Microsoft Defender for IoT-waarschuwingsverwijzing
Dit artikel bevat een overzicht van de waarschuwingen die worden gegenereerd door Microsoft Defender for IoT-netwerksensoren, inclusief een lijst met alle waarschuwingstypen en beschrijvingen. In de verwijzing ziet u ook welke waarschuwingen kunnen worden gesorteerd als leerbaar of niet, voor meer informatie over de leesbare status raadpleegt u de opties voor waarschuwingsstatussen en triatrische opties. U kunt deze verwijzing gebruiken om waarschuwingen toe te wijzen aan playbooks, doorstuurregels te definiëren voor een ot-netwerksensor (Operational Technology) of andere aangepaste activiteiten.
OT-waarschuwingen zijn standaard uitgeschakeld
Verschillende waarschuwingen zijn standaard uitgeschakeld, zoals aangegeven door sterretjes (*) in de onderstaande tabellen. Gebruikers van ot-sensorbeheerders kunnen waarschuwingen in- of uitschakelen op de pagina Ondersteuning op een specifieke OT-netwerksensor.
Als u waarschuwingen uitschakelt waarnaar wordt verwezen op andere locaties, zoals regels voor het doorsturen van waarschuwingen, moet u deze verwijzingen indien nodig bijwerken.
Ernst van waarschuwingen
Defender for IoT-waarschuwingen gebruiken de volgende ernstniveaus:
| Azure Portal | OT-sensor | Beschrijving |
|---|---|---|
| Hoog | Kritiek | Geeft een schadelijke aanval aan die onmiddellijk moet worden afgehandeld. |
| Gemiddeld | Groot | Geeft een beveiligingsrisico aan dat belangrijk is om aan te pakken. |
| Laag | Secundair, waarschuwing | Geeft een afwijking aan van het basislijngedrag dat mogelijk een beveiligingsrisico bevat of geen beveiligingsrisico's bevat. |
De ernst van waarschuwingen op deze pagina bevat de ernst, zoals wordt weergegeven in Azure Portal.
Ondersteunde waarschuwingstypen
| Waarschuwingstype | Beschrijving |
|---|---|
| Waarschuwingen voor beleidsschending | Geactiveerd wanneer de engine beleidsschending een afwijking van eerder geleerd verkeer detecteert. Bijvoorbeeld: - Er wordt een nieuw apparaat gedetecteerd. - Er wordt een nieuwe configuratie gedetecteerd op een apparaat. - Een apparaat dat niet is gedefinieerd als een programmeerapparaat, voert een programmeerwijziging uit. - Een firmwareversie is gewijzigd. |
| Waarschuwingen voor protocolschendingen | Geactiveerd wanneer de protocolschendingsengine pakketstructuren of veldwaarden detecteert die niet voldoen aan de protocolspecificatie. |
| Operationele waarschuwingen | Geactiveerd wanneer de operationele engine operationele netwerkincidenten detecteert of een apparaat defect is. Een netwerkapparaat is bijvoorbeeld gestopt via een STOP PLC-opdracht of een interface op een sensor stopte het bewakingsverkeer. |
| Waarschuwingen voor malware | Geactiveerd wanneer de malware-engine schadelijke netwerkactiviteit detecteert. De engine detecteert bijvoorbeeld een bekende aanval, zoals Conficker. |
| Anomalie-waarschuwingen | Geactiveerd wanneer de anomalie-engine een afwijking detecteert. Een apparaat voert bijvoorbeeld netwerkscans uit, maar is niet gedefinieerd als een scanapparaat. |
Het beleid voor waarschuwingsdetectie van Defender for IoT stuurt de verschillende waarschuwingsengines om waarschuwingen te activeren op basis van bedrijfsimpact en netwerkcontext, en vermindert IT-gerelateerde waarschuwingen met een lage waarde. Zie waarschuwingen met prioriteit in OT/IT-omgevingen voor meer informatie.
Ondersteunde waarschuwingscategorieën
Elke waarschuwing heeft een van de volgende categorieën:
- Abnormaal communicatiegedrag
- Abnormaal HTTP-communicatiegedrag
- Verificatie
- Backup
- Bandbreedteafwijkingen
- Bufferoverloop
- Opdrachtfouten
- Configuratiewijzigingen
- Aangepaste waarschuwingen
- Detectie
- Firmwarewijziging
- Illegale opdrachten
- Internettoegang
- Bewerkingsfouten
- Operationele problemen
- Programmeren
- Externe toegang
- Opdrachten opnieuw opstarten/stoppen
- Scannen
- Sensorverkeer
- Vermoeden van schadelijke activiteit
- Vermoeden van malware
- Gedrag van niet-geautoriseerde communicatie
- Reageert niet
Waarschuwingen voor beleidsengine
Waarschuwingen van beleidsengine beschrijven gedetecteerde afwijkingen van het geleerde basislijngedrag.
| Title | Beschrijving | Ernst | Categorie | MITRE ATT&CK Tactieken en technieken |
Leerbaar |
|---|---|---|---|---|---|
| Beckhoff Software is gewijzigd | Firmware is bijgewerkt op een bronapparaat. Dit kan een geautoriseerde activiteit zijn, bijvoorbeeld een geplande onderhoudsprocedure. | Gemiddeld | Firmwarewijziging | Tactieken: - Reactiefunctie remmen -Volharding Technieken: - T0857: Systeemfirmware |
Leerbaar |
| Aanmelden bij database is mislukt | Er is een mislukte aanmeldingspoging gedetecteerd van een bronapparaat naar een doelserver. Dit kan het gevolg zijn van menselijke fouten, maar kan ook duiden op een kwaadwillende poging om de server of gegevens op de server te beschadigen. Drempelwaarde: 2 aanmeldingsfouten in 5 minuten |
Gemiddeld | Verificatie | Tactieken: - Zijwaartse beweging -Collectie Technieken: - T0812: Standaardreferenties - T0811: Gegevens uit informatieopslagplaatsen |
Niet leerbaar |
| Emerson ROC firmwareversie gewijzigd | Firmware is bijgewerkt op een bronapparaat. Dit kan een geautoriseerde activiteit zijn, bijvoorbeeld een geplande onderhoudsprocedure. | Gemiddeld | Firmwarewijziging | Tactieken: - Reactiefunctie remmen -Volharding Technieken: - T0857: Systeemfirmware |
Leerbaar |
| Extern adres in het netwerk dat is gecommuniceerd met internet | Een bronapparaat dat is gedefinieerd als onderdeel van uw netwerk, communiceert met internetadressen. De bron is niet gemachtigd om te communiceren met internetadressen. | Hoog | Internettoegang | Tactieken: - Initiële toegang Technieken: - T0883: Internet toegankelijk apparaat |
Leerbaar |
| Veldapparaat onverwacht gedetecteerd | Er is een nieuw bronapparaat gedetecteerd op het netwerk, maar is niet geautoriseerd. | Gemiddeld | Detectie | Tactieken: -Ontdekking Technieken: - T0842: Netwerk sniffing |
Niet leerbaar |
| Firmwarewijziging gedetecteerd | Firmware is bijgewerkt op een bronapparaat. Dit kan een geautoriseerde activiteit zijn, bijvoorbeeld een geplande onderhoudsprocedure. | Gemiddeld | Firmwarewijziging | Tactieken: - Reactiefunctie remmen -Volharding Technieken: - T0857: Systeemfirmware |
Niet leerbaar |
| Firmwareversie gewijzigd | Firmware is bijgewerkt op een bronapparaat. Dit kan een geautoriseerde activiteit zijn, bijvoorbeeld een geplande onderhoudsprocedure. | Gemiddeld | Firmwarewijziging | Tactieken: - Reactiefunctie remmen -Volharding Technieken: - T0857: Systeemfirmware |
Leerbaar |
| Foxboro I/A Niet-geautoriseerde bewerking | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0836: Parameter wijzigen |
Leerbaar |
| FTP-aanmelding is mislukt | Er is een mislukte aanmeldingspoging gedetecteerd van een bronapparaat naar een doelserver. Deze waarschuwing kan het gevolg zijn van menselijke fouten, maar kan ook duiden op een kwaadwillende poging om de server of gegevens op de server te beschadigen. | Gemiddeld | Verificatie | Tactieken: - Zijwaartse beweging - Opdracht en beheer Technieken: - T0812: Standaardreferenties - T0869: Standard Application Layer Protocol |
Niet leerbaar |
| Functiecode verhoogde niet-geautoriseerde uitzondering * | Een bronapparaat (secundair) heeft een uitzondering geretourneerd op een doelapparaat (primair). | Gemiddeld | Opdrachtfouten | Tactieken: - Reactiefunctie remmen Technieken: - T0835: I/O-afbeelding bewerken |
Leerbaar |
| Instellingen voor GOOSE-berichttype | Berichtinstellingen (geïdentificeerd door protocol-id) zijn gewijzigd op een bronapparaat. | Beperkt | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0836: Parameter wijzigen |
Leerbaar |
| Firmwareversie van Firmware is gewijzigd | Firmware is bijgewerkt op een bronapparaat. Dit kan een geautoriseerde activiteit zijn, bijvoorbeeld een geplande onderhoudsprocedure. | Gemiddeld | Firmwarewijziging | Tactieken: - Reactiefunctie remmen -Volharding Technieken: - T0857: Systeemfirmware |
Leerbaar |
| Illegale HTTP-communicatie * | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Abnormaal HTTP-communicatiegedrag | Tactieken: -Ontdekking Technieken: - T0846: Externe systeemdetectie |
Leerbaar |
| Internettoegang gedetecteerd | Een bronapparaat dat is gedefinieerd als onderdeel van uw netwerk, communiceert met internetadressen. De bron is niet gemachtigd om te communiceren met internetadressen. | Gemiddeld | Internettoegang | Tactieken: - Initiële toegang Technieken: - T0883: Internet toegankelijk apparaat |
Leerbaar |
| Versie van De Firmware van Mitsubishi is gewijzigd | Firmware is bijgewerkt op een bronapparaat. Dit kan een geautoriseerde activiteit zijn, bijvoorbeeld een geplande onderhoudsprocedure. | Gemiddeld | Firmwarewijziging | Tactieken: - Reactiefunctie remmen -Volharding Technieken: - T0857: Systeemfirmware |
Leerbaar |
| Schending van Modbus-adresbereik | Een primair apparaat heeft toegang aangevraagd tot een nieuw secundair geheugenadres. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: -Ontdekking Technieken: - T0842: Netwerk sniffing |
Leerbaar |
| Modbus-firmwareversie gewijzigd | Firmware is bijgewerkt op een bronapparaat. Dit kan een geautoriseerde activiteit zijn, bijvoorbeeld een geplande onderhoudsprocedure. | Gemiddeld | Firmwarewijziging | Tactieken: - Reactiefunctie remmen -Volharding Technieken: - T0857: Systeemfirmware |
Leerbaar |
| Nieuwe activiteit gedetecteerd - CIP-klasse | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: -Ontdekking Technieken: - T0888: Externe Systeeminformatie Detectie |
Leerbaar |
| Nieuwe activiteit gedetecteerd - CIP Class Service | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Reactiefunctie remmen Technieken: - T0836: Parameter wijzigen |
Leerbaar |
| Nieuwe activiteit gedetecteerd - CIP PCCC-opdracht | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Reactiefunctie remmen Technieken: - T0836: Parameter wijzigen |
Leerbaar |
| Nieuwe activiteit gedetecteerd - CIP-symbool | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking - Reactiefunctie remmen Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0836: Parameter wijzigen |
Leerbaar |
| Nieuwe activiteit gedetecteerd - EtherNet/IP I/O-verbinding | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: -Ontdekking - Reactiefunctie remmen Technieken: - T0846: Externe systeemdetectie - T0835: I/O-afbeelding bewerken |
Leerbaar |
| Nieuwe activiteit gedetecteerd - Opdracht EtherNet/IP-protocol | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Reactiefunctie remmen Technieken: - T0836: Parameter wijzigen |
Leerbaar |
| Nieuwe activiteit gedetecteerd - GSM-berichtcode | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - CommandAndControl Technieken: - T0869: Standard Application Layer Protocol |
Leerbaar |
| Nieuwe activiteit gedetecteerd - LonTalk Command Codes | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: -Collectie - Besturingselement voor procesbeperking Technieken: - T0861 - Punt- en tagidentificatie - T0855: Niet-geautoriseerd opdrachtbericht |
Leerbaar |
| Nieuwe poortdetectie | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Beperkt | Detectie | Tactieken: - Zijwaartse beweging Technieken: - T0867: Laterale tooloverdracht |
Leerbaar |
| Nieuwe activiteit gedetecteerd - LonTalk Network Variable | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht |
Leerbaar |
| Nieuwe activiteit gedetecteerd - Aanvraag voor ovatiegegevens | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: -Collectie -Ontdekking Technieken: - T0801: Processtatus bewaken - T0888: Externe Systeeminformatie Detectie |
Leerbaar |
| Nieuwe activiteit gedetecteerd - Opdracht lezen/schrijven (AMS-indexgroep) | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Configuratiewijzigingen | Tactieken: - Besturingselement voor procesbeperking - Reactiefunctie remmen Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0836: Parameter wijzigen |
Leerbaar |
| Nieuwe activiteit gedetecteerd - Opdracht lezen/schrijven (AMS-index offset) | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Configuratiewijzigingen | Tactieken: - Besturingselement voor procesbeperking - Reactiefunctie remmen Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0836: Parameter wijzigen |
Leerbaar |
| Nieuwe activiteit gedetecteerd - Niet-geautoriseerd DeltaV-berichttype | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking -Uitvoering Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0821: Controllertaak wijzigen |
Leerbaar |
| Nieuwe activiteit gedetecteerd - Niet-geautoriseerde DeltaV ROC-bewerking | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking -Uitvoering Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0821: Controllertaak wijzigen |
Leerbaar |
| Nieuwe activiteit gedetecteerd - Niet-geautoriseerd RPC-berichttype | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht |
Leerbaar |
| Er is een nieuwe activiteit gedetecteerd: met behulp van de OPDRACHT AMS-protocol | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking - Reactiefunctie remmen -Uitvoering Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0836: Parameter wijzigen - T0821: Controllertaak wijzigen |
Leerbaar |
| Nieuwe activiteit gedetecteerd - Met de opdracht Siemens SICAM | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking - Reactiefunctie remmen Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0836: Parameter wijzigen |
Leerbaar |
| Nieuwe activiteit gedetecteerd - Opdracht Suitelink Protocol gebruiken | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking - Reactiefunctie remmen Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0836: Parameter wijzigen |
Leerbaar |
| Nieuwe activiteit gedetecteerd - Suitelink Protocol-sessies gebruiken | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0836: Parameter wijzigen |
Leerbaar |
| Nieuwe activiteit gedetecteerd - Yokogawa VNetIP-opdracht gebruiken | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking -Uitvoering Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0821: Controllertaak wijzigen |
Leerbaar |
| Nieuwe asset gedetecteerd | Er is een nieuw bronapparaat gedetecteerd op het netwerk, maar is niet geautoriseerd. Deze waarschuwing is van toepassing op apparaten die zijn gedetecteerd in OT-subnetten. Nieuwe apparaten die zijn gedetecteerd in IT-subnetten activeren geen waarschuwing. |
Gemiddeld | Detectie | Tactieken: -Ontdekking Technieken: - T0842: Netwerk sniffing |
Leerbaar |
| Nieuwe LLDP-apparaatconfiguratie | Er is een nieuw bronapparaat gedetecteerd op het netwerk, maar is niet geautoriseerd. | Gemiddeld | Configuratiewijzigingen | Tactieken: -Ontdekking Technieken: - T0842: Netwerk sniffing |
Leerbaar |
| Niet-geautoriseerde opdracht omron FINS | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0836: Parameter wijzigen |
Leerbaar |
| S7 Plus PLC-firmware gewijzigd | Firmware is bijgewerkt op een bronapparaat. Dit kan een geautoriseerde activiteit zijn, bijvoorbeeld een geplande onderhoudsprocedure. | Gemiddeld | Firmwarewijziging | Tactieken: - Reactiefunctie remmen -Volharding Technieken: - T0857: Systeemfirmware |
Leerbaar |
| Instellingen voor berichttype voorbeeldwaarden | Berichtinstellingen (geïdentificeerd door protocol-id) zijn gewijzigd op een bronapparaat. | Beperkt | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0836: Parameter wijzigen |
Niet leerbaar |
| Vermoeden van ongeldige integriteitscontrole * | Er is een scan gedetecteerd op een DNP3-bronapparaat (outstation). Deze scan is niet geautoriseerd zoals geleerd verkeer op uw netwerk. | Gemiddeld | Scannen | Tactieken: -Ontdekking Technieken: - T0842: Netwerk sniffing |
Leerbaar |
| Een niet-geautoriseerde opdracht voor De Computer link van Toshiba | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Beperkt | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking -Uitvoering Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0821: Controllertaak wijzigen |
Leerbaar |
| Niet-geautoriseerde ABB Totalflow-bestandsbewerking | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking -Uitvoering Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0821: Controllertaak wijzigen |
Niet leerbaar |
| Niet-geautoriseerde totalflowregisterbewerking van ABB | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking -Uitvoering Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0821: Controllertaak wijzigen |
Niet leerbaar |
| Onbevoegde toegang tot Siemens S7-gegevensblok | Een bronapparaat heeft geprobeerd toegang te krijgen tot een resource op een ander apparaat. Een toegangspoging naar deze resource tussen deze twee apparaten is niet geautoriseerd als geleerd verkeer op uw netwerk. | Beperkt | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking - Initiële toegang Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0811: Gegevens uit informatieopslagplaatsen |
Leerbaar |
| Onbevoegde toegang tot Siemens S7 Plus-object | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking -Uitvoering - Reactiefunctie remmen Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0821: Controllertaak wijzigen - T0809: Gegevensvernietiging |
Leerbaar |
| Onbevoegde toegang tot Wonderware-tag | Een bronapparaat heeft geprobeerd toegang te krijgen tot een resource op een ander apparaat. Een toegangspoging naar deze resource tussen deze twee apparaten is niet geautoriseerd als geleerd verkeer op uw netwerk. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: -Collectie - Besturingselement voor procesbeperking Technieken: - T0861: Punt- en tagidentificatie - T0855: Niet-geautoriseerd opdrachtbericht |
Leerbaar |
| Onbevoegde BACNet-objecttoegang | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking -Uitvoering Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0821: Controllertaak wijzigen |
Leerbaar |
| Niet-geautoriseerde BACNet-route | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking -Uitvoering Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0821: Controllertaak wijzigen |
Leerbaar |
| Niet-geautoriseerde databaseaanmelding * | Er is een aanmeldingspoging tussen een bronclient en doelserver gedetecteerd. Communicatie tussen deze apparaten is niet geautoriseerd als geleerd verkeer op uw netwerk. | Gemiddeld | Verificatie | Tactieken: - Zijwaartse beweging -Volharding -Collectie Technieken: - T0859: Geldige accounts - T0811: Gegevens uit informatieopslagplaatsen |
Leerbaar |
| Niet-geautoriseerde databasebewerking | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Abnormaal communicatiegedrag | Tactieken: - Besturingselement voor procesbeperking - Initiële toegang Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0811: Gegevens uit informatieopslagplaatsen |
Leerbaar |
| Onbevoegde Emerson ROC-bewerking | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking -Uitvoering Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0821: Controllertaak wijzigen |
Leerbaar |
| Onbevoegde GE SRTP-bestandstoegang | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: -Collectie - LateralMovement -Volharding Technieken: - T0801: Processtatus bewaken - T0859: Geldige accounts |
Leerbaar |
| Niet-geautoriseerde GE SRTP-protocolopdracht | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0821: Controllertaak wijzigen |
Leerbaar |
| Niet-geautoriseerde GE SRTP-systeemgeheugenbewerking | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: -Ontdekking - Besturingselement voor procesbeperking Technieken: - T0846: Externe systeemdetectie - T0855: Niet-geautoriseerd opdrachtbericht |
Leerbaar |
| Niet-geautoriseerde HTTP-activiteit | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Abnormaal HTTP-communicatiegedrag | Tactieken: - Initiële toegang - Opdracht en beheer Technieken: - T0822: Externe externe services - T0869: Standard Application Layer Protocol |
Leerbaar |
| Niet-geautoriseerde HTTP SOAP-actie * | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Abnormaal HTTP-communicatiegedrag | Tactieken: - Opdracht en beheer -Uitvoering Technieken: - T0869: Standard Application Layer Protocol - T0871: Uitvoering via API |
Leerbaar |
| Niet-geautoriseerde HTTP-gebruikersagent * | Er is een niet-geautoriseerde toepassing gedetecteerd op een bronapparaat. De toepassing is niet geautoriseerd als een geleerde toepassing in uw netwerk. | Gemiddeld | Abnormaal HTTP-communicatiegedrag | Tactieken: - Opdracht en beheer Technieken: - T0869: Standard Application Layer Protocol |
Leerbaar |
| Niet-geautoriseerde internetverbinding gedetecteerd | Een bronapparaat dat is gedefinieerd als onderdeel van uw netwerk, communiceert met internetadressen. De bron is niet gemachtigd om te communiceren met internetadressen. | Hoog | Internettoegang | Tactieken: - Initiële toegang Technieken: - T0883: Internet toegankelijk apparaat |
Leerbaar |
| Niet-geautoriseerde Mitsubishi MELSEC-opdracht | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking -Uitvoering Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0821: Controllertaak wijzigen |
Leerbaar |
| Niet-geautoriseerde MMS-programmatoegang | Een bronapparaat heeft geprobeerd toegang te krijgen tot een resource op een ander apparaat. Een toegangspoging naar deze resource tussen deze twee apparaten is niet geautoriseerd als geleerd verkeer op uw netwerk. | Gemiddeld | Programmeren | Tactieken: - Besturingselement voor procesbeperking -Uitvoering Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0821: Controllertaak wijzigen |
Leerbaar |
| Niet-geautoriseerde MMS-service | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking -Uitvoering Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0821: Controllertaak wijzigen |
Leerbaar |
| Niet-geautoriseerde Multicast/Broadcast-verbinding | Er is een Multicast/Broadcast-verbinding gedetecteerd tussen een bronapparaat en andere apparaten. Multicast/Broadcast-communicatie is niet geautoriseerd. | Hoog | Abnormaal communicatiegedrag | Tactieken: -Ontdekking Technieken: - T0842: Netwerk sniffing |
Leerbaar |
| Query voor niet-geautoriseerde naam | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Abnormaal communicatiegedrag | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0836: Parameter wijzigen |
Niet leerbaar |
| Niet-geautoriseerde OPC UA-activiteit | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0836: Parameter wijzigen |
Leerbaar |
| Niet-geautoriseerde OPC UA-aanvraag/-reactie | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0836: Parameter wijzigen |
Leerbaar |
| Niet-geautoriseerde bewerking is gedetecteerd door een door de gebruiker gedefinieerde regel | Er is verkeer gedetecteerd tussen twee apparaten. Deze activiteit is niet gemachtigd, op basis van een aangepaste waarschuwingsregel die is gedefinieerd door een gebruiker. | Gemiddeld | Aangepaste waarschuwingen | Tactieken: -Ontdekking Technieken: - T0842: Netwerk sniffing |
Niet leerbaar |
| Leesbewerking voor niet-geautoriseerde PLC-configuratie | Het bronapparaat is niet gedefinieerd als een programmeerapparaat, maar heeft een lees-/schrijfbewerking uitgevoerd op een doelcontroller. Programmeerwijzigingen mogen alleen worden uitgevoerd door programmeerapparaten. Op dit apparaat is mogelijk een programmeertoepassing geïnstalleerd. | Beperkt | Configuratiewijzigingen | Tactieken: -Collectie Technieken: - T0801: Processtatus bewaken |
Leerbaar |
| Niet-geautoriseerde PLC-configuratie schrijven | Het bronapparaat heeft een opdracht verzonden om het programma van een doelcontroller te lezen/schrijven. Deze activiteit is niet eerder gezien. | Gemiddeld | Configuratiewijzigingen | Tactieken: - Besturingselement voor procesbeperking -Volharding -Impact Technieken: - T0839: Modulefirmware - T0831: Manipulatie van controle - T0889: Programma wijzigen |
Leerbaar |
| Uploaden van niet-geautoriseerd PLC-programma | Het bronapparaat heeft een opdracht verzonden om het programma van een doelcontroller te lezen/schrijven. Deze activiteit is niet eerder gezien. | Gemiddeld | Programmeren | Tactieken: - Besturingselement voor procesbeperking -Volharding -Collectie Technieken: - T0839: Modulefirmware - T0845: Programma uploaden |
Leerbaar |
| Niet-geautoriseerde PLC-programmering | Het bronapparaat is niet gedefinieerd als een programmeerapparaat, maar heeft een lees-/schrijfbewerking uitgevoerd op een doelcontroller. Programmeerwijzigingen mogen alleen worden uitgevoerd door programmeerapparaten. Op dit apparaat is mogelijk een programmeertoepassing geïnstalleerd. | Hoog | Programmeren | Tactieken: - Besturingselement voor procesbeperking -Volharding - Zijwaartse beweging Technieken: - T0839: Modulefirmware - T0889: Programma wijzigen - T0843: Programma downloaden |
Leerbaar |
| Niet-geautoriseerd profinet frametype | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0836: Parameter wijzigen |
Leerbaar |
| Niet-geautoriseerde SAIA S-Bus-opdracht | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht |
Leerbaar |
| Niet-geautoriseerde Siemens S7 uitvoering van controlefunctie | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking - Reactiefunctie remmen Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0809: Gegevensvernietiging |
Leerbaar |
| Niet-geautoriseerde Siemens S7 uitvoering van door de gebruiker gedefinieerde functie | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking -Uitvoering Technieken: - T0836: Parameter wijzigen - T0863: Gebruikersuitvoering |
Leerbaar |
| Onbevoegde Siemens S7 Plus Toegang blokkeren | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Reactiefunctie remmen -Volharding -Uitvoering Technieken: - T0803 - Opdrachtbericht blokkeren - T0889: Programma wijzigen - T0821: Controllertaak wijzigen |
Leerbaar |
| Niet-geautoriseerde Siemens S7 Plus-bewerking | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking -Uitvoering Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0863: Gebruikersuitvoering |
Leerbaar |
| Niet-geautoriseerde SMB-aanmelding | Er is een aanmeldingspoging tussen een bronclient en doelserver gedetecteerd. Communicatie tussen deze apparaten is niet geautoriseerd als geleerd verkeer op uw netwerk. | Gemiddeld | Verificatie | Tactieken: - Initiële toegang - Zijwaartse beweging -Volharding Technieken: - T0886: Externe services - T0859: Geldige accounts |
Leerbaar |
| Niet-geautoriseerde SNMP-bewerking | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Abnormaal communicatiegedrag | Tactieken: -Ontdekking - Opdracht en beheer Technieken: - T0842: Netwerk sniffing - T0885: Veelgebruikte poort |
Leerbaar |
| Onbevoegde SSH-toegang | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Externe toegang | Tactieken: - InitialAccess - Zijwaartse beweging - Opdracht en beheer Technieken: - T0886: Externe services - T0869: Standard Application Layer Protocol |
Leerbaar |
| Niet-geautoriseerd Windows-proces | Er is een niet-geautoriseerde toepassing gedetecteerd op een bronapparaat. De toepassing is niet geautoriseerd als een geleerde toepassing in uw netwerk. | Gemiddeld | Abnormaal communicatiegedrag | Tactieken: -Uitvoering - Escalatie van bevoegdheden - Opdracht en beheer Technieken: - T0841: Haken - T0885: Veelgebruikte poort |
Leerbaar |
| Niet-geautoriseerde Windows-service | Er is een niet-geautoriseerde toepassing gedetecteerd op een bronapparaat. De toepassing is niet geautoriseerd als een geleerde toepassing in uw netwerk. | Gemiddeld | Abnormaal communicatiegedrag | Tactieken: - Initiële toegang - Zijwaartse beweging Technieken: - T0866: Exploitatie van externe services |
Leerbaar |
| Niet-geautoriseerde bewerking is gedetecteerd door een door de gebruiker gedefinieerde regel | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie schendt een door de gebruiker gedefinieerde regel | Gemiddeld | Tactieken: -Ontdekking Technieken: - T0842: Netwerk sniffing |
Niet leerbaar | |
| Niet-weggelaten Modbus Electric Extension | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht |
Leerbaar |
| Niet-verzonden gebruik van ASDU-typen | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht |
Leerbaar |
| Niet-verzonden gebruik van DNP3-functiecode | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0836: Parameter wijzigen |
Leerbaar |
| Niet-verzonden gebruik van interne indicatie (IIN) * | Een DNP3-bronapparaat (outstation) heeft een interne indicatie (IIN) gerapporteerd die niet is geautoriseerd als geleerd verkeer op uw netwerk. | Gemiddeld | Illegale opdrachten | Tactieken: -Ontdekking Technieken: - T0842: Netwerk sniffing |
Leerbaar |
| Niet-verzonden gebruik van Modbus-functiecode | Er zijn nieuwe verkeersparameters gedetecteerd. Deze parametercombinatie is niet geautoriseerd als geleerd verkeer op uw netwerk. De volgende combinatie is niet gemachtigd. | Gemiddeld | Gedrag van niet-geautoriseerde communicatie | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0836: Parameter wijzigen |
Leerbaar |
Waarschuwingen voor anomalie-engine
Notitie
Dit artikel bevat verwijzingen naar de term slave, een term die Microsoft niet meer gebruikt. Zodra de term uit de software wordt verwijderd, verwijderen we deze uit dit artikel.
Waarschuwingen voor anomalie-engine beschrijven gedetecteerde afwijkingen in de netwerkactiviteit.
| Title | Beschrijving | Ernst | Categorie | MITRE ATT&CK Tactieken en technieken |
Leerbaar |
|---|---|---|---|---|---|
| Abnormaal uitzonderingspatroon in Slave * | Er zijn te veel fouten gedetecteerd op een bronapparaat. Deze waarschuwing kan het gevolg zijn van een operationeel probleem. Drempelwaarde: 20 uitzonderingen in 1 uur |
Beperkt | Abnormaal communicatiegedrag | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0806: Brute Force I/O |
Niet leerbaar |
| Abnormale LENGTE van HTTP-header * | Het bronapparaat heeft een abnormaal bericht verzonden. Deze waarschuwing kan duiden op een poging om het doelapparaat aan te vallen. | Hoog | Abnormaal HTTP-communicatiegedrag | Tactieken: - Initiële toegang - Zijwaartse beweging - Opdracht en beheer Technieken: - T0866: Exploitatie van externe services - T0869: Standard Application Layer Protocol |
Leerbaar |
| Abnormaal aantal parameters in HTTP-header * | Het bronapparaat heeft een abnormaal bericht verzonden. Deze waarschuwing kan duiden op een poging om het doelapparaat aan te vallen. | Hoog | Abnormaal HTTP-communicatiegedrag | Tactieken: - Initiële toegang - Zijwaartse beweging - Opdracht en beheer Technieken: - T0866: Exploitatie van externe services - T0869: Standard Application Layer Protocol |
Leerbaar |
| Abnormaal periodiek gedrag in communicatiekanaal | Er is een wijziging in de communicatiefrequentie tussen de bron- en doelapparaten gedetecteerd. | Beperkt | Abnormaal communicatiegedrag | Tactieken: -Ontdekking Technieken: - T0842: Netwerk sniffing |
Leerbaar |
| Abnormale beëindiging van toepassingen * | Er is een overmatig aantal stopopdrachten gedetecteerd op een bronapparaat. Deze waarschuwing kan het gevolg zijn van een operationeel probleem of een poging om het apparaat te manipuleren. Drempelwaarde: 20 stopopdrachten in 3 uur |
Gemiddeld | Abnormaal communicatiegedrag | Tactieken: -Volharding -Impact Technieken: - T0889: Programma wijzigen - T0831: Manipulatie van controle |
Leerbaar |
| Abnormale verkeersbandbreedte * | Er is abnormale bandbreedte gedetecteerd op een kanaal. De bandbreedte lijkt lager/hoger te zijn dan eerder is gedetecteerd. Werk voor meer informatie met de widget Totale bandbreedte. | Beperkt | Bandbreedteafwijkingen | Tactieken: -Ontdekking Technieken: - T0842: Netwerk sniffing |
Leerbaar |
| Abnormale verkeersbandbreedte tussen apparaten * | Er is abnormale bandbreedte gedetecteerd op een kanaal. De bandbreedte lijkt lager/hoger te zijn dan eerder is gedetecteerd. Werk voor meer informatie met de widget Totale bandbreedte. | Beperkt | Bandbreedteafwijkingen | Tactieken: -Ontdekking Technieken: - T0842: Netwerk sniffing |
Niet leerbaar |
| Adresscan gedetecteerd | Er is een bronapparaat gedetecteerd dat netwerkapparaten worden gescand. Dit apparaat is niet geautoriseerd als een netwerkscanapparaat. Drempelwaarde: 50 verbindingen met hetzelfde B-klassesubnet in 2 minuten |
Hoog | Scannen | Tactieken: -Ontdekking Technieken: - T0842: Netwerk sniffing |
Leerbaar |
| ARP-adresscan gedetecteerd * | Er is een bronapparaat gedetecteerd dat netwerkapparaten worden gescand met behulp van ARP (Address Resolution Protocol). Dit apparaatadres is niet geautoriseerd als geldig ARP-scanadres. Drempelwaarde: 40 scans in 6 minuten |
Hoog | Scannen | Tactieken: -Ontdekking -Collectie Technieken: - T0842: Netwerk sniffing - T0830: Man in het Midden |
Leerbaar |
| ARP-adresvervalsing * | Er is een abnormale hoeveelheid pakketten gedetecteerd in het netwerk. Deze waarschuwing kan duiden op een aanval, bijvoorbeeld een ARP-adresvervalsing of ICMP-overstromingsaanval. Drempelwaarde: 60 pakketten in 1 minuut |
Beperkt | Abnormaal communicatiegedrag | Tactieken: -Collectie Technieken: - T0830: Man in het Midden |
Niet leerbaar |
| Overmatige aanmeldingspogingen | Er is een bronapparaat gezien dat overmatige aanmeldingspogingen naar een doelserver zijn uitgevoerd. Deze waarschuwing kan duiden op een beveiligingsaanval. De server kan worden aangetast door een kwaadwillende actor. Drempelwaarde: 20 aanmeldingspogingen in 1 minuut |
Hoog | Verificatie | Tactieken: - LateralMovement - Besturingselement voor procesbeperking Technieken: - T0812: Standaardreferenties - T0806: Brute Force I/O |
Niet leerbaar |
| Overmatig aantal sessies | Er is een bronapparaat gezien dat overmatige aanmeldingspogingen naar een doelserver zijn uitgevoerd. Dit kan duiden op een beveiligingsaanval. De server kan worden aangetast door een kwaadwillende actor. Drempelwaarde: 50 sessies in 1 minuut |
Hoog | Abnormaal communicatiegedrag | Tactieken: - Zijwaartse beweging - Besturingselement voor procesbeperking Technieken: - T0812: Standaardreferenties - T0806: Brute Force I/O |
Niet leerbaar |
| Overmatige herstartsnelheid van een outstation * | Er is een overmatig aantal opdrachten voor opnieuw opstarten gedetecteerd op een bronapparaat. Deze waarschuwingen kunnen het gevolg zijn van een operationeel probleem of een poging om het apparaat te manipuleren. Drempelwaarde: 10 herstarts in 1 uur |
Gemiddeld | Opdrachten opnieuw opstarten/stoppen | Tactieken: - Reactiefunctie remmen - Besturingselement voor procesbeperking Technieken: - T0814: Denial of Service - T0806: Brute Force I/O |
Niet leerbaar |
| Overmatige SMB-aanmeldingspogingen | Er is een bronapparaat gezien dat overmatige aanmeldingspogingen naar een doelserver zijn uitgevoerd. Dit kan duiden op een beveiligingsaanval. De server kan worden aangetast door een kwaadwillende actor. Drempelwaarde: 10 aanmeldingspogingen in 10 minuten |
Hoog | Verificatie | Tactieken: -Volharding -Uitvoering - LateralMovement Technieken: - T0812: Standaardreferenties - T0853: Scripting - T0859: Geldige accounts |
Niet leerbaar |
| ICMP-overstromingen * | Er is een abnormale hoeveelheid pakketten gedetecteerd in het netwerk. Deze waarschuwing kan duiden op een aanval, bijvoorbeeld een ARP-adresvervalsing of ICMP-overstromingsaanval. Drempelwaarde: 60 pakketten in 1 minuut |
Beperkt | Abnormaal communicatiegedrag | Tactieken: -Ontdekking -Collectie Technieken: - T0842: Netwerk sniffing - T0830: Man in het Midden |
Niet leerbaar |
| Ongeldige HTTP-headerinhoud * | Het bronapparaat heeft een ongeldige aanvraag geïnitieerd. | Hoog | Abnormaal HTTP-communicatiegedrag | Tactieken: - Initiële toegang - LateralMovement Technieken: - T0866: Exploitatie van externe services |
Niet leerbaar |
| Inactief communicatiekanaal * | Een communicatiekanaal tussen twee apparaten was inactief gedurende een periode waarin meestal activiteit wordt waargenomen. Dit kan erop wijzen dat het programma dat dit verkeer genereert, is gewijzigd of dat het programma mogelijk niet beschikbaar is. Het is raadzaam om de configuratie van het geïnstalleerde programma te controleren en te controleren of het juist is geconfigureerd. Drempelwaarde: 1 minuut |
Beperkt | Reageert niet | Tactieken: - Reactiefunctie remmen Technieken: - T0881: Servicestop |
Niet leerbaar |
| Adresscan voor lange duur gedetecteerd * | Er is een bronapparaat gedetecteerd dat netwerkapparaten worden gescand. Dit apparaat is niet geautoriseerd als een netwerkscanapparaat. Drempelwaarde: 50 verbindingen met hetzelfde B-klassesubnet in 10 minuten |
Hoog | Scannen | Tactieken: -Ontdekking Technieken: - T0842: Netwerk sniffing |
Leerbaar |
| Poging tot raden van wachtwoord gedetecteerd | Er is een bronapparaat gezien dat overmatige aanmeldingspogingen naar een doelserver zijn uitgevoerd. Dit kan duiden op een beveiligingsaanval. De server kan worden aangetast door een kwaadwillende actor. Drempelwaarde: 100 pogingen in 1 minuut |
Hoog | Verificatie | Tactieken: - Zijwaartse beweging Technieken: - T0812: Standaardreferenties - T0806: Brute Force I/O |
Niet leerbaar |
| PLC-scan gedetecteerd | Er is een bronapparaat gedetecteerd dat netwerkapparaten worden gescand. Dit apparaat is niet geautoriseerd als een netwerkscanapparaat. Drempelwaarde: 10 scans in 2 minuten |
Hoog | Scannen | Tactieken: -Ontdekking Technieken: - T0842: Netwerk sniffing |
Leerbaar |
| Poortscan gedetecteerd | Er is een bronapparaat gedetecteerd dat netwerkapparaten worden gescand. Dit apparaat is niet geautoriseerd als een netwerkscanapparaat. Drempelwaarde: 25 scans in 2 minuten |
Hoog | Scannen | Tactieken: -Ontdekking Technieken: - T0842: Netwerk sniffing |
Leerbaar |
| Onverwachte berichtlengte | Het bronapparaat heeft een abnormaal bericht verzonden. Deze waarschuwing kan duiden op een poging om het doelapparaat aan te vallen. Drempelwaarde: tekstlengte - 32768 |
Hoog | Abnormaal communicatiegedrag | Tactieken: - InitialAccess - LateralMovement Technieken: - T0869: Exploitatie van externe services |
Niet leerbaar |
| Onverwacht verkeer voor standaardpoort * | Er is verkeer gedetecteerd op een apparaat met behulp van een poort die is gereserveerd voor een ander protocol. | Gemiddeld | Abnormaal communicatiegedrag | Tactieken: - Opdracht en beheer -Ontdekking Technieken: - T0869: Standard Application Layer Protocol - T0842: Netwerk sniffing |
Niet leerbaar |
Waarschuwingen voor protocolschendingsengine
Waarschuwingen van protocol-engine beschrijven gedetecteerde afwijkingen in de pakketstructuur of veldwaarden vergeleken met protocolspecificaties.
| Title | Beschrijving | Ernst | Categorie | MITRE ATT&CK Tactieken en technieken |
Leerbaar |
|---|---|---|---|---|---|
| Overmatige verkeerd gevormde pakketten in één sessie * | Een abnormaal aantal ongeldige pakketten die van het bronapparaat naar het doelapparaat worden verzonden. Deze waarschuwing kan duiden op onjuiste communicatie of een poging om het doelapparaat te manipuleren. Drempelwaarde: 2 ongeldige pakketten in 10 minuten |
Gemiddeld | Illegale opdrachten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0806: Brute Force I/O |
Niet leerbaar |
| Firmware-update | Een bronapparaat heeft een opdracht verzonden om firmware op een doelapparaat bij te werken. Controleer of recente programmerings-, configuratie- en firmware-upgrades naar het doelapparaat geldig zijn. | Beperkt | Firmwarewijziging | Tactieken: - Reactiefunctie remmen -Volharding Technieken: - T0857: Systeemfirmware |
Leerbaar |
| Functiecode wordt niet ondersteund door Outstation | Het doelapparaat heeft een ongeldige aanvraag ontvangen. | Gemiddeld | Illegale opdrachten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht |
Niet leerbaar |
| Ongeldig BACNet-bericht | Het bronapparaat heeft een ongeldige aanvraag geïnitieerd. | Gemiddeld | Illegale opdrachten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0836: Parameter wijzigen |
Niet leerbaar |
| Ongeldige verbindingspoging op poort 0 | Een bronapparaat heeft geprobeerd verbinding te maken met het doelapparaat op poortnummer nul (0). Voor TCP is poort 0 gereserveerd en kan niet worden gebruikt. Voor UDP is de poort optioneel en een waarde van 0 betekent geen poort. Er is meestal geen service op een systeem dat luistert op poort 0. Deze gebeurtenis kan duiden op een poging om het doelapparaat aan te vallen of geeft aan dat een toepassing onjuist is geprogrammeerd. | Beperkt | Illegale opdrachten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0836: Parameter wijzigen |
Niet leerbaar |
| Illegale DNP3-bewerking | Het bronapparaat heeft een ongeldige aanvraag geïnitieerd. | Gemiddeld | Illegale opdrachten | Tactieken: - Initiële toegang - Zijwaartse beweging Technieken: - T0866: Exploitatie van externe services |
Niet leerbaar |
| Illegale MODBUS-bewerking (uitzondering gegenereerd door master) | Het bronapparaat heeft een ongeldige aanvraag geïnitieerd. | Gemiddeld | Illegale opdrachten | Tactieken: - Initiële toegang - Zijwaartse beweging Technieken: - T0866: Exploitatie van externe services |
Niet leerbaar |
| Ongeldige MODBUS-bewerking (functiecode nul) * | Het bronapparaat heeft een ongeldige aanvraag geïnitieerd. | Gemiddeld | Illegale opdrachten | Tactieken: - Initiële toegang - Zijwaartse beweging Technieken: - T0866: Exploitatie van externe services |
Niet leerbaar |
| Ongeldige protocolversie * | Het bronapparaat heeft een ongeldige aanvraag geïnitieerd. | Gemiddeld | Illegale opdrachten | Tactieken: - Initiële toegang - LateralMovement - Besturingselement voor procesbeperking Technieken: - T0820: Externe services - T0836: Parameter wijzigen |
Niet leerbaar |
| Onjuiste parameter verzonden naar outstation | Het doelapparaat heeft een ongeldige aanvraag ontvangen. | Gemiddeld | Illegale opdrachten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0836: Parameter wijzigen |
Niet leerbaar |
| Inleiding van een verouderde functiecode (gegevens initialiseren) | Het bronapparaat heeft een ongeldige aanvraag geïnitieerd. | Beperkt | Illegale opdrachten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht |
Niet leerbaar |
| Inleiding van een verouderde functiecode (configuratie opslaan) | Het bronapparaat heeft een ongeldige aanvraag geïnitieerd. | Beperkt | Illegale opdrachten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht |
Niet leerbaar |
| Master heeft een bevestiging van de toepassingslaag aangevraagd | Het bronapparaat heeft een ongeldige aanvraag geïnitieerd. | Beperkt | Illegale opdrachten | Tactieken: - Opdracht en beheer Technieken: - T0869: Standard Application Layer Protocol |
Niet leerbaar |
| Modbus-uitzondering | Een bronapparaat (secundair) heeft een uitzondering geretourneerd op een doelapparaat (primair). | Gemiddeld | Illegale opdrachten | Tactieken: - Reactiefunctie remmen Technieken: - T0814: Denial of Service |
Niet leerbaar |
| Slave Device heeft een ongeldig ASDU-type ontvangen | Het doelapparaat heeft een ongeldige aanvraag ontvangen. | Gemiddeld | Illegale opdrachten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0836: Parameter wijzigen |
Niet leerbaar |
| Slave Device heeft illegale opdrachtoorzaak van verzending ontvangen | Het doelapparaat heeft een ongeldige aanvraag ontvangen. | Gemiddeld | Illegale opdrachten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0836: Parameter wijzigen |
Niet leerbaar |
| Slave Device heeft illegaal gemeenschappelijk adres ontvangen | Het doelapparaat heeft een ongeldige aanvraag ontvangen. | Gemiddeld | Illegale opdrachten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0836: Parameter wijzigen |
Niet leerbaar |
| Slave Device heeft een ongeldige gegevensadresparameter ontvangen * | Het doelapparaat heeft een ongeldige aanvraag ontvangen. | Gemiddeld | Illegale opdrachten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0836: Parameter wijzigen |
Niet leerbaar |
| Slave Device heeft een ongeldige gegevenswaardeparameter ontvangen * | Het doelapparaat heeft een ongeldige aanvraag ontvangen. | Gemiddeld | Illegale opdrachten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0836: Parameter wijzigen |
Niet leerbaar |
| Slave Device heeft illegale functiecode ontvangen * | Het doelapparaat heeft een ongeldige aanvraag ontvangen. | Gemiddeld | Illegale opdrachten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0836: Parameter wijzigen |
Niet leerbaar |
| Slave Device heeft het adres van het ongeldige informatieobject ontvangen | Het doelapparaat heeft een ongeldige aanvraag ontvangen. | Gemiddeld | Illegale opdrachten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht - T0836: Parameter wijzigen |
Niet leerbaar |
| Onbekend object verzonden naar outstation | Het doelapparaat heeft een ongeldige aanvraag ontvangen. | Gemiddeld | Illegale opdrachten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht |
Niet leerbaar |
| Gebruik van een gereserveerde functiecode | Het bronapparaat heeft een ongeldige aanvraag geïnitieerd. | Gemiddeld | Illegale opdrachten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0836: Parameter wijzigen |
Niet leerbaar |
| Gebruik van onjuiste opmaak per outstation * | Het bronapparaat heeft een ongeldige aanvraag geïnitieerd. | Beperkt | Illegale opdrachten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht |
Niet leerbaar |
| Gebruik van gereserveerde statusvlagmen (IIN) | Een DNP3-bronapparaat (outstation) gebruikte de gereserveerde interne indicator 2.6. Het is raadzaam om de configuratie van het apparaat te controleren. | Beperkt | Illegale opdrachten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0836: Parameter wijzigen |
Niet leerbaar |
Waarschuwingen voor malware-engine
Waarschuwingen van malware-engine beschrijven gedetecteerde schadelijke netwerkactiviteit.
| Title | Beschrijving | Ernst | Categorie | MITRE ATT&CK Tactieken en technieken |
Leerbaar |
|---|---|---|---|---|---|
| Verbindingspoging naar bekend schadelijk IP-adres | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. Geactiveerd door zowel OT- als Enterprise IoT-netwerksensoren. |
Hoog | Vermoeden van schadelijke activiteit | Tactieken: - Initiële toegang - Opdracht en beheer Technieken: - T0883: Internet toegankelijk apparaat - T0884: Verbindingsproxy |
Niet leerbaar |
| Ongeldig SMB-bericht (DoublePulsar Backdoor Implant) | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. | Hoog | Vermoeden van malware | Tactieken: - Initiële toegang - LateralMovement Technieken: - T0866: Exploitatie van externe services |
Niet leerbaar |
| Aanvraag voor schadelijke domeinnaam | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. Geactiveerd door zowel OT- als Enterprise IoT-netwerksensoren. |
Hoog | Vermoeden van schadelijke activiteit | Tactieken: - Initiële toegang - Opdracht en beheer Technieken: - T0883: Internet toegankelijk apparaat - T0884: Verbindingsproxy |
Leerbaar |
| Pad naar schadelijke URL | Er is een aanvraag ingediend bij een bekend pad naar een schadelijke URL. Aanvragen voor dit URL-pad kunnen erop wijzen dat de bron die de aanvraag doet, is aangetast. | Hoog | Vermoeden van schadelijke activiteit | Tactieken: - Initiële toegang - Opdracht en beheer Technieken: - T0883: Internet toegankelijk apparaat - T0884: Verbindingsproxy |
Niet leerbaar |
| Gedetecteerd malwaretestbestand - EICAR AV-succes | Er is een EICAR AV-testbestand gedetecteerd in verkeer tussen twee apparaten (via transport - TCP of UDP). Het bestand is geen malware. Het wordt gebruikt om te bevestigen dat de antivirussoftware juist is geïnstalleerd. Laat zien wat er gebeurt wanneer een virus wordt gevonden en controleer interne procedures en reacties wanneer een virus wordt gevonden. Antivirussoftware moet EICAR detecteren alsof het een echt virus was. | Hoog | Vermoeden van schadelijke activiteit | Tactieken: -Ontdekking Technieken: - T0842: Netwerk sniffing |
Niet leerbaar |
| Vermoeden van Conficker Malware | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. | Gemiddeld | Vermoeden van malware | Tactieken: - Initiële toegang -Impact Technieken: - T0826: Verlies van beschikbaarheid - T0828: Verlies van productiviteit en omzet - T0847: Replicatie via verwisselbare media |
Niet leerbaar |
| Vermoeden van Denial of Service-aanval | Een bronapparaat heeft geprobeerd een overmatig aantal nieuwe verbindingen met een doelapparaat te starten. Dit kan duiden op een DoS-aanval (Denial Of Service) op het doelapparaat en kan de functionaliteit van het apparaat onderbreken, de prestaties en de beschikbaarheid van de service beïnvloeden of onherstelbare fouten veroorzaken. Drempelwaarde: 3000 pogingen in 1 minuut |
Hoog | Vermoeden van schadelijke activiteit | Tactieken: - Reactiefunctie remmen Technieken: - T0814: Denial of Service |
Leerbaar |
| Vermoeden van schadelijke activiteit | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die bekende 'Indicators of Compromise' (IOC's) heeft geactiveerd. Metagegevens van waarschuwingen moeten worden gecontroleerd door het beveiligingsteam. | Hoog | Vermoeden van schadelijke activiteit | Tactieken: - Zijwaartse beweging Technieken: - T0867: Laterale tooloverdracht |
Niet leerbaar |
| Vermoeden van schadelijke activiteit (BlackEnergy) | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. | Hoog | Vermoeden van malware | Tactieken: - Opdracht en beheer Technieken: - T0869: Standard Application Layer Protocol |
Niet leerbaar |
| Vermoeden van schadelijke activiteit (DarkComet) | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. | Hoog | Vermoeden van malware | Tactieken: -Impact Technieken: - T0882: Diefstal van operationele informatie |
Niet leerbaar |
| Vermoeden van schadelijke activiteit (Duqu) | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. | Hoog | Vermoeden van malware | Tactieken: -Impact Technieken: - T0882: Diefstal van operationele informatie |
Niet leerbaar |
| Vermoeden van schadelijke activiteit (vlam) | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. | Hoog | Vermoeden van malware | Tactieken: -Collectie -Impact Technieken: - T0882: Diefstal van operationele informatie - T0811: Gegevens uit informatieopslagplaatsen |
Niet leerbaar |
| Vermoeden van schadelijke activiteit (Havex) | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. | Hoog | Vermoeden van malware | Tactieken: -Collectie -Ontdekking - Reactiefunctie remmen Technieken: - T0861: Punt- en tagidentificatie - T0846: Externe systeemdetectie - T0814: Denial of Service |
Niet leerbaar |
| Vermoeden van schadelijke activiteit (Karagany) | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. | Hoog | Vermoeden van malware | Tactieken: -Impact Technieken: - T0882: Diefstal van operationele informatie |
Niet leerbaar |
| Vermoeden van schadelijke activiteit (LightsOut) | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. | Hoog | Vermoeden van malware | Tactieken: -Evasie Technieken: - T0849: Masquerading |
Niet leerbaar |
| Vermoeden van schadelijke activiteit (naamquery's) | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. Drempelwaarde: 25 naamquery's in 1 minuut |
Hoog | Vermoeden van schadelijke activiteit | Tactieken: - Opdracht en beheer Technieken: - T0884: Verbindingsproxy |
Niet leerbaar |
| Vermoeden van schadelijke activiteit (gif ivy) | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. | Hoog | Vermoeden van malware | Tactieken: - Initiële toegang - Zijwaartse beweging Technieken: - T0866: Exploitatie van externe services |
Niet leerbaar |
| Vermoeden van schadelijke activiteit (regin) | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. | Hoog | Vermoeden van malware | Tactieken: - Initiële toegang - Zijwaartse beweging -Impact Technieken: - T0866: Exploitatie van externe services - T0882: Diefstal van operationele informatie |
Niet leerbaar |
| Vermoeden van schadelijke activiteit (Stuxnet) | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. | Hoog | Vermoeden van malware | Tactieken: - Initiële toegang - Zijwaartse beweging -Impact Technieken: - T0818: Inbreuk op technisch werkstation - T0866: Exploitatie van externe services - T0831: Manipulatie van controle |
Niet leerbaar |
| Vermoeden van schadelijke activiteit (WannaCry) * | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. | Gemiddeld | Vermoeden van malware | Tactieken: - Initiële toegang - Zijwaartse beweging Technieken: - T0866: Exploitatie van externe services - T0867: Laterale tooloverdracht |
Niet leerbaar |
| Vermoeden van NotPetya Malware - Illegale SMB-parameters gedetecteerd | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. | Hoog | Vermoeden van malware | Tactieken: - Initiële toegang - Zijwaartse beweging Technieken: - T0866: Exploitatie van externe services |
Niet leerbaar |
| Vermoeden van NotPetya Malware - Illegale SMB-transactie gedetecteerd | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. | Hoog | Vermoeden van malware | Tactieken: - Zijwaartse beweging Technieken: - T0867: Laterale tooloverdracht |
Niet leerbaar |
| Vermoeden van uitvoering van externe code met PsExec | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. | Hoog | Vermoeden van schadelijke activiteit | Tactieken: - Zijwaartse beweging - Initiële toegang Technieken: - T0866: Exploitatie van externe services |
Niet leerbaar |
| Vermoeden van Extern Windows-servicebeheer * | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. | Hoog | Vermoeden van schadelijke activiteit | Tactieken: - Initiële toegang Technieken: - T0822: NetworkExternal Remote Services |
Niet leerbaar |
| Verdacht uitvoerbaar bestand gedetecteerd op eindpunt | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die misbruik maakt van een methode die wordt gebruikt door bekende malware. | Hoog | Vermoeden van schadelijke activiteit | Tactieken: -Evasie - Reactiefunctie remmen Technieken: - T0851: Rootkit |
Leerbaar |
| Verdacht verkeer gedetecteerd * | Er is verdachte netwerkactiviteit gedetecteerd. Deze activiteit kan worden gekoppeld aan een aanval die bekende 'Indicators of Compromise' (IOC's) heeft geactiveerd. Metagegevens van waarschuwingen moeten worden gecontroleerd door het beveiligingsteam | Hoog | Vermoeden van schadelijke activiteit | Tactieken: -Ontdekking Technieken: - T0842: Netwerk sniffing |
Niet leerbaar |
| Back-upactiviteit met antivirushandtekeningen | Verkeer dat is gedetecteerd tussen het bronapparaat en de doelback-upserver heeft deze waarschuwing geactiveerd. Het verkeer bevat een back-up van antivirussoftware die mogelijk malwarehandtekeningen bevat. Dit is waarschijnlijk legitieme back-upactiviteit. | Beperkt | Backup | Tactieken: -Impact Technieken: - T0882: Diefstal van operationele informatie |
Niet leerbaar |
Waarschuwingen voor operationele engine
Operationele enginewaarschuwingen beschrijven gedetecteerde operationele incidenten of defecte entiteiten.
| Title | Beschrijving | Ernst | Categorie | MITRE ATT&CK Tactieken en technieken |
Leerbaar |
|---|---|---|---|---|---|
| Er is een S7 Stop PLC-opdracht verzonden | Het bronapparaat heeft een stopopdracht verzonden naar een doelcontroller. De controller stopt met werken totdat een startopdracht wordt verzonden. | Beperkt | Opdrachten opnieuw opstarten/stoppen | Tactieken: - Zijwaartse beweging - Ontduiking van defensie -Uitvoering - Reactiefunctie remmen Technieken: - T0843: Programma downloaden - T0858: Bedrijfsmodus wijzigen - T0814: Denial of Service |
Niet leerbaar |
| BACNet-bewerking is mislukt | Een server heeft een foutcode geretourneerd. Deze waarschuwing geeft een serverfout of een ongeldige aanvraag door een client aan. | Gemiddeld | Opdrachtfouten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht |
Niet leerbaar |
| Ongeldige MMS-apparaatstatus | Een MMS Virtual Manufacturing Device (VMD) heeft een statusbericht verzonden. Het bericht geeft aan dat de server mogelijk niet correct, gedeeltelijk operationeel of helemaal niet operationeel is. | Gemiddeld | Operationele problemen | Tactieken: - Reactiefunctie remmen Technieken: - T0814: Denial of Service |
Niet leerbaar |
| Wijziging van apparaatconfiguratie * | Er is een configuratiewijziging gedetecteerd op een bronapparaat. | Beperkt | Configuratiewijzigingen | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0836: Parameter wijzigen |
Niet leerbaar |
| Continue gebeurtenisbufferoverloop bij outstation * | Er is een bufferoverloopgebeurtenis gedetecteerd op een bronapparaat. De gebeurtenis kan leiden tot beschadiging van gegevens, het vastlopen van programma's of het uitvoeren van schadelijke code. Drempelwaarde: 3 exemplaren in 10 minuten |
Gemiddeld | Bufferoverloop | Tactieken: - Reactiefunctie remmen - Besturingselement voor procesbeperking -Volharding Technieken: - T0814: Denial of Service - T0806: Brute Force I/O - T0839: Modulefirmware |
Niet leerbaar |
| Controller opnieuw instellen | Een bronapparaat heeft een opdracht voor opnieuw instellen verzonden naar een doelcontroller. De controller is tijdelijk gestopt en opnieuw gestart. | Beperkt | Opdrachten opnieuw opstarten/stoppen | Tactieken: - Ontduiking van defensie -Uitvoering - Reactiefunctie remmen Technieken: - T0858: Bedrijfsmodus wijzigen - T0814: Denial of Service |
Niet leerbaar |
| Controller stoppen | Het bronapparaat heeft een stopopdracht verzonden naar een doelcontroller. De controller stopt met werken totdat een startopdracht wordt verzonden. | Beperkt | Opdrachten opnieuw opstarten/stoppen | Tactieken: - Zijwaartse beweging - Ontduiking van defensie -Uitvoering - Reactiefunctie remmen Technieken: - T0843: Programma downloaden - T0858: Bedrijfsmodus wijzigen - T0814: Denial of Service |
Niet leerbaar |
| Het apparaat kan geen dynamisch IP-adres ontvangen | Het bronapparaat is geconfigureerd voor het ontvangen van een dynamisch IP-adres van een DHCP-server, maar heeft geen adres ontvangen. Hiermee wordt een configuratiefout op het apparaat of een operationele fout op de DHCP-server aangegeven. Het is raadzaam om de netwerkbeheerder op de hoogte te stellen van het incident | Gemiddeld | Opdrachtfouten | Tactieken: -Ontdekking Technieken: - T0842: Netwerk sniffing |
Niet leerbaar |
| Apparaat wordt vermoed dat de verbinding is verbroken (reageert niet) | Een bronapparaat heeft niet gereageerd op een opdracht die naar het apparaat is verzonden. De verbinding is mogelijk verbroken wanneer de opdracht is verzonden. Drempelwaarde: 8 pogingen in 5 minuten |
Gemiddeld | Reageert niet | Tactieken: - Reactiefunctie remmen Technieken: - T0881: Servicestop |
Niet leerbaar |
| EtherNet/IP CIP-serviceaanvraag is mislukt | Een server heeft een foutcode geretourneerd. Dit geeft een serverfout of een ongeldige aanvraag door een client aan. | Gemiddeld | Opdrachtfouten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht |
Niet leerbaar |
| De opdracht EtherNet/IP-inkapselingsprotocol is mislukt | Een server heeft een foutcode geretourneerd. Dit geeft een serverfout of een ongeldige aanvraag door een client aan. | Gemiddeld | Opdrachtfouten | Tactieken: -Collectie Technieken: - T0801: Processtatus bewaken |
Niet leerbaar |
| Event Buffer Overflow in Outstation | Er is een bufferoverloopgebeurtenis gedetecteerd op een bronapparaat. De gebeurtenis kan leiden tot beschadiging van gegevens, het vastlopen van programma's of het uitvoeren van schadelijke code. | Gemiddeld | Bufferoverloop | Tactieken: - Reactiefunctie remmen - Besturingselement voor procesbeperking -Volharding Technieken: - T0814: Denial of Service - T0839: Modulefirmware |
Niet leerbaar |
| Verwachte back-upbewerking is niet uitgevoerd | Verwachte activiteit voor back-up/bestandsoverdracht is niet tussen twee apparaten opgetreden. Deze waarschuwing kan duiden op fouten in het back-up-/bestandsoverdrachtsproces. Drempelwaarde: 100 seconden |
Gemiddeld | Backup | Tactieken: - Reactiefunctie remmen Technieken: - T0809: Gegevensvernietiging |
Leerbaar |
| GE SRTP-opdrachtfout | Een server heeft een foutcode geretourneerd. Deze waarschuwing geeft een serverfout of een ongeldige aanvraag door een client aan. | Gemiddeld | Opdrachtfouten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht |
Niet leerbaar |
| GE SRTP Stop PLC-opdracht is verzonden | Het bronapparaat heeft een stopopdracht verzonden naar een doelcontroller. De controller stopt met werken totdat een startopdracht wordt verzonden. | Beperkt | Opdrachten opnieuw opstarten/stoppen | Tactieken: - Zijwaartse beweging - Ontduiking van defensie -Uitvoering - Reactiefunctie remmen Technieken: - T0843: Programma downloaden - T0858: Bedrijfsmodus wijzigen - T0814: Denial of Service |
Niet leerbaar |
| GOOSE Control Block vereist verdere configuratie | Een bronapparaat heeft een GOOSE-bericht verzonden dat aangeeft dat het apparaat in gebruik moet worden genomen. Dit betekent dat het GOOSE-besturingsblok verdere configuratie vereist en GOOSE-berichten gedeeltelijk of volledig niet operationeel zijn. | Gemiddeld | Configuratiewijzigingen | Tactieken: - Besturingselement voor procesbeperking - Reactiefunctie remmen Technieken: - T0803: Opdrachtbericht blokkeren - T0821: Controllertaak wijzigen |
Niet leerbaar |
| De configuratie van de GOOSE-gegevensset is gewijzigd * | Een berichtgegevensset (geïdentificeerd door protocol-id) is gewijzigd op een bronapparaat. Dit betekent dat het apparaat een andere gegevensset voor dit bericht rapporteert. | Beperkt | Configuratiewijzigingen | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0836: Parameter wijzigen |
Niet leerbaar |
| Onverwachte status van De Controller van De Controller | Een Honeywell-controller heeft een onverwacht diagnostisch bericht verzonden dat een statuswijziging aangeeft. | Beperkt | Operationele problemen | Tactieken: -Evasie -Uitvoering Technieken: - T0858: Bedrijfsmodus wijzigen |
Niet leerbaar |
| HTTP-clientfout * | Het bronapparaat heeft een ongeldige aanvraag geïnitieerd. | Beperkt | Abnormaal HTTP-communicatiegedrag | Tactieken: - Opdracht en beheer Technieken: - T0869: Standard Application Layer Protocol |
Niet leerbaar |
| Ongeldig IP-adres | Het systeem heeft verkeer gedetecteerd tussen een bronapparaat en een IP-adres dat een ongeldig adres is. Dit kan duiden op een verkeerde configuratie of een poging om illegaal verkeer te genereren. | Beperkt | Abnormaal communicatiegedrag | Tactieken: -Ontdekking - Besturingselement voor procesbeperking Technieken: - T0842: Netwerk sniffing - T0836: Parameter wijzigen |
Niet leerbaar |
| Master-Slave-verificatiefout | Het verificatieproces tussen een DNP3-bronapparaat (primair) en een doelapparaat (outstation) is mislukt. | Beperkt | Verificatie | Tactieken: - Zijwaartse beweging -Volharding Technieken: - T0859: Geldige accounts |
Niet leerbaar |
| MMS-serviceaanvraag is mislukt | Een server heeft een foutcode geretourneerd. Dit geeft een serverfout of een ongeldige aanvraag door een client aan. | Gemiddeld | Opdrachtfouten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht |
Niet leerbaar |
| Geen verkeer gedetecteerd op sensorinterface | Een sensor is gestopt met het detecteren van netwerkverkeer op een netwerkinterface. | Hoog | Sensorverkeer | Tactieken: - Reactiefunctie remmen Technieken: - T0881: Servicestop |
Niet leerbaar |
| OPC UA-server heeft een gebeurtenis gegenereerd waarvoor de aandacht van de gebruiker is vereist | Een OPC UA-server heeft een gebeurtenismelding naar een client verzonden. Voor dit type gebeurtenis is aandacht van de gebruiker vereist | Gemiddeld | Operationele problemen | Tactieken: - Reactiefunctie remmen Technieken: - T0838: Alarminstellingen wijzigen |
Niet leerbaar |
| OPC UA-serviceaanvraag is mislukt | Een server heeft een foutcode geretourneerd. Dit geeft een serverfout of een ongeldige aanvraag door een client aan. | Gemiddeld | Opdrachtfouten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht |
Niet leerbaar |
| Outstation opnieuw opgestart | Er is een koude herstart gedetecteerd op een bronapparaat. Dit betekent dat het apparaat fysiek is uitgeschakeld en weer is ingeschakeld. | Beperkt | Opdrachten opnieuw opstarten/stoppen | Tactieken: - Reactiefunctie remmen Technieken: - T0816: Apparaat opnieuw opstarten/afsluiten |
Niet leerbaar |
| Outstation wordt regelmatig opnieuw opgestart | Er is een overmatig aantal koude herstarts gedetecteerd op een bronapparaat. Dit betekent dat het apparaat fysiek is uitgeschakeld en weer is ingeschakeld gedurende een te groot aantal keren. Drempelwaarde: 2 opnieuw opstarten in 10 minuten |
Beperkt | Opdrachten opnieuw opstarten/stoppen | Tactieken: - Reactiefunctie remmen Technieken: - T0814: Denial of Service - T0816: Apparaat opnieuw opstarten/afsluiten |
Niet leerbaar |
| De configuratie van Outstation is gewijzigd | Er is een configuratiewijziging gedetecteerd op een bronapparaat. | Gemiddeld | Configuratiewijzigingen | Tactieken: - Reactiefunctie remmen -Volharding Technieken: - T0857: Systeemfirmware |
Niet leerbaar |
| De beschadigde configuratie van Outstation gedetecteerd | Dit DNP3-bronapparaat (outstation) heeft een beschadigde configuratie gerapporteerd. | Gemiddeld | Configuratiewijzigingen | Tactieken: - Reactiefunctie remmen Technieken: - T0809: Gegevensvernietiging |
Niet leerbaar |
| Opdracht Profinet DCP is mislukt | Een server heeft een foutcode geretourneerd. Dit geeft een serverfout of een ongeldige aanvraag door een client aan. | Gemiddeld | Opdrachtfouten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht |
Niet leerbaar |
| Profinet Device Factory Reset | Een bronapparaat heeft een fabrieksinstellingenherstelopdracht verzonden naar een Profinet-doelapparaat. Met de opdracht Reset worden de configuraties van het Profinet-apparaat gewist en wordt de bewerking gestopt. | Beperkt | Opdrachten opnieuw opstarten/stoppen | Tactieken: - Ontduiking van defensie -Uitvoering - Reactiefunctie remmen Technieken: - T0858: Bedrijfsmodus wijzigen - T0814: Denial of Service |
Niet leerbaar |
| RPC-bewerking is mislukt * | Een server heeft een foutcode geretourneerd. Deze waarschuwing geeft een serverfout of een ongeldige aanvraag door een client aan. | Gemiddeld | Opdrachtfouten | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0855: Niet-geautoriseerd opdrachtbericht |
Niet leerbaar |
| Configuratie van voorbeeldwaarden van berichtgegevensset is gewijzigd * | Een berichtgegevensset (geïdentificeerd door protocol-id) is gewijzigd op een bronapparaat. Dit betekent dat het apparaat een andere gegevensset voor dit bericht rapporteert. | Beperkt | Configuratiewijzigingen | Tactieken: - Besturingselement voor procesbeperking Technieken: - T0836: Parameter wijzigen |
Niet leerbaar |
| Onherstelbare fout van slave-apparaat * | Er is een onherstelbare voorwaardefout gedetecteerd op een bronapparaat. Dit type fout duidt meestal op een hardwarefout of -fout bij het uitvoeren van een specifieke opdracht. | Gemiddeld | Opdrachtfouten | Tactieken: - Reactiefunctie remmen Technieken: - T0814: Denial of Service |
Niet leerbaar |
| Vermoeden van hardwareproblemen in outstation | Er is een onherstelbare voorwaardefout gedetecteerd op een bronapparaat. Dit type fout duidt meestal op een hardwarefout of -fout bij het uitvoeren van een specifieke opdracht. | Gemiddeld | Operationele problemen | Tactieken: - Reactiefunctie remmen Technieken: - T0814: Denial of Service - T0881: Servicestop |
Niet leerbaar |
| Vermoeden van niet-reagerend MODBUS-apparaat | Een bronapparaat heeft niet gereageerd op een opdracht die naar het apparaat is verzonden. De verbinding is mogelijk verbroken wanneer de opdracht is verzonden. Drempelwaarde: minimaal 1 geldig antwoord voor minimaal 3 aanvragen binnen 5 minuten |
Beperkt | Reageert niet | Tactieken: - Reactiefunctie remmen Technieken: - T0881: Servicestop |
Niet leerbaar |
| Verkeer gedetecteerd op sensorinterface | Een sensor hervat het detecteren van netwerkverkeer op een netwerkinterface. | Beperkt | Sensorverkeer | Tactieken: -Ontdekking Technieken: - T0842: Netwerk sniffing |
Niet leerbaar |
| PLC-bedrijfsmodus gewijzigd | De bedrijfsmodus op deze PLC is gewijzigd. De nieuwe modus kan erop wijzen dat de PLC niet veilig is. Als u de PLC in een onbeveiligde bedrijfsmodus verlaat, kunnen kwaadwillende personen er schadelijke activiteiten op uitvoeren, zoals het downloaden van een programma. Als de PLC is aangetast, kunnen apparaten en processen die ermee communiceren, worden beïnvloed. Dit kan van invloed zijn op de algehele systeembeveiliging en -veiligheid. | Beperkt | Configuratiewijzigingen | Tactieken: -Uitvoering -Evasie Technieken: - T0858: Bedrijfsmodus wijzigen |
Niet leerbaar |
Volgende stappen
Zie voor meer informatie:
- Waarschuwingen weergeven en beheren in de Defender for IoT-portal
- Waarschuwingen op uw sensor weergeven
- Waarschuwingswerkstromen versnellen
- Waarschuwingsgegevens doorsturen
- Werken met waarschuwingen in de on-premises beheerconsole
- Naslaginformatie over de API voor waarschuwingsbeheer voor on-premises beheerconsoles
- Api-verwijzing voor waarschuwingsbeheer voor OT-bewakingssensoren
- Waarschuwingsgegevens doorsturen