Informazioni di riferimento sugli avvisi di Microsoft Defender per IoT
Questo articolo fornisce un riferimento agli avvisi generati dai sensori di rete di Microsoft Defender per IoT, incluso un elenco di tutti i tipi di avviso e le descrizioni. Il riferimento mostra anche quali avvisi possono essere valutati come appresi o meno, per altre informazioni sullo stato appreso, vedere Stato degli avvisi e opzioni di valutazione. È possibile usare questo riferimento per eseguire il mapping degli avvisi nei playbook, definire regole di inoltro su un sensore di rete OT (Operational Technology) o altre attività personalizzate.
Avvisi OT disattivati per impostazione predefinita
Diversi avvisi vengono disattivati per impostazione predefinita, come indicato dagli asterischi (*) nelle tabelle seguenti. Gli utenti amministratori del sensore OT possono abilitare o disabilitare gli avvisi dalla pagina Supporto in un sensore di rete OT specifico.
Se si disattivano gli avvisi a cui si fa riferimento in altre posizioni, ad esempio le regole di inoltro degli avvisi, assicurarsi di aggiornare tali riferimenti in base alle esigenze.
Gravità degli avvisi
Gli avvisi di Defender per IoT usano i livelli di gravità seguenti:
Portale di Azure | Sensore OT | Descrizione |
---|---|---|
Alto | Critico | Indica un attacco dannoso che deve essere gestito immediatamente. |
Medium | Major | Indica una minaccia di sicurezza importante da affrontare. |
Basso | Secondario, Avviso | Indica una deviazione dal comportamento della baseline che potrebbe contenere una minaccia per la sicurezza o non contiene minacce per la sicurezza. |
I livelli di gravità degli avvisi in questa pagina elencano la gravità, come illustrato nella portale di Azure.
Tipi di avviso supportati
Tipo di avviso | Descrizione |
---|---|
Avvisi di violazione dei criteri | Attivato quando il motore di violazione dei criteri rileva una deviazione dal traffico appreso in precedenza. Ad esempio: - Viene rilevato un nuovo dispositivo. - Viene rilevata una nuova configurazione in un dispositivo. - Un dispositivo non definito come dispositivo di programmazione esegue una modifica di programmazione. - Una versione del firmware modificata. |
Avvisi relativi alle violazioni del protocollo | Attivato quando il motore di violazione del protocollo rileva strutture di pacchetti o valori di campo che non sono conformi alla specifica del protocollo. |
Avvisi operativi | Attivato quando il motore operativo rileva gli eventi imprevisti operativi della rete o un malfunzionamento del dispositivo. Ad esempio, un dispositivo di rete è stato arrestato tramite un comando Stop PLC o un'interfaccia su un sensore ha arrestato il monitoraggio del traffico. |
Avvisi relativi al malware | Attivato quando il motore malware rileva attività di rete dannose. Ad esempio, il motore rileva un attacco noto, ad esempio Conficker. |
Avvisi relativi alle anomalie | Attivato quando il motore anomalie rileva una deviazione. Ad esempio, un dispositivo esegue analisi di rete, ma non è definito come dispositivo di analisi. |
I criteri di rilevamento degli avvisi di Defender per IoT guidano i diversi motori di avviso per attivare gli avvisi in base all'impatto aziendale e al contesto di rete e ridurre gli avvisi correlati all'IT a basso valore. Per altre informazioni, vedere Avvisi focalizzati in ambienti OT/IT.
Categorie di avviso supportate
Ogni avviso ha una delle categorie seguenti:
- Comportamento delle comunicazioni anomale
- Comportamento anomalo della comunicazione HTTP
- Autenticazione
- Backup
- Anomalie della larghezza di banda
- Overflow del buffer
- Errori dei comandi
- Modifiche alla configurazione
- Avvisi personalizzati
- Individuazione
- Modifica del firmware
- Comandi non validi
- Accesso a Internet
- Errori dell'operazione
- Problemi operativi
- Programmazione
- Accesso remoto
- Comandi di riavvio/arresto
- Scansione
- Traffico del sensore
- Sospetto di attività dannose
- Sospetto di malware
- Comportamento delle comunicazioni non autorizzate
- Nessuna risposta
Avvisi del motore di criteri
Gli avvisi del motore di criteri descrivono le deviazioni rilevate dal comportamento di base appreso.
Posizione | Descrizione | Gravità | Categoria | MITRE ATT&CK Tattiche e tecniche |
Apprendibile |
---|---|---|---|---|---|
Software Beckhoff modificato | Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata. | Medio | Modifica del firmware | Tattiche: - Inibire la funzione di risposta -Persistenza Tecniche: - T0857: Firmware di sistema |
Apprendibile |
Accesso al database non riuscito | È stato rilevato un tentativo di accesso non riuscito da un dispositivo di origine a un server di destinazione. Questo potrebbe essere il risultato di un errore umano, ma potrebbe anche indicare un tentativo dannoso di compromettere il server o i dati su di esso. Soglia: 2 errori di accesso in 5 minuti |
Medio | Autenticazione | Tattiche: - Spostamento laterale -Collezione Tecniche: - T0812: Credenziali predefinite - T0811: dati dai repository di informazioni |
Non imparabile |
Versione firmware Di Emerson ROC modificata | Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata. | Medio | Modifica del firmware | Tattiche: - Inibire la funzione di risposta -Persistenza Tecniche: - T0857: Firmware di sistema |
Apprendibile |
Indirizzo esterno all'interno della rete comunicata con Internet | Un dispositivo di origine definito come parte della rete comunica con gli indirizzi Internet. L'origine non è autorizzata a comunicare con gli indirizzi Internet. | Alto | Accesso a Internet | Tattiche: - Accesso iniziale Tecniche: - T0883: Dispositivo accessibile a Internet |
Apprendibile |
Dispositivo campo individuato in modo imprevisto | È stato rilevato un nuovo dispositivo di origine in rete, ma non è autorizzato. | Medio | Individuazione | Tattiche: -Scoperta Tecniche: - T0842: Analisi della rete |
Non imparabile |
Rilevata modifica del firmware | Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata. | Medio | Modifica del firmware | Tattiche: - Inibire la funzione di risposta -Persistenza Tecniche: - T0857: Firmware di sistema |
Non imparabile |
Versione del firmware modificata | Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata. | Medio | Modifica del firmware | Tattiche: - Inibire la funzione di risposta -Persistenza Tecniche: - T0857: Firmware di sistema |
Apprendibile |
Operazione I/A Foxboro non autorizzata | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro |
Apprendibile |
Accesso FTP non riuscito | È stato rilevato un tentativo di accesso non riuscito da un dispositivo di origine a un server di destinazione. Questo avviso potrebbe essere il risultato dell'errore umano, ma potrebbe anche indicare un tentativo dannoso di compromettere il server o i dati su di esso. | Medio | Autenticazione | Tattiche: - Spostamento laterale - Comando e controllo Tecniche: - T0812: Credenziali predefinite - T0869: Protocollo di livello applicazione standard |
Non imparabile |
Codice funzione generato eccezione non autorizzata * | Un dispositivo di origine (secondario) ha restituito un'eccezione a un dispositivo di destinazione (primario). | Medio | Errori dei comandi | Tattiche: - Inibire la funzione di risposta Tecniche: - T0835: Modifica immagine di I/O |
Apprendibile |
Impostazioni del tipo di messaggio GOOSE | Le impostazioni del messaggio (identificate dall'ID protocollo) sono state modificate in un dispositivo di origine. | Basso | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi Tecniche: - T0836: Modifica parametro |
Apprendibile |
Versione del firmware Honeywell modificata | Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata. | Medio | Modifica del firmware | Tattiche: - Inibire la funzione di risposta -Persistenza Tecniche: - T0857: Firmware di sistema |
Apprendibile |
Comunicazione HTTP non valida * | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento anomalo della comunicazione HTTP | Tattiche: -Scoperta Tecniche: - T0846: Individuazione remota del sistema |
Apprendibile |
Accesso a Internet rilevato | Un dispositivo di origine definito come parte della rete comunica con gli indirizzi Internet. L'origine non è autorizzata a comunicare con gli indirizzi Internet. | Medio | Accesso a Internet | Tattiche: - Accesso iniziale Tecniche: - T0883: Dispositivo accessibile a Internet |
Apprendibile |
Modifica della versione firmware di Firmware Di Frameworkishi | Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata. | Medio | Modifica del firmware | Tattiche: - Inibire la funzione di risposta -Persistenza Tecniche: - T0857: Firmware di sistema |
Apprendibile |
Violazione dell'intervallo di indirizzi Modbus | Un dispositivo primario ha richiesto l'accesso a un nuovo indirizzo di memoria secondaria. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: -Scoperta Tecniche: - T0842: Analisi della rete |
Apprendibile |
Versione del firmware Modbus modificata | Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata. | Medio | Modifica del firmware | Tattiche: - Inibire la funzione di risposta -Persistenza Tecniche: - T0857: Firmware di sistema |
Apprendibile |
Nuova attività rilevata - Classe CIP | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: -Scoperta Tecniche: - T0888: Individuazione remota delle informazioni di sistema |
Apprendibile |
Nuova attività rilevata - Servizio classi CIP | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Inibire la funzione di risposta Tecniche: - T0836: Modifica parametro |
Apprendibile |
Nuova attività rilevata - Comando CIP PCCC | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Inibire la funzione di risposta Tecniche: - T0836: Modifica parametro |
Apprendibile |
Nuova attività rilevata - Simbolo CIP | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi - Inibire la funzione di risposta Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro |
Apprendibile |
Rilevata nuova attività - Connessione I/O EtherNet/IP | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: -Scoperta - Inibire la funzione di risposta Tecniche: - T0846: Individuazione remota del sistema - T0835: Modifica immagine di I/O |
Apprendibile |
Nuova attività rilevata - Comando protocollo EtherNet/IP | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Inibire la funzione di risposta Tecniche: - T0836: Modifica parametro |
Apprendibile |
Nuova attività rilevata - Codice messaggio GSM | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - CommandAndControl Tecniche: - T0869: Protocollo di livello applicazione standard |
Apprendibile |
Nuova attività rilevata - Codici di comando LonTalk | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: -Collezione - Controllo dei processi compromessi Tecniche: - T0861 - Identificazione punto e tag - T0855: Messaggio di comando non autorizzato |
Apprendibile |
Individuazione nuova porta | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Basso | Individuazione | Tattiche: - Spostamento laterale Tecniche: - T0867: Trasferimento laterale degli strumenti |
Apprendibile |
Rilevata nuova attività - Variabile di rete LonTalk | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato |
Apprendibile |
Rilevata nuova attività - Richiesta di dati di ovation | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: -Collezione -Scoperta Tecniche: - T0801: Monitorare lo stato del processo - T0888: Individuazione remota delle informazioni di sistema |
Apprendibile |
Rilevata nuova attività - Comando di lettura/scrittura (gruppo di indici AMS) | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Modifiche di configurazione | Tattiche: - Controllo dei processi compromessi - Inibire la funzione di risposta Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro |
Apprendibile |
Rilevata nuova attività - Comando di lettura/scrittura (offset dell'indice AMS) | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Modifiche di configurazione | Tattiche: - Controllo dei processi compromessi - Inibire la funzione di risposta Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro |
Apprendibile |
Nuova attività rilevata - Tipo di messaggio DeltaV non autorizzato | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller |
Apprendibile |
Nuova attività rilevata - Operazione DeltaV ROC non autorizzata | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller |
Apprendibile |
Nuova attività rilevata - Tipo di messaggio RPC non autorizzato | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato |
Apprendibile |
Nuova attività rilevata - Uso del comando del protocollo AMS | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi - Inibire la funzione di risposta -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro - T0821: Modifica attività controller |
Apprendibile |
Rilevata nuova attività - Uso del comando SiCAM di Siemens | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi - Inibire la funzione di risposta Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro |
Apprendibile |
Nuova attività rilevata - Uso del comando Suitelink Protocol | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi - Inibire la funzione di risposta Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro |
Apprendibile |
Rilevata nuova attività - Uso delle sessioni del protocollo Suitelink | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi Tecniche: - T0836: Modifica parametro |
Apprendibile |
Rilevata nuova attività - Uso del comando VNetIP di Eseguigawa | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller |
Apprendibile |
Rilevato nuovo asset | È stato rilevato un nuovo dispositivo di origine in rete, ma non è autorizzato. Questo avviso si applica ai dispositivi individuati nelle subnet OT. I nuovi dispositivi individuati nelle subnet IT non attivano un avviso. |
Medio | Individuazione | Tattiche: -Scoperta Tecniche: - T0842: Analisi della rete |
Apprendibile |
Nuova configurazione del dispositivo LLDP | È stato rilevato un nuovo dispositivo di origine in rete, ma non è autorizzato. | Medio | Modifiche di configurazione | Tattiche: -Scoperta Tecniche: - T0842: Analisi della rete |
Apprendibile |
Comando Omron FINS non autorizzato | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro |
Apprendibile |
Firmware S7 Plus PLC modificato | Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata. | Medio | Modifica del firmware | Tattiche: - Inibire la funzione di risposta -Persistenza Tecniche: - T0857: Firmware di sistema |
Apprendibile |
Impostazioni del tipo di messaggio di valori campionati | Le impostazioni del messaggio (identificate dall'ID protocollo) sono state modificate in un dispositivo di origine. | Basso | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi Tecniche: - T0836: Modifica parametro |
Non imparabile |
Sospetto di analisi dell'integrità illegale * | È stata rilevata un'analisi in un dispositivo di origine DNP3 (outstation). Questa analisi non è stata autorizzata come traffico appreso nella rete. | Medio | Scansione | Tattiche: -Scoperta Tecniche: - T0842: Analisi della rete |
Apprendibile |
Comando Non autorizzato del collegamento computer Di Toshiba | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Basso | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller |
Apprendibile |
Operazione totale file ABB non autorizzata | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller |
Non imparabile |
Operazione di registrazione totale totale ABB non autorizzata | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller |
Non imparabile |
Accesso non autorizzato a Blocco dati Di Siemens S7 | Un dispositivo di origine ha tentato di accedere a una risorsa in un altro dispositivo. Un tentativo di accesso a questa risorsa tra questi due dispositivi non è autorizzato come traffico appreso nella rete. | Basso | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi - Accesso iniziale Tecniche: - T0855: Messaggio di comando non autorizzato - T0811: dati dai repository di informazioni |
Apprendibile |
Accesso non autorizzato all'oggetto Siemens S7 Plus | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi -Esecuzione - Inibire la funzione di risposta Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller - T0809: Distruzione dei dati |
Apprendibile |
Accesso non autorizzato al tag Wonderware | Un dispositivo di origine ha tentato di accedere a una risorsa in un altro dispositivo. Un tentativo di accesso a questa risorsa tra questi due dispositivi non è autorizzato come traffico appreso nella rete. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: -Collezione - Controllo dei processi compromessi Tecniche: - T0861: Identificazione punto e tag - T0855: Messaggio di comando non autorizzato |
Apprendibile |
Accesso a oggetti BACNet non autorizzato | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller |
Apprendibile |
Route BACNet non autorizzata | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller |
Apprendibile |
Accesso al database non autorizzato * | È stato rilevato un tentativo di accesso tra un client di origine e un server di destinazione. La comunicazione tra questi dispositivi non è autorizzata come traffico appreso nella rete. | Medio | Autenticazione | Tattiche: - Spostamento laterale -Persistenza -Collezione Tecniche: - T0859: Account validi - T0811: dati dai repository di informazioni |
Apprendibile |
Operazione di database non autorizzata | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni anomale | Tattiche: - Controllo dei processi compromessi - Accesso iniziale Tecniche: - T0855: Messaggio di comando non autorizzato - T0811: dati dai repository di informazioni |
Apprendibile |
Operazione ROC non autorizzata di Emerson | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller |
Apprendibile |
Accesso ai file SRTP GE non autorizzato | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: -Collezione - LateralMovement -Persistenza Tecniche: - T0801: Monitorare lo stato del processo - T0859: Account validi |
Apprendibile |
Comando del protocollo SRTP GE non autorizzato | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller |
Apprendibile |
Operazione di memoria di sistema GE SRTP non autorizzata | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: -Scoperta - Controllo dei processi compromessi Tecniche: - T0846: Individuazione remota del sistema - T0855: Messaggio di comando non autorizzato |
Apprendibile |
Attività HTTP non autorizzata | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento anomalo della comunicazione HTTP | Tattiche: - Accesso iniziale - Comando e controllo Tecniche: - T0822: Servizi remoti esterni - T0869: Protocollo di livello applicazione standard |
Apprendibile |
Azione SOAP HTTP non autorizzata * | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento anomalo della comunicazione HTTP | Tattiche: - Comando e controllo -Esecuzione Tecniche: - T0869: Protocollo di livello applicazione standard - T0871: esecuzione tramite API |
Apprendibile |
Agente utente HTTP non autorizzato * | È stata rilevata un'applicazione non autorizzata in un dispositivo di origine. L'applicazione non è autorizzata come applicazione appresa nella rete. | Medio | Comportamento anomalo della comunicazione HTTP | Tattiche: - Comando e controllo Tecniche: - T0869: Protocollo di livello applicazione standard |
Apprendibile |
Rilevata connettività Internet non autorizzata | Un dispositivo di origine definito come parte della rete comunica con gli indirizzi Internet. L'origine non è autorizzata a comunicare con gli indirizzi Internet. | Alto | Accesso a Internet | Tattiche: - Accesso iniziale Tecniche: - T0883: Dispositivo accessibile a Internet |
Apprendibile |
Comando MELSEC Non autorizzato Disasasociishi MELSEC | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller |
Apprendibile |
Accesso al programma MMS non autorizzato | Un dispositivo di origine ha tentato di accedere a una risorsa in un altro dispositivo. Un tentativo di accesso a questa risorsa tra questi due dispositivi non è autorizzato come traffico appreso nella rete. | Medio | Programmazione | Tattiche: - Controllo dei processi compromessi -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller |
Apprendibile |
Servizio MMS non autorizzato | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller |
Apprendibile |
Connessione multicast/trasmissione non autorizzata | È stata rilevata una connessione Multicast/Broadcast tra un dispositivo di origine e altri dispositivi. La comunicazione multicast/broadcast non è autorizzata. | Alto | Comportamento delle comunicazioni anomale | Tattiche: -Scoperta Tecniche: - T0842: Analisi della rete |
Apprendibile |
Query dei nomi non autorizzata | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni anomale | Tattiche: - Controllo dei processi compromessi Tecniche: - T0836: Modifica parametro |
Non imparabile |
Attività OPC UA non autorizzata | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi Tecniche: - T0836: Modifica parametro |
Apprendibile |
Richiesta/risposta OPC UA non autorizzata | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi Tecniche: - T0836: Modifica parametro |
Apprendibile |
Operazione non autorizzata rilevata da una regola definita dall'utente | Il traffico è stato rilevato tra due dispositivi. Questa attività non è autorizzata, in base a una regola di avviso personalizzata definita da un utente. | Medio | Avvisi personalizzati | Tattiche: -Scoperta Tecniche: - T0842: Analisi della rete |
Non imparabile |
Lettura della configurazione DI PLC non autorizzata | Il dispositivo di origine non è definito come dispositivo di programmazione, ma ha eseguito un'operazione di lettura/scrittura su un controller di destinazione. Le modifiche alla programmazione devono essere eseguite solo dai dispositivi di programmazione. In questo dispositivo potrebbe essere stata installata un'applicazione di programmazione. | Basso | Modifiche di configurazione | Tattiche: -Collezione Tecniche: - T0801: Monitorare lo stato del processo |
Apprendibile |
Scrittura configurazione PLC non autorizzata | Il dispositivo di origine ha inviato un comando per leggere/scrivere il programma di un controller di destinazione. Questa attività non è stata vista in precedenza. | Medio | Modifiche di configurazione | Tattiche: - Controllo dei processi compromessi -Persistenza -Impatto Tecniche: - T0839: Firmware del modulo - T0831: Manipolazione del controllo - T0889: Modifica programma |
Apprendibile |
Caricamento del programma PLC non autorizzato | Il dispositivo di origine ha inviato un comando per leggere/scrivere il programma di un controller di destinazione. Questa attività non è stata vista in precedenza. | Medio | Programmazione | Tattiche: - Controllo dei processi compromessi -Persistenza -Collezione Tecniche: - T0839: Firmware del modulo - T0845: Caricamento del programma |
Apprendibile |
Programmazione PLC non autorizzata | Il dispositivo di origine non è definito come dispositivo di programmazione, ma ha eseguito un'operazione di lettura/scrittura su un controller di destinazione. Le modifiche alla programmazione devono essere eseguite solo dai dispositivi di programmazione. In questo dispositivo potrebbe essere stata installata un'applicazione di programmazione. | Alto | Programmazione | Tattiche: - Controllo dei processi compromessi -Persistenza - Spostamento laterale Tecniche: - T0839: Firmware del modulo - T0889: Modifica programma - T0843: Download del programma |
Apprendibile |
Tipo di frame Profinet non autorizzato | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi Tecniche: - T0836: Modifica parametro |
Apprendibile |
Comando S-Bus SAIA non autorizzato | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato |
Apprendibile |
Esecuzione non autorizzata di Siemens S7 della funzione di controllo | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi - Inibire la funzione di risposta Tecniche: - T0855: Messaggio di comando non autorizzato - T0809: Distruzione dei dati |
Apprendibile |
Esecuzione non autorizzata di Siemens S7 della funzione definita dall'utente | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi -Esecuzione Tecniche: - T0836: Modifica parametro - T0863: Esecuzione utente |
Apprendibile |
Accesso non autorizzato di Siemens S7 Plus Blocca accesso | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Inibire la funzione di risposta -Persistenza -Esecuzione Tecniche: - T0803 - Blocca messaggio di comando - T0889: Modifica programma - T0821: Modifica attività controller |
Apprendibile |
Operazione Non autorizzata di Siemens S7 Plus | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0863: Esecuzione utente |
Apprendibile |
Accesso SMB non autorizzato | È stato rilevato un tentativo di accesso tra un client di origine e un server di destinazione. La comunicazione tra questi dispositivi non è autorizzata come traffico appreso nella rete. | Medio | Autenticazione | Tattiche: - Accesso iniziale - Spostamento laterale -Persistenza Tecniche: - T0886: Servizi remoti - T0859: Account validi |
Apprendibile |
Operazione SNMP non autorizzata | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni anomale | Tattiche: -Scoperta - Comando e controllo Tecniche: - T0842: Analisi della rete - T0885: porta di uso comune |
Apprendibile |
Accesso SSH non autorizzato | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Accesso remoto | Tattiche: - InitialAccess - Spostamento laterale - Comando e controllo Tecniche: - T0886: Servizi remoti - T0869: Protocollo di livello applicazione standard |
Apprendibile |
Processo Windows non autorizzato | È stata rilevata un'applicazione non autorizzata in un dispositivo di origine. L'applicazione non è autorizzata come applicazione appresa nella rete. | Medio | Comportamento delle comunicazioni anomale | Tattiche: -Esecuzione - Escalation dei privilegi - Comando e controllo Tecniche: - T0841: Hooking - T0885: porta di uso comune |
Apprendibile |
Servizio Windows non autorizzato | È stata rilevata un'applicazione non autorizzata in un dispositivo di origine. L'applicazione non è autorizzata come applicazione appresa nella rete. | Medio | Comportamento delle comunicazioni anomale | Tattiche: - Accesso iniziale - Spostamento laterale Tecniche: - T0866: Sfruttamento dei servizi remoti |
Apprendibile |
Operazione non autorizzata rilevata da una regola definita dall'utente | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri viola una regola definita dall'utente | Medio | Tattiche: -Scoperta Tecniche: - T0842: Analisi della rete |
Non imparabile | |
Unpermitted Modbus Schneider Electric Extension | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato |
Apprendibile |
Utilizzo non generato dei tipi ASDU | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato |
Apprendibile |
Utilizzo non eseguito del codice di funzione DNP3 | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi Tecniche: - T0836: Modifica parametro |
Apprendibile |
Utilizzo non eseguito dell'indicazione interna (IIN) * | Un dispositivo di origine DNP3 (outstation) ha segnalato un'indicazione interna (IIN) che non ha autorizzato come traffico appreso sulla rete. | Medio | Comandi non validi | Tattiche: -Scoperta Tecniche: - T0842: Analisi della rete |
Apprendibile |
Utilizzo non eseguito del codice della funzione Modbus | Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata. | Medio | Comportamento delle comunicazioni non autorizzate | Tattiche: - Controllo dei processi compromessi Tecniche: - T0836: Modifica parametro |
Apprendibile |
Avvisi del motore anomalie
Nota
Questo articolo contiene riferimenti al termine slave, che Microsoft non usa più. Quando il termine verrà rimosso dal software, verrà rimosso anche dall'articolo.
Gli avvisi del motore anomalie descrivono le anomalie rilevate nell'attività di rete.
Posizione | Descrizione | Gravità | Categoria | MITRE ATT&CK Tattiche e tecniche |
Apprendibile |
---|---|---|---|---|---|
Modello di eccezione anomalo in Slave * | È stato rilevato un numero eccessivo di errori in un dispositivo di origine. Questo avviso potrebbe essere il risultato di un problema operativo. Soglia: 20 eccezioni in 1 ora |
Basso | Comportamento delle comunicazioni anomale | Tattiche: - Controllo dei processi compromessi Tecniche: - T0806: I/O di forza bruta |
Non imparabile |
Lunghezza intestazione HTTP anomala * | Il dispositivo di origine ha inviato un messaggio anomalo. Questo avviso potrebbe indicare un tentativo di attacco al dispositivo di destinazione. | Alto | Comportamento anomalo della comunicazione HTTP | Tattiche: - Accesso iniziale - Spostamento laterale - Comando e controllo Tecniche: - T0866: Sfruttamento dei servizi remoti - T0869: Protocollo di livello applicazione standard |
Apprendibile |
Numero anomalo di parametri nell'intestazione HTTP * | Il dispositivo di origine ha inviato un messaggio anomalo. Questo avviso potrebbe indicare un tentativo di attacco al dispositivo di destinazione. | Alto | Comportamento anomalo della comunicazione HTTP | Tattiche: - Accesso iniziale - Spostamento laterale - Comando e controllo Tecniche: - T0866: Sfruttamento dei servizi remoti - T0869: Protocollo di livello applicazione standard |
Apprendibile |
Comportamento periodico anomalo nel canale di comunicazione | È stata rilevata una modifica della frequenza di comunicazione tra i dispositivi di origine e di destinazione. | Basso | Comportamento delle comunicazioni anomale | Tattiche: -Scoperta Tecniche: - T0842: Analisi della rete |
Apprendibile |
Terminazione anomala delle applicazioni * | È stato rilevato un numero eccessivo di comandi di arresto in un dispositivo di origine. Questo avviso potrebbe essere il risultato di un problema operativo o di un tentativo di modificare il dispositivo. Soglia: 20 comandi di arresto in 3 ore |
Medio | Comportamento delle comunicazioni anomale | Tattiche: -Persistenza -Impatto Tecniche: - T0889: Modifica programma - T0831: Manipolazione del controllo |
Apprendibile |
Larghezza di banda del traffico anomala * | È stata rilevata una larghezza di banda anomala in un canale. La larghezza di banda sembra essere inferiore/superiore a quella rilevata in precedenza. Per informazioni dettagliate, usare il widget Total Bandwidth .For details, work with the Total Bandwidth widget. | Basso | Anomalie della larghezza di banda | Tattiche: -Scoperta Tecniche: - T0842: Analisi della rete |
Apprendibile |
Larghezza di banda del traffico anomala tra dispositivi * | È stata rilevata una larghezza di banda anomala in un canale. La larghezza di banda sembra essere inferiore/superiore a quella rilevata in precedenza. Per informazioni dettagliate, usare il widget Total Bandwidth .For details, work with the Total Bandwidth widget. | Basso | Anomalie della larghezza di banda | Tattiche: -Scoperta Tecniche: - T0842: Analisi della rete |
Non imparabile |
Analisi degli indirizzi rilevata | È stato rilevato un dispositivo di origine che analizza i dispositivi di rete. Questo dispositivo non è autorizzato come dispositivo di analisi di rete. Soglia: 50 connessioni alla stessa subnet della classe B in 2 minuti |
Alto | Scansione | Tattiche: -Scoperta Tecniche: - T0842: Analisi della rete |
Apprendibile |
Analisi degli indirizzi ARP rilevata * | È stata rilevata un'analisi dei dispositivi di rete tramite il protocollo ARP (Address Resolution Protocol). Questo indirizzo del dispositivo non è autorizzato come indirizzo di analisi ARP valido. Soglia: 40 analisi in 6 minuti |
Alto | Scansione | Tattiche: -Scoperta -Collezione Tecniche: - T0842: Analisi della rete - T0830: Uomo in mezzo |
Apprendibile |
ARP Spoofing * | È stata rilevata una quantità anomala di pacchetti nella rete. Questo avviso potrebbe indicare un attacco, ad esempio uno spoofing ARP o un attacco di flood ICMP. Soglia: 60 pacchetti in 1 minuto |
Basso | Comportamento delle comunicazioni anomale | Tattiche: -Collezione Tecniche: - T0830: Uomo in mezzo |
Non imparabile |
Tentativi di accesso eccessivi | È stato rilevato un dispositivo di origine che esegue tentativi di accesso eccessivi a un server di destinazione. Questo avviso potrebbe indicare un attacco di forza bruta. Il server potrebbe essere compromesso da un attore malintenzionato. Soglia: 20 tentativi di accesso in 1 minuto |
Alto | Autenticazione | Tattiche: - LateralMovement - Controllo dei processi compromessi Tecniche: - T0812: Credenziali predefinite - T0806: I/O di forza bruta |
Non imparabile |
Numero eccessivo di sessioni | È stato rilevato un dispositivo di origine che esegue tentativi di accesso eccessivi a un server di destinazione. Questo potrebbe indicare un attacco di forza bruta. Il server potrebbe essere compromesso da un attore malintenzionato. Soglia: 50 sessioni in 1 minuto |
Alto | Comportamento delle comunicazioni anomale | Tattiche: - Spostamento laterale - Controllo dei processi compromessi Tecniche: - T0812: Credenziali predefinite - T0806: I/O di forza bruta |
Non imparabile |
Frequenza di riavvio eccessiva di un'outstation * | È stato rilevato un numero eccessivo di comandi di riavvio in un dispositivo di origine. Questi avvisi potrebbero essere il risultato di un problema operativo o di un tentativo di modificare il dispositivo. Soglia: 10 riavvii in 1 ora |
Medio | Comandi di riavvio/arresto | Tattiche: - Inibire la funzione di risposta - Controllo dei processi compromessi Tecniche: - T0814: Denial of Service - T0806: I/O di forza bruta |
Non imparabile |
Tentativi di accesso SMB eccessivi | È stato rilevato un dispositivo di origine che esegue tentativi di accesso eccessivi a un server di destinazione. Questo potrebbe indicare un attacco di forza bruta. Il server potrebbe essere compromesso da un attore malintenzionato. Soglia: 10 tentativi di accesso in 10 minuti |
Alto | Autenticazione | Tattiche: -Persistenza -Esecuzione - LateralMovement Tecniche: - T0812: Credenziali predefinite - T0853: Scripting - T0859: Account validi |
Non imparabile |
Inondazione ICMP * | È stata rilevata una quantità anomala di pacchetti nella rete. Questo avviso potrebbe indicare un attacco, ad esempio uno spoofing ARP o un attacco di flood ICMP. Soglia: 60 pacchetti in 1 minuto |
Basso | Comportamento delle comunicazioni anomale | Tattiche: -Scoperta -Collezione Tecniche: - T0842: Analisi della rete - T0830: Uomo in mezzo |
Non imparabile |
Contenuto intestazione HTTP non valido * | Il dispositivo di origine ha avviato una richiesta non valida. | Alto | Comportamento anomalo della comunicazione HTTP | Tattiche: - Accesso iniziale - LateralMovement Tecniche: - T0866: Sfruttamento dei servizi remoti |
Non imparabile |
Canale di comunicazione inattivo * | Un canale di comunicazione tra due dispositivi è inattivo durante un periodo in cui l'attività viene in genere osservata. Ciò potrebbe indicare che il programma che genera questo traffico è stato modificato o che il programma potrebbe non essere disponibile. È consigliabile esaminare la configurazione del programma installato e verificare che sia configurato correttamente. Soglia: 1 minuto |
Basso | Nessuna risposta | Tattiche: - Inibire la funzione di risposta Tecniche: - T0881: Arresto del servizio |
Non imparabile |
Rilevata analisi degli indirizzi con durata prolungata * | È stato rilevato un dispositivo di origine che analizza i dispositivi di rete. Questo dispositivo non è autorizzato come dispositivo di analisi di rete. Soglia: 50 connessioni alla stessa subnet della classe B in 10 minuti |
Alto | Scansione | Tattiche: -Scoperta Tecniche: - T0842: Analisi della rete |
Apprendibile |
Tentativo di indovinamento delle password rilevato | È stato rilevato un dispositivo di origine che esegue tentativi di accesso eccessivi a un server di destinazione. Questo potrebbe indicare un attacco di forza bruta. Il server potrebbe essere compromesso da un attore malintenzionato. Soglia: 100 tentativi in 1 minuto |
Alto | Autenticazione | Tattiche: - Spostamento laterale Tecniche: - T0812: Credenziali predefinite - T0806: I/O di forza bruta |
Non imparabile |
Rilevato controllo PLC | È stato rilevato un dispositivo di origine che analizza i dispositivi di rete. Questo dispositivo non è autorizzato come dispositivo di analisi di rete. Soglia: 10 analisi in 2 minuti |
Alto | Scansione | Tattiche: -Scoperta Tecniche: - T0842: Analisi della rete |
Apprendibile |
Rilevamento dell'analisi delle porte | È stato rilevato un dispositivo di origine che analizza i dispositivi di rete. Questo dispositivo non è autorizzato come dispositivo di analisi di rete. Soglia: 25 analisi in 2 minuti |
Alto | Scansione | Tattiche: -Scoperta Tecniche: - T0842: Analisi della rete |
Apprendibile |
Lunghezza imprevista del messaggio | Il dispositivo di origine ha inviato un messaggio anomalo. Questo avviso potrebbe indicare un tentativo di attacco al dispositivo di destinazione. Soglia: lunghezza del testo - 32768 |
Alto | Comportamento delle comunicazioni anomale | Tattiche: - InitialAccess - LateralMovement Tecniche: - T0869: Sfruttamento di Servizi remoti |
Non imparabile |
Traffico imprevisto per la porta Standard * | Il traffico è stato rilevato in un dispositivo usando una porta riservata per un altro protocollo. | Medio | Comportamento delle comunicazioni anomale | Tattiche: - Comando e controllo -Scoperta Tecniche: - T0869: Protocollo di livello applicazione standard - T0842: Analisi della rete |
Non imparabile |
Avvisi del motore di violazione del protocollo
Gli avvisi del motore di protocollo descrivono le deviazioni rilevate nella struttura dei pacchetti o i valori dei campi rispetto alle specifiche del protocollo.
Posizione | Descrizione | Gravità | Categoria | MITRE ATT&CK Tattiche e tecniche |
Apprendibile |
---|---|---|---|---|---|
Pacchetti in formato non valido eccessivo in una singola sessione * | Numero anomalo di pacchetti in formato non valido inviati dal dispositivo di origine al dispositivo di destinazione. Questo avviso potrebbe indicare comunicazioni errate o un tentativo di modificare il dispositivo di destinazione. Soglia: 2 pacchetti in formato non valido in 10 minuti |
Medio | Comandi non validi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0806: I/O di forza bruta |
Non imparabile |
Aggiornamento del firmware | Un dispositivo di origine ha inviato un comando per aggiornare il firmware in un dispositivo di destinazione. Verificare che gli aggiornamenti recenti di programmazione, configurazione e firmware eseguiti nel dispositivo di destinazione siano validi. | Basso | Modifica del firmware | Tattiche: - Inibire la funzione di risposta -Persistenza Tecniche: - T0857: Firmware di sistema |
Apprendibile |
Codice della funzione non supportato da Outstation | Il dispositivo di destinazione ha ricevuto una richiesta non valida. | Medio | Comandi non validi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato |
Non imparabile |
Messaggio BACNet non valido | Il dispositivo di origine ha avviato una richiesta non valida. | Medio | Comandi non validi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro |
Non imparabile |
Tentativo di connessione non valido sulla porta 0 | Un dispositivo di origine ha tentato di connettersi al dispositivo di destinazione sul numero di porta zero (0). Per TCP, la porta 0 è riservata e non può essere usata. Per UDP, la porta è facoltativa e il valore 0 indica che non è presente alcuna porta. In genere non esiste alcun servizio in un sistema in ascolto sulla porta 0. Questo evento potrebbe indicare un tentativo di attaccare il dispositivo di destinazione o indicare che un'applicazione è stata programmata in modo non corretto. | Basso | Comandi non validi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro |
Non imparabile |
Operazione DNP3 non valida | Il dispositivo di origine ha avviato una richiesta non valida. | Medio | Comandi non validi | Tattiche: - Accesso iniziale - Spostamento laterale Tecniche: - T0866: Sfruttamento dei servizi remoti |
Non imparabile |
Operazione MODBUS non valida (eccezione generata dal master) | Il dispositivo di origine ha avviato una richiesta non valida. | Medio | Comandi non validi | Tattiche: - Accesso iniziale - Spostamento laterale Tecniche: - T0866: Sfruttamento dei servizi remoti |
Non imparabile |
Operazione MODBUS non valida (codice funzione zero) * | Il dispositivo di origine ha avviato una richiesta non valida. | Medio | Comandi non validi | Tattiche: - Accesso iniziale - Spostamento laterale Tecniche: - T0866: Sfruttamento dei servizi remoti |
Non imparabile |
Versione del protocollo non valida * | Il dispositivo di origine ha avviato una richiesta non valida. | Medio | Comandi non validi | Tattiche: - Accesso iniziale - LateralMovement - Controllo dei processi compromessi Tecniche: - T0820: Servizi remoti - T0836: Modifica parametro |
Non imparabile |
Parametro errato inviato a outstation | Il dispositivo di destinazione ha ricevuto una richiesta non valida. | Medio | Comandi non validi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro |
Non imparabile |
Avvio di un codice di funzione obsoleto (inizializzazione dei dati) | Il dispositivo di origine ha avviato una richiesta non valida. | Basso | Comandi non validi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato |
Non imparabile |
Avvio di un codice funzione obsoleto (salva configurazione) | Il dispositivo di origine ha avviato una richiesta non valida. | Basso | Comandi non validi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato |
Non imparabile |
Master ha richiesto una conferma del livello applicazione | Il dispositivo di origine ha avviato una richiesta non valida. | Basso | Comandi non validi | Tattiche: - Comando e controllo Tecniche: - T0869: Protocollo di livello applicazione standard |
Non imparabile |
Eccezione Modbus | Un dispositivo di origine (secondario) ha restituito un'eccezione a un dispositivo di destinazione (primario). | Medio | Comandi non validi | Tattiche: - Inibire la funzione di risposta Tecniche: - T0814: Denial of Service |
Non imparabile |
Tipo ASDU illegale ricevuto dal dispositivo slave | Il dispositivo di destinazione ha ricevuto una richiesta non valida. | Medio | Comandi non validi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0836: Modifica parametro |
Non imparabile |
Il dispositivo slave ha ricevuto un comando illegale causa di trasmissione | Il dispositivo di destinazione ha ricevuto una richiesta non valida. | Medio | Comandi non validi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro |
Non imparabile |
Il dispositivo slave ha ricevuto un indirizzo comune non valido | Il dispositivo di destinazione ha ricevuto una richiesta non valida. | Medio | Comandi non validi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro |
Non imparabile |
Parametro indirizzo dati non valido ricevuto dal dispositivo Slave * | Il dispositivo di destinazione ha ricevuto una richiesta non valida. | Medio | Comandi non validi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro |
Non imparabile |
Parametro Valore dati non valido ricevuto dal dispositivo Slave * | Il dispositivo di destinazione ha ricevuto una richiesta non valida. | Medio | Comandi non validi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro |
Non imparabile |
Codice di funzione illegale ricevuto dal dispositivo Slave * | Il dispositivo di destinazione ha ricevuto una richiesta non valida. | Medio | Comandi non validi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro |
Non imparabile |
Indirizzo dell'oggetto informazioni non valido ricevuto dal dispositivo Slave | Il dispositivo di destinazione ha ricevuto una richiesta non valida. | Medio | Comandi non validi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro |
Non imparabile |
Oggetto sconosciuto inviato a outstation | Il dispositivo di destinazione ha ricevuto una richiesta non valida. | Medio | Comandi non validi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato |
Non imparabile |
Utilizzo di un codice di funzione riservata | Il dispositivo di origine ha avviato una richiesta non valida. | Medio | Comandi non validi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0836: Modifica parametro |
Non imparabile |
Utilizzo di formattazione non corretta per outstation * | Il dispositivo di origine ha avviato una richiesta non valida. | Basso | Comandi non validi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato |
Non imparabile |
Utilizzo dei flag di stato riservati (IIN) | Un dispositivo di origine DNP3 (outstation) ha usato l'indicatore interno riservato 2.6. È consigliabile controllare la configurazione del dispositivo. | Basso | Comandi non validi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0836: Modifica parametro |
Non imparabile |
Avvisi del motore malware
Gli avvisi del motore malware descrivono le attività di rete dannose rilevate.
Posizione | Descrizione | Gravità | Categoria | MITRE ATT&CK Tattiche e tecniche |
Apprendibile |
---|---|---|---|---|---|
Tentativo di connessione a IP dannoso noto | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Attivato sia dai sensori di rete OT che da enterprise IoT. |
Alto | Sospetto di attività dannose | Tattiche: - Accesso iniziale - Comando e controllo Tecniche: - T0883: Dispositivo accessibile a Internet - T0884: Proxy di connessione |
Non imparabile |
Messaggio SMB non valido (impianto backdoor DoublePulsar) | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. | Alto | Sospetto di malware | Tattiche: - Accesso iniziale - LateralMovement Tecniche: - T0866: Sfruttamento dei servizi remoti |
Non imparabile |
Richiesta di nome di dominio dannosa | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Attivato sia dai sensori di rete OT che da enterprise IoT. |
Alto | Sospetto di attività dannose | Tattiche: - Accesso iniziale - Comando e controllo Tecniche: - T0883: Dispositivo accessibile a Internet - T0884: Proxy di connessione |
Apprendibile |
Percorso URL dannoso | È stata effettuata una richiesta a un percorso URL dannoso noto. Le richieste effettuate per questo percorso URL possono indicare che l'origine che effettua la richiesta è compromessa. | Alto | Sospetto di attività dannose | Tattiche: - Accesso iniziale - Comando e controllo Tecniche: - T0883: Dispositivo accessibile a Internet - T0884: Proxy di connessione |
Non imparabile |
Rilevato file di test malware - EICAR AV Success | È stato rilevato un file di test EICAR AV nel traffico tra due dispositivi (su qualsiasi trasporto - TCP o UDP). Il file non è malware. Viene usato per verificare che il software antivirus sia installato correttamente. Dimostrare cosa accade quando viene trovato un virus, e controllare le procedure interne e le reazioni quando viene trovato un virus. Il software antivirus dovrebbe rilevare EICAR come se fosse un vero virus. | Alto | Sospetto di attività dannose | Tattiche: -Scoperta Tecniche: - T0842: Analisi della rete |
Non imparabile |
Sospetto di Malware Conficker | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. | Medio | Sospetto di malware | Tattiche: - Accesso iniziale -Impatto Tecniche: - T0826: perdita di disponibilità - T0828: perdita di produttività e ricavi - T0847: replica tramite supporti rimovibili |
Non imparabile |
Sospetto di attacco Denial of Service | Un dispositivo di origine ha tentato di avviare un numero eccessivo di nuove connessioni a un dispositivo di destinazione. Ciò potrebbe indicare un attacco Denial Of Service (DOS) contro il dispositivo di destinazione e potrebbe interrompere la funzionalità del dispositivo, influire sulla disponibilità delle prestazioni e del servizio o causare errori irreversibili. Soglia: 3000 tentativi in 1 minuto |
Alto | Sospetto di attività dannose | Tattiche: - Inibire la funzione di risposta Tecniche: - T0814: Denial of Service |
Apprendibile |
Sospetto di attività dannose | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che ha attivato "Indicatori di compromissione" (IOC). I metadati degli avvisi devono essere esaminati dal team di sicurezza. | Alto | Sospetto di attività dannose | Tattiche: - Spostamento laterale Tecniche: - T0867: Trasferimento laterale degli strumenti |
Non imparabile |
Sospetto di attività dannose (Black Behalf) | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. | Alto | Sospetto di malware | Tattiche: - Comando e controllo Tecniche: - T0869: Protocollo di livello applicazione standard |
Non imparabile |
Sospetto di attività dannose (DarkComet) | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. | Alto | Sospetto di malware | Tattiche: -Impatto Tecniche: - T0882: Furto di informazioni operative |
Non imparabile |
Sospetto di attività dannose (Duqu) | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. | Alto | Sospetto di malware | Tattiche: -Impatto Tecniche: - T0882: Furto di informazioni operative |
Non imparabile |
Sospetto di attività dannose (fiamma) | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. | Alto | Sospetto di malware | Tattiche: -Collezione -Impatto Tecniche: - T0882: Furto di informazioni operative - T0811: dati dai repository di informazioni |
Non imparabile |
Sospetto di attività dannose (Havex) | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. | Alto | Sospetto di malware | Tattiche: -Collezione -Scoperta - Inibire la funzione di risposta Tecniche: - T0861: Identificazione punto e tag - T0846: Individuazione remota del sistema - T0814: Denial of Service |
Non imparabile |
Sospetto di attività dannose (Karagany) | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. | Alto | Sospetto di malware | Tattiche: -Impatto Tecniche: - T0882: Furto di informazioni operative |
Non imparabile |
Sospetto di attività dannose (LightsOut) | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. | Alto | Sospetto di malware | Tattiche: -Evasione Tecniche: - T0849: Mascheramento |
Non imparabile |
Sospetto di attività dannose (query nome) | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Soglia: 25 query dei nomi in 1 minuto |
Alto | Sospetto di attività dannose | Tattiche: - Comando e controllo Tecniche: - T0884: Proxy di connessione |
Non imparabile |
Sospetto di attività dannose (ivy veleno) | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. | Alto | Sospetto di malware | Tattiche: - Accesso iniziale - Spostamento laterale Tecniche: - T0866: Sfruttamento dei servizi remoti |
Non imparabile |
Sospetto di attività dannose (Regin) | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. | Alto | Sospetto di malware | Tattiche: - Accesso iniziale - Spostamento laterale -Impatto Tecniche: - T0866: Sfruttamento dei servizi remoti - T0882: Furto di informazioni operative |
Non imparabile |
Sospetto di attività dannose (Stuxnet) | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. | Alto | Sospetto di malware | Tattiche: - Accesso iniziale - Spostamento laterale -Impatto Tecniche: - T0818: Compromissione della workstation di progettazione - T0866: Sfruttamento dei servizi remoti - T0831: Manipolazione del controllo |
Non imparabile |
Sospetto di attività dannose (WannaCry) * | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. | Medio | Sospetto di malware | Tattiche: - Accesso iniziale - Spostamento laterale Tecniche: - T0866: Sfruttamento dei servizi remoti - T0867: Trasferimento laterale degli strumenti |
Non imparabile |
Sospetto di malware NotPetya - Rilevati parametri SMB illegali | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. | Alto | Sospetto di malware | Tattiche: - Accesso iniziale - Spostamento laterale Tecniche: - T0866: Sfruttamento dei servizi remoti |
Non imparabile |
Sospetto di malware NotPetya - Transazione SMB illegale rilevata | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. | Alto | Sospetto di malware | Tattiche: - Spostamento laterale Tecniche: - T0867: Trasferimento laterale degli strumenti |
Non imparabile |
Sospetto di esecuzione di codice remoto con PsExec | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. | Alto | Sospetto di attività dannose | Tattiche: - Spostamento laterale - Accesso iniziale Tecniche: - T0866: Sfruttamento dei servizi remoti |
Non imparabile |
Sospetto di gestione dei servizi Windows remoti * | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. | Alto | Sospetto di attività dannose | Tattiche: - Accesso iniziale Tecniche: - T0822: NetworkExternal Remote Services |
Non imparabile |
Rilevato file eseguibile sospetto nell'endpoint | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. | Alto | Sospetto di attività dannose | Tattiche: -Evasione - Inibire la funzione di risposta Tecniche: - T0851: Rootkit |
Apprendibile |
Rilevato traffico sospetto * | È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che ha attivato "Indicatori di compromissione" (IOC). I metadati degli avvisi devono essere esaminati dal team di sicurezza | Alto | Sospetto di attività dannose | Tattiche: -Scoperta Tecniche: - T0842: Analisi della rete |
Non imparabile |
Attività di backup con firme antivirus | Il traffico rilevato tra il dispositivo di origine e il server di backup di destinazione ha attivato questo avviso. Il traffico include il backup del software antivirus che potrebbe contenere firme malware. Questa è probabilmente un'attività di backup legittima. | Basso | Backup | Tattiche: -Impatto Tecniche: - T0882: Furto di informazioni operative |
Non imparabile |
Avvisi del motore operativo
Gli avvisi del motore operativo descrivono gli eventi imprevisti operativi rilevati o le entità non funzionanti.
Posizione | Descrizione | Gravità | Categoria | MITRE ATT&CK Tattiche e tecniche |
Apprendibile |
---|---|---|---|---|---|
È stato inviato un comando S7 Stop PLC | Il dispositivo di origine ha inviato un comando di arresto a un controller di destinazione. Il controller smette di funzionare fino a quando non viene inviato un comando start. | Basso | Comandi di riavvio/arresto | Tattiche: - Spostamento laterale - Evasione della difesa -Esecuzione - Inibire la funzione di risposta Tecniche: - T0843: Download del programma - T0858: Cambiare la modalità operativa - T0814: Denial of Service |
Non imparabile |
Operazione BACNet non riuscita | Un server ha restituito un codice di errore. Questo avviso indica un errore del server o una richiesta non valida da parte di un client. | Medio | Errori dei comandi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato |
Non imparabile |
Stato del dispositivo MMS non valido | Un MMS Virtual Manufacturing Device (VMD) ha inviato un messaggio di stato. Il messaggio indica che il server potrebbe non essere configurato correttamente, parzialmente operativo o non operativo. | Medio | Problemi operativi | Tattiche: - Inibire la funzione di risposta Tecniche: - T0814: Denial of Service |
Non imparabile |
Modifica della configurazione del dispositivo * | È stata rilevata una modifica di configurazione in un dispositivo di origine. | Basso | Modifiche di configurazione | Tattiche: - Controllo dei processi compromessi Tecniche: - T0836: Modifica parametro |
Non imparabile |
Overflow del buffer eventi continuo in outstation * | È stato rilevato un evento di overflow del buffer in un dispositivo di origine. L'evento potrebbe causare danneggiamento dei dati, arresti anomali del programma o esecuzione di codice dannoso. Soglia: 3 occorrenze in 10 minuti |
Medio | Overflow del buffer | Tattiche: - Inibire la funzione di risposta - Controllo dei processi compromessi -Persistenza Tecniche: - T0814: Denial of Service - T0806: I/O di forza bruta - T0839: Firmware del modulo |
Non imparabile |
Reimpostazione controller | Un dispositivo di origine ha inviato un comando di reimpostazione a un controller di destinazione. Il controller ha interrotto il funzionamento temporaneamente e viene avviato di nuovo automaticamente. | Basso | Comandi di riavvio/arresto | Tattiche: - Evasione della difesa -Esecuzione - Inibire la funzione di risposta Tecniche: - T0858: Cambiare la modalità operativa - T0814: Denial of Service |
Non imparabile |
Arresto controller | Il dispositivo di origine ha inviato un comando di arresto a un controller di destinazione. Il controller smette di funzionare fino a quando non viene inviato un comando start. | Basso | Comandi di riavvio/arresto | Tattiche: - Spostamento laterale - Evasione della difesa -Esecuzione - Inibire la funzione di risposta Tecniche: - T0843: Download del programma - T0858: Cambiare la modalità operativa - T0814: Denial of Service |
Non imparabile |
Il dispositivo non è riuscito a ricevere un indirizzo IP dinamico | Il dispositivo di origine è configurato per ricevere un indirizzo IP dinamico da un server DHCP ma non ha ricevuto un indirizzo. Indica un errore di configurazione nel dispositivo o un errore operativo nel server DHCP. È consigliabile notificare all'amministratore di rete l'evento imprevisto | Medio | Errori dei comandi | Tattiche: -Scoperta Tecniche: - T0842: Analisi della rete |
Non imparabile |
Il dispositivo è sospetto disconnesso (non risponde) | Un dispositivo di origine non ha risposto a un comando inviato. Potrebbe essere stato disconnesso quando il comando è stato inviato. Soglia: 8 tentativi in 5 minuti |
Medio | Nessuna risposta | Tattiche: - Inibire la funzione di risposta Tecniche: - T0881: Arresto del servizio |
Non imparabile |
Richiesta del servizio CIP EtherNet/IP non riuscita | Un server ha restituito un codice di errore. Indica un errore del server o una richiesta non valida da parte di un client. | Medio | Errori dei comandi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato |
Non imparabile |
Comando protocollo di incapsulamento EtherNet/IP non riuscito | Un server ha restituito un codice di errore. Indica un errore del server o una richiesta non valida da parte di un client. | Medio | Errori dei comandi | Tattiche: -Collezione Tecniche: - T0801: Monitorare lo stato del processo |
Non imparabile |
Overflow del buffer eventi in outstation | È stato rilevato un evento di overflow del buffer in un dispositivo di origine. L'evento potrebbe causare danneggiamento dei dati, arresti anomali del programma o esecuzione di codice dannoso. | Medio | Overflow del buffer | Tattiche: - Inibire la funzione di risposta - Controllo dei processi compromessi -Persistenza Tecniche: - T0814: Denial of Service - T0839: Firmware del modulo |
Non imparabile |
L'operazione di backup prevista non è stata eseguita | L'attività di backup/trasferimento file prevista non si è verificata tra due dispositivi. Questo avviso potrebbe indicare errori nel processo di backup/trasferimento file. Soglia: 100 secondi |
Medio | Backup | Tattiche: - Inibire la funzione di risposta Tecniche: - T0809: Distruzione dei dati |
Apprendibile |
Errore del comando SRTP GE | Un server ha restituito un codice di errore. Questo avviso indica un errore del server o una richiesta non valida da parte di un client. | Medio | Errori dei comandi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato |
Non imparabile |
È stato inviato il comando GE SRTP Stop PLC | Il dispositivo di origine ha inviato un comando di arresto a un controller di destinazione. Il controller smette di funzionare fino a quando non viene inviato un comando start. | Basso | Comandi di riavvio/arresto | Tattiche: - Spostamento laterale - Evasione della difesa -Esecuzione - Inibire la funzione di risposta Tecniche: - T0843: Download del programma - T0858: Cambiare la modalità operativa - T0814: Denial of Service |
Non imparabile |
Il blocco di controllo GOOSE richiede un'ulteriore configurazione | Un dispositivo di origine ha inviato un messaggio GOOSE che indica che il dispositivo deve essere commissionato. Ciò significa che il blocco di controllo GOOSE richiede ulteriori configurazioni e i messaggi GOOSE sono parzialmente o completamente non operativi. | Medio | Modifiche di configurazione | Tattiche: - Controllo dei processi compromessi - Inibire la funzione di risposta Tecniche: - T0803: Blocca messaggio di comando - T0821: Modifica attività controller |
Non imparabile |
La configurazione del set di dati GOOSE è stata modificata * | Un set di dati del messaggio (identificato dall'ID protocollo) è stato modificato in un dispositivo di origine. Ciò significa che il dispositivo segnala un set di dati diverso per questo messaggio. | Basso | Modifiche di configurazione | Tattiche: - Controllo dei processi compromessi Tecniche: - T0836: Modifica parametro |
Non imparabile |
Stato imprevisto del controller Honeywell | Un controller Honeywell ha inviato un messaggio di diagnostica imprevisto che indica una modifica dello stato. | Basso | Problemi operativi | Tattiche: -Evasione -Esecuzione Tecniche: - T0858: Cambiare la modalità operativa |
Non imparabile |
Errore del client HTTP * | Il dispositivo di origine ha avviato una richiesta non valida. | Basso | Comportamento anomalo della comunicazione HTTP | Tattiche: - Comando e controllo Tecniche: - T0869: Protocollo di livello applicazione standard |
Non imparabile |
Indirizzo IP non valido | Il sistema ha rilevato il traffico tra un dispositivo di origine e un indirizzo IP non valido. Ciò potrebbe indicare una configurazione errata o un tentativo di generare traffico non valido. | Basso | Comportamento delle comunicazioni anomale | Tattiche: -Scoperta - Controllo dei processi compromessi Tecniche: - T0842: Analisi della rete - T0836: Modifica parametro |
Non imparabile |
Errore di autenticazione master-slave | Il processo di autenticazione tra un dispositivo di origine DNP3 (primario) e un dispositivo di destinazione (outstation) non è riuscito. | Basso | Autenticazione | Tattiche: - Spostamento laterale -Persistenza Tecniche: - T0859: Account validi |
Non imparabile |
Richiesta di servizio MMS non riuscita | Un server ha restituito un codice di errore. Indica un errore del server o una richiesta non valida da parte di un client. | Medio | Errori dei comandi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato |
Non imparabile |
Nessun traffico rilevato nell'interfaccia del sensore | Un sensore ha arrestato il rilevamento del traffico di rete in un'interfaccia di rete. | Alto | Traffico del sensore | Tattiche: - Inibire la funzione di risposta Tecniche: - T0881: Arresto del servizio |
Non imparabile |
Il server OPC UA ha generato un evento che richiede l'attenzione dell'utente | Un server OPC UA ha inviato una notifica di evento a un client. Questo tipo di evento richiede l'attenzione dell'utente | Medio | Problemi operativi | Tattiche: - Inibire la funzione di risposta Tecniche: - T0838: Modifica impostazioni allarme |
Non imparabile |
Richiesta di servizio OPC UA non riuscita | Un server ha restituito un codice di errore. Indica un errore del server o una richiesta non valida da parte di un client. | Medio | Errori dei comandi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato |
Non imparabile |
Outstation Restarted | È stato rilevato un riavvio a freddo in un dispositivo di origine. Ciò significa che il dispositivo è stato fisicamente spento e riattivato. | Basso | Comandi di riavvio/arresto | Tattiche: - Inibire la funzione di risposta Tecniche: - T0816: Riavvio/arresto del dispositivo |
Non imparabile |
Riavvii di outstation frequentemente | È stato rilevato un numero eccessivo di riavvii a freddo in un dispositivo di origine. Ciò significa che il dispositivo è stato fisicamente spento e riattivato un numero eccessivo di volte. Soglia: 2 riavvii in 10 minuti |
Basso | Comandi di riavvio/arresto | Tattiche: - Inibire la funzione di risposta Tecniche: - T0814: Denial of Service - T0816: Riavvio/arresto del dispositivo |
Non imparabile |
Configurazione di Outstation modificata | È stata rilevata una modifica di configurazione in un dispositivo di origine. | Medio | Modifiche di configurazione | Tattiche: - Inibire la funzione di risposta -Persistenza Tecniche: - T0857: Firmware di sistema |
Non imparabile |
Rilevata configurazione danneggiata di outstation | Questo dispositivo di origine DNP3 (outstation) ha segnalato una configurazione danneggiata. | Medio | Modifiche di configurazione | Tattiche: - Inibire la funzione di risposta Tecniche: - T0809: Distruzione dei dati |
Non imparabile |
Comando DCP Profinet non riuscito | Un server ha restituito un codice di errore. Indica un errore del server o una richiesta non valida da parte di un client. | Medio | Errori dei comandi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato |
Non imparabile |
Ripristino delle impostazioni predefinite del dispositivo Profinet | Un dispositivo di origine ha inviato un comando di ripristino delle impostazioni predefinite a un dispositivo di destinazione Profinet. Il comando reset cancella le configurazioni del dispositivo Profinet e ne arresta l'operazione. | Basso | Comandi di riavvio/arresto | Tattiche: - Evasione della difesa -Esecuzione - Inibire la funzione di risposta Tecniche: - T0858: Cambiare la modalità operativa - T0814: Denial of Service |
Non imparabile |
Operazione RPC non riuscita * | Un server ha restituito un codice di errore. Questo avviso indica un errore del server o una richiesta non valida da parte di un client. | Medio | Errori dei comandi | Tattiche: - Controllo dei processi compromessi Tecniche: - T0855: Messaggio di comando non autorizzato |
Non imparabile |
Configurazione del set di dati dei messaggi di valori campionati modificata * | Un set di dati del messaggio (identificato dall'ID protocollo) è stato modificato in un dispositivo di origine. Ciò significa che il dispositivo segnala un set di dati diverso per questo messaggio. | Basso | Modifiche di configurazione | Tattiche: - Controllo dei processi compromessi Tecniche: - T0836: Modifica parametro |
Non imparabile |
Errore irreversibile del dispositivo slave * | È stato rilevato un errore di condizione irreversibile in un dispositivo di origine. Questo tipo di errore indica in genere un errore hardware o un errore durante l'esecuzione di un comando specifico. | Medio | Errori dei comandi | Tattiche: - Inibire la funzione di risposta Tecniche: - T0814: Denial of Service |
Non imparabile |
Sospetto di problemi hardware in outstation | È stato rilevato un errore di condizione irreversibile in un dispositivo di origine. Questo tipo di errore indica in genere un errore hardware o un errore durante l'esecuzione di un comando specifico. | Medio | Problemi operativi | Tattiche: - Inibire la funzione di risposta Tecniche: - T0814: Denial of Service - T0881: Arresto del servizio |
Non imparabile |
Sospetto di un dispositivo MODBUS non risponde | Un dispositivo di origine non ha risposto a un comando inviato. Potrebbe essere stato disconnesso quando il comando è stato inviato. Soglia: minimo 1 risposta valida per un minimo di 3 richieste entro 5 minuti |
Basso | Nessuna risposta | Tattiche: - Inibire la funzione di risposta Tecniche: - T0881: Arresto del servizio |
Non imparabile |
Traffico rilevato nell'interfaccia del sensore | Un sensore ha ripreso il rilevamento del traffico di rete in un'interfaccia di rete. | Basso | Traffico del sensore | Tattiche: -Scoperta Tecniche: - T0842: Analisi della rete |
Non imparabile |
Modalità operativa PLC modificata | La modalità operativa su questo PLC è cambiata. La nuova modalità potrebbe indicare che il PLC non è sicuro. Lasciare il PLC in una modalità operativa non sicura potrebbe consentire agli avversari di eseguire attività dannose su di esso, ad esempio un download di programma. Se il PLC è compromesso, i dispositivi e i processi che interagiscono con esso potrebbero essere interessati. Ciò potrebbe influire sulla sicurezza complessiva del sistema e sulla sicurezza. | Basso | Modifiche alla configurazione | Tattiche: -Esecuzione -Evasione Tecniche: - T0858: Cambiare la modalità operativa |
Non imparabile |
Passaggi successivi
Per altre informazioni, vedi:
- Visualizzare e gestire gli avvisi nel portale di Defender per IoT
- Visualizzare gli avvisi nel sensore
- Accelerare i flussi di lavoro degli avvisi
- Inoltrare le informazioni sull'avviso
- Gestire gli avvisi della console di gestione locale
- Informazioni di riferimento sulle API di gestione degli avvisi per le console di gestione locali
- Informazioni di riferimento sulle API di gestione degli avvisi per i sensori di monitoraggio OT
- Inoltrare le informazioni sull'avviso