’authentification maître-esclave | Le processus d’authentification entre un appareil source DNP3 (principal) et un appareil de destination (station à distance) a échoué. | Faible | Authentification | Tactique : - Mouvement latéral -Persistance Techniques : - T0859 : comptes valides |
Impossible d’apprendre |
Échec de demande de service MMS | Un serveur a retourné un code d’erreur. Cela indique une erreur de serveur ou une demande non valide d’un client. | Moyenne | Échecs de commande | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : message Commande non autorisée |
Impossible d’apprendre |
Aucun trafic détecté sur l’interface d’un capteur | Un capteur a cessé de détecter le trafic réseau sur une interface réseau. | Élevé | Trafic de capteur | Tactique : - Empêcher la fonction de réponse Techniques : - T0881 : arrêt de service |
Impossible d’apprendre |
Le serveur OPC UA a déclenché un événement nécessitant l’attention de l’utilisateur | Un serveur OPC UA a envoyé une notification d’événement à un client. Ce type d’événement requiert l’attention de l’utilisateur | Moyenne | Problèmes opérationnels | Tactique : - Empêcher la fonction de réponse Techniques : - T0838 : modifier les paramètres d’alarme |
Impossible d’apprendre |
Échec de demande de service OPC UA | Un serveur a retourné un code d’erreur. Cela indique une erreur de serveur ou une demande non valide d’un client. | Moyenne | Échecs de commande | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : message Commande non autorisée |
Impossible d’apprendre |
Station à distance redémarrée | Un redémarrage à froid a été détecté sur un appareil source. Cela signifie que l’appareil a été physiquement éteint, puis rallumé. | Faible | Commandes de redémarrage/arrêt | Tactique : - Empêcher la fonction de réponse Techniques : - T0816 : redémarrage/arrêt de l’appareil |
Impossible d’apprendre |
Redémarrages fréquents de station à distance | Un nombre excessif de redémarrages à froid a été détecté sur un appareil source. Cela signifie que l’appareil a été physiquement éteint, puis rallumé un nombre excessif de fois. Seuil : 2 redémarrages en 10 minutes |
Faible | Commandes de redémarrage/arrêt | Tactique : - Empêcher la fonction de réponse Techniques : - T0814 : Déni de service - T0816 : redémarrage/arrêt de l’appareil |
Impossible d’apprendre |
Configuration de station à distance modifiée | Une modification de configuration a été détectée sur un appareil source. | Moyenne | Modifications de configuration | Tactique : - Empêcher la fonction de réponse -Persistance Techniques : - T0857 : microprogramme système |
Impossible d’apprendre |
Configuration corrompue de station à distance détectée | Cet appareil source DNP3 (station à distance) a signalé une configuration corrompue. | Medium | Modifications de configuration | Tactique : - Empêcher la fonction de réponse Techniques : - T0809 : destruction de données |
Impossible d’apprendre |
Échec de commande DCP Profinet | Un serveur a retourné un code d’erreur. Cela indique une erreur de serveur ou une demande non valide d’un client. | Moyenne | Échecs de commande | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : message Commande non autorisée |
Impossible d’apprendre |
Réinitialisation aux paramètres d’usine d’un appareil Profinet | Un appareil source a envoyé une commande de réinitialisation aux paramètres d’usine à un appareil de destination Profinet. La commande de réinitialisation efface les configurations de l’appareil Profinet et arrête celui-ci. | Faible | Commandes de redémarrage/arrêt | Tactique : - Évasion de défense -Exécution - Empêcher la fonction de réponse Techniques : - T0858 : Modifier le mode d’exploitation - T0814 : déni de service |
Impossible d’apprendre |
Échec d’opération RPC * | Un serveur a retourné un code d’erreur. Cette alerte indique une erreur de serveur ou une demande non valide d’un client. | Medium | Échecs de commande | Tactique : - Contrôle des processus d’altération Techniques : - T0855 : message Commande non autorisée |
Impossible d’apprendre |
La configuration du jeu de données du message des valeurs échantillonnées a été modifiée * | Un jeu de données de message (identifié par un ID de protocole) a été modifié sur un appareil source. Cela signifie que l’appareil signale un jeu de données différent pour ce message. | Faible | Modifications de configuration | Tactique : - Contrôle des processus d’altération Techniques : - T0836 : modifier le paramètre |
Impossible d’apprendre |
Échec irrécupérable d’appareil esclave * | Une erreur de condition irrécupérable a été détectée sur un appareil source. Ce type d’erreur indique généralement une défaillance matérielle ou un échec d’exécution d’une commande spécifique. | Moyenne | Échecs de commande | Tactique : - Empêcher la fonction de réponse Techniques : - T0814 : déni de service |
Impossible d’apprendre |
Suspicion de problèmes matériels dans une station à distance | Une erreur de condition irrécupérable a été détectée sur un appareil source. Ce type d’erreur indique généralement une défaillance matérielle ou un échec d’exécution d’une commande spécifique. | Medium | Problèmes opérationnels | Tactique : - Empêcher la fonction de réponse Techniques : - T0814 : Déni de service - T0881 : arrêt de service |
Impossible d’apprendre |
Suspicion d’appareil MODBUS ne répondant pas | Un appareil source n’a pas répondu à une commande qui lui a été envoyée. Il a peut-être été déconnecté lorsque la commande a été envoyée. Seuil : 1 réponse valide minimum pour un minimum de 3 requêtes dans un délai de 5 minutes |
Faible | Sans réponse | Tactique : - Empêcher la fonction de réponse Techniques : - T0881 : arrêt de service |
Impossible d’apprendre |
Trafic détecté sur l’interface d’un capteur | Un capteur a repris la détection du trafic réseau sur une interface réseau. | Faible | Trafic de capteur | Tactique : -Découverte Techniques : - T0842 : détection du réseau |
Impossible d’apprendre |
Mode d’exploitation PLC modifié | Le mode d’exploitation de ce PLC a changé. Le nouveau mode peut indiquer que le PLC n’est pas sécurisé. Laisser le PLC en mode d’exploitation non sécurisé peut permettre aux adversaires d’effectuer des activités malveillantes sur celui-ci, comme un téléchargement de programme. Si le PLC est compromis, les appareils et les processus qui interagissent avec celui-ci peuvent être affectés. Cela peut affecter la sécurité et la sécurité globales du système. | Faible | Modifications de configuration | Tactique : -Exécution -Évasion Techniques : - T0858 : modifier le mode d’exploitation |
Impossible d’apprendre |
Étapes suivantes
Pour plus d’informations, consultez l’article suivant :
- Afficher et gérer les alertes sur le portail Defender pour IoT
- Afficher les alertes sur votre capteur
- Accélérer les workflows d’alerte
- Transférer les informations d’alerte
- Utiliser les alertes dans la console de gestion locale
- Informations de référence sur l’API de gestion des alertes pour les consoles de gestion locales
- Informations de référence sur l’API de gestion des alertes pour les capteurs de surveillance OT
- Transférer les informations d’alerte