Microsoft Defender for IoT 경고 참조
이 문서에서는 모든 경고 유형 및 설명 목록을 포함하여 Microsoft Defender for IoT 네트워크 센서에서 생성되는 경고에 대한 참조를 제공합니다. 또한 참조는 학습 가능한 상태로 심사할 수 있는 경고를 보여 줍니다. 학습 가능한 상태에 대한 자세한 내용은 경고 상태 및 심사 옵션을 참조 하세요. 이 참조를 사용하여 경고를 플레이북에 매핑하고, OT(운영 기술) 네트워크 센서 또는 기타 사용자 지정 활동에 대한 전달 규칙을 정의할 수 있습니다.
OT 경고는 기본적으로 꺼져 있습니다.
아래 표의 별표(*)로 표시된 대로 여러 경고가 기본적으로 꺼져 있습니다. OT 센서 관리자 사용자는 특정 OT 네트워크 센서의 지원 페이지에서 경고를 사용하거나 사용하지 않도록 설정할 수 있습니다.
경고 전달 규칙과 같은 다른 위치에서 참조되는 경고를 해제하는 경우 필요에 따라 해당 참조를 업데이트해야 합니다.
경고 심각도
Defender for IoT 경고는 다음 심각도 수준을 사용합니다.
Azure Portal | OT 센서 | 설명 |
---|---|---|
높음 | 위험 | 즉시 처리해야 하는 악의적인 공격을 나타냅니다. |
중간 | Major | 해결해야 할 보안 위협을 나타냅니다. |
낮음 | Minor, Warning | 보안 위협이 포함되거나 보안 위협이 포함되지 않은 기준 동작의 일부 편차를 나타냅니다. |
이 페이지의 경고 심각도는 Azure Portal에 표시된 대로 심각도를 나열합니다.
지원되는 경고 유형
경고 유형 | 설명 |
---|---|
정책 위반 경고 | 정책 위반 엔진이 이전에 학습한 트래픽의 편차를 감지할 때 트리거됩니다. 예: - 새 디바이스가 검색됩니다. - 디바이스에서 새 구성이 검색됩니다. - 프로그래밍 디바이스로 정의되지 않은 디바이스가 프로그래밍 변경을 수행합니다. - 펌웨어 버전이 변경되었습니다. |
프로토콜 위반 경고 | 프로토콜 위반 엔진이 프로토콜 사양을 따르지 않는 패킷 구조 또는 필드 값을 감지하면 트리거됩니다. |
운영 경고 | 운영 엔진이 네트워크 운영 인시던트 또는 디바이스 오작동을 감지하면 트리거됩니다. 예를 들어 Stop PLC 명령을 사용하여 네트워크 디바이스를 중지했거나 센서의 인터페이스가 트래픽 모니터링을 중단했습니다. |
맬웨어 경고 | 맬웨어 엔진이 악의적인 네트워크 활동을 검색할 때 트리거됩니다. 예를 들어 엔진은 Conficker와 같은 알려진 공격을 감지합니다. |
변칙 경고 | 변칙 엔진이 편차를 감지한 경우 트리거됩니다. 예를 들어 디바이스가 네트워크 검색을 수행하지만, 검색 디바이스로 정의되어 있지 않습니다. |
Defender for IoT의 경고 검색 정책은 다양한 경고 엔진을 조정하여 비즈니스 영향 및 네트워크 컨텍스트에 따라 경고를 트리거하고 낮은 가치의 IT 관련 경고를 줄입니다. 자세한 내용은 OT/IT 환경의 집중 경고을 참조하세요.
지원되는 경고 범주
각 경고에는 다음 범주 중 하나가 있습니다.
- 비정상적인 통신 동작
- 비정상적인 HTTP 통신 동작
- 인증
- Backup
- 대역폭 변칙
- 버퍼 오버플로
- 명령 실패
- 구성 변경 내용
- 사용자 지정 경고
- 발견(Discovery)
- 펌웨어 변경
- 잘못된 명령
- 인터넷 액세스
- 작업 실패
- 운영 문제
- 프로그래밍
- 원격 액세스
- 명령 다시 시작/중지
- 검색
- 센서 트래픽
- 악의적 활동이 의심됨
- 맬웨어가 의심됨
- 무단 통신 동작
- 응답 없음
정책 엔진 경고
정책 엔진 경고는 학습된 기준 동작에서 검색된 편차를 설명합니다.
타이틀 | 설명 | 심각도 | 범주 | MITRE ATT&CK 전술과 기술 |
학습 가능 |
---|---|---|---|---|---|
Beckhoff Software Changed | 원본 디바이스에서 펌웨어가 업데이트되었습니다. 이 작업은 권한 있는 작업(예: 계획된 유지 관리 절차)일 수 있습니다. | 중간 | 펌웨어 변경 | 전술: - 응답 함수 억제 -고집 기술: - T0857: 시스템 펌웨어 |
학습 가능 |
데이터베이스 로그인 실패 | 원본 디바이스에서 대상 서버로 로그인 시도가 실패한 것이 감지되었습니다. 이는 사용자 오류의 결과일 수 있지만 서버 또는 해당 서버의 데이터를 손상시키려는 악의적인 시도를 나타낼 수도 있습니다. - 임계값: 5분 내 로그인 실패 2회 |
중간 | 인증 | 전술: - 횡적 이동 -수집 기술: - T0812: 기본 자격 증명 - T0811: 정보 리포지토리의 데이터 |
학습할 수 없음 |
Emerson ROC 펌웨어 버전이 변경됨 | 원본 디바이스에서 펌웨어가 업데이트되었습니다. 이 작업은 권한 있는 작업(예: 계획된 유지 관리 절차)일 수 있습니다. | 중간 | 펌웨어 변경 | 전술: - 응답 함수 억제 -고집 기술: - T0857: 시스템 펌웨어 |
학습 가능 |
인터넷과 통신하는 네트워크 내의 외부 주소 | 네트워크의 일부로 정의된 원본 디바이스가 인터넷 주소와 통신하고 있습니다. 원본에 인터넷 주소와 통신할 수 있는 권한이 없습니다. | 높음 | 인터넷 액세스 | 전술: - 초기 액세스 기술: - T0883: 인터넷에 액세스할 수 있는 디바이스 |
학습 가능 |
필드 디바이스가 예기치 않게 검색됨 | 네트워크에서 새 원본 디바이스가 검색되었지만 권한이 부여되지 않았습니다. | 중간 | 발견(Discovery) | 전술: -발견 기술: - T0842: 네트워크 스니핑 |
학습할 수 없음 |
펌웨어 변경이 감지됨 | 원본 디바이스에서 펌웨어가 업데이트되었습니다. 이 작업은 권한 있는 작업(예: 계획된 유지 관리 절차)일 수 있습니다. | 중간 | 펌웨어 변경 | 전술: - 응답 함수 억제 -고집 기술: - T0857: 시스템 펌웨어 |
학습할 수 없음 |
펌웨어 버전 변경됨 | 원본 디바이스에서 펌웨어가 업데이트되었습니다. 이 작업은 권한 있는 작업(예: 계획된 유지 관리 절차)일 수 있습니다. | 중간 | 펌웨어 변경 | 전술: - 응답 함수 억제 -고집 기술: - T0857: 시스템 펌웨어 |
학습 가능 |
Foxboro I/A 권한 없는 작업 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
학습 가능 |
FTP 로그인 실패 | 원본 디바이스에서 대상 서버로 로그인 시도가 실패한 것이 감지되었습니다. 이 경고는 사람의 실수로 인한 결과일 수 있지만 서버나 서버에 있는 데이터를 손상시키려는 악의적인 시도를 나타낼 수도 있습니다. | 중간 | 인증 | 전술: - 횡적 이동 - 명령 및 제어 기술: - T0812: 기본 자격 증명 - T0869: 표준 애플리케이션 레이어 프로토콜 |
학습할 수 없음 |
함수 코드에서 권한 없는 예외 발생 * | 원본 디바이스(보조)가 대상 디바이스(기본)에 예외를 반환했습니다. | 중간 | 명령 실패 | 전술: - 응답 함수 억제 기술: - T0835: I/O 이미지 조작 |
학습 가능 |
GOOSE 메시지 유형 설정 | 원본 디바이스에서 메시지(프로토콜 ID로 식별됨) 설정이 변경되었습니다. | 낮음 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 기술: - T0836: 매개 변수 수정 |
학습 가능 |
Honeywell 펌웨어 버전이 변경됨 | 원본 디바이스에서 펌웨어가 업데이트되었습니다. 이 작업은 권한 있는 작업(예: 계획된 유지 관리 절차)일 수 있습니다. | 중간 | 펌웨어 변경 | 전술: - 응답 함수 억제 -고집 기술: - T0857: 시스템 펌웨어 |
학습 가능 |
잘못된 HTTP 통신 * | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 비정상적인 HTTP 통신 동작 | 전술: -발견 기술: - T0846: 원격 시스템 검색 |
학습 가능 |
인터넷 액세스가 검색됨 | 네트워크의 일부로 정의된 원본 디바이스가 인터넷 주소와 통신하고 있습니다. 원본에 인터넷 주소와 통신할 수 있는 권한이 없습니다. | 중간 | 인터넷 액세스 | 전술: - 초기 액세스 기술: - T0883: 인터넷에 액세스할 수 있는 디바이스 |
학습 가능 |
미쓰비시 펌웨어 버전이 변경됨 | 원본 디바이스에서 펌웨어가 업데이트되었습니다. 이 작업은 권한 있는 작업(예: 계획된 유지 관리 절차)일 수 있습니다. | 중간 | 펌웨어 변경 | 전술: - 응답 함수 억제 -고집 기술: - T0857: 시스템 펌웨어 |
학습 가능 |
Modbus 주소 범위 위반 | 기본 디바이스가 새 보조 메모리 주소에 대한 액세스를 요청했습니다. | 중간 | 무단 통신 동작 | 전술: -발견 기술: - T0842: 네트워크 스니핑 |
학습 가능 |
Modbus 펌웨어 버전이 변경됨 | 원본 디바이스에서 펌웨어가 업데이트되었습니다. 이 작업은 권한 있는 작업(예: 계획된 유지 관리 절차)일 수 있습니다. | 중간 | 펌웨어 변경 | 전술: - 응답 함수 억제 -고집 기술: - T0857: 시스템 펌웨어 |
학습 가능 |
검색된 새 활동 - CIP 클래스 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: -발견 기술: - T0888: 원격 시스템 정보 검색 |
학습 가능 |
검색된 새 활동 - CIP 클래스 서비스 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 응답 함수 억제 기술: - T0836: 매개 변수 수정 |
학습 가능 |
검색된 새 활동 - CIP PCCC 명령 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 응답 함수 억제 기술: - T0836: 매개 변수 수정 |
학습 가능 |
검색된 새 활동 - CIP 기호 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 - 응답 함수 억제 기술: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
학습 가능 |
검색된 새 활동 - 이더넷/IP I/O 연결 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: -발견 - 응답 함수 억제 기술: - T0846: 원격 시스템 검색 - T0835: I/O 이미지 조작 |
학습 가능 |
검색된 새 활동 - 이더넷/IP 프로토콜 명령 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 응답 함수 억제 기술: - T0836: 매개 변수 수정 |
학습 가능 |
검색된 새 활동 - GSM 메시지 코드 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - CommandAndControl 기술: - T0869: 표준 애플리케이션 레이어 프로토콜 |
학습 가능 |
검색된 새 활동 - LonTalk 명령 코드 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: -수집 - 프로세스 제어 손상 기술: - T0861 - 지점 및 태그 식별 - T0855: 권한 없는 명령 메시지 |
학습 가능 |
새 포트 검색 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 낮음 | 발견(Discovery) | 전술: - 횡적 이동 기술: - T0867: 수평 도구 전송 |
학습 가능 |
검색된 새 활동 - LonTalk 네트워크 변수 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 |
학습 가능 |
검색된 새 활동 - 박수 데이터 요청 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: -수집 -발견 기술: - T0801: 프로세스 상태 모니터링 - T0888: 원격 시스템 정보 검색 |
학습 가능 |
검색된 새 활동 - 읽기/쓰기 명령(AMS 인덱스 그룹) | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 구성 변경 | 전술: - 프로세스 제어 손상 - 응답 함수 억제 기술: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
학습 가능 |
새 활동 검색됨 - 읽기/쓰기 명령(AMS 인덱스 오프셋) | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 구성 변경 | 전술: - 프로세스 제어 손상 - 응답 함수 억제 기술: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
학습 가능 |
새 활동 검색됨 - 권한이 없는 DeltaV 메시지 유형 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 -실행 기술: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
학습 가능 |
새 활동 검색됨 - 권한 없는 DeltaV ROC 작업 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 -실행 기술: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
학습 가능 |
새 활동 검색됨 - 권한이 없는 RPC 메시지 유형 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 |
학습 가능 |
검색된 새 활동 - AMS 프로토콜 명령 사용 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 - 응답 함수 억제 -실행 기술: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 - T0821: 컨트롤러 작업 수정 |
학습 가능 |
감지된 새 활동 - Siemens SICAM 명령 사용 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 - 응답 함수 억제 기술: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
학습 가능 |
검색된 새 활동 - Suitelink 프로토콜 명령 사용 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 - 응답 함수 억제 기술: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
학습 가능 |
검색된 새 활동 - Suitelink 프로토콜 세션 사용 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 기술: - T0836: 매개 변수 수정 |
학습 가능 |
검색된 새 활동 - Yokogawa VNetIP 명령 사용 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 -실행 기술: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
학습 가능 |
새 자산이 탐지됨 | 네트워크에서 새 원본 디바이스가 검색되었지만 권한이 부여되지 않았습니다. 이 경고는 OT 서브넷에서 검색된 디바이스에 적용됩니다. IT 서브넷에서 검색된 새 디바이스는 경고를 트리거하지 않습니다. |
중간 | 발견(Discovery) | 전술: -발견 기술: - T0842: 네트워크 스니핑 |
학습 가능 |
새 LLDP 디바이스 구성 | 네트워크에서 새 원본 디바이스가 검색되었지만 권한이 부여되지 않았습니다. | 중간 | 구성 변경 | 전술: -발견 기술: - T0842: 네트워크 스니핑 |
학습 가능 |
Omron FINS 권한 없음 명령 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
학습 가능 |
S7 Plus PLC 펌웨어 변경됨 | 원본 디바이스에서 펌웨어가 업데이트되었습니다. 이 작업은 권한 있는 작업(예: 계획된 유지 관리 절차)일 수 있습니다. | 중간 | 펌웨어 변경 | 전술: - 응답 함수 억제 -고집 기술: - T0857: 시스템 펌웨어 |
학습 가능 |
샘플링된 값 메시지 유형 설정 | 원본 디바이스에서 메시지(프로토콜 ID로 식별됨) 설정이 변경되었습니다. | 낮음 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 기술: - T0836: 매개 변수 수정 |
학습할 수 없음 |
불법 무결성 검사 의혹 * | DNP3 원본 디바이스(아웃스테이션)에서 검색이 검색되었습니다. 이 검사는 네트워크에서 학습된 트래픽으로 권한이 부여되지 않았습니다. | 중간 | 검색 | 전술: -발견 기술: - T0842: 네트워크 스니핑 |
학습 가능 |
도시바 컴퓨터 링크 권한 없음 명령 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 낮음 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 -실행 기술: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
학습 가능 |
권한 없는 ABB Totalflow 파일 작업 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 -실행 기술: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
학습할 수 없음 |
권한 없는 ABB Totalflow 레지스터 작업 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 -실행 기술: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
학습할 수 없음 |
Siemens S7 데이터 블록에 대한 무단 액세스 | 원본 디바이스가 다른 디바이스에 있는 리소스에 액세스하려고 했습니다. 이 두 디바이스 간의 이 리소스에 대한 액세스 시도는 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. | 낮음 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 - 초기 액세스 기술: - T0855: 권한 없는 명령 메시지 - T0811: 정보 리포지토리의 데이터 |
학습 가능 |
Siemens S7 Plus 개체에 대한 무단 액세스 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 -실행 - 응답 함수 억제 기술: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 - T0809: 데이터 파기 |
학습 가능 |
Wonderware 태그에 대한 무단 액세스 | 원본 디바이스가 다른 디바이스에 있는 리소스에 액세스하려고 했습니다. 이 두 디바이스 간의 이 리소스에 대한 액세스 시도는 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. | 중간 | 무단 통신 동작 | 전술: -수집 - 프로세스 제어 손상 기술: - T0861: 지점 및 태그 식별 - T0855: 권한 없는 명령 메시지 |
학습 가능 |
권한 없는 BACNet 개체 액세스 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 -실행 기술: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
학습 가능 |
권한 없는 BACNet 경로 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 -실행 기술: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
학습 가능 |
권한 없는 데이터베이스 로그인 * | 원본 클라이언트와 대상 서버 간의 로그인 시도가 감지되었습니다. 이러한 디바이스 간의 통신은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. | 중간 | 인증 | 전술: - 횡적 이동 -고집 -수집 기술: - T0859: 유효한 계정 - T0811: 정보 리포지토리의 데이터 |
학습 가능 |
권한 없는 데이터베이스 작업 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 비정상적인 통신 동작 | 전술: - 프로세스 제어 손상 - 초기 액세스 기술: - T0855: 권한 없는 명령 메시지 - T0811: 정보 리포지토리의 데이터 |
학습 가능 |
권한 없는 에머슨 ROC 작업 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 -실행 기술: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
학습 가능 |
권한 없는 GE SRTP 파일 액세스 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: -수집 - LateralMovement -고집 기술: - T0801: 프로세스 상태 모니터링 - T0859: 유효한 계정 |
학습 가능 |
권한 없는 GE SRTP 프로토콜 명령 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
학습 가능 |
권한 없는 GE SRTP 시스템 메모리 작업 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: -발견 - 프로세스 제어 손상 기술: - T0846: 원격 시스템 검색 - T0855: 권한 없는 명령 메시지 |
학습 가능 |
권한 없는 HTTP 활동 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 비정상적인 HTTP 통신 동작 | 전술: - 초기 액세스 - 명령 및 제어 기술: - T0822: 외부 원격 서비스 - T0869: 표준 애플리케이션 레이어 프로토콜 |
학습 가능 |
권한 없는 HTTP SOAP 작업 * | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 비정상적인 HTTP 통신 동작 | 전술: - 명령 및 제어 -실행 기술: - T0869: 표준 애플리케이션 계층 프로토콜 - T0871: API를 통한 실행 |
학습 가능 |
권한 없는 HTTP 사용자 에이전트* | 원본 디바이스에서 권한이 없는 애플리케이션이 감지되었습니다. 애플리케이션은 네트워크에서 학습된 애플리케이션으로 권한이 부여되지 않습니다. | 중간 | 비정상적인 HTTP 통신 동작 | 전술: - 명령 및 제어 기술: - T0869: 표준 애플리케이션 레이어 프로토콜 |
학습 가능 |
무단 인터넷 연결이 감지됨 | 네트워크의 일부로 정의된 원본 디바이스가 인터넷 주소와 통신하고 있습니다. 원본에 인터넷 주소와 통신할 수 있는 권한이 없습니다. | 높음 | 인터넷 액세스 | 전술: - 초기 액세스 기술: - T0883: 인터넷에 액세스할 수 있는 디바이스 |
학습 가능 |
권한 없는 미쓰비시 MELSEC 명령 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 -실행 기술: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
학습 가능 |
권한 없는 MMS 프로그램 액세스 | 원본 디바이스가 다른 디바이스에 있는 리소스에 액세스하려고 했습니다. 이 두 디바이스 간의 이 리소스에 대한 액세스 시도는 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. | 중간 | 프로그래밍 | 전술: - 프로세스 제어 손상 -실행 기술: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
학습 가능 |
권한 없는 MMS 서비스 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 -실행 기술: - T0855: 권한 없는 명령 메시지 - T0821: 컨트롤러 작업 수정 |
학습 가능 |
권한 없는 멀티캐스트/브로드캐스트 연결 | 원본 디바이스와 다른 디바이스 간에 멀티캐스트/브로드캐스트 연결이 검색되었습니다. 멀티캐스트/브로드캐스트 통신에는 권한이 부여되지 않았습니다. | 높음 | 비정상적인 통신 동작 | 전술: -발견 기술: - T0842: 네트워크 스니핑 |
학습 가능 |
권한 없는 이름 쿼리 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 비정상적인 통신 동작 | 전술: - 프로세스 제어 손상 기술: - T0836: 매개 변수 수정 |
학습할 수 없음 |
권한 없는 OPC UA 작업 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 기술: - T0836: 매개 변수 수정 |
학습 가능 |
권한 없는 OPC UA 요청/응답 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 기술: - T0836: 매개 변수 수정 |
학습 가능 |
사용자 정의 규칙에 의해 권한 없는 작업이 검색됨 | 두 디바이스 간에 트래픽이 감지되었습니다. 사용자가 정의한 사용자 지정 경고 규칙에 따라 이 작업은 권한이 없습니다. | 중간 | 사용자 지정 경고 | 전술: -발견 기술: - T0842: 네트워크 스니핑 |
학습할 수 없음 |
권한 없는 PLC 구성 읽기 | 원본 디바이스가 프로그래밍 디바이스로 정의되어 있지 않은데 대상 컨트롤러에서 읽기/쓰기 작업을 수행했습니다. 프로그래밍 변경은 프로그래밍 디바이스에서만 수행해야 합니다. 프로그래밍 애플리케이션이 이 디바이스에 설치되었을 수 있습니다. | 낮음 | 구성 변경 | 전술: -수집 기술: - T0801: 프로세스 상태 모니터링 |
학습 가능 |
권한 없는 PLC 구성 쓰기 | 원본 디바이스가 대상 컨트롤러의 프로그램을 읽고 쓰기 위한 명령을 보냈습니다. 이전에는 이런 활동이 보이지 않았습니다. | 중간 | 구성 변경 | 전술: - 프로세스 제어 손상 -고집 -영향 기술: - T0839: 모듈 펌웨어 - T0831: 제어 조작 - T0889: 프로그램 수정 |
학습 가능 |
권한 없는 PLC 프로그램 업로드 | 원본 디바이스가 대상 컨트롤러의 프로그램을 읽고 쓰기 위한 명령을 보냈습니다. 이전에는 이런 활동이 보이지 않았습니다. | 중간 | 프로그래밍 | 전술: - 프로세스 제어 손상 -고집 -수집 기술: - T0839: 모듈 펌웨어 - T0845: 프로그램 업로드 |
학습 가능 |
권한 없는 PLC 프로그래밍 | 원본 디바이스가 프로그래밍 디바이스로 정의되어 있지 않은데 대상 컨트롤러에서 읽기/쓰기 작업을 수행했습니다. 프로그래밍 변경은 프로그래밍 디바이스에서만 수행해야 합니다. 프로그래밍 애플리케이션이 이 디바이스에 설치되었을 수 있습니다. | 높음 | 프로그래밍 | 전술: - 프로세스 제어 손상 -고집 - 횡적 이동 기술: - T0839: 모듈 펌웨어 - T0889: 프로그램 수정 - T0843: 프로그램 다운로드 |
학습 가능 |
권한 없는 Profinet 프레임 형식 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 기술: - T0836: 매개 변수 수정 |
학습 가능 |
권한 없는 SAIA S-Bus 명령 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 |
학습 가능 |
제어 함수의 권한 없는 Siemens S7 실행 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 - 응답 함수 억제 기술: - T0855: 권한 없는 명령 메시지 - T0809: 데이터 파기 |
학습 가능 |
사용자 정의 함수의 권한이 없는 Siemens S7 실행 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 -실행 기술: - T0836: 매개 변수 수정 - T0863: 사용자 실행 |
학습 가능 |
권한 없는 Siemens S7 Plus 블록 액세스 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 응답 함수 억제 -고집 -실행 기술: - T0803 - 명령 메시지 차단 - T0889: 프로그램 수정 - T0821: 컨트롤러 작업 수정 |
학습 가능 |
권한 없는 지멘스 S7 Plus 작업 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 -실행 기술: - T0855: 권한 없는 명령 메시지 - T0863: 사용자 실행 |
학습 가능 |
권한 없는 SMB 로그인 | 원본 클라이언트와 대상 서버 간의 로그인 시도가 감지되었습니다. 이러한 디바이스 간의 통신은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. | 중간 | 인증 | 전술: - 초기 액세스 - 횡적 이동 -고집 기술: - T0886: 원격 서비스 - T0859: 유효한 계정 |
학습 가능 |
권한 없는 SNMP 작업 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 비정상적인 통신 동작 | 전술: -발견 - 명령 및 제어 기술: - T0842: 네트워크 스니핑 - T0885: 일반적으로 사용되는 포트 |
학습 가능 |
권한 없는 SSH 액세스 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 원격 액세스 | 전술: - InitialAccess - 횡적 이동 - 명령 및 제어 기술: - T0886: 원격 서비스 - T0869: 표준 애플리케이션 레이어 프로토콜 |
학습 가능 |
권한 없는 Windows 프로세스 | 원본 디바이스에서 권한이 없는 애플리케이션이 감지되었습니다. 애플리케이션은 네트워크에서 학습된 애플리케이션으로 권한이 부여되지 않습니다. | 중간 | 비정상적인 통신 동작 | 전술: -실행 - 권한 에스컬레이션 - 명령 및 제어 기술: - T0841: 후킹 - T0885: 일반적으로 사용되는 포트 |
학습 가능 |
권한 없는 Windows 서비스 | 원본 디바이스에서 권한이 없는 애플리케이션이 감지되었습니다. 애플리케이션은 네트워크에서 학습된 애플리케이션으로 권한이 부여되지 않습니다. | 중간 | 비정상적인 통신 동작 | 전술: - 초기 액세스 - 횡적 이동 기술: - T0866: 원격 서비스 악용 |
학습 가능 |
사용자 정의 규칙에 의해 권한 없는 작업이 검색됨 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 사용자 정의 규칙을 위반합니다. | 중간 | 전술: -발견 기술: - T0842: 네트워크 스니핑 |
학습할 수 없음 | |
허용되지 않는 모드버스 슈나이더 일렉트릭 확장 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 |
학습 가능 |
ASDU 형식의 허용되지 않은 사용 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 |
학습 가능 |
DNP3 함수 코드의 허용되지 않은 사용 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 기술: - T0836: 매개 변수 수정 |
학습 가능 |
IIN(내부 표시의 허용되지 않은 사용) * | DNP3 원본 디바이스(Outstation)가 네트워크에서 학습된 트래픽으로 권한이 부여되지 않은 IIN(Internal Indication)을 보고했습니다. | 중간 | 잘못된 명령 | 전술: -발견 기술: - T0842: 네트워크 스니핑 |
학습 가능 |
Modbus 함수 코드의 허용되지 않은 사용 | 새 트래픽 매개 변수가 감지되었습니다. 이 매개 변수 조합은 네트워크에서 학습된 트래픽으로 권한이 부여되지 않습니다. 다음 조합은 권한이 없습니다. | 중간 | 무단 통신 동작 | 전술: - 프로세스 제어 손상 기술: - T0836: 매개 변수 수정 |
학습 가능 |
변칙 엔진 경고
참고 항목
이 문서에는 Microsoft에서 더 이상 사용하지 않는 용어인 슬레이브라는 용어에 대한 참조가 포함되어 있습니다. 소프트웨어에서 용어가 제거되면 이 문서에서 해당 용어가 제거됩니다.
변칙 엔진 경고는 네트워크 활동에서 검색된 변칙을 설명합니다.
타이틀 | 설명 | 심각도 | 범주 | MITRE ATT&CK 전술과 기술 |
학습 가능 |
---|---|---|---|---|---|
슬레이브의 비정상적인 예외 패턴 * | 원본 디바이스에서 과도한 수의 오류가 검색되었습니다. 이 경고는 운영 문제의 결과일 수 있습니다. 임계값: 1시간 내 예외 20개 |
낮음 | 비정상적인 통신 동작 | 전술: - 프로세스 제어 손상 기술: - T0806: 무차별 암호 대입 I/O |
학습할 수 없음 |
비정상적인 HTTP 헤더 길이 * | 원본 디바이스가 비정상적인 메시지를 보냈습니다. 이 경고는 대상 디바이스를 공격하려는 시도를 나타낼 수 있습니다. | 높음 | 비정상적인 HTTP 통신 동작 | 전술: - 초기 액세스 - 횡적 이동 - 명령 및 제어 기술: - T0866: 원격 서비스 악용 - T0869: 표준 애플리케이션 레이어 프로토콜 |
학습 가능 |
HTTP 헤더의 비정상적인 매개 변수 수 * | 원본 디바이스가 비정상적인 메시지를 보냈습니다. 이 경고는 대상 디바이스를 공격하려는 시도를 나타낼 수 있습니다. | 높음 | 비정상적인 HTTP 통신 동작 | 전술: - 초기 액세스 - 횡적 이동 - 명령 및 제어 기술: - T0866: 원격 서비스 악용 - T0869: 표준 애플리케이션 레이어 프로토콜 |
학습 가능 |
통신 채널의 비정상적인 주기적 동작 | 원본 디바이스와 대상 디바이스 간의 통신 빈도 변경이 감지되었습니다. | 낮음 | 비정상적인 통신 동작 | 전술: -발견 기술: - T0842: 네트워크 스니핑 |
학습 가능 |
애플리케이션의 비정상적인 종료 * | 원본 디바이스에서 과도한 수의 중지 명령이 감지되었습니다. 이 경고는 작동 문제 또는 디바이스 조작 시도의 결과일 수 있습니다. 임계값: 3시간 내 중지 명령 20개 |
중간 | 비정상적인 통신 동작 | 전술: -고집 -영향 기술: - T0889: 프로그램 수정 - T0831: 제어 조작 |
학습 가능 |
비정상적인 트래픽 대역폭 * | 채널에서 비정상적인 대역폭이 감지되었습니다. 대역폭이 이전에 감지된 것 보다 훨씬 더 낮거나 높은 것으로 보입니다. 자세한 내용은 총 대역폭 위젯을 사용하여 참조하세요. | 낮음 | 대역폭 변칙 | 전술: -발견 기술: - T0842: 네트워크 스니핑 |
학습 가능 |
디바이스 간 비정상적인 트래픽 대역폭 * | 채널에서 비정상적인 대역폭이 감지되었습니다. 대역폭이 이전에 감지된 것 보다 훨씬 더 낮거나 높은 것으로 보입니다. 자세한 내용은 총 대역폭 위젯을 사용하여 참조하세요. | 낮음 | 대역폭 변칙 | 전술: -발견 기술: - T0842: 네트워크 스니핑 |
학습할 수 없음 |
주소 검색이 검색됨 | 네트워크 디바이스를 검색하는 원본 디바이스가 검색되었습니다. 이 디바이스는 네트워크 검사 디바이스로 권한이 부여되지 않습니다. 임계값: 2분 내 동일한 B 클래스 서브넷에 대한 연결 50개 |
높음 | 검색 | 전술: -발견 기술: - T0842: 네트워크 스니핑 |
학습 가능 |
ARP 주소 검색이 검색됨 * | ARP(주소 확인 프로토콜)를 사용하여 네트워크 디바이스를 검색하는 원본 디바이스가 검색되었습니다. 이 디바이스 주소는 유효한 ARP 검사 주소로 권한이 부여되지 않습니다. 임계값: 6분 내 검사 40회 |
높음 | 검색 | 전술: -발견 -수집 기술: - T0842: 네트워크 스니핑 - T0830: 메시지 가로채기(Man in the Middle) |
학습 가능 |
ARP 스푸핑 * | 네트워크에서 비정상적인 양의 패킷이 감지되었습니다. 이 경고는 ARP 스푸핑 또는 ICMP 플러드(flood) 공격과 같은 공격을 나타내는 것일 수 있습니다. 임계값: 1분 내 패킷 60개 |
낮음 | 비정상적인 통신 동작 | 전술: -수집 기술: - T0830: 메시지 가로채기(Man in the Middle) |
학습할 수 없음 |
과도한 로그인 시도 | 원본 디바이스가 대상 서버에 대한 과도한 로그인 시도를 수행하는 것으로 나타났습니다. 이 경고는 무차별 암호 대입 공격을 나타낼 수 있습니다. 악의적인 행위자가 서버를 손상할 수 있습니다. 임계값: 1분 내 로그인 시도 20회 |
높음 | 인증 | 전술: - LateralMovement - 프로세스 제어 손상 기술: - T0812: 기본 자격 증명 - T0806: 무차별 암호 대입 I/O |
학습할 수 없음 |
과도한 세션 수 | 원본 디바이스가 대상 서버에 대한 과도한 로그인 시도를 수행하는 것으로 나타났습니다. 이는 무차별 암호 대입 공격을 나타낼 수 있습니다. 악의적인 행위자가 서버를 손상할 수 있습니다. 임계값: 1분 내 세션 50개 |
높음 | 비정상적인 통신 동작 | 전술: - 횡적 이동 - 프로세스 제어 손상 기술: - T0812: 기본 자격 증명 - T0806: 무차별 암호 대입 I/O |
학습할 수 없음 |
아웃스테이션의 과도한 다시 시작 속도 * | 원본 디바이스에서 과도한 수의 다시 시작 명령이 감지되었습니다. 이러한 경고는 작동 문제 또는 디바이스 조작 시도의 결과일 수 있습니다. 임계값: 1시간 내 다시 시작 10회 |
중간 | 명령 다시 시작/중지 | 전술: - 응답 함수 억제 - 프로세스 제어 손상 기술: - T0814: 서비스 거부 - T0806: 무차별 암호 대입 I/O |
학습할 수 없음 |
과도한 SMB 로그인 시도 | 원본 디바이스가 대상 서버에 대한 과도한 로그인 시도를 수행하는 것으로 나타났습니다. 이는 무차별 암호 대입 공격을 나타낼 수 있습니다. 악의적인 행위자가 서버를 손상할 수 있습니다. 임계값: 10분 내 로그인 시도 10회 |
높음 | 인증 | 전술: -고집 -실행 - LateralMovement 기술: - T0812: 기본 자격 증명 - T0853: 스크립팅 - T0859: 유효한 계정 |
학습할 수 없음 |
ICMP 홍수 * | 네트워크에서 비정상적인 양의 패킷이 감지되었습니다. 이 경고는 ARP 스푸핑 또는 ICMP 플러드(flood) 공격과 같은 공격을 나타내는 것일 수 있습니다. 임계값: 1분 내 패킷 60개 |
낮음 | 비정상적인 통신 동작 | 전술: -발견 -수집 기술: - T0842: 네트워크 스니핑 - T0830: 메시지 가로채기(Man in the Middle) |
학습할 수 없음 |
잘못된 HTTP 헤더 콘텐츠 * | 원본 디바이스가 잘못된 요청을 시작했습니다. | 높음 | 비정상적인 HTTP 통신 동작 | 전술: - 초기 액세스 - LateralMovement 기술: - T0866: 원격 서비스 악용 |
학습할 수 없음 |
비활성 통신 채널 * | 두 디바이스 간의 통신 채널이 일반적으로 활동이 보이는 기간 동안 비활성 상태였습니다. 이 트래픽을 생성하는 프로그램이 변경되었거나 프로그램을 사용할 수 없음을 나타낼 수 있습니다. 설치된 프로그램의 구성을 검토하고 제대로 구성되었는지 확인하는 것이 좋습니다. 임계값: 1분 |
낮음 | 응답 없음 | 전술: - 응답 함수 억제 기술: - T0881: 서비스 중지 |
학습할 수 없음 |
장기 주소 검색이 검색됨 * | 네트워크 디바이스를 검색하는 원본 디바이스가 검색되었습니다. 이 디바이스는 네트워크 검사 디바이스로 권한이 부여되지 않습니다. 임계값: 10분 내 동일한 B 클래스 서브넷에 대한 연결 50개 |
높음 | 검색 | 전술: -발견 기술: - T0842: 네트워크 스니핑 |
학습 가능 |
암호 추측 시도가 감지됨 | 원본 디바이스가 대상 서버에 대한 과도한 로그인 시도를 수행하는 것으로 나타났습니다. 이는 무차별 암호 대입 공격을 나타낼 수 있습니다. 악의적인 행위자가 서버를 손상할 수 있습니다. 임계값: 1분 내 시도 100회 |
높음 | 인증 | 전술: - 횡적 이동 기술: - T0812: 기본 자격 증명 - T0806: 무차별 암호 대입 I/O |
학습할 수 없음 |
PLC 검사 검색됨 | 네트워크 디바이스를 검색하는 원본 디바이스가 검색되었습니다. 이 디바이스는 네트워크 검사 디바이스로 권한이 부여되지 않습니다. 임계값: 2분 내 검사 10회 |
높음 | 검색 | 전술: -발견 기술: - T0842: 네트워크 스니핑 |
학습 가능 |
포트 검색이 검색됨 | 네트워크 디바이스를 검색하는 원본 디바이스가 검색되었습니다. 이 디바이스는 네트워크 검사 디바이스로 권한이 부여되지 않습니다. 임계값: 2분 내 검사 25회 |
높음 | 검색 | 전술: -발견 기술: - T0842: 네트워크 스니핑 |
학습 가능 |
예기치 않은 메시지 길이 | 원본 디바이스가 비정상적인 메시지를 보냈습니다. 이 경고는 대상 디바이스를 공격하려는 시도를 나타낼 수 있습니다. 임계값: 텍스트 길이 - 32768 |
높음 | 비정상적인 통신 동작 | 전술: - InitialAccess - LateralMovement 기술: - T0869: 원격 서비스 악용 |
학습할 수 없음 |
표준 포트에 대한 예기치 않은 트래픽 * | 다른 프로토콜용으로 예약된 포트를 사용하여 디바이스에서 트래픽이 검색되었습니다. | 중간 | 비정상적인 통신 동작 | 전술: - 명령 및 제어 -발견 기술: - T0869: 표준 애플리케이션 계층 프로토콜 - T0842: 네트워크 스니핑 |
학습할 수 없음 |
프로토콜 위반 엔진 경고
프로토콜 엔진 경고는 패킷 구조에서 감지된 편차 또는 프로토콜 사양에 비해 필드 값을 설명합니다.
타이틀 | 설명 | 심각도 | 범주 | MITRE ATT&CK 전술과 기술 |
학습 가능 |
---|---|---|---|---|---|
단일 세션에서 잘못된 형식의 패킷 * | 원본 디바이스에서 대상 디바이스로 잘못된 형식의 패킷을 비정상적으로 많이 보냈습니다. 이 경고는 잘못된 통신 또는 대상 디바이스를 조작하려는 시도를 나타내는 것일 수 있습니다. 임계값: 10분 내 형식이 잘못된 패킷 2개 |
중간 | 잘못된 명령 | 전술: - 프로세스 제어 손상 기술: - T0806: 무차별 암호 대입 I/O |
학습할 수 없음 |
펌웨어 업데이트 | 원본 디바이스는 대상 디바이스에서 펌웨어를 업데이트하는 명령을 보냈습니다. 대상 디바이스에 대한 최근 프로그래밍, 구성, 펌웨어 업그레이드가 유효한지 확인합니다. | 낮음 | 펌웨어 변경 | 전술: - 응답 함수 억제 -고집 기술: - T0857: 시스템 펌웨어 |
학습 가능 |
아웃스테이션에서 지원되지 않는 함수 코드 | 대상 디바이스가 잘못된 요청을 받았습니다. | 중간 | 잘못된 명령 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 |
학습할 수 없음 |
잘못된 BACNet 메시지 | 원본 디바이스가 잘못된 요청을 시작했습니다. | 중간 | 잘못된 명령 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
학습할 수 없음 |
포트 0에서 잘못된 연결 시도 | 원본 디바이스가 포트 번호 0(0)에서 대상 디바이스에 연결하려고 했습니다. TCP의 경우 포트 0이 예약되어 있어서 사용할 수 없습니다. UDP의 경우 포트는 선택 사항이며 값이 0이면 포트가 없음을 의미합니다. 일반적으로 포트 0에서 수신 대기하는 시스템에는 서비스가 없습니다. 이 이벤트는 대상 디바이스를 공격하려는 시도를 나타내거나 애플리케이션이 잘못 프로그래밍되었음을 나타낼 수 있습니다. | 낮음 | 잘못된 명령 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
학습할 수 없음 |
잘못된 DNP3 작업 | 원본 디바이스가 잘못된 요청을 시작했습니다. | 중간 | 잘못된 명령 | 전술: - 초기 액세스 - 횡적 이동 기술: - T0866: 원격 서비스 악용 |
학습할 수 없음 |
잘못된 MODBUS 작업(마스터에서 발생한 예외) | 원본 디바이스가 잘못된 요청을 시작했습니다. | 중간 | 잘못된 명령 | 전술: - 초기 액세스 - 횡적 이동 기술: - T0866: 원격 서비스 악용 |
학습할 수 없음 |
잘못된 MODBUS 작업(함수 코드 0) * | 원본 디바이스가 잘못된 요청을 시작했습니다. | 중간 | 잘못된 명령 | 전술: - 초기 액세스 - 횡적 이동 기술: - T0866: 원격 서비스 악용 |
학습할 수 없음 |
잘못된 프로토콜 버전 * | 원본 디바이스가 잘못된 요청을 시작했습니다. | 중간 | 잘못된 명령 | 전술: - 초기 액세스 - LateralMovement - 프로세스 제어 손상 기술: - T0820: 원격 서비스 - T0836: 매개 변수 수정 |
학습할 수 없음 |
잘못된 매개 변수가 아웃스테이션으로 전송됨 | 대상 디바이스가 잘못된 요청을 받았습니다. | 중간 | 잘못된 명령 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
학습할 수 없음 |
사용되지 않는 함수 코드 시작(데이터 초기화) | 원본 디바이스가 잘못된 요청을 시작했습니다. | 낮음 | 잘못된 명령 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 |
학습할 수 없음 |
사용되지 않는 함수 코드 시작(구성 저장) | 원본 디바이스가 잘못된 요청을 시작했습니다. | 낮음 | 잘못된 명령 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 |
학습할 수 없음 |
마스터가 애플리케이션 계층 확인을 요청했습니다. | 원본 디바이스가 잘못된 요청을 시작했습니다. | 낮음 | 잘못된 명령 | 전술: - 명령 및 제어 기술: - T0869: 표준 애플리케이션 레이어 프로토콜 |
학습할 수 없음 |
Modbus 예외 | 원본 디바이스(보조)가 대상 디바이스(기본)에 예외를 반환했습니다. | 중간 | 잘못된 명령 | 전술: - 응답 함수 억제 기술: - T0814: 서비스 거부 |
학습할 수 없음 |
슬레이브 디바이스가 잘못된 ASDU 유형을 수신했습니다. | 대상 디바이스가 잘못된 요청을 받았습니다. | 중간 | 잘못된 명령 | 전술: - 프로세스 제어 손상 기술: - T0836: 매개 변수 수정 |
학습할 수 없음 |
슬레이브 디바이스가 잘못된 전송 명령 원인을 수신했습니다. | 대상 디바이스가 잘못된 요청을 받았습니다. | 중간 | 잘못된 명령 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
학습할 수 없음 |
슬레이브 디바이스가 잘못된 일반 주소를 받았습니다. | 대상 디바이스가 잘못된 요청을 받았습니다. | 중간 | 잘못된 명령 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
학습할 수 없음 |
슬레이브 디바이스가 잘못된 데이터 주소 매개 변수를 수신했습니다. * | 대상 디바이스가 잘못된 요청을 받았습니다. | 중간 | 잘못된 명령 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
학습할 수 없음 |
슬레이브 디바이스에서 잘못된 데이터 값 매개 변수를 받았습니다. * | 대상 디바이스가 잘못된 요청을 받았습니다. | 중간 | 잘못된 명령 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
학습할 수 없음 |
슬레이브 디바이스가 잘못된 함수 코드를 받았습니다. * | 대상 디바이스가 잘못된 요청을 받았습니다. | 중간 | 잘못된 명령 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
학습할 수 없음 |
슬레이브 디바이스에서 잘못된 정보 개체 주소를 받았습니다. | 대상 디바이스가 잘못된 요청을 받았습니다. | 중간 | 잘못된 명령 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 - T0836: 매개 변수 수정 |
학습할 수 없음 |
아웃스테이션으로 전송된 알 수 없는 개체 | 대상 디바이스가 잘못된 요청을 받았습니다. | 중간 | 잘못된 명령 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 |
학습할 수 없음 |
예약 함수 코드 사용 | 원본 디바이스가 잘못된 요청을 시작했습니다. | 중간 | 잘못된 명령 | 전술: - 프로세스 제어 손상 기술: - T0836: 매개 변수 수정 |
학습할 수 없음 |
아웃스테이션별 부적절한 서식 사용 * | 원본 디바이스가 잘못된 요청을 시작했습니다. | 낮음 | 잘못된 명령 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 |
학습할 수 없음 |
IIN(예약 상태 플래그) 사용 | DNP3 원본 디바이스(Outstation)가 예약된 Internal Indicator 2.6을 사용했습니다. 디바이스의 구성을 확인하는 것이 좋습니다. | 낮음 | 잘못된 명령 | 전술: - 프로세스 제어 손상 기술: - T0836: 매개 변수 수정 |
학습할 수 없음 |
맬웨어 엔진 경고
맬웨어 엔진 경고는 검색된 악성 네트워크 활동을 설명합니다.
타이틀 | 설명 | 심각도 | 범주 | MITRE ATT&CK 전술과 기술 |
학습 가능 |
---|---|---|---|---|---|
알려진 악성 IP에 연결 시도 | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. OT 및 Enterprise IoT 네트워크 센서에 의해 트리거됩니다. |
높음 | 악의적 활동이 의심됨 | 전술: - 초기 액세스 - 명령 및 제어 기술: - T0883: 인터넷 액세스 가능 디바이스 - T0884: 연결 프록시 |
학습할 수 없음 |
잘못된 SMB 메시지(DoublePulsar Backdoor Implant) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | 높음 | 맬웨어가 의심됨 | 전술: - 초기 액세스 - LateralMovement 기술: - T0866: 원격 서비스 악용 |
학습할 수 없음 |
악의적인 도메인 이름 요청 | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. OT 및 Enterprise IoT 네트워크 센서에 의해 트리거됩니다. |
높음 | 악의적 활동이 의심됨 | 전술: - 초기 액세스 - 명령 및 제어 기술: - T0883: 인터넷 액세스 가능 디바이스 - T0884: 연결 프록시 |
학습 가능 |
악의적인 URL 경로 | 알려진 악성 URL 경로에 대한 요청이 수행되었습니다. 이 URL 경로에 대한 요청은 요청을 만드는 원본이 손상되었음을 나타낼 수 있습니다. | 높음 | 악의적 활동이 의심됨 | 전술: - 초기 액세스 - 명령 및 제어 기술: - T0883: 인터넷 액세스 가능 디바이스 - T0884: 연결 프록시 |
학습할 수 없음 |
맬웨어 테스트 파일 검색됨 - EICAR AV 성공 | 두 디바이스 간의 트래픽에서 EICAR AV 테스트 파일이 검색되었습니다(모든 전송을 통해 TCP 또는 UDP). 파일이 맬웨어가 아닙니다. 이는 바이러스 백신 소프트웨어가 올바르게 설치되었는지 확인하는 데 사용됩니다. 바이러스가 발견되면 어떤 일이 발생하는지 보여주고 바이러스 발견 시 내부 절차와 반응을 확인합니다. 바이러스 백신 소프트웨어는 실제 바이러스인 것처럼 EICAR를 감지해야 합니다. | 높음 | 악의적 활동이 의심됨 | 전술: -발견 기술: - T0842: 네트워크 스니핑 |
학습할 수 없음 |
Conficker 맬웨어 의심 | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | 중간 | 맬웨어가 의심됨 | 전술: - 초기 액세스 -영향 기술: - T0826: 가용성 손실 - T0828: 생산성 및 수익 손실 - T0847: 이동식 미디어를 통한 복제 |
학습할 수 없음 |
서비스 거부 공격 의혹 | 원본 디바이스가 대상 디바이스에 대한 과도한 수의 새 연결을 시작하려고 했습니다. 이는 대상 디바이스에 대한 DOS(서비스 거부) 공격을 나타내고, 디바이스 기능을 중단하거나, 성능 및 서비스 가용성에 영향을 주거나, 복구할 수 없는 오류를 일으킬 수 있습니다. 임계값: 1분 내 시도 3,000회 |
높음 | 악의적 활동이 의심됨 | 전술: - 응답 함수 억제 기술: - T0814: 서비스 거부 |
학습 가능 |
악의적인 활동 의심 | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 IOC('손상 지표')를 트리거한 공격과 연결될 수 있습니다. 경고 메타데이터는 보안 팀에서 검토해야 합니다. | 높음 | 악의적 활동이 의심됨 | 전술: - 횡적 이동 기술: - T0867: 수평 도구 전송 |
학습할 수 없음 |
악의적인 활동 의심(BlackEnergy) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | 높음 | 맬웨어가 의심됨 | 전술: - 명령 및 제어 기술: - T0869: 표준 애플리케이션 레이어 프로토콜 |
학습할 수 없음 |
악의적인 활동 의심(DarkComet) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | 높음 | 맬웨어가 의심됨 | 전술: -영향 기술: - T0882: 운영 정보 도용 |
학습할 수 없음 |
악의적인 활동 의심(Duqu) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | 높음 | 맬웨어가 의심됨 | 전술: -영향 기술: - T0882: 운영 정보 도용 |
학습할 수 없음 |
악의적인 활동 의심(화염) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | 높음 | 맬웨어가 의심됨 | 전술: -수집 -영향 기술: - T0882: 운영 정보 도난 - T0811: 정보 리포지토리의 데이터 |
학습할 수 없음 |
악의적인 활동 의심(Havex) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | 높음 | 맬웨어가 의심됨 | 전술: -수집 -발견 - 응답 함수 억제 기술: - T0861: 지점 및 태그 식별 - T0846: 원격 시스템 검색 - T0814: 서비스 거부 |
학습할 수 없음 |
악의적인 활동 의심(Karagany) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | 높음 | 맬웨어가 의심됨 | 전술: -영향 기술: - T0882: 운영 정보 도용 |
학습할 수 없음 |
악의적인 활동 의심(LightsOut) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | 높음 | 맬웨어가 의심됨 | 전술: -회피 기술: - T0849: 가장 |
학습할 수 없음 |
악의적인 활동 의심(이름 쿼리) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. 임계값: 1분 내 이름 쿼리 25개 |
높음 | 악의적 활동이 의심됨 | 전술: - 명령 및 제어 기술: - T0884: 연결 프록시 |
학습할 수 없음 |
악의적인 활동 의심(포이즌 아이비) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | 높음 | 맬웨어가 의심됨 | 전술: - 초기 액세스 - 횡적 이동 기술: - T0866: 원격 서비스 악용 |
학습할 수 없음 |
악의적인 활동 의심(Regin) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | 높음 | 맬웨어가 의심됨 | 전술: - 초기 액세스 - 횡적 이동 -영향 기술: - T0866: 원격 서비스 악용 - T0882: 운영 정보 도용 |
학습할 수 없음 |
악의적인 활동 의심(Stuxnet) | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | 높음 | 맬웨어가 의심됨 | 전술: - 초기 액세스 - 횡적 이동 -영향 기술: - T0818: 엔지니어링 워크스테이션 손상 - T0866: 원격 서비스 악용 - T0831: 제어 조작 |
학습할 수 없음 |
악의적인 활동 의심(WannaCry) * | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | 중간 | 맬웨어가 의심됨 | 전술: - 초기 액세스 - 횡적 이동 기술: - T0866: 원격 서비스 악용 - T0867: 수평 도구 전송 |
학습할 수 없음 |
NotPetya 맬웨어 의심 - 잘못된 SMB 매개 변수 검색됨 | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | 높음 | 맬웨어가 의심됨 | 전술: - 초기 액세스 - 횡적 이동 기술: - T0866: 원격 서비스 악용 |
학습할 수 없음 |
NotPetya 맬웨어 의심 - 잘못된 SMB 트랜잭션이 감지됨 | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | 높음 | 맬웨어가 의심됨 | 전술: - 횡적 이동 기술: - T0867: 수평 도구 전송 |
학습할 수 없음 |
PsExec를 사용하여 원격 코드 실행 의심 | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | 높음 | 악의적 활동이 의심됨 | 전술: - 횡적 이동 - 초기 액세스 기술: - T0866: 원격 서비스 악용 |
학습할 수 없음 |
원격 Windows 서비스 관리의 의심 * | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | 높음 | 악의적 활동이 의심됨 | 전술: - 초기 액세스 기술: - T0822: 네트워크 외부 원격 서비스 |
학습할 수 없음 |
엔드포인트에서 의심스러운 실행 파일 검색됨 | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 맬웨어에서 사용하는 방법을 악용하는 공격과 관련이 있을 수 있습니다. | 높음 | 악의적 활동이 의심됨 | 전술: -회피 - 응답 함수 억제 기술: - T0851: 루트킷 |
학습 가능 |
의심스러운 트래픽이 감지됨 * | 의심스러운 네트워크 활동이 감지되었습니다. 이 활동은 알려진 IOC('손상 지표')를 트리거한 공격과 연결될 수 있습니다. 경고 메타데이터는 보안 팀에서 검토해야 합니다. | 높음 | 악의적 활동이 의심됨 | 전술: -발견 기술: - T0842: 네트워크 스니핑 |
학습할 수 없음 |
바이러스 백신 서명을 사용한 백업 작업 | 원본 디바이스와 대상 백업 서버 간에 검색된 트래픽이 이 경고를 트리거했습니다. 트래픽에는 맬웨어 서명을 포함할 수 있는 바이러스 백신 소프트웨어의 백업이 포함됩니다. 이는 합법적인 백업 작업일 가능성이 큽니다. | 낮음 | Backup | 전술: -영향 기술: - T0882: 운영 정보 도용 |
학습할 수 없음 |
운영 엔진 경고
운영 엔진 경고는 검색된 운영 인시던트 또는 오작동하는 엔터티를 설명합니다.
타이틀 | 설명 | 심각도 | 범주 | MITRE ATT&CK 전술과 기술 |
학습 가능 |
---|---|---|---|---|---|
S7 PLC 중지 명령이 전송됨 | 원본 디바이스가 대상 컨트롤러에 중지 명령을 보냈습니다. 컨트롤러는 시작 명령이 전송될 때까지 작동을 중지합니다. | 낮음 | 명령 다시 시작/중지 | 전술: - 횡적 이동 - 방어 회피 -실행 - 응답 함수 억제 기술: - T0843: 프로그램 다운로드 - T0858: 운영 모드 변경 - T0814: 서비스 거부 |
학습할 수 없음 |
BACNet 작업 실패 | 서버가 오류 코드를 반환했습니다. 이 경고는 서버 오류 또는 클라이언트의 잘못된 요청을 나타냅니다. | 중간 | 명령 실패 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 |
학습할 수 없음 |
잘못된 MMS 디바이스 상태 | MMS VMD(가상 제조 디바이스)에서 상태 메시지를 보냈습니다. 메시지는 서버가 올바르게 구성되지 않았거나, 부분적으로 작동하거나, 전혀 작동하지 않을 수 있음을 나타냅니다. | 중간 | 운영 문제 | 전술: - 응답 함수 억제 기술: - T0814: 서비스 거부 |
학습할 수 없음 |
디바이스 구성 변경 * | 원본 디바이스에서 구성 변경이 감지되었습니다. | 낮음 | 구성 변경 | 전술: - 프로세스 제어 손상 기술: - T0836: 매개 변수 수정 |
학습할 수 없음 |
아웃스테이션의 연속 이벤트 버퍼 오버플로 * | 원본 디바이스에서 버퍼 오버플로 이벤트가 검색되었습니다. 이 이벤트는 데이터 손상, 프로그램 충돌 또는 악성 코드 실행을 일으킬 수 있습니다. 임계값: 10분 내 발생 3개 |
중간 | 버퍼 오버플로 | 전술: - 응답 함수 억제 - 프로세스 제어 손상 -고집 기술: - T0814: 서비스 거부 - T0806: 무차별 암호 대입 I/O - T0839: 모듈 펌웨어 |
학습할 수 없음 |
컨트롤러 재설정 | 원본 디바이스가 대상 컨트롤러에 재설정 명령을 보냈습니다. 컨트롤러가 일시적으로 작동을 중지하고 자동으로 다시 시작했습니다. | 낮음 | 명령 다시 시작/중지 | 전술: - 방어 회피 -실행 - 응답 함수 억제 기술: - T0858: 운영 모드 변경 - T0814: 서비스 거부 |
학습할 수 없음 |
컨트롤러 중지 | 원본 디바이스가 대상 컨트롤러에 중지 명령을 보냈습니다. 컨트롤러는 시작 명령이 전송될 때까지 작동을 중지합니다. | 낮음 | 명령 다시 시작/중지 | 전술: - 횡적 이동 - 방어 회피 -실행 - 응답 함수 억제 기술: - T0843: 프로그램 다운로드 - T0858: 운영 모드 변경 - T0814: 서비스 거부 |
학습할 수 없음 |
디바이스가 동적 IP 주소를 수신하지 못했습니다. | 원본 디바이스가 DHCP 서버에서 동적 IP 주소를 받도록 구성되었지만 주소를 받지 못했습니다. 디바이스의 구성 오류 또는 DHCP 서버의 작동 오류를 나타냅니다. 네트워크 관리자에게 인시던트를 알리는 것이 좋습니다. | 중간 | 명령 실패 | 전술: -발견 기술: - T0842: 네트워크 스니핑 |
학습할 수 없음 |
디바이스 연결이 끊어진 것으로 의심됨(응답하지 않는) | 원본 디바이스가 전송된 명령에 응답하지 않았습니다. 명령이 전송되었을 때 연결이 끊어졌을 수 있습니다. 임계값: 5분 내 시도 8회 |
중간 | 응답 없음 | 전술: - 응답 함수 억제 기술: - T0881: 서비스 중지 |
학습할 수 없음 |
EtherNet/IP CIP 서비스 요청 실패 | 서버가 오류 코드를 반환했습니다. 이는 서버 오류 또는 클라이언트의 잘못된 요청을 나타냅니다. | 중간 | 명령 실패 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 |
학습할 수 없음 |
EtherNet/IP 캡슐화 프로토콜 명령 실패 | 서버가 오류 코드를 반환했습니다. 이는 서버 오류 또는 클라이언트의 잘못된 요청을 나타냅니다. | 중간 | 명령 실패 | 전술: -수집 기술: - T0801: 프로세스 상태 모니터링 |
학습할 수 없음 |
아웃스테이션의 이벤트 버퍼 오버플로 | 원본 디바이스에서 버퍼 오버플로 이벤트가 검색되었습니다. 이 이벤트는 데이터 손상, 프로그램 충돌 또는 악성 코드 실행을 일으킬 수 있습니다. | 중간 | 버퍼 오버플로 | 전술: - 응답 함수 억제 - 프로세스 제어 손상 -고집 기술: - T0814: 서비스 거부 - T0839: 모듈 펌웨어 |
학습할 수 없음 |
예상 백업 작업이 수행되지 않음 | 예상한 백업/파일 전송 활동이 두 디바이스 간에 발생하지 않았습니다. 이 경고는 백업/파일 전송 프로세스의 오류를 나타낼 수 있습니다. 임계값: 100초 |
중간 | Backup | 전술: - 응답 함수 억제 기술: - T0809: 데이터 파기 |
학습 가능 |
GE SRTP 명령 실패 | 서버가 오류 코드를 반환했습니다. 이 경고는 서버 오류 또는 클라이언트의 잘못된 요청을 나타냅니다. | 중간 | 명령 실패 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 |
학습할 수 없음 |
GE SRTP STOP PLC 명령이 전송됨 | 원본 디바이스가 대상 컨트롤러에 중지 명령을 보냈습니다. 컨트롤러는 시작 명령이 전송될 때까지 작동을 중지합니다. | 낮음 | 명령 다시 시작/중지 | 전술: - 횡적 이동 - 방어 회피 -실행 - 응답 함수 억제 기술: - T0843: 프로그램 다운로드 - T0858: 운영 모드 변경 - T0814: 서비스 거부 |
학습할 수 없음 |
GOOSE 제어 블록에 추가 구성 필요 | 원본 디바이스는 디바이스에 시운전이 필요하다는 GOOSE 메시지를 보냈습니다. GOOSE 제어 블록에 추가 구성이 필요하고 GOOSE 메시지가 부분적으로 또는 완전히 작동하지 않음을 의미합니다. | 중간 | 구성 변경 | 전술: - 프로세스 제어 손상 - 응답 함수 억제 기술: - T0803: 명령 메시지 차단 - T0821: 컨트롤러 작업 수정 |
학습할 수 없음 |
GOOSE 데이터 세트 구성이 변경되었습니다. * | 원본 디바이스에서 메시지(프로토콜 ID로 식별됨) 데이터 세트가 변경되었습니다. 즉, 디바이스가 이 메시지에 대해 다른 데이터 세트를 보고합니다. | 낮음 | 구성 변경 | 전술: - 프로세스 제어 손상 기술: - T0836: 매개 변수 수정 |
학습할 수 없음 |
Honeywell 컨트롤러 예기치 않은 상태 | Honeywell 컨트롤러가 상태 변경을 나타내는 예기치 않은 진단 메시지를 보냈습니다. | 낮음 | 운영 문제 | 전술: -회피 -실행 기술: - T0858: 운영 모드 변경 |
학습할 수 없음 |
HTTP 클라이언트 오류 * | 원본 디바이스가 잘못된 요청을 시작했습니다. | 낮음 | 비정상적인 HTTP 통신 동작 | 전술: - 명령 및 제어 기술: - T0869: 표준 애플리케이션 레이어 프로토콜 |
학습할 수 없음 |
잘못된 IP 주소 | 원본 디바이스와 잘못된 주소인 IP 주소 간의 트래픽이 시스템에서 감지되었습니다. 잘못된 구성 또는 잘못된 트래픽을 생성하려는 시도를 나타낼 수 있습니다. | 낮음 | 비정상적인 통신 동작 | 전술: -발견 - 프로세스 제어 손상 기술: - T0842: 네트워크 스니핑 - T0836: 매개 변수 수정 |
학습할 수 없음 |
마스터-슬레이브 인증 오류 | DNP3 원본 디바이스(기본)와 대상 디바이스(Outstation) 간의 인증 프로세스가 실패했습니다. | 낮음 | 인증 | 전술: - 횡적 이동 -고집 기술: - T0859: 유효한 계정 |
학습할 수 없음 |
MMS 서비스 요청 실패 | 서버가 오류 코드를 반환했습니다. 이는 서버 오류 또는 클라이언트의 잘못된 요청을 나타냅니다. | 중간 | 명령 실패 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 |
학습할 수 없음 |
센서 인터페이스에서 트래픽이 검색되지 않음 | 센서가 네트워크 인터페이스에서 네트워크 트래픽 검색을 중지했습니다. | 높음 | 센서 트래픽 | 전술: - 응답 함수 억제 기술: - T0881: 서비스 중지 |
학습할 수 없음 |
OPC UA 서버가 사용자의 주의가 필요한 이벤트를 발생시켰습니다. | OPC UA 서버가 클라이언트에 이벤트 알림을 보냈습니다. 이 유형의 이벤트에는 사용자의 주의가 필요합니다. | 중간 | 운영 문제 | 전술: - 응답 함수 억제 기술: - T0838: 경보 설정 수정 |
학습할 수 없음 |
OPC UA 서비스 요청 실패 | 서버가 오류 코드를 반환했습니다. 이는 서버 오류 또는 클라이언트의 잘못된 요청을 나타냅니다. | 중간 | 명령 실패 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 |
학습할 수 없음 |
아웃스테이션 다시 시작됨 | 원본 디바이스에서 콜드 다시 시작이 검색되었습니다. 즉, 디바이스가 물리적으로 꺼져 다시 켜져 있습니다. | 낮음 | 명령 다시 시작/중지 | 전술: - 응답 함수 억제 기술: - T0816: 디바이스 다시 시작/종료 |
학습할 수 없음 |
아웃스테이션이 자주 다시 시작됩니다. | 원본 디바이스에서 과도한 수의 콜드 다시 시작이 감지되었습니다. 즉, 디바이스가 물리적으로 꺼져 있고 다시 과도한 횟수만큼 다시 켜져 있습니다. 임계값: 10분 내 다시 시작 2회 |
낮음 | 명령 다시 시작/중지 | 전술: - 응답 함수 억제 기술: - T0814: 서비스 거부 - T0816: 디바이스 다시 시작/종료 |
학습할 수 없음 |
아웃스테이션의 구성이 변경됨 | 원본 디바이스에서 구성 변경이 감지되었습니다. | 중간 | 구성 변경 | 전술: - 응답 함수 억제 -고집 기술: - T0857: 시스템 펌웨어 |
학습할 수 없음 |
아웃스테이션의 손상된 구성이 검색됨 | DNP3 원본 디바이스(Outstation)가 손상된 구성을 보고했습니다. | 중간 | 구성 변경 | 전술: - 응답 함수 억제 기술: - T0809: 데이터 파기 |
학습할 수 없음 |
Profinet DCP 명령 실패 | 서버가 오류 코드를 반환했습니다. 이는 서버 오류 또는 클라이언트의 잘못된 요청을 나타냅니다. | 중간 | 명령 실패 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 |
학습할 수 없음 |
Profinet Device Factory Reset | 원본 디바이스는 Profinet 대상 디바이스에 공장 재설정 명령을 보냈습니다. Reset 명령은 Profinet 디바이스 구성을 지우고 해당 작업을 중지합니다. | 낮음 | 명령 다시 시작/중지 | 전술: - 방어 회피 -실행 - 응답 함수 억제 기술: - T0858: 운영 모드 변경 - T0814: 서비스 거부 |
학습할 수 없음 |
RPC 작업 실패 * | 서버가 오류 코드를 반환했습니다. 이 경고는 서버 오류 또는 클라이언트의 잘못된 요청을 나타냅니다. | 중간 | 명령 실패 | 전술: - 프로세스 제어 손상 기술: - T0855: 권한 없는 명령 메시지 |
학습할 수 없음 |
샘플링된 값 메시지 데이터 세트 구성이 변경됨 * | 원본 디바이스에서 메시지(프로토콜 ID로 식별됨) 데이터 세트가 변경되었습니다. 즉, 디바이스가 이 메시지에 대해 다른 데이터 세트를 보고합니다. | 낮음 | 구성 변경 | 전술: - 프로세스 제어 손상 기술: - T0836: 매개 변수 수정 |
학습할 수 없음 |
슬레이브 디바이스 복구할 수 없음 오류 * | 원본 디바이스에서 복구할 수 없는 조건 오류가 감지되었습니다. 이러한 종류의 오류는 일반적으로 하드웨어 오류 또는 특정 명령을 수행하지 못했음을 나타냅니다. | 중간 | 명령 실패 | 전술: - 응답 함수 억제 기술: - T0814: 서비스 거부 |
학습할 수 없음 |
아웃스테이션의 하드웨어 문제 의심 | 원본 디바이스에서 복구할 수 없는 조건 오류가 감지되었습니다. 이러한 종류의 오류는 일반적으로 하드웨어 오류 또는 특정 명령을 수행하지 못했음을 나타냅니다. | 중간 | 운영 문제 | 전술: - 응답 함수 억제 기술: - T0814: 서비스 거부 - T0881: 서비스 중지 |
학습할 수 없음 |
응답하지 않는 MODBUS 디바이스 의심 | 원본 디바이스가 전송된 명령에 응답하지 않았습니다. 명령이 전송되었을 때 연결이 끊어졌을 수 있습니다. 임계값: 5분 내 최소 3개의 요청에 대한 유효 응답 1개 이상 |
낮음 | 응답 없음 | 전술: - 응답 함수 억제 기술: - T0881: 서비스 중지 |
학습할 수 없음 |
센서 인터페이스에서 검색된 트래픽 | 센서가 네트워크 인터페이스에서 네트워크 트래픽 감지를 재개했습니다. | 낮음 | 센서 트래픽 | 전술: -발견 기술: - T0842: 네트워크 스니핑 |
학습할 수 없음 |
PLC 운영 모드 변경됨 | 이 PLC의 운영 모드가 변경되었습니다. 새 모드는 PLC가 안전하지 않음을 나타낼 수 있습니다. PLC를 안전하지 않은 운영 모드로 두면 악의적 사용자가 프로그램 다운로드와 같은 악의적인 활동을 수행할 수 있습니다. PLC가 손상된 경우 해당 PLC와 상호 작용하는 디바이스 및 프로세스가 영향을 받을 수 있습니다. 이는 전반적인 시스템 보안 및 안전에 영향을 줄 수 있습니다. | 낮음 | 구성 변경 내용 | 전술: -실행 -회피 기술: - T0858: 운영 모드 변경 |
학습할 수 없음 |
다음 단계
자세한 내용은 다음을 참조하세요.