Partager via


Référence d’alerte Microsoft Defender pour IoT

Cet article fournit une référence de toutes les alertes générées par les capteurs réseau Microsoft Defender pour IoT, y compris une liste de tous les types d’alerte et descriptions. La référence indique également quelles alertes peuvent être triées comme lisibles ou non, pour plus d’informations sur l’état appris, consultez les états des alertes et les options de triage. Vous pouvez utiliser cette référence pour mapper des alertes dans des playbooks, définir des règles de transfert sur un capteur réseau ot (Operational Technology) ou d’autres activités personnalisées.

Alertes OT désactivées par défaut

Plusieurs alertes sont désactivées par défaut, comme indiqué par les astérisques (*) dans les tableaux ci-dessous. Les utilisateurs administrateurs de capteurs OT peuvent activer ou désactiver des alertes pour un capteur réseau OT spécifique dans la page Support.

Si vous désactivez des alertes référencées ailleurs, comme des règles de transfert des alertes, veillez à mettre à jour ces références si nécessaire.

Gravités des alertes

Les alertes Defender pour IoT utilisent les niveaux de gravité suivants :

Portail Azure Capteur OT Description
Importante Critical Indique une attaque malveillante qui doit être gérée immédiatement.
Moyenne Majeure Indique une menace de sécurité qu’il est important de traiter.
Faible Mineur, Avertissement Indique un écart par rapport au comportement de ligne de base qui peut (ou pas) contenir une menace de sécurité.

Les gravités d’alerte de cette page répertorient la gravité, comme indiqué dans la Portail Azure.

Types d’alertes pris en charge

Type d’alerte Description
Alertes de violation de stratégie Déclenchées lorsque le moteur de violation de stratégie détecte un écart par rapport au trafic précédemment appris. Par exemple :
- un nouvel appareil est détecté
- une nouvelle configuration est détectée sur un appareil
- un appareil non défini en tant que périphérique de programmation effectue une modification de programmation
- une version de microprogramme est modifiée.
Alertes de violation de protocole Déclenchées lorsque le moteur de violation du protocole détecte des structures de paquets ou des valeurs de champ qui ne sont pas conformes avec la spécification du protocole.
Alertes opérationnelles Déclenchées lorsque le moteur opérationnel détecte des incidents opérationnels réseau ou un appareil défectueux. Par exemple, un périphérique réseau a été arrêté à l’aide d’une commande Stop PLC ou une interface sur un capteur a cessé d’analyser le trafic.
Alertes de programmes malveillants Déclenchées lorsque le moteur de programmes malveillants détecte une activité réseau malveillante. Par exemple, le moteur détecte une attaque connue telle que Conficker.
Alertes concernant des anomalies Déclenchées lorsque le moteur Anomalie détecte un écart. Par exemple, un appareil effectue des analyses réseau, mais n’est pas défini en tant qu’appareil d’analyse.

La stratégie de détection des alertes de Defender pour IoT dirige les différents moteurs d’alerte afin de déclencher des alertes en fonction de l’impact de l’entreprise et du contexte réseau, et de réduire les alertes liées à l’informatique à faible valeur. Pour plus d’informations, consultez Alertes prioritaires dans les environnements TO/TI.

Catégories d’alertes prises en charge

Chaque alerte est associée à l’une des catégories suivantes :

  • Comportement de communication anormal
  • Comportement de communication HTTP anormal
  • Authentification
  • Sauvegarde
  • Anomalies de la bande passante
  • Dépassement de capacité de la mémoire tampon
  • Échecs de commande
  • Modifications de configuration
  • Alertes personnalisées
  • Découverte
  • Modification du microprogramme
  • Commandes non conformes
  • Accès à Internet
  • Échecs d’opération
  • Problèmes de fonctionnement
  • Programmation
  • Accès à distance
  • Commandes de redémarrage/arrêt
  • Analyser
  • Trafic de capteur
  • Suspicion d’activité malveillante
  • Suspicion de programme malveillant
  • Comportement de communication non autorisé
  • Sans réponse

Alertes du moteur de stratégie

Les alertes du moteur de stratégie décrivent les écarts détectés par rapport au comportement de base appris.

Titre Description Gravité Catégorie MITRE ATT&CK
Tactiques et techniques
Learnable
Logiciel Beckhoff modifié Le microprogramme a été mis à jour sur un appareil source. Il peut s’agir d’une activité autorisée, par exemple une procédure de maintenance planifiée. Moyenne Modification du microprogramme Tactique :
- Empêcher la fonction de réponse
-Persistance

Techniques :
- T0857 : microprogramme système
Learnable
Échec de connexion à la base de données Un échec de tentative de connexion d’un appareil source à un serveur de destination a été détecté. Cela peut être dû à une erreur humaine, mais peut également indiquer une tentative malveillante de compromission du serveur ou des données qu’il contient.

Seuil : 2 échecs de connexion en 5 minutes
Moyenne Authentification Tactique :
- Mouvement latéral
-Collection

Techniques :
- T0812 : Informations d’identification par défaut
- T0811 : données des référentiels d’informations
Impossible d’apprendre
Version du microprogramme ROC Emerson modifiée Le microprogramme a été mis à jour sur un appareil source. Il peut s’agir d’une activité autorisée, par exemple une procédure de maintenance planifiée. Moyenne Modification du microprogramme Tactique :
- Empêcher la fonction de réponse
-Persistance

Techniques :
- T0857 : microprogramme système
Learnable
Une adresse externe sur le réseau a communiqué avec Internet Un appareil source défini comme faisant partie de votre réseau communique avec des adresses Internet. La source n’est pas autorisée à communiquer avec des adresses Internet. Élevé Accès à Internet Tactique :
- Accès initial

Techniques :
- T0883 : appareil accessible via Internet
Learnable
Périphérique de champ découvert de façon inattendue Un nouvel appareil source a été détecté sur le réseau, mais n’est pas autorisé. Moyenne Découverte Tactique :
-Découverte

Techniques :
- T0842 : détection du réseau
Impossible d’apprendre
Changement de microprogramme détecté Le microprogramme a été mis à jour sur un appareil source. Il peut s’agir d’une activité autorisée, par exemple une procédure de maintenance planifiée. Moyenne Modification du microprogramme Tactique :
- Empêcher la fonction de réponse
-Persistance

Techniques :
- T0857 : microprogramme système
Impossible d’apprendre
Version du microprogramme modifiée Le microprogramme a été mis à jour sur un appareil source. Il peut s’agir d’une activité autorisée, par exemple une procédure de maintenance planifiée. Moyenne Modification du microprogramme Tactique :
- Empêcher la fonction de réponse
-Persistance

Techniques :
- T0857 : microprogramme système
Learnable
Opération Foxboro I/A non autorisée De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : Message de commande non autorisé
- T0836 : modifier le paramètre
Learnable
Échec d’ouverture de session FTP Un échec de tentative de connexion d’un appareil source à un serveur de destination a été détecté. Cette alerte peut être due à une erreur humaine, mais peut également indiquer une tentative malveillante de compromission du serveur ou des données qu’il contient. Moyenne Authentification Tactique :
- Mouvement latéral
- Commande et contrôle

Techniques :
- T0812 : Informations d’identification par défaut
- T0869 : protocole de couche Application Standard
Impossible d’apprendre
Exception non autorisée levée dans le code de fonction * Un appareil source (secondaire) a retourné une exception à un appareil de destination (principal). Moyenne Échecs de commande Tactique :
- Empêcher la fonction de réponse

Techniques :
- T0835 : manipuler une image d’E/S
Learnable
Paramètres de type de message GOOSE Des paramètres du message (identifiés par l’ID de protocole) ont été modifiés sur un appareil source. Faible Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération

Techniques :
- T0836 : modifier le paramètre
Learnable
Version du microprogramme Honeywell modifiée Le microprogramme a été mis à jour sur un appareil source. Il peut s’agir d’une activité autorisée, par exemple une procédure de maintenance planifiée. Moyenne Modification du microprogramme Tactique :
- Empêcher la fonction de réponse
-Persistance

Techniques :
- T0857 : microprogramme système
Learnable
Communication HTTP interdite * De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication HTTP anormal Tactique :
-Découverte

Techniques :
- T0846 : découverte du système distant
Learnable
Accès à Internet détecté Un appareil source défini comme faisant partie de votre réseau communique avec des adresses Internet. La source n’est pas autorisée à communiquer avec des adresses Internet. Moyenne Accès à Internet Tactique :
- Accès initial

Techniques :
- T0883 : appareil accessible via Internet
Learnable
Version du microprogramme Mitsubishi modifiée Le microprogramme a été mis à jour sur un appareil source. Il peut s’agir d’une activité autorisée, par exemple une procédure de maintenance planifiée. Moyenne Modification du microprogramme Tactique :
- Empêcher la fonction de réponse
-Persistance

Techniques :
- T0857 : microprogramme système
Learnable
Violation de la plage d’adresses Modbus Un appareil principal a demandé l’accès à une nouvelle adresse mémoire secondaire. Moyenne Comportement de communication non autorisé Tactique :
-Découverte

Techniques :
- T0842 : détection du réseau
Learnable
Version du microprogramme Modbus modifiée Le microprogramme a été mis à jour sur un appareil source. Il peut s’agir d’une activité autorisée, par exemple une procédure de maintenance planifiée. Moyenne Modification du microprogramme Tactique :
- Empêcher la fonction de réponse
-Persistance

Techniques :
- T0857 : microprogramme système
Learnable
Nouvelle activité détectée – Classe CIP De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
-Découverte

Techniques :
- T0888 : découverte d’informations système à distance
Learnable
Nouvelle activité détectée – Service de classe CIP De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Empêcher la fonction de réponse

Techniques :
- T0836 : modifier le paramètre
Learnable
Nouvelle activité détectée – Commande CIP PCCC De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Empêcher la fonction de réponse

Techniques :
- T0836 : modifier le paramètre
Learnable
Nouvelle activité détectée – Symbole CIP De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération
- Empêcher la fonction de réponse

Techniques :
- T0855 : Message de commande non autorisé
- T0836 : modifier le paramètre
Learnable
Nouvelle activité détectée – Connexion E/S EtherNet/IP De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
-Découverte
- Empêcher la fonction de réponse

Techniques :
- T0846 : Découverte du système distant
- T0835 : manipuler une image d’E/S
Learnable
Nouvelle activité détectée – Commande de protocole EtherNet/IP De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Empêcher la fonction de réponse

Techniques :
- T0836 : modifier le paramètre
Learnable
Nouvelle activité détectée – Code de message GSM De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- CommandAndControl

Techniques :
- T0869 : protocole de couche Application Standard
Learnable
Nouvelle activité détectée – Codes de commande LonTalk De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
-Collection
- Contrôle des processus d’altération

Techniques :
- T0861 - Identification des points et des étiquettes
- T0855 : message Commande non autorisée
Learnable
Découverte de nouveau port De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Faible Découverte Tactique :
- Mouvement latéral

Techniques :
- T0867 : transfert d’outils latéral
Learnable
Nouvelle activité détectée – Variable réseau LonTalk De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : message Commande non autorisée
Learnable
Nouvelle activité détectée – Demande de données Ovation De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
-Collection
-Découverte

Techniques :
- T0801 : Surveiller l’état du processus
- T0888 : découverte d’informations système à distance
Learnable
Nouvelle activité détectée – Commande de lecture/écriture (groupe d’index AMS) De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Medium Modifications de configuration Tactique :
- Contrôle des processus d’altération
- Empêcher la fonction de réponse

Techniques :
- T0855 : Message de commande non autorisé
- T0836 : modifier le paramètre
Learnable
Nouvelle activité détectée – Commande de lecture/écriture (décalage d’index AMS) De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Medium Modifications de configuration Tactique :
- Contrôle des processus d’altération
- Empêcher la fonction de réponse

Techniques :
- T0855 : Message de commande non autorisé
- T0836 : modifier le paramètre
Learnable
Nouvelle activité détectée – Type de message DeltaV non autorisé De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération
-Exécution

Techniques :
- T0855 : Message de commande non autorisé
- T0821 : modifier les tâches du contrôleur
Learnable
Nouvelle activité détectée – Opération ROC DeltaV non autorisée De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération
-Exécution

Techniques :
- T0855 : Message de commande non autorisé
- T0821 : modifier les tâches du contrôleur
Learnable
Nouvelle activité détectée – Type de message RPC non autorisé De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : message Commande non autorisée
Learnable
Nouvelle activité détectée – Utilisation de la commande de protocole AMS De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération
- Empêcher la fonction de réponse
-Exécution

Techniques :
- T0855 : Message de commande non autorisé
- T0836 : Modifier le paramètre
- T0821 : modifier les tâches du contrôleur
Learnable
Nouvelle activité détectée – Utilisation de la commande SICAM Siemens De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération
- Empêcher la fonction de réponse

Techniques :
- T0855 : Message de commande non autorisé
- T0836 : modifier le paramètre
Learnable
Nouvelle activité détectée – Utilisation de la commande de protocole Suitelink De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération
- Empêcher la fonction de réponse

Techniques :
- T0855 : Message de commande non autorisé
- T0836 : modifier le paramètre
Learnable
Nouvelle activité détectée – Utilisation de sessions de protocole Suitelink De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération

Techniques :
- T0836 : modifier le paramètre
Learnable
Nouvelle activité détectée – Utilisation de la commande VNetIP Yokogawa De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération
-Exécution

Techniques :
- T0855 : Message de commande non autorisé
- T0821 : modifier les tâches du contrôleur
Learnable
Nouvelle ressource détectée Un nouvel appareil source a été détecté sur le réseau, mais n’est pas autorisé.

Cette alerte s’applique aux appareils découverts dans les sous-réseaux OT. Les nouveaux appareils découverts dans les sous-réseaux informatiques ne déclenchent pas d’alerte.
Moyenne Découverte Tactique :
-Découverte

Techniques :
- T0842 : détection du réseau
Learnable
Nouvelle configuration d’appareil LLDP Un nouvel appareil source a été détecté sur le réseau, mais n’est pas autorisé. Moyenne Modifications de configuration Tactique :
-Découverte

Techniques :
- T0842 : détection du réseau
Learnable
Commande Omron FINS non autorisée De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : Message de commande non autorisé
- T0836 : modifier le paramètre
Learnable
Microprogramme S7 Plus PLC modifié Le microprogramme a été mis à jour sur un appareil source. Il peut s’agir d’une activité autorisée, par exemple une procédure de maintenance planifiée. Moyenne Modification du microprogramme Tactique :
- Empêcher la fonction de réponse
-Persistance

Techniques :
- T0857 : microprogramme système
Learnable
Paramètres de type de message des valeurs échantillonnées Des paramètres du message (identifiés par l’ID de protocole) ont été modifiés sur un appareil source. Faible Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération

Techniques :
- T0836 : modifier le paramètre
Impossible d’apprendre
Suspicion d’analyse d’intégrité interdite * Une analyse a été détectée sur un appareil source DNP3 (station à distance). Cette analyse n’a pas été autorisée en tant que trafic appris sur votre réseau. Moyenne Analyser Tactique :
-Découverte

Techniques :
- T0842 : détection du réseau
Learnable
Commande non autorisée de lien d’ordinateur Toshiba De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Faible Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération
-Exécution

Techniques :
- T0855 : Message de commande non autorisé
- T0821 : modifier les tâches du contrôleur
Learnable
Opération de fichier ABB Totalflow non autorisée De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération
-Exécution

Techniques :
- T0855 : Message de commande non autorisé
- T0821 : modifier les tâches du contrôleur
Impossible d’apprendre
Opération de registre ABB Totalflow non autorisée De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération
-Exécution

Techniques :
- T0855 : Message de commande non autorisé
- T0821 : modifier les tâches du contrôleur
Impossible d’apprendre
Accès non autorisé à un bloc de données Siemens S7 Plus Un appareil source a tenté d’accéder à une ressource sur un autre appareil. Une tentative d’accès à cette ressource entre ces deux appareils n’est pas autorisée en tant que trafic appris sur votre réseau. Faible Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération
- Accès initial

Techniques :
- T0855 : Message de commande non autorisé
- T0811 : données des référentiels d’informations
Learnable
Accès non autorisé à un objet Siemens S7 Plus De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération
-Exécution
- Empêcher la fonction de réponse

Techniques :
- T0855 : Message de commande non autorisé
- T0821 : Modifier la tâche du contrôleur
- T0809 : destruction de données
Learnable
Accès non autorisé à une étiquette Wonderware Un appareil source a tenté d’accéder à une ressource sur un autre appareil. Une tentative d’accès à cette ressource entre ces deux appareils n’est pas autorisée en tant que trafic appris sur votre réseau. Moyenne Comportement de communication non autorisé Tactique :
-Collection
- Contrôle des processus d’altération

Techniques :
- T0861 : Identification de point et d’étiquette
- T0855 : message Commande non autorisée
Learnable
Accès à un objet BACNet non autorisé De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération
-Exécution

Techniques :
- T0855 : Message de commande non autorisé
- T0821 : modifier les tâches du contrôleur
Learnable
Itinéraire BACNet non autorisé De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération
-Exécution

Techniques :
- T0855 : Message de commande non autorisé
- T0821 : modifier les tâches du contrôleur
Learnable
Connexion à la base de données non autorisée * Une tentative de connexion entre un client source et un serveur de destination a été détectée. La communication entre ces appareils n’est pas autorisée en tant que trafic appris sur votre réseau. Moyenne Authentification Tactique :
- Mouvement latéral
-Persistance
-Collection

Techniques :
- T0859 : Comptes valides
- T0811 : données des référentiels d’informations
Learnable
Opération de base de données non autorisée De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Medium Comportement de communication anormal Tactique :
- Contrôle des processus d’altération
- Accès initial

Techniques :
- T0855 : Message de commande non autorisé
- T0811 : données des référentiels d’informations
Learnable
Opération ROC Emerson non autorisée De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération
-Exécution

Techniques :
- T0855 : Message de commande non autorisé
- T0821 : modifier les tâches du contrôleur
Learnable
Accès au fichier GE SRTP non autorisé De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
-Collection
- LateralMovement
-Persistance

Techniques :
- T0801 : Surveiller l’état du processus
- T0859 : comptes valides
Learnable
Commande de protocole GE SRTP non autorisée De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : Message de commande non autorisé
- T0821 : modifier les tâches du contrôleur
Learnable
Opération de mémoire système GE SRTP non autorisée De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
-Découverte
- Contrôle des processus d’altération

Techniques :
- T0846 : Découverte du système distant
- T0855 : message Commande non autorisée
Learnable
Activité HTTP non autorisée De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication HTTP anormal Tactique :
- Accès initial
- Commande et contrôle

Techniques :
- T0822 : Services distants externes
- T0869 : protocole de couche Application Standard
Learnable
Action HTTP SOAP non autorisée * De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication HTTP anormal Tactique :
- Commande et contrôle
-Exécution

Techniques :
- T0869 : Protocole de couche d’application standard
- T0871 : Exécution via l’API
Learnable
Agent utilisateur HTTP non autorisé * Une application non autorisée a été détectée sur un appareil source. L’application n’est pas autorisée en tant qu’application apprise sur votre réseau. Moyenne Comportement de communication HTTP anormal Tactique :
- Commande et contrôle

Techniques :
- T0869 : protocole de couche Application Standard
Learnable
Connectivité Internet non autorisée détectée Un appareil source défini comme faisant partie de votre réseau communique avec des adresses Internet. La source n’est pas autorisée à communiquer avec des adresses Internet. Élevé Accès à Internet Tactique :
- Accès initial

Techniques :
- T0883 : appareil accessible via Internet
Learnable
Commande MELSEC Mitsubishi non autorisée De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération
-Exécution

Techniques :
- T0855 : Message de commande non autorisé
- T0821 : modifier les tâches du contrôleur
Learnable
Accès au programme MMS non autorisé Un appareil source a tenté d’accéder à une ressource sur un autre appareil. Une tentative d’accès à cette ressource entre ces deux appareils n’est pas autorisée en tant que trafic appris sur votre réseau. Moyenne Programmation Tactique :
- Contrôle des processus d’altération
-Exécution

Techniques :
- T0855 : Message de commande non autorisé
- T0821 : modifier les tâches du contrôleur
Learnable
Service MMS non autorisé De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération
-Exécution

Techniques :
- T0855 : Message de commande non autorisé
- T0821 : modifier les tâches du contrôleur
Learnable
Connexion de multidiffusion/diffusion non autorisée Une connexion de multidiffusion/diffusion a été détectée entre un appareil source et d’autres appareils. La communication par multidiffusion/diffusion n’est pas autorisée. Élevé Comportement de communication anormal Tactique :
-Découverte

Techniques :
- T0842 : détection du réseau
Learnable
Requête de nom non autorisée De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Medium Comportement de communication anormal Tactique :
- Contrôle des processus d’altération

Techniques :
- T0836 : modifier le paramètre
Impossible d’apprendre
Activité OPC UA non autorisée De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération

Techniques :
- T0836 : modifier le paramètre
Learnable
Demande/réponse OPC UA non autorisée De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération

Techniques :
- T0836 : modifier le paramètre
Learnable
Une opération non autorisée a été détectée par une règle définie par l’utilisateur Un trafic a été détecté entre deux appareils. Cette activité n’est pas autorisée en vertu d’une règle d’alerte personnalisée définie par un utilisateur. Moyenne Alertes personnalisées Tactique :
-Découverte

Techniques :
- T0842 : détection du réseau
Impossible d’apprendre
Lecture de la configuration PLC non autorisée L’appareil source n’est pas défini en tant qu’appareil de programmation, mais a effectué une opération de lecture/écriture sur un contrôleur de destination. Les modifications de programmation doivent être effectuées uniquement par des appareils de programmation. Une application de programmation a peut-être été installée sur cet appareil. Faible Modifications de configuration Tactique :
-Collection

Techniques :
- T0801 : monitorer l’état du processus
Learnable
Écriture dans la configuration PLC non autorisée L’appareil source a envoyé une commande pour lire/écrire le programme d’un contrôleur de destination. Cette activité n’a pas été observée précédemment. Moyenne Modifications de configuration Tactique :
- Contrôle des processus d’altération
-Persistance
-Impact

Techniques :
- T0839 : Microprogramme du module
- T0831 : Manipulation du contrôle
- T0889 : modifier le programme
Learnable
Chargement de programme PLC non autorisé L’appareil source a envoyé une commande pour lire/écrire le programme d’un contrôleur de destination. Cette activité n’a pas été observée précédemment. Moyenne Programmation Tactique :
- Contrôle des processus d’altération
-Persistance
-Collection

Techniques :
- T0839 : Microprogramme du module
- T0845 : chargement de programme
Learnable
Programmation de PLC non autorisée L’appareil source n’est pas défini en tant qu’appareil de programmation, mais a effectué une opération de lecture/écriture sur un contrôleur de destination. Les modifications de programmation doivent être effectuées uniquement par des appareils de programmation. Une application de programmation a peut-être été installée sur cet appareil. Élevé Programmation Tactique :
- Contrôle des processus d’altération
-Persistance
- Mouvement latéral

Techniques :
- T0839 : Microprogramme du module
- T0889 : Modifier le programme
- T0843 : téléchargement de programme
Learnable
Type de trame Profinet non autorisé De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération

Techniques :
- T0836 : modifier le paramètre
Learnable
Commande SAIA S-Bus non autorisée De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : message Commande non autorisée
Learnable
Exécution de la fonction de contrôle Siemens S7 non autorisée De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération
- Empêcher la fonction de réponse

Techniques :
- T0855 : Message de commande non autorisé
- T0809 : destruction de données
Learnable
Exécution de la fonction définie par l’utilisateur Siemens S7 non autorisée De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération
-Exécution

Techniques :
- T0836 : Modifier le paramètre
- T0863 : exécution par l’utilisateur
Learnable
Accès au bloc Siemens S7 Plus non autorisé De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Empêcher la fonction de réponse
-Persistance
-Exécution

Techniques :
- T0803 - Bloquer le message de commande
- T0889 : Modifier le programme
- T0821 : modifier les tâches du contrôleur
Learnable
Opération Siemens S7 Plus non autorisée De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération
-Exécution

Techniques :
- T0855 : Message de commande non autorisé
- T0863 : exécution par l’utilisateur
Learnable
Connexion SMB non autorisée Une tentative de connexion entre un client source et un serveur de destination a été détectée. La communication entre ces appareils n’est pas autorisée en tant que trafic appris sur votre réseau. Moyenne Authentification Tactique :
- Accès initial
- Mouvement latéral
-Persistance

Techniques :
- T0886 : Services distants
- T0859 : comptes valides
Learnable
Opération SNMP non autorisée De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Medium Comportement de communication anormal Tactique :
-Découverte
- Commande et contrôle

Techniques :
- T0842 : Sniffing réseau
- T0885 : port couramment utilisé
Learnable
Accès SSH non autorisé De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Accès à distance Tactique :
- InitialAccess
- Mouvement latéral
- Commande et contrôle

Techniques :
- T0886 : Services distants
- T0869 : protocole de couche Application Standard
Learnable
Processus Windows non autorisé Une application non autorisée a été détectée sur un appareil source. L’application n’est pas autorisée en tant qu’application apprise sur votre réseau. Moyenne Comportement de communication anormal Tactique :
-Exécution
- Escalade de privilèges
- Commande et contrôle

Techniques :
- T0841 : Hooking
- T0885 : port couramment utilisé
Learnable
Service Windows non autorisé Une application non autorisée a été détectée sur un appareil source. L’application n’est pas autorisée en tant qu’application apprise sur votre réseau. Moyenne Comportement de communication anormal Tactique :
- Accès initial
- Mouvement latéral

Techniques :
- T0866 : exploitation des services distants
Learnable
Une opération non autorisée a été détectée par une règle définie par l’utilisateur De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres enfreint une règle définie par l’utilisateur Moyenne Tactique :
-Découverte

Techniques :
- T0842 : détection du réseau
Impossible d’apprendre
Extension Modbus Schneider Electric non autorisée De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : message Commande non autorisée
Learnable
Utilisation non autorisée de types d’ASDU De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : message Commande non autorisée
Learnable
Utilisation non autorisée de code de fonction DNP3 De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération

Techniques :
- T0836 : modifier le paramètre
Learnable
Utilisation non autorisée d’une indication interne (IIN) * Un appareil source DNP3 (station à distance) a signalé une indication interne (IIN) qui n’est pas autorisée en tant que trafic appris sur votre réseau. Moyenne Commandes non conformes Tactique :
-Découverte

Techniques :
- T0842 : détection du réseau
Learnable
Utilisation non autorisée de code de fonction Modbus De nouveaux paramètres de trafic ont été détectés. Cette combinaison de paramètres n’est pas autorisée en tant que trafic appris sur votre réseau. La combinaison suivante n’est pas autorisée. Moyenne Comportement de communication non autorisé Tactique :
- Contrôle des processus d’altération

Techniques :
- T0836 : modifier le paramètre
Learnable

Alertes du moteur d’anomalies

Notes

Cet article contient des références au terme esclave, un terme que Microsoft n’utilise plus. Lorsque le terme sera supprimé du logiciel, nous le supprimerons de cet article.

Les alertes du moteur d’anomalies décrivent les anomalies détectées dans l’activité réseau.

Titre Description Gravité Catégorie MITRE ATT&CK
Tactiques et techniques
Learnable
Modèle d’exception anormale dans l’esclave * Un nombre excessif d’erreurs a été détecté sur un appareil source. Cette alerte peut être le résultat d’un problème opérationnel.

Seuil : 20 exceptions en 1 heure
Faible Comportement de communication anormal Tactique :
- Contrôle des processus d’altération

Techniques :
- T0806 : E/S de force brute
Impossible d’apprendre
Longueur anormale d’en-tête HTTP * L’appareil source a envoyé un message anormal. Cette alerte peut indiquer une tentative d’attaque de l’appareil de destination. Élevé Comportement de communication HTTP anormal Tactique :
- Accès initial
- Mouvement latéral
- Commande et contrôle

Techniques :
- T0866 : Exploitation des services distants
- T0869 : protocole de couche Application Standard
Learnable
Nombre anormal de paramètres dans l’en-tête HTTP * L’appareil source a envoyé un message anormal. Cette alerte peut indiquer une tentative d’attaque de l’appareil de destination. Élevé Comportement de communication HTTP anormal Tactique :
- Accès initial
- Mouvement latéral
- Commande et contrôle

Techniques :
- T0866 : Exploitation des services distants
- T0869 : protocole de couche Application Standard
Learnable
Comportement périodique anormal dans le canal de communication Une modification de la fréquence de communication entre les appareils source et de destination a été détectée. Faible Comportement de communication anormal Tactique :
-Découverte

Techniques :
- T0842 : détection du réseau
Learnable
Arrêt anormal d’applications * Un nombre excessif de commandes d’arrêt a été détecté sur un appareil source. Cette alerte peut être le résultat d’un problème opérationnel ou d’une tentative de manipulation de l’appareil.

Seuil : 20 commandes d’arrêt en 3 heures
Moyenne Comportement de communication anormal Tactique :
-Persistance
-Impact

Techniques :
- T0889 : Modifier le programme
- T0831 : manipulation du contrôle
Learnable
Bande passante de trafic anormale * Une bande passante anormale a été détectée sur un canal. La bande passante semble être inférieure/supérieure à celle détectée précédemment. Pour plus d’informations, utilisez le widget Bande passante totale. Faible Anomalies de la bande passante Tactique :
-Découverte

Techniques :
- T0842 : détection du réseau
Learnable
Bande passante de trafic anormale entre des appareils * Une bande passante anormale a été détectée sur un canal. La bande passante semble être inférieure/supérieure à celle détectée précédemment. Pour plus d’informations, utilisez le widget Bande passante totale. Faible Anomalies de la bande passante Tactique :
-Découverte

Techniques :
- T0842 : détection du réseau
Impossible d’apprendre
Analyse d’adresses détectée Un appareil source a été détecté des périphériques réseau effectuant une analyse. Cet appareil n’est pas autorisé en tant qu’appareil d’analyse réseau.

Seuil : 50 connexions au même sous-réseau de classe B en 2 minutes
Élevé Analyser Tactique :
-Découverte

Techniques :
- T0842 : détection du réseau
Learnable
Analyse d’adresse ARP détectée * Un appareil source a été détecté en train d’analyser les périphériques réseau à l’aide du protocole ARP. Cette adresse d’appareil n’est pas autorisée comme adresse d’analyse ARP valide.

Seuil : 40 analyses en 6 minutes
Élevé Analyser Tactique :
-Découverte
-Collection

Techniques :
- T0842 : Sniffing réseau
- T0830 : homme du milieu
Learnable
Usurpation d’ARP * Une quantité anormale de paquets a été détectée sur le réseau. Cette alerte peut indiquer une attaque, par exemple une attaque par usurpation d’ARP ou par saturation ICMP.

Seuil : 60 paquets en 1 minute
Faible Comportement de communication anormal Tactique :
-Collection

Techniques :
- T0830 : homme du milieu
Impossible d’apprendre
Nombre excessif de tentatives de connexion Un appareil source a été observé en train d’effectuer un nombre excessif de tentatives de connexion à un serveur de destination. Cette alerte peut indiquer une attaque par force brute. Le serveur peut être compromis par un acteur malveillant.

Seuil : 20 tentatives de connexion en 1 minute
Élevé Authentification Tactique :
- LateralMovement
- Contrôle des processus d’altération

Techniques :
- T0812 : Informations d’identification par défaut
- T0806 : E/S de force brute
Impossible d’apprendre
Nombre excessif de sessions Un appareil source a été observé en train d’effectuer un nombre excessif de tentatives de connexion à un serveur de destination. Cela peut indiquer une attaque par force brute. Le serveur peut être compromis par un acteur malveillant.

Seuil : 50 sessions en 1 minute
Élevé Comportement de communication anormal Tactique :
- Mouvement latéral
- Contrôle des processus d’altération

Techniques :
- T0812 : Informations d’identification par défaut
- T0806 : E/S de force brute
Impossible d’apprendre
Taux de redémarrage excessif d’une station à distance * Un nombre excessif de commandes de redémarrage ont été détectées sur un appareil source. Ces alertes peuvent être le résultat d’un problème opérationnel ou d’une tentative de manipulation de l’appareil.

Seuil : 10 redémarrages en 1 heure
Moyenne Commandes de redémarrage/arrêt Tactique :
- Empêcher la fonction de réponse
- Contrôle des processus d’altération

Techniques :
- T0814 : Déni de service
- T0806 : E/S de force brute
Impossible d’apprendre
Nombre excessif de tentatives de connexion SMB Un appareil source a été observé en train d’effectuer un nombre excessif de tentatives de connexion à un serveur de destination. Cela peut indiquer une attaque par force brute. Le serveur peut être compromis par un acteur malveillant.

Seuil : 10 tentatives de connexion en 10 minutes
Élevé Authentification Tactique :
-Persistance
-Exécution
- LateralMovement

Techniques :
- T0812 : Informations d’identification par défaut
- T0853 : Script
- T0859 : comptes valides
Impossible d’apprendre
Saturation ICMP * Une quantité anormale de paquets a été détectée sur le réseau. Cette alerte peut indiquer une attaque, par exemple une attaque par usurpation d’ARP ou par saturation ICMP.

Seuil : 60 paquets en 1 minute
Faible Comportement de communication anormal Tactique :
-Découverte
-Collection

Techniques :
- T0842 : Sniffing réseau
- T0830 : homme du milieu
Impossible d’apprendre
Contenu d’en-tête HTTP interdit * L’appareil source a initié une demande non valide. Élevé Comportement de communication HTTP anormal Tactique :
- Accès initial
- LateralMovement

Techniques :
- T0866 : exploitation des services distants
Impossible d’apprendre
Canal de communication inactif * Un canal de communication entre deux appareils a été inactif durant une période pendant laquelle une activité est généralement observée. Cela peut indiquer que le programme qui génère ce trafic a été modifié ou n’est pas disponible. Il est recommandé d’examiner la configuration du programme installé et de vérifier s’il est correctement configuré.

Seuil : 1 minute
Faible Sans réponse Tactique :
- Empêcher la fonction de réponse

Techniques :
- T0881 : arrêt de service
Impossible d’apprendre
Analyse d’adresse de longue durée détectée * Un appareil source a été détecté des périphériques réseau effectuant une analyse. Cet appareil n’est pas autorisé en tant qu’appareil d’analyse réseau.

Seuil : 50 connexions au même sous-réseau de classe B en 10 minutes
Élevé Analyser Tactique :
-Découverte

Techniques :
- T0842 : détection du réseau
Learnable
Tentative de deviner un mot de passe détectée Un appareil source a été observé en train d’effectuer un nombre excessif de tentatives de connexion à un serveur de destination. Cela peut indiquer une attaque par force brute. Le serveur peut être compromis par un acteur malveillant.

Seuil : 100 tentatives de connexion en 1 minute
Élevé Authentification Tactique :
- Mouvement latéral

Techniques :
- T0812 : Informations d’identification par défaut
- T0806 : E/S de force brute
Impossible d’apprendre
Analyse PLC détectée Un appareil source a été détecté des périphériques réseau effectuant une analyse. Cet appareil n’est pas autorisé en tant qu’appareil d’analyse réseau.

Seuil : 10 analyses en 2 minutes
Élevé Analyser Tactique :
-Découverte

Techniques :
- T0842 : détection du réseau
Learnable
Analyse de port détectée Un appareil source a été détecté des périphériques réseau effectuant une analyse. Cet appareil n’est pas autorisé en tant qu’appareil d’analyse réseau.

Seuil : 25 analyses en 2 minutes
Élevé Analyser Tactique :
-Découverte

Techniques :
- T0842 : détection du réseau
Learnable
Longueur de message inattendue L’appareil source a envoyé un message anormal. Cette alerte peut indiquer une tentative d’attaque de l’appareil de destination.

Seuil : longueur du texte - 32768
Élevé Comportement de communication anormal Tactique :
- InitialAccess
- LateralMovement

Techniques :
- T0869 : exploitation des services distants
Impossible d’apprendre
Trafic inattendu pour un port standard * Du trafic a été détecté sur un appareil à l’aide d’un port réservé pour un autre protocole. Moyenne Comportement de communication anormal Tactique :
- Commande et contrôle
-Découverte

Techniques :
- T0869 : Protocole de couche d’application standard
- T0842 : détection du réseau
Impossible d’apprendre

Alertes du moteur de violation de protocole

Les alertes du moteur de protocole décrivent les écarts détectés dans la structure de paquets ou les valeurs de champs par rapport aux spécifications de protocole.

Titre Description Gravité Catégorie MITRE ATT&CK
Tactiques et techniques
Learnable
Nombre excessif de paquets incorrects dans une seule session * Nombre anormal de paquets mal formés envoyés de l’appareil source à l’appareil de destination. Cette alerte peut indiquer des communications erronées ou une tentative de manipulation de l’appareil ciblé.

Seuil : 2 paquets mal formés en 10 minutes
Moyenne Commandes non conformes Tactique :
- Contrôle des processus d’altération

Techniques :
- T0806 : E/S de force brute
Impossible d’apprendre
Mise à jour du microprogramme Un appareil source a envoyé une commande de mise à jour du microprogramme sur un appareil de destination. Vérifiez que les mises à jour récentes de la programmation, de la configuration et du microprogramme effectuées sur l’appareil de destination sont valides. Faible Modification du microprogramme Tactique :
- Empêcher la fonction de réponse
-Persistance

Techniques :
- T0857 : microprogramme système
Learnable
Code de fonction non pris en charge par une station à distance L’appareil de destination a reçu une demande non valide. Moyenne Commandes non conformes Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : message Commande non autorisée
Impossible d’apprendre
Message BACNet interdit L’appareil source a initié une demande non valide. Moyenne Commandes non conformes Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : Message de commande non autorisé
- T0836 : modifier le paramètre
Impossible d’apprendre
Tentative de connexion interdite sur le port 0 Un appareil source a tenté de se connecter à l’appareil de destination sur le port numéro zéro (0). Pour le protocole TCP, le port 0 est réservé et ne peut pas être utilisé. Pour le protocole UDP, le port est facultatif et la valeur 0 signifie aucun port. Il n’y a généralement aucun service sur un système qui écoute sur le port 0. Cet événement peut indiquer une tentative d’attaque de l’appareil de destination ou indiquer qu’une application a été mal programmée. Faible Commandes non conformes Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : Message de commande non autorisé
- T0836 : modifier le paramètre
Impossible d’apprendre
Opération DNP3 interdite L’appareil source a initié une demande non valide. Moyenne Commandes non conformes Tactique :
- Accès initial
- Mouvement latéral

Techniques :
- T0866 : exploitation des services distants
Impossible d’apprendre
Opération MODBUS interdite (exception déclenchée par le maître) L’appareil source a initié une demande non valide. Moyenne Commandes non conformes Tactique :
- Accès initial
- Mouvement latéral

Techniques :
- T0866 : exploitation des services distants
Impossible d’apprendre
Opération MODBUS interdite (code de fonction zéro) * L’appareil source a initié une demande non valide. Moyenne Commandes non conformes Tactique :
- Accès initial
- Mouvement latéral

Techniques :
- T0866 : exploitation des services distants
Impossible d’apprendre
Version de protocole interdite * L’appareil source a initié une demande non valide. Moyenne Commandes non conformes Tactique :
- Accès initial
- LateralMovement
- Contrôle des processus d’altération

Techniques :
- T0820 : Services distants
- T0836 : modifier le paramètre
Impossible d’apprendre
Paramètre incorrect envoyé à une station externe L’appareil de destination a reçu une demande non valide. Moyenne Commandes non conformes Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : Message de commande non autorisé
- T0836 : modifier le paramètre
Impossible d’apprendre
Lancement d’un code de fonction obsolète (Initialiser des données) L’appareil source a initié une demande non valide. Faible Commandes non conformes Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : message Commande non autorisée
Impossible d’apprendre
Lancement d’un code de fonction obsolète (Enregistrer la configuration) L’appareil source a initié une demande non valide. Faible Commandes non conformes Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : message Commande non autorisée
Impossible d’apprendre
Le maître a demandé une confirmation de la couche Application L’appareil source a initié une demande non valide. Faible Commandes non conformes Tactique :
- Commande et contrôle

Techniques :
- T0869 : protocole de couche Application Standard
Impossible d’apprendre
Exception Modbus Un appareil source (secondaire) a retourné une exception à un appareil de destination (principal). Moyenne Commandes non conformes Tactique :
- Empêcher la fonction de réponse

Techniques :
- T0814 : déni de service
Impossible d’apprendre
Un appareil esclave a reçu un type d’ASDU interdit L’appareil de destination a reçu une demande non valide. Moyenne Commandes non conformes Tactique :
- Contrôle des processus d’altération

Techniques :
- T0836 : modifier le paramètre
Impossible d’apprendre
Un appareil esclave a reçu une commande interdite à l’origine de la transmission L’appareil de destination a reçu une demande non valide. Moyenne Commandes non conformes Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : Message de commande non autorisé
- T0836 : modifier le paramètre
Impossible d’apprendre
Un appareil esclave a reçu une adresse courante interdite L’appareil de destination a reçu une demande non valide. Moyenne Commandes non conformes Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : Message de commande non autorisé
- T0836 : modifier le paramètre
Impossible d’apprendre
Un appareil esclave a reçu un paramètre d’adresse de données interdit * L’appareil de destination a reçu une demande non valide. Moyenne Commandes non conformes Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : Message de commande non autorisé
- T0836 : modifier le paramètre
Impossible d’apprendre
L’appareil esclave a reçu un paramètre de valeur de données interdit * L’appareil de destination a reçu une demande non valide. Moyenne Commandes non conformes Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : Message de commande non autorisé
- T0836 : modifier le paramètre
Impossible d’apprendre
Un appareil esclave a reçu un code de fonction interdit * L’appareil de destination a reçu une demande non valide. Moyenne Commandes non conformes Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : Message de commande non autorisé
- T0836 : modifier le paramètre
Impossible d’apprendre
Un appareil esclave a reçu une adresse d’objet d’information interdite L’appareil de destination a reçu une demande non valide. Moyenne Commandes non conformes Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : Message de commande non autorisé
- T0836 : modifier le paramètre
Impossible d’apprendre
Objet inconnu envoyé à une station à distance L’appareil de destination a reçu une demande non valide. Moyenne Commandes non conformes Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : message Commande non autorisée
Impossible d’apprendre
Utilisation d’un code de fonction réservé L’appareil source a initié une demande non valide. Moyenne Commandes non conformes Tactique :
- Contrôle des processus d’altération

Techniques :
- T0836 : modifier le paramètre
Impossible d’apprendre
Utilisation d’une mise en forme incorrecte par une station à distance * L’appareil source a initié une demande non valide. Faible Commandes non conformes Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : message Commande non autorisée
Impossible d’apprendre
Utilisation des indicateurs d’état réservés (IIN) Un appareil source DNP3 (station à distance) a utilisé l’indicateur interne réservé 2.6. Il est recommandé de vérifier la configuration de l’appareil. Faible Commandes non conformes Tactique :
- Contrôle des processus d’altération

Techniques :
- T0836 : modifier le paramètre
Impossible d’apprendre

Alertes du moteur de programme malveillant

Les alertes du moteur de programme malveillant décrivent l’activité réseau malveillante détectée.

Titre Description Gravité Catégorie MITRE ATT&CK
Tactiques et techniques
Learnable
Tentative de connexion à une adresse IP malveillante connue Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus.

Déclenchée par les capteurs réseau OT et IoT Entreprise.
Élevé Suspicion d’activité malveillante Tactique :
- Accès initial
- Commande et contrôle

Techniques :
- T0883 : Appareil accessible à Internet
- T0884 : proxy de connexion
Impossible d’apprendre
Message SMB non valide (implant de porte dérobée DoublePulsar) Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. Élevé Suspicion de programme malveillant Tactique :
- Accès initial
- LateralMovement

Techniques :
- T0866 : exploitation des services distants
Impossible d’apprendre
Demande malveillante de nom de domaine Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus.

Déclenchée par les capteurs réseau OT et IoT Entreprise.
Élevé Suspicion d’activité malveillante Tactique :
- Accès initial
- Commande et contrôle

Techniques :
- T0883 : Appareil accessible à Internet
- T0884 : proxy de connexion
Learnable
Chemin d’accès d’URL malveillant Une requête a été adressée à un chemin d’URL malveillant connu. Les demandes effectuées pour ce chemin d’URL peuvent indiquer que la source qui effectue la requête est compromise. Élevé Suspicion d’activité malveillante Tactique :
- Accès initial
- Commande et contrôle

Techniques :
- T0883 : Appareil accessible à Internet
- T0884 : proxy de connexion
Impossible d’apprendre
Fichier de test de programme malveillant détecté – Succès de l’antivirus EICAR Un fichier de test AV EICAR a été détecté dans le trafic entre deux appareils (sur n’importe quel transport, TCP ou UDP). Le fichier n’est pas un programme malveillant. Il permet de confirmer que le logiciel antivirus est correctement installé. Montrez ce qui se passe en cas de détection d’un virus et consultez les procédures internes et les réactions lors de la détection d’un virus. Le logiciel antivirus doit détecter EICAR comme s’il s’agissait d’un vrai virus. Élevé Suspicion d’activité malveillante Tactique :
-Découverte

Techniques :
- T0842 : détection du réseau
Impossible d’apprendre
Suspicion de programme malveillant Conficker Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. Moyenne Suspicion de programme malveillant Tactique :
- Accès initial
-Impact

Techniques :
- T0826 : Perte de disponibilité
- T0828 : Perte de productivité et de revenus
- T0847 : réplication via un média amovible
Impossible d’apprendre
Suspicion d’attaque par type déni de service Un appareil source a tenté d’initier un nombre excessif de nouvelles connexions à un appareil de destination. Cela peut indiquer une attaque par déni de service (DOS) contre l’appareil de destination, et peut interrompre la fonctionnalité de l’appareil, affecter les performances et la disponibilité du service, ou provoquer des erreurs irrécupérables.

Seuil : 3 000 tentatives de connexion en 1 minute
Élevé Suspicion d’activité malveillante Tactique :
- Empêcher la fonction de réponse

Techniques :
- T0814 : déni de service
Learnable
Suspicion d’activité malveillante Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui a déclenché des « indicateurs de compromission » connus. Les métadonnées d’alerte doivent être examinées par l’équipe de sécurité. Élevé Suspicion d’activité malveillante Tactique :
- Mouvement latéral

Techniques :
- T0867 : transfert d’outils latéral
Impossible d’apprendre
Suspicion d’activité malveillante (BlackEnergy) Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. Élevé Suspicion de programme malveillant Tactique :
- Commande et contrôle

Techniques :
- T0869 : protocole de couche Application Standard
Impossible d’apprendre
Suspicion d’activité malveillante (DarkComet) Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. Élevé Suspicion de programme malveillant Tactique :
-Impact

Techniques :
- T0882 : vol d’informations opérationnelles
Impossible d’apprendre
Suspicion d’activité malveillante (Duqu) Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. Élevé Suspicion de programme malveillant Tactique :
-Impact

Techniques :
- T0882 : vol d’informations opérationnelles
Impossible d’apprendre
Suspicion d’activité malveillante (Flame) Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. Élevé Suspicion de programme malveillant Tactique :
-Collection
-Impact

Techniques :
- T0882 : Vol d’informations opérationnelles
- T0811 : données des référentiels d’informations
Impossible d’apprendre
Suspicion d’activité malveillante (Havex) Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. Élevé Suspicion de programme malveillant Tactique :
-Collection
-Découverte
- Empêcher la fonction de réponse

Techniques :
- T0861 : Identification de point et d’étiquette
- T0846 : Découverte du système distant
- T0814 : déni de service
Impossible d’apprendre
Suspicion d’activité malveillante (Karagany) Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. Élevé Suspicion de programme malveillant Tactique :
-Impact

Techniques :
- T0882 : vol d’informations opérationnelles
Impossible d’apprendre
Suspicion d’activité malveillante (LightsOut) Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. Élevé Suspicion de programme malveillant Tactique :
-Évasion

Techniques :
- T0849 : mascarade
Impossible d’apprendre
Suspicion d’activité malveillante (Name Queries) Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus.

Seuil : 25 requêtes de noms en 1 minute
Élevé Suspicion d’activité malveillante Tactique :
- Commande et contrôle

Techniques :
- T0884 : proxy de connexion
Impossible d’apprendre
Suspicion d’activité malveillante (Poison Ivy) Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. Élevé Suspicion de programme malveillant Tactique :
- Accès initial
- Mouvement latéral

Techniques :
- T0866 : exploitation des services distants
Impossible d’apprendre
Suspicion d’activité malveillante (Regin) Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. Élevé Suspicion de programme malveillant Tactique :
- Accès initial
- Mouvement latéral
-Impact

Techniques :
- T0866 : Exploitation des services distants
- T0882 : vol d’informations opérationnelles
Impossible d’apprendre
Suspicion d’activité malveillante (Stuxnet) Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. Élevé Suspicion de programme malveillant Tactique :
- Accès initial
- Mouvement latéral
-Impact

Techniques :
- T0818 : Compromission de station de travail d’ingénierie
- T0866 : Exploitation des services distants
- T0831 : manipulation du contrôle
Impossible d’apprendre
Suspicion d’activité malveillante (WannaCry) * Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. Moyenne Suspicion de programme malveillant Tactique :
- Accès initial
- Mouvement latéral

Techniques :
- T0866 : Exploitation des services distants
- T0867 : transfert d’outils latéral
Impossible d’apprendre
Suspicion de programme malveillant NotPetya – Paramètres SMB interdits détectés Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. Élevé Suspicion de programme malveillant Tactique :
- Accès initial
- Mouvement latéral

Techniques :
- T0866 : exploitation des services distants
Impossible d’apprendre
Suspicion de programme malveillant NotPetya – Transaction SMB interdite détectée Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. Élevé Suspicion de programme malveillant Tactique :
- Mouvement latéral

Techniques :
- T0867 : transfert d’outils latéral
Impossible d’apprendre
Suspicion d’exécution de code à distance avec PsExec Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. Élevé Suspicion d’activité malveillante Tactique :
- Mouvement latéral
- Accès initial

Techniques :
- T0866 : exploitation des services distants
Impossible d’apprendre
Suspicion de gestion à distance du service Windows * Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. Élevé Suspicion d’activité malveillante Tactique :
- Accès initial

Techniques :
- T0822 : services distants NetworkExternal
Impossible d’apprendre
Fichier exécutable suspect détecté sur un point de terminaison Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui exploite une méthode utilisée par des programmes malveillants connus. Élevé Suspicion d’activité malveillante Tactique :
-Évasion
- Empêcher la fonction de réponse

Techniques :
- T0851 : rootkit
Learnable
Trafic suspect détecté * Une activité réseau suspecte a été détectée. Cette activité peut être associée à une attaque qui a déclenché des « indicateurs de compromission » connus. Les métadonnées d’alerte doivent être examinées par l’équipe de sécurité Élevé Suspicion d’activité malveillante Tactique :
-Découverte

Techniques :
- T0842 : détection du réseau
Impossible d’apprendre
Activité de sauvegarde avec signatures antivirus Le trafic détecté entre l’appareil source et le serveur de sauvegarde de destination a déclenché cette alerte. Le trafic comprend la sauvegarde du logiciel antivirus qui peut contenir des signatures de programmes malveillants. Il s’agit très probablement d’une activité de sauvegarde légitime. Faible Sauvegarde Tactique :
-Impact

Techniques :
- T0882 : vol d’informations opérationnelles
Impossible d’apprendre

Alertes du moteur opérationnel

Les alertes du moteur opérationnel décrivent les incidents opérationnels détectés, ou les entités défectueuses.

Titre Description Gravité Catégorie MITRE ATT&CK
Tactiques et techniques
Learnable
Une commande S7 Stop PLC a été envoyée L’appareil source a envoyé une commande d’arrêt à un contrôleur de destination. Le contrôleur cesse de fonctionner jusqu’à ce qu’une commande de démarrage soit envoyée. Faible Commandes de redémarrage/arrêt Tactique :
- Mouvement latéral
- Évasion de défense
-Exécution
- Empêcher la fonction de réponse

Techniques :
- T0843 : Téléchargement du programme
- T0858 : Modifier le mode d’exploitation
- T0814 : déni de service
Impossible d’apprendre
Échec d’opération BACNet Un serveur a retourné un code d’erreur. Cette alerte indique une erreur de serveur ou une demande non valide d’un client. Medium Échecs de commande Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : message Commande non autorisée
Impossible d’apprendre
État de l’appareil MMS incorrect Un appareil de fabrication virtuelle (VMD) MMS a envoyé un message d’état. Le message indique que le serveur peut ne pas être configuré correctement, partiellement opérationnel ou non opérationnel du tout. Moyenne Problèmes opérationnels Tactique :
- Empêcher la fonction de réponse

Techniques :
- T0814 : déni de service
Impossible d’apprendre
Modification de configuration d’appareil * Une modification de configuration a été détectée sur un appareil source. Faible Modifications de configuration Tactique :
- Contrôle des processus d’altération

Techniques :
- T0836 : modifier le paramètre
Impossible d’apprendre
Dépassement continu de mémoire tampon des événements sur la station à distance * Un événement de dépassement de mémoire tampon a été détecté sur un appareil source. L’événement peut entraîner une altération des données, un plantage du programme ou l’exécution de code malveillant.

Seuil : 3 occurrences en 10 minutes
Moyenne Dépassement de capacité du tampon Tactique :
- Empêcher la fonction de réponse
- Contrôle des processus d’altération
-Persistance

Techniques :
- T0814 : Déni de service
- T0806 : E/S de force brute
- T0839 : microprogramme du module
Impossible d’apprendre
Réinitialisation du contrôleur Un appareil source a envoyé une commande de réinitialisation à un contrôleur de destination. Le contrôleur a cessé de fonctionner temporairement, puis a redémarré automatiquement. Faible Commandes de redémarrage/arrêt Tactique :
- Évasion de défense
-Exécution
- Empêcher la fonction de réponse

Techniques :
- T0858 : Modifier le mode d’exploitation
- T0814 : déni de service
Impossible d’apprendre
Arrêt du contrôleur L’appareil source a envoyé une commande d’arrêt à un contrôleur de destination. Le contrôleur cesse de fonctionner jusqu’à ce qu’une commande de démarrage soit envoyée. Faible Commandes de redémarrage/arrêt Tactique :
- Mouvement latéral
- Évasion de défense
-Exécution
- Empêcher la fonction de réponse

Techniques :
- T0843 : Téléchargement du programme
- T0858 : Modifier le mode d’exploitation
- T0814 : déni de service
Impossible d’apprendre
L’appareil n’a pas pu recevoir une adresse IP dynamique L’appareil source est configuré pour recevoir une adresse IP dynamique d’un serveur DHCP, mais n’a pas reçu d’adresse. Cela indique une erreur de configuration sur l’appareil ou une erreur opérationnelle sur le serveur DHCP. Il est recommandé d’informer l’administrateur réseau de l’incident Medium Échecs de commande Tactique :
-Découverte

Techniques :
- T0842 : détection du réseau
Impossible d’apprendre
Un appareil est soupçonné d’être déconnecté (ne répond pas) Un appareil source n’a pas répondu à une commande qui lui a été envoyée. Il a peut-être été déconnecté lorsque la commande a été envoyée.

Seuil : 8 tentatives de connexion en 5 minutes
Medium Sans réponse Tactique :
- Empêcher la fonction de réponse

Techniques :
- T0881 : arrêt de service
Impossible d’apprendre
Échec de la demande de service CIP EtherNet/IP Un serveur a retourné un code d’erreur. Cela indique une erreur de serveur ou une demande non valide d’un client. Moyenne Échecs de commande Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : message Commande non autorisée
Impossible d’apprendre
Échec de la commande du protocole d’encapsulation EtherNet/IP Un serveur a retourné un code d’erreur. Cela indique une erreur de serveur ou une demande non valide d’un client. Moyenne Échecs de commande Tactique :
-Collection

Techniques :
- T0801 : monitorer l’état du processus
Impossible d’apprendre
Dépassement de mémoire tampon des événements dans la station à distance Un événement de dépassement de mémoire tampon a été détecté sur un appareil source. L’événement peut entraîner une altération des données, un plantage du programme ou l’exécution de code malveillant. Moyenne Dépassement de capacité du tampon Tactique :
- Empêcher la fonction de réponse
- Contrôle des processus d’altération
-Persistance

Techniques :
- T0814 : Déni de service
- T0839 : microprogramme du module
Impossible d’apprendre
Une opération de sauvegarde attendue n’a pas eu lieu Une activité de transfert de sauvegarde ou de fichier attendue n’a pas eu lieu entre deux appareils. Cette alerte peut indiquer des erreurs dans le processus de sauvegarde/transfert de fichiers.

Seuil : 100 secondes
Moyenne Sauvegarde Tactique :
- Empêcher la fonction de réponse

Techniques :
- T0809 : destruction de données
Learnable
Échec de la commande GE SRTP Un serveur a retourné un code d’erreur. Cette alerte indique une erreur de serveur ou une demande non valide d’un client. Medium Échecs de commande Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : message Commande non autorisée
Impossible d’apprendre
Une commande GE SRTP Stop PLC a été envoyée L’appareil source a envoyé une commande d’arrêt à un contrôleur de destination. Le contrôleur cesse de fonctionner jusqu’à ce qu’une commande de démarrage soit envoyée. Faible Commandes de redémarrage/arrêt Tactique :
- Mouvement latéral
- Évasion de défense
-Exécution
- Empêcher la fonction de réponse

Techniques :
- T0843 : Téléchargement du programme
- T0858 : Modifier le mode d’exploitation
- T0814 : déni de service
Impossible d’apprendre
Le bloc de contrôle GOOSE nécessite une configuration supplémentaire Un appareil source a envoyé un message GOOSE indiquant que l’appareil doit être mis en service. Cela signifie que le bloc de contrôle GOOSE requiert une configuration supplémentaire et que des messages GOOSE sont partiellement ou totalement non opérationnels. Moyenne Modifications de configuration Tactique :
- Contrôle des processus d’altération
- Empêcher la fonction de réponse

Techniques :
- T0803 : Bloquer le message de commande
- T0821 : modifier les tâches du contrôleur
Impossible d’apprendre
La configuration du jeu de données GOOSE a été modifiée * Un jeu de données de message (identifié par un ID de protocole) a été modifié sur un appareil source. Cela signifie que l’appareil signale un jeu de données différent pour ce message. Faible Modifications de configuration Tactique :
- Contrôle des processus d’altération

Techniques :
- T0836 : modifier le paramètre
Impossible d’apprendre
État inattendu du contrôleur Honeywell Un contrôleur Honeywell a envoyé un message de diagnostic inattendu indiquant un changement d’état. Faible Problèmes opérationnels Tactique :
-Évasion
-Exécution

Techniques :
- T0858 : modifier le mode d’exploitation
Impossible d’apprendre
Erreur de client HTTP * L’appareil source a initié une demande non valide. Faible Comportement de communication HTTP anormal Tactique :
- Commande et contrôle

Techniques :
- T0869 : protocole de couche Application Standard
Impossible d’apprendre
Adresse IP interdite Le système a détecté du trafic entre un appareil source et une adresse IP qui n’est pas valide. Cela peut indiquer une configuration incorrecte ou une tentative de générer du trafic illégal. Faible Comportement de communication anormal Tactique :
-Découverte
- Contrôle des processus d’altération

Techniques :
- T0842 : Sniffing réseau
- T0836 : modifier le paramètre
Impossible d’apprendre
Erreur d’authentification maître-esclave Le processus d’authentification entre un appareil source DNP3 (principal) et un appareil de destination (station à distance) a échoué. Faible Authentification Tactique :
- Mouvement latéral
-Persistance

Techniques :
- T0859 : comptes valides
Impossible d’apprendre
Échec de demande de service MMS Un serveur a retourné un code d’erreur. Cela indique une erreur de serveur ou une demande non valide d’un client. Moyenne Échecs de commande Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : message Commande non autorisée
Impossible d’apprendre
Aucun trafic détecté sur l’interface d’un capteur Un capteur a cessé de détecter le trafic réseau sur une interface réseau. Élevé Trafic de capteur Tactique :
- Empêcher la fonction de réponse

Techniques :
- T0881 : arrêt de service
Impossible d’apprendre
Le serveur OPC UA a déclenché un événement nécessitant l’attention de l’utilisateur Un serveur OPC UA a envoyé une notification d’événement à un client. Ce type d’événement requiert l’attention de l’utilisateur Moyenne Problèmes opérationnels Tactique :
- Empêcher la fonction de réponse

Techniques :
- T0838 : modifier les paramètres d’alarme
Impossible d’apprendre
Échec de demande de service OPC UA Un serveur a retourné un code d’erreur. Cela indique une erreur de serveur ou une demande non valide d’un client. Moyenne Échecs de commande Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : message Commande non autorisée
Impossible d’apprendre
Station à distance redémarrée Un redémarrage à froid a été détecté sur un appareil source. Cela signifie que l’appareil a été physiquement éteint, puis rallumé. Faible Commandes de redémarrage/arrêt Tactique :
- Empêcher la fonction de réponse

Techniques :
- T0816 : redémarrage/arrêt de l’appareil
Impossible d’apprendre
Redémarrages fréquents de station à distance Un nombre excessif de redémarrages à froid a été détecté sur un appareil source. Cela signifie que l’appareil a été physiquement éteint, puis rallumé un nombre excessif de fois.

Seuil : 2 redémarrages en 10 minutes
Faible Commandes de redémarrage/arrêt Tactique :
- Empêcher la fonction de réponse

Techniques :
- T0814 : Déni de service
- T0816 : redémarrage/arrêt de l’appareil
Impossible d’apprendre
Configuration de station à distance modifiée Une modification de configuration a été détectée sur un appareil source. Moyenne Modifications de configuration Tactique :
- Empêcher la fonction de réponse
-Persistance

Techniques :
- T0857 : microprogramme système
Impossible d’apprendre
Configuration corrompue de station à distance détectée Cet appareil source DNP3 (station à distance) a signalé une configuration corrompue. Medium Modifications de configuration Tactique :
- Empêcher la fonction de réponse

Techniques :
- T0809 : destruction de données
Impossible d’apprendre
Échec de commande DCP Profinet Un serveur a retourné un code d’erreur. Cela indique une erreur de serveur ou une demande non valide d’un client. Moyenne Échecs de commande Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : message Commande non autorisée
Impossible d’apprendre
Réinitialisation aux paramètres d’usine d’un appareil Profinet Un appareil source a envoyé une commande de réinitialisation aux paramètres d’usine à un appareil de destination Profinet. La commande de réinitialisation efface les configurations de l’appareil Profinet et arrête celui-ci. Faible Commandes de redémarrage/arrêt Tactique :
- Évasion de défense
-Exécution
- Empêcher la fonction de réponse

Techniques :
- T0858 : Modifier le mode d’exploitation
- T0814 : déni de service
Impossible d’apprendre
Échec d’opération RPC * Un serveur a retourné un code d’erreur. Cette alerte indique une erreur de serveur ou une demande non valide d’un client. Medium Échecs de commande Tactique :
- Contrôle des processus d’altération

Techniques :
- T0855 : message Commande non autorisée
Impossible d’apprendre
La configuration du jeu de données du message des valeurs échantillonnées a été modifiée * Un jeu de données de message (identifié par un ID de protocole) a été modifié sur un appareil source. Cela signifie que l’appareil signale un jeu de données différent pour ce message. Faible Modifications de configuration Tactique :
- Contrôle des processus d’altération

Techniques :
- T0836 : modifier le paramètre
Impossible d’apprendre
Échec irrécupérable d’appareil esclave * Une erreur de condition irrécupérable a été détectée sur un appareil source. Ce type d’erreur indique généralement une défaillance matérielle ou un échec d’exécution d’une commande spécifique. Moyenne Échecs de commande Tactique :
- Empêcher la fonction de réponse

Techniques :
- T0814 : déni de service
Impossible d’apprendre
Suspicion de problèmes matériels dans une station à distance Une erreur de condition irrécupérable a été détectée sur un appareil source. Ce type d’erreur indique généralement une défaillance matérielle ou un échec d’exécution d’une commande spécifique. Medium Problèmes opérationnels Tactique :
- Empêcher la fonction de réponse

Techniques :
- T0814 : Déni de service
- T0881 : arrêt de service
Impossible d’apprendre
Suspicion d’appareil MODBUS ne répondant pas Un appareil source n’a pas répondu à une commande qui lui a été envoyée. Il a peut-être été déconnecté lorsque la commande a été envoyée.

Seuil : 1 réponse valide minimum pour un minimum de 3 requêtes dans un délai de 5 minutes
Faible Sans réponse Tactique :
- Empêcher la fonction de réponse

Techniques :
- T0881 : arrêt de service
Impossible d’apprendre
Trafic détecté sur l’interface d’un capteur Un capteur a repris la détection du trafic réseau sur une interface réseau. Faible Trafic de capteur Tactique :
-Découverte

Techniques :
- T0842 : détection du réseau
Impossible d’apprendre
Mode d’exploitation PLC modifié Le mode d’exploitation de ce PLC a changé. Le nouveau mode peut indiquer que le PLC n’est pas sécurisé. Laisser le PLC en mode d’exploitation non sécurisé peut permettre aux adversaires d’effectuer des activités malveillantes sur celui-ci, comme un téléchargement de programme. Si le PLC est compromis, les appareils et les processus qui interagissent avec celui-ci peuvent être affectés. Cela peut affecter la sécurité et la sécurité globales du système. Faible Modifications de configuration Tactique :
-Exécution
-Évasion

Techniques :
- T0858 : modifier le mode d’exploitation
Impossible d’apprendre

Étapes suivantes

Pour plus d’informations, consultez l’article suivant :