Condividi tramite


Informazioni di riferimento sugli avvisi di Microsoft Defender per IoT

Questo articolo fornisce un riferimento agli avvisi generati dai sensori di rete di Microsoft Defender per IoT, incluso un elenco di tutti i tipi di avviso e le descrizioni. Il riferimento mostra anche quali avvisi possono essere valutati come appresi o meno, per altre informazioni sullo stato appreso, vedere Stato degli avvisi e opzioni di valutazione. È possibile usare questo riferimento per eseguire il mapping degli avvisi nei playbook, definire regole di inoltro su un sensore di rete OT (Operational Technology) o altre attività personalizzate.

Avvisi OT disattivati per impostazione predefinita

Diversi avvisi vengono disattivati per impostazione predefinita, come indicato dagli asterischi (*) nelle tabelle seguenti. Gli utenti amministratori del sensore OT possono abilitare o disabilitare gli avvisi dalla pagina Supporto in un sensore di rete OT specifico.

Se si disattivano gli avvisi a cui si fa riferimento in altre posizioni, ad esempio le regole di inoltro degli avvisi, assicurarsi di aggiornare tali riferimenti in base alle esigenze.

Gravità degli avvisi

Gli avvisi di Defender per IoT usano i livelli di gravità seguenti:

Portale di Azure Sensore OT Descrizione
Alto Critico Indica un attacco dannoso che deve essere gestito immediatamente.
Medium Major Indica una minaccia di sicurezza importante da affrontare.
Basso Secondario, Avviso Indica una deviazione dal comportamento della baseline che potrebbe contenere una minaccia per la sicurezza o non contiene minacce per la sicurezza.

I livelli di gravità degli avvisi in questa pagina elencano la gravità, come illustrato nella portale di Azure.

Tipi di avviso supportati

Tipo di avviso Descrizione
Avvisi di violazione dei criteri Attivato quando il motore di violazione dei criteri rileva una deviazione dal traffico appreso in precedenza. Ad esempio:
- Viene rilevato un nuovo dispositivo.
- Viene rilevata una nuova configurazione in un dispositivo.
- Un dispositivo non definito come dispositivo di programmazione esegue una modifica di programmazione.
- Una versione del firmware modificata.
Avvisi relativi alle violazioni del protocollo Attivato quando il motore di violazione del protocollo rileva strutture di pacchetti o valori di campo che non sono conformi alla specifica del protocollo.
Avvisi operativi Attivato quando il motore operativo rileva gli eventi imprevisti operativi della rete o un malfunzionamento del dispositivo. Ad esempio, un dispositivo di rete è stato arrestato tramite un comando Stop PLC o un'interfaccia su un sensore ha arrestato il monitoraggio del traffico.
Avvisi relativi al malware Attivato quando il motore malware rileva attività di rete dannose. Ad esempio, il motore rileva un attacco noto, ad esempio Conficker.
Avvisi relativi alle anomalie Attivato quando il motore anomalie rileva una deviazione. Ad esempio, un dispositivo esegue analisi di rete, ma non è definito come dispositivo di analisi.

I criteri di rilevamento degli avvisi di Defender per IoT guidano i diversi motori di avviso per attivare gli avvisi in base all'impatto aziendale e al contesto di rete e ridurre gli avvisi correlati all'IT a basso valore. Per altre informazioni, vedere Avvisi focalizzati in ambienti OT/IT.

Categorie di avviso supportate

Ogni avviso ha una delle categorie seguenti:

  • Comportamento delle comunicazioni anomale
  • Comportamento anomalo della comunicazione HTTP
  • Autenticazione
  • Backup
  • Anomalie della larghezza di banda
  • Overflow del buffer
  • Errori dei comandi
  • Modifiche alla configurazione
  • Avvisi personalizzati
  • Individuazione
  • Modifica del firmware
  • Comandi non validi
  • Accesso a Internet
  • Errori dell'operazione
  • Problemi operativi
  • Programmazione
  • Accesso remoto
  • Comandi di riavvio/arresto
  • Scansione
  • Traffico del sensore
  • Sospetto di attività dannose
  • Sospetto di malware
  • Comportamento delle comunicazioni non autorizzate
  • Nessuna risposta

Avvisi del motore di criteri

Gli avvisi del motore di criteri descrivono le deviazioni rilevate dal comportamento di base appreso.

Posizione Descrizione Gravità Categoria MITRE ATT&CK
Tattiche e tecniche
Apprendibile
Software Beckhoff modificato Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata. Medio Modifica del firmware Tattiche:
- Inibire la funzione di risposta
-Persistenza

Tecniche:
- T0857: Firmware di sistema
Apprendibile
Accesso al database non riuscito È stato rilevato un tentativo di accesso non riuscito da un dispositivo di origine a un server di destinazione. Questo potrebbe essere il risultato di un errore umano, ma potrebbe anche indicare un tentativo dannoso di compromettere il server o i dati su di esso.

Soglia: 2 errori di accesso in 5 minuti
Medio Autenticazione Tattiche:
- Spostamento laterale
-Collezione

Tecniche:
- T0812: Credenziali predefinite
- T0811: dati dai repository di informazioni
Non imparabile
Versione firmware Di Emerson ROC modificata Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata. Medio Modifica del firmware Tattiche:
- Inibire la funzione di risposta
-Persistenza

Tecniche:
- T0857: Firmware di sistema
Apprendibile
Indirizzo esterno all'interno della rete comunicata con Internet Un dispositivo di origine definito come parte della rete comunica con gli indirizzi Internet. L'origine non è autorizzata a comunicare con gli indirizzi Internet. Alto Accesso a Internet Tattiche:
- Accesso iniziale

Tecniche:
- T0883: Dispositivo accessibile a Internet
Apprendibile
Dispositivo campo individuato in modo imprevisto È stato rilevato un nuovo dispositivo di origine in rete, ma non è autorizzato. Medio Individuazione Tattiche:
-Scoperta

Tecniche:
- T0842: Analisi della rete
Non imparabile
Rilevata modifica del firmware Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata. Medio Modifica del firmware Tattiche:
- Inibire la funzione di risposta
-Persistenza

Tecniche:
- T0857: Firmware di sistema
Non imparabile
Versione del firmware modificata Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata. Medio Modifica del firmware Tattiche:
- Inibire la funzione di risposta
-Persistenza

Tecniche:
- T0857: Firmware di sistema
Apprendibile
Operazione I/A Foxboro non autorizzata Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0836: Modifica parametro
Apprendibile
Accesso FTP non riuscito È stato rilevato un tentativo di accesso non riuscito da un dispositivo di origine a un server di destinazione. Questo avviso potrebbe essere il risultato dell'errore umano, ma potrebbe anche indicare un tentativo dannoso di compromettere il server o i dati su di esso. Medio Autenticazione Tattiche:
- Spostamento laterale
- Comando e controllo

Tecniche:
- T0812: Credenziali predefinite
- T0869: Protocollo di livello applicazione standard
Non imparabile
Codice funzione generato eccezione non autorizzata * Un dispositivo di origine (secondario) ha restituito un'eccezione a un dispositivo di destinazione (primario). Medio Errori dei comandi Tattiche:
- Inibire la funzione di risposta

Tecniche:
- T0835: Modifica immagine di I/O
Apprendibile
Impostazioni del tipo di messaggio GOOSE Le impostazioni del messaggio (identificate dall'ID protocollo) sono state modificate in un dispositivo di origine. Basso Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0836: Modifica parametro
Apprendibile
Versione del firmware Honeywell modificata Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata. Medio Modifica del firmware Tattiche:
- Inibire la funzione di risposta
-Persistenza

Tecniche:
- T0857: Firmware di sistema
Apprendibile
Comunicazione HTTP non valida * Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento anomalo della comunicazione HTTP Tattiche:
-Scoperta

Tecniche:
- T0846: Individuazione remota del sistema
Apprendibile
Accesso a Internet rilevato Un dispositivo di origine definito come parte della rete comunica con gli indirizzi Internet. L'origine non è autorizzata a comunicare con gli indirizzi Internet. Medio Accesso a Internet Tattiche:
- Accesso iniziale

Tecniche:
- T0883: Dispositivo accessibile a Internet
Apprendibile
Modifica della versione firmware di Firmware Di Frameworkishi Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata. Medio Modifica del firmware Tattiche:
- Inibire la funzione di risposta
-Persistenza

Tecniche:
- T0857: Firmware di sistema
Apprendibile
Violazione dell'intervallo di indirizzi Modbus Un dispositivo primario ha richiesto l'accesso a un nuovo indirizzo di memoria secondaria. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
-Scoperta

Tecniche:
- T0842: Analisi della rete
Apprendibile
Versione del firmware Modbus modificata Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata. Medio Modifica del firmware Tattiche:
- Inibire la funzione di risposta
-Persistenza

Tecniche:
- T0857: Firmware di sistema
Apprendibile
Nuova attività rilevata - Classe CIP Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
-Scoperta

Tecniche:
- T0888: Individuazione remota delle informazioni di sistema
Apprendibile
Nuova attività rilevata - Servizio classi CIP Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Inibire la funzione di risposta

Tecniche:
- T0836: Modifica parametro
Apprendibile
Nuova attività rilevata - Comando CIP PCCC Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Inibire la funzione di risposta

Tecniche:
- T0836: Modifica parametro
Apprendibile
Nuova attività rilevata - Simbolo CIP Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi
- Inibire la funzione di risposta

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0836: Modifica parametro
Apprendibile
Rilevata nuova attività - Connessione I/O EtherNet/IP Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
-Scoperta
- Inibire la funzione di risposta

Tecniche:
- T0846: Individuazione remota del sistema
- T0835: Modifica immagine di I/O
Apprendibile
Nuova attività rilevata - Comando protocollo EtherNet/IP Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Inibire la funzione di risposta

Tecniche:
- T0836: Modifica parametro
Apprendibile
Nuova attività rilevata - Codice messaggio GSM Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- CommandAndControl

Tecniche:
- T0869: Protocollo di livello applicazione standard
Apprendibile
Nuova attività rilevata - Codici di comando LonTalk Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
-Collezione
- Controllo dei processi compromessi

Tecniche:
- T0861 - Identificazione punto e tag
- T0855: Messaggio di comando non autorizzato
Apprendibile
Individuazione nuova porta Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Basso Individuazione Tattiche:
- Spostamento laterale

Tecniche:
- T0867: Trasferimento laterale degli strumenti
Apprendibile
Rilevata nuova attività - Variabile di rete LonTalk Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
Apprendibile
Rilevata nuova attività - Richiesta di dati di ovation Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
-Collezione
-Scoperta

Tecniche:
- T0801: Monitorare lo stato del processo
- T0888: Individuazione remota delle informazioni di sistema
Apprendibile
Rilevata nuova attività - Comando di lettura/scrittura (gruppo di indici AMS) Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Modifiche di configurazione Tattiche:
- Controllo dei processi compromessi
- Inibire la funzione di risposta

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0836: Modifica parametro
Apprendibile
Rilevata nuova attività - Comando di lettura/scrittura (offset dell'indice AMS) Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Modifiche di configurazione Tattiche:
- Controllo dei processi compromessi
- Inibire la funzione di risposta

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0836: Modifica parametro
Apprendibile
Nuova attività rilevata - Tipo di messaggio DeltaV non autorizzato Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi
-Esecuzione

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0821: Modifica attività controller
Apprendibile
Nuova attività rilevata - Operazione DeltaV ROC non autorizzata Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi
-Esecuzione

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0821: Modifica attività controller
Apprendibile
Nuova attività rilevata - Tipo di messaggio RPC non autorizzato Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
Apprendibile
Nuova attività rilevata - Uso del comando del protocollo AMS Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi
- Inibire la funzione di risposta
-Esecuzione

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0836: Modifica parametro
- T0821: Modifica attività controller
Apprendibile
Rilevata nuova attività - Uso del comando SiCAM di Siemens Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi
- Inibire la funzione di risposta

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0836: Modifica parametro
Apprendibile
Nuova attività rilevata - Uso del comando Suitelink Protocol Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi
- Inibire la funzione di risposta

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0836: Modifica parametro
Apprendibile
Rilevata nuova attività - Uso delle sessioni del protocollo Suitelink Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0836: Modifica parametro
Apprendibile
Rilevata nuova attività - Uso del comando VNetIP di Eseguigawa Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi
-Esecuzione

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0821: Modifica attività controller
Apprendibile
Rilevato nuovo asset È stato rilevato un nuovo dispositivo di origine in rete, ma non è autorizzato.

Questo avviso si applica ai dispositivi individuati nelle subnet OT. I nuovi dispositivi individuati nelle subnet IT non attivano un avviso.
Medio Individuazione Tattiche:
-Scoperta

Tecniche:
- T0842: Analisi della rete
Apprendibile
Nuova configurazione del dispositivo LLDP È stato rilevato un nuovo dispositivo di origine in rete, ma non è autorizzato. Medio Modifiche di configurazione Tattiche:
-Scoperta

Tecniche:
- T0842: Analisi della rete
Apprendibile
Comando Omron FINS non autorizzato Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0836: Modifica parametro
Apprendibile
Firmware S7 Plus PLC modificato Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata. Medio Modifica del firmware Tattiche:
- Inibire la funzione di risposta
-Persistenza

Tecniche:
- T0857: Firmware di sistema
Apprendibile
Impostazioni del tipo di messaggio di valori campionati Le impostazioni del messaggio (identificate dall'ID protocollo) sono state modificate in un dispositivo di origine. Basso Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0836: Modifica parametro
Non imparabile
Sospetto di analisi dell'integrità illegale * È stata rilevata un'analisi in un dispositivo di origine DNP3 (outstation). Questa analisi non è stata autorizzata come traffico appreso nella rete. Medio Scansione Tattiche:
-Scoperta

Tecniche:
- T0842: Analisi della rete
Apprendibile
Comando Non autorizzato del collegamento computer Di Toshiba Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Basso Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi
-Esecuzione

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0821: Modifica attività controller
Apprendibile
Operazione totale file ABB non autorizzata Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi
-Esecuzione

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0821: Modifica attività controller
Non imparabile
Operazione di registrazione totale totale ABB non autorizzata Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi
-Esecuzione

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0821: Modifica attività controller
Non imparabile
Accesso non autorizzato a Blocco dati Di Siemens S7 Un dispositivo di origine ha tentato di accedere a una risorsa in un altro dispositivo. Un tentativo di accesso a questa risorsa tra questi due dispositivi non è autorizzato come traffico appreso nella rete. Basso Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi
- Accesso iniziale

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0811: dati dai repository di informazioni
Apprendibile
Accesso non autorizzato all'oggetto Siemens S7 Plus Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi
-Esecuzione
- Inibire la funzione di risposta

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0821: Modifica attività controller
- T0809: Distruzione dei dati
Apprendibile
Accesso non autorizzato al tag Wonderware Un dispositivo di origine ha tentato di accedere a una risorsa in un altro dispositivo. Un tentativo di accesso a questa risorsa tra questi due dispositivi non è autorizzato come traffico appreso nella rete. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
-Collezione
- Controllo dei processi compromessi

Tecniche:
- T0861: Identificazione punto e tag
- T0855: Messaggio di comando non autorizzato
Apprendibile
Accesso a oggetti BACNet non autorizzato Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi
-Esecuzione

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0821: Modifica attività controller
Apprendibile
Route BACNet non autorizzata Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi
-Esecuzione

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0821: Modifica attività controller
Apprendibile
Accesso al database non autorizzato * È stato rilevato un tentativo di accesso tra un client di origine e un server di destinazione. La comunicazione tra questi dispositivi non è autorizzata come traffico appreso nella rete. Medio Autenticazione Tattiche:
- Spostamento laterale
-Persistenza
-Collezione

Tecniche:
- T0859: Account validi
- T0811: dati dai repository di informazioni
Apprendibile
Operazione di database non autorizzata Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni anomale Tattiche:
- Controllo dei processi compromessi
- Accesso iniziale

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0811: dati dai repository di informazioni
Apprendibile
Operazione ROC non autorizzata di Emerson Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi
-Esecuzione

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0821: Modifica attività controller
Apprendibile
Accesso ai file SRTP GE non autorizzato Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
-Collezione
- LateralMovement
-Persistenza

Tecniche:
- T0801: Monitorare lo stato del processo
- T0859: Account validi
Apprendibile
Comando del protocollo SRTP GE non autorizzato Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0821: Modifica attività controller
Apprendibile
Operazione di memoria di sistema GE SRTP non autorizzata Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
-Scoperta
- Controllo dei processi compromessi

Tecniche:
- T0846: Individuazione remota del sistema
- T0855: Messaggio di comando non autorizzato
Apprendibile
Attività HTTP non autorizzata Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento anomalo della comunicazione HTTP Tattiche:
- Accesso iniziale
- Comando e controllo

Tecniche:
- T0822: Servizi remoti esterni
- T0869: Protocollo di livello applicazione standard
Apprendibile
Azione SOAP HTTP non autorizzata * Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento anomalo della comunicazione HTTP Tattiche:
- Comando e controllo
-Esecuzione

Tecniche:
- T0869: Protocollo di livello applicazione standard
- T0871: esecuzione tramite API
Apprendibile
Agente utente HTTP non autorizzato * È stata rilevata un'applicazione non autorizzata in un dispositivo di origine. L'applicazione non è autorizzata come applicazione appresa nella rete. Medio Comportamento anomalo della comunicazione HTTP Tattiche:
- Comando e controllo

Tecniche:
- T0869: Protocollo di livello applicazione standard
Apprendibile
Rilevata connettività Internet non autorizzata Un dispositivo di origine definito come parte della rete comunica con gli indirizzi Internet. L'origine non è autorizzata a comunicare con gli indirizzi Internet. Alto Accesso a Internet Tattiche:
- Accesso iniziale

Tecniche:
- T0883: Dispositivo accessibile a Internet
Apprendibile
Comando MELSEC Non autorizzato Disasasociishi MELSEC Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi
-Esecuzione

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0821: Modifica attività controller
Apprendibile
Accesso al programma MMS non autorizzato Un dispositivo di origine ha tentato di accedere a una risorsa in un altro dispositivo. Un tentativo di accesso a questa risorsa tra questi due dispositivi non è autorizzato come traffico appreso nella rete. Medio Programmazione Tattiche:
- Controllo dei processi compromessi
-Esecuzione

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0821: Modifica attività controller
Apprendibile
Servizio MMS non autorizzato Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi
-Esecuzione

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0821: Modifica attività controller
Apprendibile
Connessione multicast/trasmissione non autorizzata È stata rilevata una connessione Multicast/Broadcast tra un dispositivo di origine e altri dispositivi. La comunicazione multicast/broadcast non è autorizzata. Alto Comportamento delle comunicazioni anomale Tattiche:
-Scoperta

Tecniche:
- T0842: Analisi della rete
Apprendibile
Query dei nomi non autorizzata Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni anomale Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0836: Modifica parametro
Non imparabile
Attività OPC UA non autorizzata Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0836: Modifica parametro
Apprendibile
Richiesta/risposta OPC UA non autorizzata Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0836: Modifica parametro
Apprendibile
Operazione non autorizzata rilevata da una regola definita dall'utente Il traffico è stato rilevato tra due dispositivi. Questa attività non è autorizzata, in base a una regola di avviso personalizzata definita da un utente. Medio Avvisi personalizzati Tattiche:
-Scoperta

Tecniche:
- T0842: Analisi della rete
Non imparabile
Lettura della configurazione DI PLC non autorizzata Il dispositivo di origine non è definito come dispositivo di programmazione, ma ha eseguito un'operazione di lettura/scrittura su un controller di destinazione. Le modifiche alla programmazione devono essere eseguite solo dai dispositivi di programmazione. In questo dispositivo potrebbe essere stata installata un'applicazione di programmazione. Basso Modifiche di configurazione Tattiche:
-Collezione

Tecniche:
- T0801: Monitorare lo stato del processo
Apprendibile
Scrittura configurazione PLC non autorizzata Il dispositivo di origine ha inviato un comando per leggere/scrivere il programma di un controller di destinazione. Questa attività non è stata vista in precedenza. Medio Modifiche di configurazione Tattiche:
- Controllo dei processi compromessi
-Persistenza
-Impatto

Tecniche:
- T0839: Firmware del modulo
- T0831: Manipolazione del controllo
- T0889: Modifica programma
Apprendibile
Caricamento del programma PLC non autorizzato Il dispositivo di origine ha inviato un comando per leggere/scrivere il programma di un controller di destinazione. Questa attività non è stata vista in precedenza. Medio Programmazione Tattiche:
- Controllo dei processi compromessi
-Persistenza
-Collezione

Tecniche:
- T0839: Firmware del modulo
- T0845: Caricamento del programma
Apprendibile
Programmazione PLC non autorizzata Il dispositivo di origine non è definito come dispositivo di programmazione, ma ha eseguito un'operazione di lettura/scrittura su un controller di destinazione. Le modifiche alla programmazione devono essere eseguite solo dai dispositivi di programmazione. In questo dispositivo potrebbe essere stata installata un'applicazione di programmazione. Alto Programmazione Tattiche:
- Controllo dei processi compromessi
-Persistenza
- Spostamento laterale

Tecniche:
- T0839: Firmware del modulo
- T0889: Modifica programma
- T0843: Download del programma
Apprendibile
Tipo di frame Profinet non autorizzato Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0836: Modifica parametro
Apprendibile
Comando S-Bus SAIA non autorizzato Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
Apprendibile
Esecuzione non autorizzata di Siemens S7 della funzione di controllo Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi
- Inibire la funzione di risposta

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0809: Distruzione dei dati
Apprendibile
Esecuzione non autorizzata di Siemens S7 della funzione definita dall'utente Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi
-Esecuzione

Tecniche:
- T0836: Modifica parametro
- T0863: Esecuzione utente
Apprendibile
Accesso non autorizzato di Siemens S7 Plus Blocca accesso Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Inibire la funzione di risposta
-Persistenza
-Esecuzione

Tecniche:
- T0803 - Blocca messaggio di comando
- T0889: Modifica programma
- T0821: Modifica attività controller
Apprendibile
Operazione Non autorizzata di Siemens S7 Plus Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi
-Esecuzione

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0863: Esecuzione utente
Apprendibile
Accesso SMB non autorizzato È stato rilevato un tentativo di accesso tra un client di origine e un server di destinazione. La comunicazione tra questi dispositivi non è autorizzata come traffico appreso nella rete. Medio Autenticazione Tattiche:
- Accesso iniziale
- Spostamento laterale
-Persistenza

Tecniche:
- T0886: Servizi remoti
- T0859: Account validi
Apprendibile
Operazione SNMP non autorizzata Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni anomale Tattiche:
-Scoperta
- Comando e controllo

Tecniche:
- T0842: Analisi della rete
- T0885: porta di uso comune
Apprendibile
Accesso SSH non autorizzato Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Accesso remoto Tattiche:
- InitialAccess
- Spostamento laterale
- Comando e controllo

Tecniche:
- T0886: Servizi remoti
- T0869: Protocollo di livello applicazione standard
Apprendibile
Processo Windows non autorizzato È stata rilevata un'applicazione non autorizzata in un dispositivo di origine. L'applicazione non è autorizzata come applicazione appresa nella rete. Medio Comportamento delle comunicazioni anomale Tattiche:
-Esecuzione
- Escalation dei privilegi
- Comando e controllo

Tecniche:
- T0841: Hooking
- T0885: porta di uso comune
Apprendibile
Servizio Windows non autorizzato È stata rilevata un'applicazione non autorizzata in un dispositivo di origine. L'applicazione non è autorizzata come applicazione appresa nella rete. Medio Comportamento delle comunicazioni anomale Tattiche:
- Accesso iniziale
- Spostamento laterale

Tecniche:
- T0866: Sfruttamento dei servizi remoti
Apprendibile
Operazione non autorizzata rilevata da una regola definita dall'utente Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri viola una regola definita dall'utente Medio Tattiche:
-Scoperta

Tecniche:
- T0842: Analisi della rete
Non imparabile
Unpermitted Modbus Schneider Electric Extension Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
Apprendibile
Utilizzo non generato dei tipi ASDU Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
Apprendibile
Utilizzo non eseguito del codice di funzione DNP3 Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0836: Modifica parametro
Apprendibile
Utilizzo non eseguito dell'indicazione interna (IIN) * Un dispositivo di origine DNP3 (outstation) ha segnalato un'indicazione interna (IIN) che non ha autorizzato come traffico appreso sulla rete. Medio Comandi non validi Tattiche:
-Scoperta

Tecniche:
- T0842: Analisi della rete
Apprendibile
Utilizzo non eseguito del codice della funzione Modbus Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. Medio Comportamento delle comunicazioni non autorizzate Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0836: Modifica parametro
Apprendibile

Avvisi del motore anomalie

Nota

Questo articolo contiene riferimenti al termine slave, che Microsoft non usa più. Quando il termine verrà rimosso dal software, verrà rimosso anche dall'articolo.

Gli avvisi del motore anomalie descrivono le anomalie rilevate nell'attività di rete.

Posizione Descrizione Gravità Categoria MITRE ATT&CK
Tattiche e tecniche
Apprendibile
Modello di eccezione anomalo in Slave * È stato rilevato un numero eccessivo di errori in un dispositivo di origine. Questo avviso potrebbe essere il risultato di un problema operativo.

Soglia: 20 eccezioni in 1 ora
Basso Comportamento delle comunicazioni anomale Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0806: I/O di forza bruta
Non imparabile
Lunghezza intestazione HTTP anomala * Il dispositivo di origine ha inviato un messaggio anomalo. Questo avviso potrebbe indicare un tentativo di attacco al dispositivo di destinazione. Alto Comportamento anomalo della comunicazione HTTP Tattiche:
- Accesso iniziale
- Spostamento laterale
- Comando e controllo

Tecniche:
- T0866: Sfruttamento dei servizi remoti
- T0869: Protocollo di livello applicazione standard
Apprendibile
Numero anomalo di parametri nell'intestazione HTTP * Il dispositivo di origine ha inviato un messaggio anomalo. Questo avviso potrebbe indicare un tentativo di attacco al dispositivo di destinazione. Alto Comportamento anomalo della comunicazione HTTP Tattiche:
- Accesso iniziale
- Spostamento laterale
- Comando e controllo

Tecniche:
- T0866: Sfruttamento dei servizi remoti
- T0869: Protocollo di livello applicazione standard
Apprendibile
Comportamento periodico anomalo nel canale di comunicazione È stata rilevata una modifica della frequenza di comunicazione tra i dispositivi di origine e di destinazione. Basso Comportamento delle comunicazioni anomale Tattiche:
-Scoperta

Tecniche:
- T0842: Analisi della rete
Apprendibile
Terminazione anomala delle applicazioni * È stato rilevato un numero eccessivo di comandi di arresto in un dispositivo di origine. Questo avviso potrebbe essere il risultato di un problema operativo o di un tentativo di modificare il dispositivo.

Soglia: 20 comandi di arresto in 3 ore
Medio Comportamento delle comunicazioni anomale Tattiche:
-Persistenza
-Impatto

Tecniche:
- T0889: Modifica programma
- T0831: Manipolazione del controllo
Apprendibile
Larghezza di banda del traffico anomala * È stata rilevata una larghezza di banda anomala in un canale. La larghezza di banda sembra essere inferiore/superiore a quella rilevata in precedenza. Per informazioni dettagliate, usare il widget Total Bandwidth .For details, work with the Total Bandwidth widget. Basso Anomalie della larghezza di banda Tattiche:
-Scoperta

Tecniche:
- T0842: Analisi della rete
Apprendibile
Larghezza di banda del traffico anomala tra dispositivi * È stata rilevata una larghezza di banda anomala in un canale. La larghezza di banda sembra essere inferiore/superiore a quella rilevata in precedenza. Per informazioni dettagliate, usare il widget Total Bandwidth .For details, work with the Total Bandwidth widget. Basso Anomalie della larghezza di banda Tattiche:
-Scoperta

Tecniche:
- T0842: Analisi della rete
Non imparabile
Analisi degli indirizzi rilevata È stato rilevato un dispositivo di origine che analizza i dispositivi di rete. Questo dispositivo non è autorizzato come dispositivo di analisi di rete.

Soglia: 50 connessioni alla stessa subnet della classe B in 2 minuti
Alto Scansione Tattiche:
-Scoperta

Tecniche:
- T0842: Analisi della rete
Apprendibile
Analisi degli indirizzi ARP rilevata * È stata rilevata un'analisi dei dispositivi di rete tramite il protocollo ARP (Address Resolution Protocol). Questo indirizzo del dispositivo non è autorizzato come indirizzo di analisi ARP valido.

Soglia: 40 analisi in 6 minuti
Alto Scansione Tattiche:
-Scoperta
-Collezione

Tecniche:
- T0842: Analisi della rete
- T0830: Uomo in mezzo
Apprendibile
ARP Spoofing * È stata rilevata una quantità anomala di pacchetti nella rete. Questo avviso potrebbe indicare un attacco, ad esempio uno spoofing ARP o un attacco di flood ICMP.

Soglia: 60 pacchetti in 1 minuto
Basso Comportamento delle comunicazioni anomale Tattiche:
-Collezione

Tecniche:
- T0830: Uomo in mezzo
Non imparabile
Tentativi di accesso eccessivi È stato rilevato un dispositivo di origine che esegue tentativi di accesso eccessivi a un server di destinazione. Questo avviso potrebbe indicare un attacco di forza bruta. Il server potrebbe essere compromesso da un attore malintenzionato.

Soglia: 20 tentativi di accesso in 1 minuto
Alto Autenticazione Tattiche:
- LateralMovement
- Controllo dei processi compromessi

Tecniche:
- T0812: Credenziali predefinite
- T0806: I/O di forza bruta
Non imparabile
Numero eccessivo di sessioni È stato rilevato un dispositivo di origine che esegue tentativi di accesso eccessivi a un server di destinazione. Questo potrebbe indicare un attacco di forza bruta. Il server potrebbe essere compromesso da un attore malintenzionato.

Soglia: 50 sessioni in 1 minuto
Alto Comportamento delle comunicazioni anomale Tattiche:
- Spostamento laterale
- Controllo dei processi compromessi

Tecniche:
- T0812: Credenziali predefinite
- T0806: I/O di forza bruta
Non imparabile
Frequenza di riavvio eccessiva di un'outstation * È stato rilevato un numero eccessivo di comandi di riavvio in un dispositivo di origine. Questi avvisi potrebbero essere il risultato di un problema operativo o di un tentativo di modificare il dispositivo.

Soglia: 10 riavvii in 1 ora
Medio Comandi di riavvio/arresto Tattiche:
- Inibire la funzione di risposta
- Controllo dei processi compromessi

Tecniche:
- T0814: Denial of Service
- T0806: I/O di forza bruta
Non imparabile
Tentativi di accesso SMB eccessivi È stato rilevato un dispositivo di origine che esegue tentativi di accesso eccessivi a un server di destinazione. Questo potrebbe indicare un attacco di forza bruta. Il server potrebbe essere compromesso da un attore malintenzionato.

Soglia: 10 tentativi di accesso in 10 minuti
Alto Autenticazione Tattiche:
-Persistenza
-Esecuzione
- LateralMovement

Tecniche:
- T0812: Credenziali predefinite
- T0853: Scripting
- T0859: Account validi
Non imparabile
Inondazione ICMP * È stata rilevata una quantità anomala di pacchetti nella rete. Questo avviso potrebbe indicare un attacco, ad esempio uno spoofing ARP o un attacco di flood ICMP.

Soglia: 60 pacchetti in 1 minuto
Basso Comportamento delle comunicazioni anomale Tattiche:
-Scoperta
-Collezione

Tecniche:
- T0842: Analisi della rete
- T0830: Uomo in mezzo
Non imparabile
Contenuto intestazione HTTP non valido * Il dispositivo di origine ha avviato una richiesta non valida. Alto Comportamento anomalo della comunicazione HTTP Tattiche:
- Accesso iniziale
- LateralMovement

Tecniche:
- T0866: Sfruttamento dei servizi remoti
Non imparabile
Canale di comunicazione inattivo * Un canale di comunicazione tra due dispositivi è inattivo durante un periodo in cui l'attività viene in genere osservata. Ciò potrebbe indicare che il programma che genera questo traffico è stato modificato o che il programma potrebbe non essere disponibile. È consigliabile esaminare la configurazione del programma installato e verificare che sia configurato correttamente.

Soglia: 1 minuto
Basso Nessuna risposta Tattiche:
- Inibire la funzione di risposta

Tecniche:
- T0881: Arresto del servizio
Non imparabile
Rilevata analisi degli indirizzi con durata prolungata * È stato rilevato un dispositivo di origine che analizza i dispositivi di rete. Questo dispositivo non è autorizzato come dispositivo di analisi di rete.

Soglia: 50 connessioni alla stessa subnet della classe B in 10 minuti
Alto Scansione Tattiche:
-Scoperta

Tecniche:
- T0842: Analisi della rete
Apprendibile
Tentativo di indovinamento delle password rilevato È stato rilevato un dispositivo di origine che esegue tentativi di accesso eccessivi a un server di destinazione. Questo potrebbe indicare un attacco di forza bruta. Il server potrebbe essere compromesso da un attore malintenzionato.

Soglia: 100 tentativi in 1 minuto
Alto Autenticazione Tattiche:
- Spostamento laterale

Tecniche:
- T0812: Credenziali predefinite
- T0806: I/O di forza bruta
Non imparabile
Rilevato controllo PLC È stato rilevato un dispositivo di origine che analizza i dispositivi di rete. Questo dispositivo non è autorizzato come dispositivo di analisi di rete.

Soglia: 10 analisi in 2 minuti
Alto Scansione Tattiche:
-Scoperta

Tecniche:
- T0842: Analisi della rete
Apprendibile
Rilevamento dell'analisi delle porte È stato rilevato un dispositivo di origine che analizza i dispositivi di rete. Questo dispositivo non è autorizzato come dispositivo di analisi di rete.

Soglia: 25 analisi in 2 minuti
Alto Scansione Tattiche:
-Scoperta

Tecniche:
- T0842: Analisi della rete
Apprendibile
Lunghezza imprevista del messaggio Il dispositivo di origine ha inviato un messaggio anomalo. Questo avviso potrebbe indicare un tentativo di attacco al dispositivo di destinazione.

Soglia: lunghezza del testo - 32768
Alto Comportamento delle comunicazioni anomale Tattiche:
- InitialAccess
- LateralMovement

Tecniche:
- T0869: Sfruttamento di Servizi remoti
Non imparabile
Traffico imprevisto per la porta Standard * Il traffico è stato rilevato in un dispositivo usando una porta riservata per un altro protocollo. Medio Comportamento delle comunicazioni anomale Tattiche:
- Comando e controllo
-Scoperta

Tecniche:
- T0869: Protocollo di livello applicazione standard
- T0842: Analisi della rete
Non imparabile

Avvisi del motore di violazione del protocollo

Gli avvisi del motore di protocollo descrivono le deviazioni rilevate nella struttura dei pacchetti o i valori dei campi rispetto alle specifiche del protocollo.

Posizione Descrizione Gravità Categoria MITRE ATT&CK
Tattiche e tecniche
Apprendibile
Pacchetti in formato non valido eccessivo in una singola sessione * Numero anomalo di pacchetti in formato non valido inviati dal dispositivo di origine al dispositivo di destinazione. Questo avviso potrebbe indicare comunicazioni errate o un tentativo di modificare il dispositivo di destinazione.

Soglia: 2 pacchetti in formato non valido in 10 minuti
Medio Comandi non validi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0806: I/O di forza bruta
Non imparabile
Aggiornamento del firmware Un dispositivo di origine ha inviato un comando per aggiornare il firmware in un dispositivo di destinazione. Verificare che gli aggiornamenti recenti di programmazione, configurazione e firmware eseguiti nel dispositivo di destinazione siano validi. Basso Modifica del firmware Tattiche:
- Inibire la funzione di risposta
-Persistenza

Tecniche:
- T0857: Firmware di sistema
Apprendibile
Codice della funzione non supportato da Outstation Il dispositivo di destinazione ha ricevuto una richiesta non valida. Medio Comandi non validi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
Non imparabile
Messaggio BACNet non valido Il dispositivo di origine ha avviato una richiesta non valida. Medio Comandi non validi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0836: Modifica parametro
Non imparabile
Tentativo di connessione non valido sulla porta 0 Un dispositivo di origine ha tentato di connettersi al dispositivo di destinazione sul numero di porta zero (0). Per TCP, la porta 0 è riservata e non può essere usata. Per UDP, la porta è facoltativa e il valore 0 indica che non è presente alcuna porta. In genere non esiste alcun servizio in un sistema in ascolto sulla porta 0. Questo evento potrebbe indicare un tentativo di attaccare il dispositivo di destinazione o indicare che un'applicazione è stata programmata in modo non corretto. Basso Comandi non validi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0836: Modifica parametro
Non imparabile
Operazione DNP3 non valida Il dispositivo di origine ha avviato una richiesta non valida. Medio Comandi non validi Tattiche:
- Accesso iniziale
- Spostamento laterale

Tecniche:
- T0866: Sfruttamento dei servizi remoti
Non imparabile
Operazione MODBUS non valida (eccezione generata dal master) Il dispositivo di origine ha avviato una richiesta non valida. Medio Comandi non validi Tattiche:
- Accesso iniziale
- Spostamento laterale

Tecniche:
- T0866: Sfruttamento dei servizi remoti
Non imparabile
Operazione MODBUS non valida (codice funzione zero) * Il dispositivo di origine ha avviato una richiesta non valida. Medio Comandi non validi Tattiche:
- Accesso iniziale
- Spostamento laterale

Tecniche:
- T0866: Sfruttamento dei servizi remoti
Non imparabile
Versione del protocollo non valida * Il dispositivo di origine ha avviato una richiesta non valida. Medio Comandi non validi Tattiche:
- Accesso iniziale
- LateralMovement
- Controllo dei processi compromessi

Tecniche:
- T0820: Servizi remoti
- T0836: Modifica parametro
Non imparabile
Parametro errato inviato a outstation Il dispositivo di destinazione ha ricevuto una richiesta non valida. Medio Comandi non validi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0836: Modifica parametro
Non imparabile
Avvio di un codice di funzione obsoleto (inizializzazione dei dati) Il dispositivo di origine ha avviato una richiesta non valida. Basso Comandi non validi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
Non imparabile
Avvio di un codice funzione obsoleto (salva configurazione) Il dispositivo di origine ha avviato una richiesta non valida. Basso Comandi non validi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
Non imparabile
Master ha richiesto una conferma del livello applicazione Il dispositivo di origine ha avviato una richiesta non valida. Basso Comandi non validi Tattiche:
- Comando e controllo

Tecniche:
- T0869: Protocollo di livello applicazione standard
Non imparabile
Eccezione Modbus Un dispositivo di origine (secondario) ha restituito un'eccezione a un dispositivo di destinazione (primario). Medio Comandi non validi Tattiche:
- Inibire la funzione di risposta

Tecniche:
- T0814: Denial of Service
Non imparabile
Tipo ASDU illegale ricevuto dal dispositivo slave Il dispositivo di destinazione ha ricevuto una richiesta non valida. Medio Comandi non validi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0836: Modifica parametro
Non imparabile
Il dispositivo slave ha ricevuto un comando illegale causa di trasmissione Il dispositivo di destinazione ha ricevuto una richiesta non valida. Medio Comandi non validi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0836: Modifica parametro
Non imparabile
Il dispositivo slave ha ricevuto un indirizzo comune non valido Il dispositivo di destinazione ha ricevuto una richiesta non valida. Medio Comandi non validi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0836: Modifica parametro
Non imparabile
Parametro indirizzo dati non valido ricevuto dal dispositivo Slave * Il dispositivo di destinazione ha ricevuto una richiesta non valida. Medio Comandi non validi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0836: Modifica parametro
Non imparabile
Parametro Valore dati non valido ricevuto dal dispositivo Slave * Il dispositivo di destinazione ha ricevuto una richiesta non valida. Medio Comandi non validi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0836: Modifica parametro
Non imparabile
Codice di funzione illegale ricevuto dal dispositivo Slave * Il dispositivo di destinazione ha ricevuto una richiesta non valida. Medio Comandi non validi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0836: Modifica parametro
Non imparabile
Indirizzo dell'oggetto informazioni non valido ricevuto dal dispositivo Slave Il dispositivo di destinazione ha ricevuto una richiesta non valida. Medio Comandi non validi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
- T0836: Modifica parametro
Non imparabile
Oggetto sconosciuto inviato a outstation Il dispositivo di destinazione ha ricevuto una richiesta non valida. Medio Comandi non validi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
Non imparabile
Utilizzo di un codice di funzione riservata Il dispositivo di origine ha avviato una richiesta non valida. Medio Comandi non validi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0836: Modifica parametro
Non imparabile
Utilizzo di formattazione non corretta per outstation * Il dispositivo di origine ha avviato una richiesta non valida. Basso Comandi non validi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
Non imparabile
Utilizzo dei flag di stato riservati (IIN) Un dispositivo di origine DNP3 (outstation) ha usato l'indicatore interno riservato 2.6. È consigliabile controllare la configurazione del dispositivo. Basso Comandi non validi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0836: Modifica parametro
Non imparabile

Avvisi del motore malware

Gli avvisi del motore malware descrivono le attività di rete dannose rilevate.

Posizione Descrizione Gravità Categoria MITRE ATT&CK
Tattiche e tecniche
Apprendibile
Tentativo di connessione a IP dannoso noto È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.

Attivato sia dai sensori di rete OT che da enterprise IoT.
Alto Sospetto di attività dannose Tattiche:
- Accesso iniziale
- Comando e controllo

Tecniche:
- T0883: Dispositivo accessibile a Internet
- T0884: Proxy di connessione
Non imparabile
Messaggio SMB non valido (impianto backdoor DoublePulsar) È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Alto Sospetto di malware Tattiche:
- Accesso iniziale
- LateralMovement

Tecniche:
- T0866: Sfruttamento dei servizi remoti
Non imparabile
Richiesta di nome di dominio dannosa È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.

Attivato sia dai sensori di rete OT che da enterprise IoT.
Alto Sospetto di attività dannose Tattiche:
- Accesso iniziale
- Comando e controllo

Tecniche:
- T0883: Dispositivo accessibile a Internet
- T0884: Proxy di connessione
Apprendibile
Percorso URL dannoso È stata effettuata una richiesta a un percorso URL dannoso noto. Le richieste effettuate per questo percorso URL possono indicare che l'origine che effettua la richiesta è compromessa. Alto Sospetto di attività dannose Tattiche:
- Accesso iniziale
- Comando e controllo

Tecniche:
- T0883: Dispositivo accessibile a Internet
- T0884: Proxy di connessione
Non imparabile
Rilevato file di test malware - EICAR AV Success È stato rilevato un file di test EICAR AV nel traffico tra due dispositivi (su qualsiasi trasporto - TCP o UDP). Il file non è malware. Viene usato per verificare che il software antivirus sia installato correttamente. Dimostrare cosa accade quando viene trovato un virus, e controllare le procedure interne e le reazioni quando viene trovato un virus. Il software antivirus dovrebbe rilevare EICAR come se fosse un vero virus. Alto Sospetto di attività dannose Tattiche:
-Scoperta

Tecniche:
- T0842: Analisi della rete
Non imparabile
Sospetto di Malware Conficker È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Medio Sospetto di malware Tattiche:
- Accesso iniziale
-Impatto

Tecniche:
- T0826: perdita di disponibilità
- T0828: perdita di produttività e ricavi
- T0847: replica tramite supporti rimovibili
Non imparabile
Sospetto di attacco Denial of Service Un dispositivo di origine ha tentato di avviare un numero eccessivo di nuove connessioni a un dispositivo di destinazione. Ciò potrebbe indicare un attacco Denial Of Service (DOS) contro il dispositivo di destinazione e potrebbe interrompere la funzionalità del dispositivo, influire sulla disponibilità delle prestazioni e del servizio o causare errori irreversibili.

Soglia: 3000 tentativi in 1 minuto
Alto Sospetto di attività dannose Tattiche:
- Inibire la funzione di risposta

Tecniche:
- T0814: Denial of Service
Apprendibile
Sospetto di attività dannose È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che ha attivato "Indicatori di compromissione" (IOC). I metadati degli avvisi devono essere esaminati dal team di sicurezza. Alto Sospetto di attività dannose Tattiche:
- Spostamento laterale

Tecniche:
- T0867: Trasferimento laterale degli strumenti
Non imparabile
Sospetto di attività dannose (Black Behalf) È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Alto Sospetto di malware Tattiche:
- Comando e controllo

Tecniche:
- T0869: Protocollo di livello applicazione standard
Non imparabile
Sospetto di attività dannose (DarkComet) È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Alto Sospetto di malware Tattiche:
-Impatto

Tecniche:
- T0882: Furto di informazioni operative
Non imparabile
Sospetto di attività dannose (Duqu) È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Alto Sospetto di malware Tattiche:
-Impatto

Tecniche:
- T0882: Furto di informazioni operative
Non imparabile
Sospetto di attività dannose (fiamma) È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Alto Sospetto di malware Tattiche:
-Collezione
-Impatto

Tecniche:
- T0882: Furto di informazioni operative
- T0811: dati dai repository di informazioni
Non imparabile
Sospetto di attività dannose (Havex) È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Alto Sospetto di malware Tattiche:
-Collezione
-Scoperta
- Inibire la funzione di risposta

Tecniche:
- T0861: Identificazione punto e tag
- T0846: Individuazione remota del sistema
- T0814: Denial of Service
Non imparabile
Sospetto di attività dannose (Karagany) È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Alto Sospetto di malware Tattiche:
-Impatto

Tecniche:
- T0882: Furto di informazioni operative
Non imparabile
Sospetto di attività dannose (LightsOut) È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Alto Sospetto di malware Tattiche:
-Evasione

Tecniche:
- T0849: Mascheramento
Non imparabile
Sospetto di attività dannose (query nome) È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.

Soglia: 25 query dei nomi in 1 minuto
Alto Sospetto di attività dannose Tattiche:
- Comando e controllo

Tecniche:
- T0884: Proxy di connessione
Non imparabile
Sospetto di attività dannose (ivy veleno) È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Alto Sospetto di malware Tattiche:
- Accesso iniziale
- Spostamento laterale

Tecniche:
- T0866: Sfruttamento dei servizi remoti
Non imparabile
Sospetto di attività dannose (Regin) È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Alto Sospetto di malware Tattiche:
- Accesso iniziale
- Spostamento laterale
-Impatto

Tecniche:
- T0866: Sfruttamento dei servizi remoti
- T0882: Furto di informazioni operative
Non imparabile
Sospetto di attività dannose (Stuxnet) È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Alto Sospetto di malware Tattiche:
- Accesso iniziale
- Spostamento laterale
-Impatto

Tecniche:
- T0818: Compromissione della workstation di progettazione
- T0866: Sfruttamento dei servizi remoti
- T0831: Manipolazione del controllo
Non imparabile
Sospetto di attività dannose (WannaCry) * È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Medio Sospetto di malware Tattiche:
- Accesso iniziale
- Spostamento laterale

Tecniche:
- T0866: Sfruttamento dei servizi remoti
- T0867: Trasferimento laterale degli strumenti
Non imparabile
Sospetto di malware NotPetya - Rilevati parametri SMB illegali È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Alto Sospetto di malware Tattiche:
- Accesso iniziale
- Spostamento laterale

Tecniche:
- T0866: Sfruttamento dei servizi remoti
Non imparabile
Sospetto di malware NotPetya - Transazione SMB illegale rilevata È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Alto Sospetto di malware Tattiche:
- Spostamento laterale

Tecniche:
- T0867: Trasferimento laterale degli strumenti
Non imparabile
Sospetto di esecuzione di codice remoto con PsExec È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Alto Sospetto di attività dannose Tattiche:
- Spostamento laterale
- Accesso iniziale

Tecniche:
- T0866: Sfruttamento dei servizi remoti
Non imparabile
Sospetto di gestione dei servizi Windows remoti * È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Alto Sospetto di attività dannose Tattiche:
- Accesso iniziale

Tecniche:
- T0822: NetworkExternal Remote Services
Non imparabile
Rilevato file eseguibile sospetto nell'endpoint È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Alto Sospetto di attività dannose Tattiche:
-Evasione
- Inibire la funzione di risposta

Tecniche:
- T0851: Rootkit
Apprendibile
Rilevato traffico sospetto * È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che ha attivato "Indicatori di compromissione" (IOC). I metadati degli avvisi devono essere esaminati dal team di sicurezza Alto Sospetto di attività dannose Tattiche:
-Scoperta

Tecniche:
- T0842: Analisi della rete
Non imparabile
Attività di backup con firme antivirus Il traffico rilevato tra il dispositivo di origine e il server di backup di destinazione ha attivato questo avviso. Il traffico include il backup del software antivirus che potrebbe contenere firme malware. Questa è probabilmente un'attività di backup legittima. Basso Backup Tattiche:
-Impatto

Tecniche:
- T0882: Furto di informazioni operative
Non imparabile

Avvisi del motore operativo

Gli avvisi del motore operativo descrivono gli eventi imprevisti operativi rilevati o le entità non funzionanti.

Posizione Descrizione Gravità Categoria MITRE ATT&CK
Tattiche e tecniche
Apprendibile
È stato inviato un comando S7 Stop PLC Il dispositivo di origine ha inviato un comando di arresto a un controller di destinazione. Il controller smette di funzionare fino a quando non viene inviato un comando start. Basso Comandi di riavvio/arresto Tattiche:
- Spostamento laterale
- Evasione della difesa
-Esecuzione
- Inibire la funzione di risposta

Tecniche:
- T0843: Download del programma
- T0858: Cambiare la modalità operativa
- T0814: Denial of Service
Non imparabile
Operazione BACNet non riuscita Un server ha restituito un codice di errore. Questo avviso indica un errore del server o una richiesta non valida da parte di un client. Medio Errori dei comandi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
Non imparabile
Stato del dispositivo MMS non valido Un MMS Virtual Manufacturing Device (VMD) ha inviato un messaggio di stato. Il messaggio indica che il server potrebbe non essere configurato correttamente, parzialmente operativo o non operativo. Medio Problemi operativi Tattiche:
- Inibire la funzione di risposta

Tecniche:
- T0814: Denial of Service
Non imparabile
Modifica della configurazione del dispositivo * È stata rilevata una modifica di configurazione in un dispositivo di origine. Basso Modifiche di configurazione Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0836: Modifica parametro
Non imparabile
Overflow del buffer eventi continuo in outstation * È stato rilevato un evento di overflow del buffer in un dispositivo di origine. L'evento potrebbe causare danneggiamento dei dati, arresti anomali del programma o esecuzione di codice dannoso.

Soglia: 3 occorrenze in 10 minuti
Medio Overflow del buffer Tattiche:
- Inibire la funzione di risposta
- Controllo dei processi compromessi
-Persistenza

Tecniche:
- T0814: Denial of Service
- T0806: I/O di forza bruta
- T0839: Firmware del modulo
Non imparabile
Reimpostazione controller Un dispositivo di origine ha inviato un comando di reimpostazione a un controller di destinazione. Il controller ha interrotto il funzionamento temporaneamente e viene avviato di nuovo automaticamente. Basso Comandi di riavvio/arresto Tattiche:
- Evasione della difesa
-Esecuzione
- Inibire la funzione di risposta

Tecniche:
- T0858: Cambiare la modalità operativa
- T0814: Denial of Service
Non imparabile
Arresto controller Il dispositivo di origine ha inviato un comando di arresto a un controller di destinazione. Il controller smette di funzionare fino a quando non viene inviato un comando start. Basso Comandi di riavvio/arresto Tattiche:
- Spostamento laterale
- Evasione della difesa
-Esecuzione
- Inibire la funzione di risposta

Tecniche:
- T0843: Download del programma
- T0858: Cambiare la modalità operativa
- T0814: Denial of Service
Non imparabile
Il dispositivo non è riuscito a ricevere un indirizzo IP dinamico Il dispositivo di origine è configurato per ricevere un indirizzo IP dinamico da un server DHCP ma non ha ricevuto un indirizzo. Indica un errore di configurazione nel dispositivo o un errore operativo nel server DHCP. È consigliabile notificare all'amministratore di rete l'evento imprevisto Medio Errori dei comandi Tattiche:
-Scoperta

Tecniche:
- T0842: Analisi della rete
Non imparabile
Il dispositivo è sospetto disconnesso (non risponde) Un dispositivo di origine non ha risposto a un comando inviato. Potrebbe essere stato disconnesso quando il comando è stato inviato.

Soglia: 8 tentativi in 5 minuti
Medio Nessuna risposta Tattiche:
- Inibire la funzione di risposta

Tecniche:
- T0881: Arresto del servizio
Non imparabile
Richiesta del servizio CIP EtherNet/IP non riuscita Un server ha restituito un codice di errore. Indica un errore del server o una richiesta non valida da parte di un client. Medio Errori dei comandi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
Non imparabile
Comando protocollo di incapsulamento EtherNet/IP non riuscito Un server ha restituito un codice di errore. Indica un errore del server o una richiesta non valida da parte di un client. Medio Errori dei comandi Tattiche:
-Collezione

Tecniche:
- T0801: Monitorare lo stato del processo
Non imparabile
Overflow del buffer eventi in outstation È stato rilevato un evento di overflow del buffer in un dispositivo di origine. L'evento potrebbe causare danneggiamento dei dati, arresti anomali del programma o esecuzione di codice dannoso. Medio Overflow del buffer Tattiche:
- Inibire la funzione di risposta
- Controllo dei processi compromessi
-Persistenza

Tecniche:
- T0814: Denial of Service
- T0839: Firmware del modulo
Non imparabile
L'operazione di backup prevista non è stata eseguita L'attività di backup/trasferimento file prevista non si è verificata tra due dispositivi. Questo avviso potrebbe indicare errori nel processo di backup/trasferimento file.

Soglia: 100 secondi
Medio Backup Tattiche:
- Inibire la funzione di risposta

Tecniche:
- T0809: Distruzione dei dati
Apprendibile
Errore del comando SRTP GE Un server ha restituito un codice di errore. Questo avviso indica un errore del server o una richiesta non valida da parte di un client. Medio Errori dei comandi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
Non imparabile
È stato inviato il comando GE SRTP Stop PLC Il dispositivo di origine ha inviato un comando di arresto a un controller di destinazione. Il controller smette di funzionare fino a quando non viene inviato un comando start. Basso Comandi di riavvio/arresto Tattiche:
- Spostamento laterale
- Evasione della difesa
-Esecuzione
- Inibire la funzione di risposta

Tecniche:
- T0843: Download del programma
- T0858: Cambiare la modalità operativa
- T0814: Denial of Service
Non imparabile
Il blocco di controllo GOOSE richiede un'ulteriore configurazione Un dispositivo di origine ha inviato un messaggio GOOSE che indica che il dispositivo deve essere commissionato. Ciò significa che il blocco di controllo GOOSE richiede ulteriori configurazioni e i messaggi GOOSE sono parzialmente o completamente non operativi. Medio Modifiche di configurazione Tattiche:
- Controllo dei processi compromessi
- Inibire la funzione di risposta

Tecniche:
- T0803: Blocca messaggio di comando
- T0821: Modifica attività controller
Non imparabile
La configurazione del set di dati GOOSE è stata modificata * Un set di dati del messaggio (identificato dall'ID protocollo) è stato modificato in un dispositivo di origine. Ciò significa che il dispositivo segnala un set di dati diverso per questo messaggio. Basso Modifiche di configurazione Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0836: Modifica parametro
Non imparabile
Stato imprevisto del controller Honeywell Un controller Honeywell ha inviato un messaggio di diagnostica imprevisto che indica una modifica dello stato. Basso Problemi operativi Tattiche:
-Evasione
-Esecuzione

Tecniche:
- T0858: Cambiare la modalità operativa
Non imparabile
Errore del client HTTP * Il dispositivo di origine ha avviato una richiesta non valida. Basso Comportamento anomalo della comunicazione HTTP Tattiche:
- Comando e controllo

Tecniche:
- T0869: Protocollo di livello applicazione standard
Non imparabile
Indirizzo IP non valido Il sistema ha rilevato il traffico tra un dispositivo di origine e un indirizzo IP non valido. Ciò potrebbe indicare una configurazione errata o un tentativo di generare traffico non valido. Basso Comportamento delle comunicazioni anomale Tattiche:
-Scoperta
- Controllo dei processi compromessi

Tecniche:
- T0842: Analisi della rete
- T0836: Modifica parametro
Non imparabile
Errore di autenticazione master-slave Il processo di autenticazione tra un dispositivo di origine DNP3 (primario) e un dispositivo di destinazione (outstation) non è riuscito. Basso Autenticazione Tattiche:
- Spostamento laterale
-Persistenza

Tecniche:
- T0859: Account validi
Non imparabile
Richiesta di servizio MMS non riuscita Un server ha restituito un codice di errore. Indica un errore del server o una richiesta non valida da parte di un client. Medio Errori dei comandi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
Non imparabile
Nessun traffico rilevato nell'interfaccia del sensore Un sensore ha arrestato il rilevamento del traffico di rete in un'interfaccia di rete. Alto Traffico del sensore Tattiche:
- Inibire la funzione di risposta

Tecniche:
- T0881: Arresto del servizio
Non imparabile
Il server OPC UA ha generato un evento che richiede l'attenzione dell'utente Un server OPC UA ha inviato una notifica di evento a un client. Questo tipo di evento richiede l'attenzione dell'utente Medio Problemi operativi Tattiche:
- Inibire la funzione di risposta

Tecniche:
- T0838: Modifica impostazioni allarme
Non imparabile
Richiesta di servizio OPC UA non riuscita Un server ha restituito un codice di errore. Indica un errore del server o una richiesta non valida da parte di un client. Medio Errori dei comandi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
Non imparabile
Outstation Restarted È stato rilevato un riavvio a freddo in un dispositivo di origine. Ciò significa che il dispositivo è stato fisicamente spento e riattivato. Basso Comandi di riavvio/arresto Tattiche:
- Inibire la funzione di risposta

Tecniche:
- T0816: Riavvio/arresto del dispositivo
Non imparabile
Riavvii di outstation frequentemente È stato rilevato un numero eccessivo di riavvii a freddo in un dispositivo di origine. Ciò significa che il dispositivo è stato fisicamente spento e riattivato un numero eccessivo di volte.

Soglia: 2 riavvii in 10 minuti
Basso Comandi di riavvio/arresto Tattiche:
- Inibire la funzione di risposta

Tecniche:
- T0814: Denial of Service
- T0816: Riavvio/arresto del dispositivo
Non imparabile
Configurazione di Outstation modificata È stata rilevata una modifica di configurazione in un dispositivo di origine. Medio Modifiche di configurazione Tattiche:
- Inibire la funzione di risposta
-Persistenza

Tecniche:
- T0857: Firmware di sistema
Non imparabile
Rilevata configurazione danneggiata di outstation Questo dispositivo di origine DNP3 (outstation) ha segnalato una configurazione danneggiata. Medio Modifiche di configurazione Tattiche:
- Inibire la funzione di risposta

Tecniche:
- T0809: Distruzione dei dati
Non imparabile
Comando DCP Profinet non riuscito Un server ha restituito un codice di errore. Indica un errore del server o una richiesta non valida da parte di un client. Medio Errori dei comandi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
Non imparabile
Ripristino delle impostazioni predefinite del dispositivo Profinet Un dispositivo di origine ha inviato un comando di ripristino delle impostazioni predefinite a un dispositivo di destinazione Profinet. Il comando reset cancella le configurazioni del dispositivo Profinet e ne arresta l'operazione. Basso Comandi di riavvio/arresto Tattiche:
- Evasione della difesa
-Esecuzione
- Inibire la funzione di risposta

Tecniche:
- T0858: Cambiare la modalità operativa
- T0814: Denial of Service
Non imparabile
Operazione RPC non riuscita * Un server ha restituito un codice di errore. Questo avviso indica un errore del server o una richiesta non valida da parte di un client. Medio Errori dei comandi Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0855: Messaggio di comando non autorizzato
Non imparabile
Configurazione del set di dati dei messaggi di valori campionati modificata * Un set di dati del messaggio (identificato dall'ID protocollo) è stato modificato in un dispositivo di origine. Ciò significa che il dispositivo segnala un set di dati diverso per questo messaggio. Basso Modifiche di configurazione Tattiche:
- Controllo dei processi compromessi

Tecniche:
- T0836: Modifica parametro
Non imparabile
Errore irreversibile del dispositivo slave * È stato rilevato un errore di condizione irreversibile in un dispositivo di origine. Questo tipo di errore indica in genere un errore hardware o un errore durante l'esecuzione di un comando specifico. Medio Errori dei comandi Tattiche:
- Inibire la funzione di risposta

Tecniche:
- T0814: Denial of Service
Non imparabile
Sospetto di problemi hardware in outstation È stato rilevato un errore di condizione irreversibile in un dispositivo di origine. Questo tipo di errore indica in genere un errore hardware o un errore durante l'esecuzione di un comando specifico. Medio Problemi operativi Tattiche:
- Inibire la funzione di risposta

Tecniche:
- T0814: Denial of Service
- T0881: Arresto del servizio
Non imparabile
Sospetto di un dispositivo MODBUS non risponde Un dispositivo di origine non ha risposto a un comando inviato. Potrebbe essere stato disconnesso quando il comando è stato inviato.

Soglia: minimo 1 risposta valida per un minimo di 3 richieste entro 5 minuti
Basso Nessuna risposta Tattiche:
- Inibire la funzione di risposta

Tecniche:
- T0881: Arresto del servizio
Non imparabile
Traffico rilevato nell'interfaccia del sensore Un sensore ha ripreso il rilevamento del traffico di rete in un'interfaccia di rete. Basso Traffico del sensore Tattiche:
-Scoperta

Tecniche:
- T0842: Analisi della rete
Non imparabile
Modalità operativa PLC modificata La modalità operativa su questo PLC è cambiata. La nuova modalità potrebbe indicare che il PLC non è sicuro. Lasciare il PLC in una modalità operativa non sicura potrebbe consentire agli avversari di eseguire attività dannose su di esso, ad esempio un download di programma. Se il PLC è compromesso, i dispositivi e i processi che interagiscono con esso potrebbero essere interessati. Ciò potrebbe influire sulla sicurezza complessiva del sistema e sulla sicurezza. Basso Modifiche alla configurazione Tattiche:
-Esecuzione
-Evasione

Tecniche:
- T0858: Cambiare la modalità operativa
Non imparabile

Passaggi successivi

Per altre informazioni, vedi: