Dokumentacja alertów usługi Microsoft Defender dla IoT
Ten artykuł zawiera informacje o alertach generowanych przez czujniki sieciowe usługi Microsoft Defender dla IoT, w tym listę wszystkich typów alertów i opisów. W dokumentacji przedstawiono również, które alerty mogą być klasyfikowane jako możliwe do nauki lub nie, aby uzyskać więcej informacji na temat stanu z możliwością nauki, zobacz Stan alertów i opcje klasyfikacji. Możesz użyć tego odwołania do mapowania alertów na podręczniki, zdefiniować reguły przesyłania dalej w czujniku sieciowym technologii operacyjnej (OT) lub innego działania niestandardowego.
Alerty OT są domyślnie wyłączone
Kilka alertów jest domyślnie wyłączonych, co wskazuje gwiazdki (*) w poniższych tabelach. Administratorzy czujnika OT mogą włączać lub wyłączać alerty ze strony Pomocy technicznej w określonym czujniku sieci OT.
Jeśli wyłączysz alerty, do których odwołujesz się w innych miejscach, takich jak reguły przesyłania alertów, pamiętaj o zaktualizowaniu tych odwołań zgodnie z potrzebami.
Ważność alertu
Alerty usługi Defender dla IoT używają następujących poziomów ważności:
| Azure Portal | Czujnik OT | opis |
|---|---|---|
| Wys. | Krytyczne | Wskazuje złośliwy atak, który powinien być natychmiast obsługiwany. |
| Śred. | Istotne | Wskazuje zagrożenie bezpieczeństwa, które jest ważne dla rozwiązania problemu. |
| Niski | Pomocnicza, ostrzeżenie | Wskazuje pewne odchylenie od zachowania punktu odniesienia, które może zawierać zagrożenie bezpieczeństwa lub nie zawiera żadnych zagrożeń bezpieczeństwa. |
Ważność alertów na tej stronie zawiera listę ważności, jak pokazano w witrynie Azure Portal.
Obsługiwane typy alertów
| Typ alertu | opis |
|---|---|
| Alerty naruszenia zasad | Wyzwalany, gdy aparat naruszenia zasad wykryje odchylenie od wcześniej poznanego ruchu. Na przykład: . — Wykryto nowe urządzenie. — Na urządzeniu zostanie wykryta nowa konfiguracja. - Urządzenie niezdefiniowane jako urządzenie programistyczne przeprowadza zmianę programową. — Zmieniono wersję oprogramowania układowego. |
| Alerty dotyczące naruszeń protokołów | Wyzwalane, gdy aparat naruszenia protokołu wykrywa struktury pakietów lub wartości pól, które nie są zgodne ze specyfikacją protokołu. |
| Alerty operacyjne | Wyzwalane, gdy aparat operacyjny wykryje zdarzenia operacyjne sieci lub urządzenie działa nieprawidłowo. Na przykład urządzenie sieciowe zostało zatrzymane za pośrednictwem polecenia Stop PLC lub interfejsu na czujniku zatrzymano monitorowanie ruchu. |
| Alerty dotyczące złośliwego oprogramowania | Wyzwalane po wykryciu złośliwego działania sieci przez aparat złośliwego oprogramowania. Na przykład aparat wykrywa znany atak, taki jak Conficker. |
| Alerty dotyczące anomalii | Wyzwalane, gdy aparat anomalii wykryje odchylenie. Na przykład urządzenie wykonuje skanowanie sieci, ale nie jest zdefiniowane jako urządzenie skanujące. |
Zasady wykrywania alertów w usłudze Defender dla IoT kierują różne aparaty alertów w celu wyzwalania alertów na podstawie wpływu na działalność biznesową i kontekstu sieci oraz zmniejszenia niskiego poziomu alertów związanych z IT. Aby uzyskać więcej informacji, zobacz Ukierunkowane alerty w środowiskach OT/IT.
Obsługiwane kategorie alertów
Każdy alert ma jedną z następujących kategorii:
- Nietypowe zachowanie komunikacji
- Nietypowe zachowanie komunikacji HTTP
- Uwierzytelnianie
- Wykonywanie kopii zapasowej
- Anomalie przepustowości
- Przepełnienie buforu
- Błędy poleceń
- Zmiany konfiguracji
- Alerty niestandardowe
- Odnajdowanie
- Zmiana oprogramowania układowego
- Niedozwolone polecenia
- Dostęp do Internetu
- Błędy operacji
- Problemy operacyjne
- Programowanie
- Dostęp zdalny
- Polecenia ponownego uruchamiania/zatrzymywania
- Skanuj
- Ruch czujnika
- Podejrzenie złośliwego działania
- Podejrzenie złośliwego oprogramowania
- Zachowanie nieautoryzowanej komunikacji
- Nie odpowiada
Alerty aparatu zasad
Alerty aparatu zasad opisują wykryte odchylenia od poznanego zachowania punktu odniesienia.
Tabela alertów aparatu zasad zawiera element Zagregowany wskazujący, że można grupować wiele alertów tego typu i wyświetlać je tylko raz na stronie Alerty w celu zmniejszenia zmęczenia alertów. Aby uzyskać więcej informacji, zobacz agregowane alerty.
| Nazwa | opis | Waga błędu | Kategoria | MITRE ATT&CK Taktyka i techniki |
Przyswajalny | Zagregowane naruszenia |
|---|---|---|---|---|---|---|
| Zmieniono oprogramowanie Beckhoff | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Śred. | Zmiana oprogramowania układowego | Taktyka: - Hamuj funkcję odpowiedzi -Wytrwałość Technik: - T0857: Oprogramowanie układowe systemu |
Przyswajalny | Nie. |
| Logowanie bazy danych nie powiodło się | Wykryto nieudaną próbę logowania z urządzenia źródłowego na serwer docelowy. Może to być wynikiem błędu ludzkiego, ale może również wskazywać na złośliwą próbę naruszenia zabezpieczeń serwera lub danych na nim. Próg: 2 błędy logowania w ciągu 5 minut |
Śred. | Uwierzytelnianie | Taktyka: - Ruch poprzeczny -Kolekcja Technik: - T0812: Poświadczenia domyślne - T0811: Dane z repozytoriów informacji |
Nie można się nauczyć | Nie. |
| Zmieniono wersję oprogramowania układowego Emerson ROC | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Śred. | Zmiana oprogramowania układowego | Taktyka: - Hamuj funkcję odpowiedzi -Wytrwałość Technik: - T0857: Oprogramowanie układowe systemu |
Przyswajalny | Tak |
| Adres zewnętrzny w sieci komunikującej się z Internetem | Urządzenie źródłowe zdefiniowane w ramach sieci komunikuje się z adresami internetowymi. Źródło nie jest autoryzowane do komunikowania się z adresami internetowymi. | Wys. | Dostęp do Internetu | Taktyka: - Dostęp początkowy Technik: - T0883: Urządzenie dostępne z Internetu |
Przyswajalny | Nie. |
| Urządzenie pola zostało nieoczekiwanie odnalezione | Nowe urządzenie źródłowe zostało wykryte w sieci, ale nie jest autoryzowane. | Śred. | Odnajdowanie | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Nie można się nauczyć | Nie. |
| Wykryto zmianę oprogramowania układowego | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Śred. | Zmiana oprogramowania układowego | Taktyka: - Hamuj funkcję odpowiedzi -Wytrwałość Technik: - T0857: Oprogramowanie układowe systemu |
Nie można się nauczyć | Nie. |
| Zmieniono wersję oprogramowania układowego | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Śred. | Zmiana oprogramowania układowego | Taktyka: - Hamuj funkcję odpowiedzi -Wytrwałość Technik: - T0857: Oprogramowanie układowe systemu |
Przyswajalny | Tak |
| Operacja we/wy nieautoryzowanego we/wy foxboro | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Przyswajalny | Tak |
| Logowanie przy użyciu protokołu FTP nie powiodło się | Wykryto nieudaną próbę logowania z urządzenia źródłowego na serwer docelowy. Ten alert może być wynikiem błędu ludzkiego, ale może również wskazywać na złośliwą próbę naruszenia zabezpieczeń serwera lub danych na nim. | Śred. | Uwierzytelnianie | Taktyka: - Ruch poprzeczny - Sterowanie i sterowanie Technik: - T0812: Poświadczenia domyślne - T0869: Standardowy protokół warstwy aplikacji |
Nie można się nauczyć | Nie. |
| Kod funkcji zgłosił nieautoryzowany wyjątek * | Urządzenie źródłowe (pomocnicze) zwróciło wyjątek do urządzenia docelowego (podstawowego). | Śred. | Błędy poleceń | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0835: Manipulowanie obrazem we/wy |
Przyswajalny | Tak |
| Ustawienia typu komunikatów w usłudze GOOSE | Ustawienia komunikatu (zidentyfikowane przez identyfikator protokołu) zostały zmienione na urządzeniu źródłowym. | Niski | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Przyswajalny | Tak |
| Zmieniono wersję oprogramowania układowego honeywell | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Śred. | Zmiana oprogramowania układowego | Taktyka: - Hamuj funkcję odpowiedzi -Wytrwałość Technik: - T0857: Oprogramowanie układowe systemu |
Przyswajalny | Nie. |
| Niedozwolona komunikacja HTTP * | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Nietypowe zachowanie komunikacji HTTP | Taktyka: -Odkrycie Technik: - T0846: Odnajdywanie systemu zdalnego |
Przyswajalny | Nie. |
| Wykryto dostęp do Internetu | Urządzenie źródłowe zdefiniowane w ramach sieci komunikuje się z adresami internetowymi. Źródło nie jest autoryzowane do komunikowania się z adresami internetowymi. | Śred. | Dostęp do Internetu | Taktyka: - Dostęp początkowy Technik: - T0883: Urządzenie dostępne z Internetu |
Przyswajalny | Nie. |
| Zmieniono wersję oprogramowania układowego Mitsubishi | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Śred. | Zmiana oprogramowania układowego | Taktyka: - Hamuj funkcję odpowiedzi -Wytrwałość Technik: - T0857: Oprogramowanie układowe systemu |
Przyswajalny | Nie. |
| Naruszenie zakresu adresów Modbus | Urządzenie podstawowe zażądało dostępu do nowego adresu pamięci pomocniczej. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny | Tak |
| Zmieniono wersję oprogramowania układowego Modbus | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Śred. | Zmiana oprogramowania układowego | Taktyka: - Hamuj funkcję odpowiedzi -Wytrwałość Technik: - T0857: Oprogramowanie układowe systemu |
Przyswajalny | Nie. |
| Wykryto nowe działanie — klasa | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: -Odkrycie Technik: - T0888: Zdalne odnajdywanie Informacje o systemie |
Przyswajalny | Tak |
| Wykryto nowe działanie — usługa klasy | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0836: Modyfikowanie parametru |
Przyswajalny | Tak |
| Wykryto nowe działanie — polecenie PCCC | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0836: Modyfikowanie parametru |
Przyswajalny | Tak |
| Wykryto nowe działanie — symbol | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Przyswajalny | Tak |
| Wykryto nowe działanie — Połączenie we/wy sieci EtherNet/IP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: -Odkrycie - Hamuj funkcję odpowiedzi Technik: - T0846: Odnajdywanie systemu zdalnego - T0835: Manipulowanie obrazem we/wy |
Przyswajalny | Tak |
| Wykryto nowe działanie — Polecenie protokołu EtherNet/IP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0836: Modyfikowanie parametru |
Przyswajalny | Tak |
| Wykryto nowe działanie — kod komunikatu GSM | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - CommandAndControl Technik: - T0869: Standardowy protokół warstwy aplikacji |
Przyswajalny | Tak |
| Wykryto nowe działanie — kody poleceń LonTalk | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: -Kolekcja - Kontrola procesu upośledzonego Technik: - T0861 — Identyfikacja punktów i tagów - T0855: Brak autoryzacji komunikat polecenia |
Przyswajalny | Tak |
| Nowe odnajdywanie portów | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Niski | Odnajdowanie | Taktyka: - Ruch poprzeczny Technik: - T0867: Transfer narzędzi bocznych |
Przyswajalny | Nie. |
| Wykryto nowe działanie — zmienna sieciowa LonTalk | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Przyswajalny | Tak |
| Wykryto nowe działanie — żądanie danych Ovation | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: -Kolekcja -Odkrycie Technik: - T0801: Monitorowanie stanu procesu - T0888: Zdalne odnajdywanie Informacje o systemie |
Przyswajalny | Tak |
| Wykryto nowe działanie — polecenie odczytu/zapisu (grupa indeksów AMS) | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zmiany konfiguracji | Taktyka: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Przyswajalny | Tak |
| Wykryto nowe działanie — polecenie odczytu/zapisu (przesunięcie indeksu AMS) | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zmiany konfiguracji | Taktyka: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Przyswajalny | Tak |
| Wykryto nowe działanie — nieautoryzowany typ komunikatu deltaV | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny | Tak |
| Wykryto nowe działanie — nieautoryzowana operacja deltaV ROC | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny | Tak |
| Wykryto nowe działanie — nieautoryzowany typ komunikatu RPC | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Przyswajalny | Tak |
| Wykryto nowe działanie — za pomocą polecenia protokołu AMS | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny | Tak |
| Wykryto nowe działanie — używanie polecenia Siemens SICAM | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Przyswajalny | Tak |
| Wykryto nowe działanie — używanie polecenia Suitelink Protocol | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Przyswajalny | Tak |
| Wykryto nowe działanie — używanie sesji protokołu Suitelink | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Przyswajalny | Tak |
| Wykryto nowe działanie — używanie polecenia Yokogawa VNetIP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny | Tak |
| Wykryto nowy zasób | Nowe urządzenie źródłowe zostało wykryte w sieci, ale nie jest autoryzowane. Ten alert dotyczy urządzeń odnalezionych w podsieciach OT. Nowe urządzenia odnalezione w podsieciach IT nie wyzwalają alertu. |
Śred. | Odnajdowanie | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny | Nie. |
| Nowa konfiguracja urządzenia LLDP | Nowe urządzenie źródłowe zostało wykryte w sieci, ale nie jest autoryzowane. | Śred. | Zmiany konfiguracji | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny | Nie. |
| Omron FINS Brak autoryzacji polecenia | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Przyswajalny | Tak |
| Zmieniono oprogramowanie układowe S7 Plus PLC | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Śred. | Zmiana oprogramowania układowego | Taktyka: - Hamuj funkcję odpowiedzi -Wytrwałość Technik: - T0857: Oprogramowanie układowe systemu |
Przyswajalny | Nie. |
| Ustawienia typu komunikatu z przykładowymi wartościami | Ustawienia komunikatu (zidentyfikowane przez identyfikator protokołu) zostały zmienione na urządzeniu źródłowym. | Niski | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Nie można się nauczyć | Tak |
| Podejrzenie nielegalnego skanowania integralności * | Wykryto skanowanie na urządzeniu źródłowym DNP3 (przestacja). To skanowanie nie było autoryzowane jako poznany ruch w sieci. | Śred. | Skanuj | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny | Nie. |
| Toshiba Computer Link Brak autoryzacji polecenia | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Niski | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny | Tak |
| Nieautoryzowana operacja pliku ABB Totalflow | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Nie można się nauczyć | Tak |
| Nieautoryzowana operacja rejestracji totalflow abb | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Nie można się nauczyć | Tak |
| Nieautoryzowany dostęp do bloku danych Firmy Siemens S7 | Urządzenie źródłowe próbowało uzyskać dostęp do zasobu na innym urządzeniu. Próba dostępu do tego zasobu między tymi dwoma urządzeniami nie jest autoryzowana jako poznany ruch w sieci. | Niski | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego - Dostęp początkowy Technik: - T0855: Brak autoryzacji komunikat polecenia - T0811: Dane z repozytoriów informacji |
Przyswajalny | Tak |
| Nieautoryzowany dostęp do obiektu Siemens S7 Plus | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja - Hamuj funkcję odpowiedzi Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera - T0809: Niszczenie danych |
Przyswajalny | Tak |
| Nieautoryzowany dostęp do tagu Wonderware | Urządzenie źródłowe próbowało uzyskać dostęp do zasobu na innym urządzeniu. Próba dostępu do tego zasobu między tymi dwoma urządzeniami nie jest autoryzowana jako poznany ruch w sieci. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: -Kolekcja - Kontrola procesu upośledzonego Technik: - T0861: Identyfikacja punktów i tagów - T0855: Brak autoryzacji komunikat polecenia |
Przyswajalny | Tak |
| Nieautoryzowany dostęp do obiektu BACNet | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny | Tak |
| Nieautoryzowana trasa BACNet | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny | Tak |
| Nieautoryzowane logowanie do bazy danych * | Wykryto próbę logowania między klientem źródłowym a serwerem docelowym. Komunikacja między tymi urządzeniami nie jest autoryzowana jako poznany ruch w sieci. | Śred. | Uwierzytelnianie | Taktyka: - Ruch poprzeczny -Wytrwałość -Kolekcja Technik: - T0859: Prawidłowe konta - T0811: Dane z repozytoriów informacji |
Przyswajalny | Nie. |
| Operacja nieautoryzowanej bazy danych | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Nietypowe zachowanie komunikacji | Taktyka: - Kontrola procesu upośledzonego - Dostęp początkowy Technik: - T0855: Brak autoryzacji komunikat polecenia - T0811: Dane z repozytoriów informacji |
Przyswajalny | Tak |
| Nieautoryzowana operacja ROC Emersona | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny | Tak |
| Nieautoryzowany dostęp do plików GE SRTP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: -Kolekcja - LateralMovement -Wytrwałość Technik: - T0801: Monitorowanie stanu procesu - T0859: Prawidłowe konta |
Przyswajalny | Tak |
| Nieautoryzowane polecenie protokołu GE SRTP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny | Tak |
| Nieautoryzowana operacja pamięci systemowej GE SRTP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: -Odkrycie - Kontrola procesu upośledzonego Technik: - T0846: Odnajdywanie systemu zdalnego - T0855: Brak autoryzacji komunikat polecenia |
Przyswajalny | Tak |
| Nieautoryzowane działanie HTTP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Nietypowe zachowanie komunikacji HTTP | Taktyka: - Dostęp początkowy - Sterowanie i sterowanie Technik: - T0822: Zewnętrzne usługi zdalne - T0869: Standardowy protokół warstwy aplikacji |
Przyswajalny | Nie. |
| Nieautoryzowana akcja PROTOKOŁU HTTP SOAP * | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Nietypowe zachowanie komunikacji HTTP | Taktyka: - Sterowanie i sterowanie -Egzekucja Technik: - T0869: Standardowy protokół warstwy aplikacji - T0871: Wykonywanie za pośrednictwem interfejsu API |
Przyswajalny | Nie. |
| Nieautoryzowany agent użytkownika HTTP * | Wykryto nieautoryzowaną aplikację na urządzeniu źródłowym. Aplikacja nie jest autoryzowana jako wyuczonej aplikacji w sieci. | Śred. | Nietypowe zachowanie komunikacji HTTP | Taktyka: - Sterowanie i sterowanie Technik: - T0869: Standardowy protokół warstwy aplikacji |
Przyswajalny | Nie. |
| Wykryto nieautoryzowaną łączność z Internetem | Urządzenie źródłowe zdefiniowane w ramach sieci komunikuje się z adresami internetowymi. Źródło nie jest autoryzowane do komunikowania się z adresami internetowymi. | Wys. | Dostęp do Internetu | Taktyka: - Dostęp początkowy Technik: - T0883: Urządzenie dostępne z Internetu |
Przyswajalny | Nie. |
| Nieautoryzowane polecenie Mitsubishi MELSEC | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny | Tak |
| Nieautoryzowany dostęp do programu MMS | Urządzenie źródłowe próbowało uzyskać dostęp do zasobu na innym urządzeniu. Próba dostępu do tego zasobu między tymi dwoma urządzeniami nie jest autoryzowana jako poznany ruch w sieci. | Śred. | Programowanie | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny | Tak |
| Nieautoryzowana usługa MMS | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny | Tak |
| Nieautoryzowane połączenie multiemisji/emisji | Wykryto połączenie multiemisji/emisji między urządzeniem źródłowym a innymi urządzeniami. Komunikacja multiemisji/emisji nie jest autoryzowana. | Wys. | Nietypowe zachowanie komunikacji | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny | Tak |
| Kwerenda o nieautoryzowaną nazwę | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Nietypowe zachowanie komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Nie można się nauczyć | Tak |
| Nieautoryzowane działanie OPC UA | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Przyswajalny | Tak |
| Nieautoryzowane żądanie/odpowiedź OPC UA | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Przyswajalny | Tak |
| Wykryto nieautoryzowaną operację przez regułę zdefiniowaną przez użytkownika | Wykryto ruch między dwoma urządzeniami. To działanie jest nieautoryzowane na podstawie niestandardowej reguły alertu zdefiniowanej przez użytkownika. | Śred. | Alerty niestandardowe | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Nie można się nauczyć | Nie. |
| Odczyt konfiguracji nieautoryzowanego sterownika PLC | Urządzenie źródłowe nie jest zdefiniowane jako urządzenie programistyczne, ale wykonało operację odczytu/zapisu na kontrolerze docelowym. Zmiany programistyczne powinny być wykonywane tylko przez urządzenia programistyczne. Na tym urządzeniu mogła zostać zainstalowana aplikacja programistycka. | Niski | Zmiany konfiguracji | Taktyka: -Kolekcja Technik: - T0801: Monitorowanie stanu procesu |
Przyswajalny | Nie. |
| Zapis konfiguracji nieautoryzowanego sterownika PLC | Urządzenie źródłowe wysłało polecenie odczytu/zapisu programu kontrolera docelowego. To działanie nie było wcześniej widoczne. | Śred. | Zmiany konfiguracji | Taktyka: - Kontrola procesu upośledzonego -Wytrwałość -Wpływ Technik: - T0839: Oprogramowanie układowe modułu - T0831: Manipulowanie kontrolką - T0889: Modyfikowanie programu |
Przyswajalny | Nie. |
| Przekazywanie nieautoryzowanego programu PLC | Urządzenie źródłowe wysłało polecenie odczytu/zapisu programu kontrolera docelowego. To działanie nie było wcześniej widoczne. | Śred. | Programowanie | Taktyka: - Kontrola procesu upośledzonego -Wytrwałość -Kolekcja Technik: - T0839: Oprogramowanie układowe modułu - T0845: Przekazywanie programu |
Przyswajalny | Nie. |
| Nieautoryzowane programowanie PLC | Urządzenie źródłowe nie jest zdefiniowane jako urządzenie programistyczne, ale wykonało operację odczytu/zapisu na kontrolerze docelowym. Zmiany programistyczne powinny być wykonywane tylko przez urządzenia programistyczne. Na tym urządzeniu mogła zostać zainstalowana aplikacja programistycka. | Wys. | Programowanie | Taktyka: - Kontrola procesu upośledzonego -Wytrwałość - Ruch poprzeczny Technik: - T0839: Oprogramowanie układowe modułu - T0889: Modyfikowanie programu - T0843: Pobieranie programu |
Przyswajalny | Nie. |
| Nieautoryzowany typ ramki profinet | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Przyswajalny | Tak |
| Nieautoryzowane polecenie S-Bus SAIA | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Przyswajalny | Tak |
| Nieautoryzowana funkcja sterowania Firmy Siemens S7 | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi Technik: - T0855: Brak autoryzacji komunikat polecenia - T0809: Niszczenie danych |
Przyswajalny | Tak |
| Nieautoryzowane wykonanie funkcji zdefiniowanej przez użytkownika firmy Siemens S7 | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0836: Modyfikowanie parametru - T0863: Wykonywanie użytkownika |
Przyswajalny | Tak |
| Nieautoryzowany dostęp firmy Siemens S7 Plus | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Hamuj funkcję odpowiedzi -Wytrwałość -Egzekucja Technik: - T0803 — blokuj komunikat polecenia - T0889: Modyfikowanie programu - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny | Tak |
| Nieautoryzowana operacja Siemens S7 Plus | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0863: Wykonywanie użytkownika |
Przyswajalny | Tak |
| Nieautoryzowane logowanie za pomocą protokołu SMB | Wykryto próbę logowania między klientem źródłowym a serwerem docelowym. Komunikacja między tymi urządzeniami nie jest autoryzowana jako poznany ruch w sieci. | Śred. | Uwierzytelnianie | Taktyka: - Dostęp początkowy - Ruch poprzeczny -Wytrwałość Technik: - T0886: Usługi zdalne - T0859: Prawidłowe konta |
Przyswajalny | Tak |
| Nieautoryzowana operacja SNMP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Nietypowe zachowanie komunikacji | Taktyka: -Odkrycie - Sterowanie i sterowanie Technik: - T0842: Wąchanie sieci - T0885: Powszechnie używany port |
Przyswajalny | Tak |
| Nieautoryzowany dostęp za pomocą protokołu SSH | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Dostęp zdalny | Taktyka: - InitialAccess - Ruch poprzeczny - Sterowanie i sterowanie Technik: - T0886: Usługi zdalne - T0869: Standardowy protokół warstwy aplikacji |
Przyswajalny | Nie. |
| Nieautoryzowany proces systemu Windows | Wykryto nieautoryzowaną aplikację na urządzeniu źródłowym. Aplikacja nie jest autoryzowana jako wyuczonej aplikacji w sieci. | Śred. | Nietypowe zachowanie komunikacji | Taktyka: -Egzekucja - Eskalacja uprawnień - Sterowanie i sterowanie Technik: - T0841: Hakowanie - T0885: Powszechnie używany port |
Przyswajalny | Tak |
| Nieautoryzowana usługa systemu Windows | Wykryto nieautoryzowaną aplikację na urządzeniu źródłowym. Aplikacja nie jest autoryzowana jako wyuczonej aplikacji w sieci. | Śred. | Nietypowe zachowanie komunikacji | Taktyka: - Dostęp początkowy - Ruch poprzeczny Technik: - T0866: Wykorzystywanie usług zdalnych |
Przyswajalny | Tak |
| Wykryto nieautoryzowaną operację przez regułę zdefiniowaną przez użytkownika | Wykryto nowe parametry ruchu. Ta kombinacja parametrów narusza regułę zdefiniowaną przez użytkownika | Śred. | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Nie można się nauczyć | Nie. | |
| Bezsprzedane Modbus Schneider Electric Extension | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Przyswajalny | Tak |
| Nieuprawdzone użycie typów asDU | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Przyswajalny | Tak |
| Nieuprawdzone użycie kodu funkcji DNP3 | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Przyswajalny | Tak |
| Nieuprawdzone użycie wskazania wewnętrznego (IIN) * | Urządzenie źródłowe DNP3 (przestacja) zgłosiło wewnętrzne wskazanie (IIN), które nie ma autoryzacji jako poznany ruch w sieci. | Śred. | Niedozwolone polecenia | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny | Nie. |
| Niewykonane użycie kodu funkcji Modbus | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Przyswajalny | Tak |
Alerty dotyczące aparatu anomalii
Uwaga
Ten artykuł zawiera odwołania do terminu slave (element podrzędny), który nie jest już używany przez firmę Microsoft. Po usunięciu tego terminu z oprogramowania usuniemy go również z artykułu.
Alerty aparatu anomalii opisują wykryte anomalie w działaniu sieci.
| Nazwa | opis | Waga błędu | Kategoria | MITRE ATT&CK Taktyka i techniki |
Przyswajalny |
|---|---|---|---|---|---|
| Nietypowy wzorzec wyjątku w obiekcie podrzędnym * | Wykryto nadmierną liczbę błędów na urządzeniu źródłowym. Ten alert może być wynikiem problemu operacyjnego. Próg: 20 wyjątków w ciągu 1 godziny |
Niski | Nietypowe zachowanie komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0806: Atak siłowy we/wy |
Nie można się nauczyć |
| Nieprawidłowa długość nagłówka HTTP * | Urządzenie źródłowe wysłało nietypowy komunikat. Ten alert może wskazywać na próbę ataku na urządzenie docelowe. | Wys. | Nietypowe zachowanie komunikacji HTTP | Taktyka: - Dostęp początkowy - Ruch poprzeczny - Sterowanie i sterowanie Technik: - T0866: Wykorzystywanie usług zdalnych - T0869: Standardowy protokół warstwy aplikacji |
Przyswajalny |
| Nieprawidłowa liczba parametrów w nagłówku HTTP * | Urządzenie źródłowe wysłało nietypowy komunikat. Ten alert może wskazywać na próbę ataku na urządzenie docelowe. | Wys. | Nietypowe zachowanie komunikacji HTTP | Taktyka: - Dostęp początkowy - Ruch poprzeczny - Sterowanie i sterowanie Technik: - T0866: Wykorzystywanie usług zdalnych - T0869: Standardowy protokół warstwy aplikacji |
Przyswajalny |
| Nietypowe zachowanie okresowe w kanale komunikacyjnym | Wykryto zmianę częstotliwości komunikacji między urządzeniami źródłowymi i docelowymi. | Niski | Nietypowe zachowanie komunikacji | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny |
| Nieprawidłowe kończenie aplikacji * | Wykryto nadmierną liczbę poleceń zatrzymania na urządzeniu źródłowym. Ten alert może być wynikiem problemu operacyjnego lub próby manipulowania urządzeniem. Próg: 20 poleceń zatrzymania w ciągu 3 godzin |
Śred. | Nietypowe zachowanie komunikacji | Taktyka: -Wytrwałość -Wpływ Technik: - T0889: Modyfikowanie programu - T0831: Manipulowanie kontrolką |
Przyswajalny |
| Nietypowa przepustowość ruchu * | Wykryto nietypową przepustowość w kanale. Przepustowość wydaje się być niższa/wyższa niż wcześniej wykryta. Aby uzyskać szczegółowe informacje, należy pracować z widżetem Total Bandwidth (Łączna przepustowość). | Niski | Anomalie przepustowości | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny |
| Nietypowa przepustowość ruchu między urządzeniami * | Wykryto nietypową przepustowość w kanale. Przepustowość wydaje się być niższa/wyższa niż wcześniej wykryta. Aby uzyskać szczegółowe informacje, należy pracować z widżetem Total Bandwidth (Łączna przepustowość). | Niski | Anomalie przepustowości | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Nie można się nauczyć |
| Wykryto skanowanie adresów | Wykryto urządzenie źródłowe skanujące urządzenia sieciowe. To urządzenie nie jest autoryzowane jako urządzenie do skanowania sieci. Próg: 50 połączeń z tą samą podsiecią klasy B w ciągu 2 minut |
Wys. | Skanuj | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny |
| Wykryto skanowanie adresów ARP * | Wykryto urządzenie źródłowe skanujące urządzenia sieciowe przy użyciu protokołu ARP (Address Resolution Protocol). Ten adres urządzenia nie jest autoryzowany jako prawidłowy adres skanowania ARP. Próg: 40 skanowań w ciągu 6 minut |
Wys. | Skanuj | Taktyka: -Odkrycie -Kolekcja Technik: - T0842: Wąchanie sieci - T0830: Człowiek w środku |
Przyswajalny |
| Fałszowanie protokołu ARP * | Wykryto nietypową ilość pakietów w sieci. Ten alert może wskazywać na atak, na przykład podszywanie się za pomocą protokołu ARP lub atak powodziowy ICMP. Próg: 60 pakietów w ciągu 1 minuty |
Niski | Nietypowe zachowanie komunikacji | Taktyka: -Kolekcja Technik: - T0830: Człowiek w środku |
Nie można się nauczyć |
| Nadmierne próby logowania | Na urządzeniu źródłowym wystąpiły nadmierne próby logowania na serwerze docelowym. Ten alert może wskazywać na atak siłowy. Serwer może zostać naruszony przez złośliwego aktora. Próg: 20 prób logowania w ciągu 1 minuty |
Wys. | Uwierzytelnianie | Taktyka: - LateralMovement - Kontrola procesu upośledzonego Technik: - T0812: Poświadczenia domyślne - T0806: Atak siłowy we/wy |
Nie można się nauczyć |
| Nadmierna liczba sesji | Na urządzeniu źródłowym wystąpiły nadmierne próby logowania na serwerze docelowym. Może to wskazywać na atak siłowy. Serwer może zostać naruszony przez złośliwego aktora. Próg: 50 sesji w ciągu 1 minuty |
Wys. | Nietypowe zachowanie komunikacji | Taktyka: - Ruch poprzeczny - Kontrola procesu upośledzonego Technik: - T0812: Poświadczenia domyślne - T0806: Atak siłowy we/wy |
Nie można się nauczyć |
| Nadmierna szybkość ponownego uruchamiania przestacji * | Wykryto nadmierną liczbę poleceń ponownego uruchamiania na urządzeniu źródłowym. Te alerty mogą być wynikiem problemu operacyjnego lub próby manipulowania urządzeniem. Próg: 10 ponownych uruchomień w ciągu 1 godziny |
Śred. | Ponowne uruchamianie/zatrzymywanie poleceń | Taktyka: - Hamuj funkcję odpowiedzi - Kontrola procesu upośledzonego Technik: - T0814: Odmowa usługi - T0806: Atak siłowy we/wy |
Nie można się nauczyć |
| Nadmierne próby logowania przy użyciu protokołu SMB | Na urządzeniu źródłowym wystąpiły nadmierne próby logowania na serwerze docelowym. Może to wskazywać na atak siłowy. Serwer może zostać naruszony przez złośliwego aktora. Próg: 10 prób logowania w ciągu 10 minut |
Wys. | Uwierzytelnianie | Taktyka: -Wytrwałość -Egzekucja - LateralMovement Technik: - T0812: Poświadczenia domyślne - T0853: Skrypty - T0859: Prawidłowe konta |
Nie można się nauczyć |
| Powodzie ICMP * | Wykryto nietypową ilość pakietów w sieci. Ten alert może wskazywać na atak, na przykład podszywanie się za pomocą protokołu ARP lub atak powodziowy ICMP. Próg: 60 pakietów w ciągu 1 minuty |
Niski | Nietypowe zachowanie komunikacji | Taktyka: -Odkrycie -Kolekcja Technik: - T0842: Wąchanie sieci - T0830: Człowiek w środku |
Nie można się nauczyć |
| Niedozwolona zawartość nagłówka HTTP * | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Wys. | Nietypowe zachowanie komunikacji HTTP | Taktyka: - Dostęp początkowy - LateralMovement Technik: - T0866: Wykorzystywanie usług zdalnych |
Nie można się nauczyć |
| Nieaktywny kanał komunikacyjny * | Kanał komunikacyjny między dwoma urządzeniami był nieaktywny w okresie, w którym zwykle obserwowane jest działanie. Może to oznaczać, że program generujący ten ruch został zmieniony lub program może być niedostępny. Zaleca się przejrzenie konfiguracji zainstalowanego programu i sprawdzenie, czy jest prawidłowo skonfigurowany. Próg: 1 minuta |
Niski | Nie odpowiada | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0881: Zatrzymywanie usługi |
Nie można się nauczyć |
| Wykryto skanowanie adresu o długim czasie trwania * | Wykryto urządzenie źródłowe skanujące urządzenia sieciowe. To urządzenie nie jest autoryzowane jako urządzenie do skanowania sieci. Próg: 50 połączeń z tą samą podsiecią klasy B w ciągu 10 minut |
Wys. | Skanuj | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny |
| Wykryto próbę odgadnięcia hasła | Na urządzeniu źródłowym wystąpiły nadmierne próby logowania na serwerze docelowym. Może to wskazywać na atak siłowy. Serwer może zostać naruszony przez złośliwego aktora. Próg: 100 prób w ciągu 1 minuty |
Wys. | Uwierzytelnianie | Taktyka: - Ruch poprzeczny Technik: - T0812: Poświadczenia domyślne - T0806: Atak siłowy we/wy |
Nie można się nauczyć |
| Wykryto skanowanie sterownika PLC | Wykryto urządzenie źródłowe skanujące urządzenia sieciowe. To urządzenie nie jest autoryzowane jako urządzenie do skanowania sieci. Próg: 10 skanowań w ciągu 2 minut |
Wys. | Skanuj | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny |
| Wykryto skanowanie portów | Wykryto urządzenie źródłowe skanujące urządzenia sieciowe. To urządzenie nie jest autoryzowane jako urządzenie do skanowania sieci. Próg: 25 skanowań w ciągu 2 minut |
Wys. | Skanuj | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny |
| Nieoczekiwana długość komunikatu | Urządzenie źródłowe wysłało nietypowy komunikat. Ten alert może wskazywać na próbę ataku na urządzenie docelowe. Próg: długość tekstu — 32768 |
Wys. | Nietypowe zachowanie komunikacji | Taktyka: - InitialAccess - LateralMovement Technik: - T0869: Wykorzystywanie usług zdalnych |
Nie można się nauczyć |
| Nieoczekiwany ruch dla portu standardowego * | Ruch został wykryty na urządzeniu przy użyciu portu zarezerwowanego dla innego protokołu. | Śred. | Nietypowe zachowanie komunikacji | Taktyka: - Sterowanie i sterowanie -Odkrycie Technik: - T0869: Standardowy protokół warstwy aplikacji - T0842: Wąchanie sieci |
Nie można się nauczyć |
Alerty aparatu naruszenia protokołu
Alerty aparatu protokołu opisują wykryte odchylenia w strukturze pakietów lub wartości pól w porównaniu ze specyfikacjami protokołu.
| Nazwa | opis | Waga błędu | Kategoria | MITRE ATT&CK Taktyka i techniki |
Przyswajalny |
|---|---|---|---|---|---|
| Nadmierne źle sformułowane pakiety w jednej sesji * | Nieprawidłowa liczba źle sformułowanych pakietów wysyłanych z urządzenia źródłowego do urządzenia docelowego. Ten alert może wskazywać na błędną komunikację lub próbę manipulowania urządzeniem docelowym. Próg: 2 źle sformułowane pakiety w ciągu 10 minut |
Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0806: Atak siłowy we/wy |
Nie można się nauczyć |
| Aktualizacja oprogramowania układowego | Urządzenie źródłowe wysłało polecenie w celu zaktualizowania oprogramowania układowego na urządzeniu docelowym. Sprawdź, czy najnowsze uaktualnienia programowania, konfiguracji i oprogramowania układowego wprowadzone na urządzeniu docelowym są prawidłowe. | Niski | Zmiana oprogramowania układowego | Taktyka: - Hamuj funkcję odpowiedzi -Wytrwałość Technik: - T0857: Oprogramowanie układowe systemu |
Przyswajalny |
| Kod funkcji nieobsługiwany przez funkcję outstation | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Komunikat o niedozwolonej sieci BACNet | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Próba nielegalnego połączenia na porcie 0 | Urządzenie źródłowe próbowało nawiązać połączenie z urządzeniem docelowym na porcie o numerze zero (0). W przypadku protokołu TCP port 0 jest zarezerwowany i nie można go używać. W przypadku protokołu UDP port jest opcjonalny, a wartość 0 oznacza brak portu. Zwykle nie ma usługi w systemie, który nasłuchuje na porcie 0. To zdarzenie może wskazywać na próbę ataku na urządzenie docelowe lub wskazuje, że aplikacja została nieprawidłowo zaprogramowana. | Niski | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Niedozwolona operacja DNP3 | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Dostęp początkowy - Ruch poprzeczny Technik: - T0866: Wykorzystywanie usług zdalnych |
Nie można się nauczyć |
| Niedozwolona operacja MODBUS (wyjątek zgłoszony przez wzorzec) | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Dostęp początkowy - Ruch poprzeczny Technik: - T0866: Wykorzystywanie usług zdalnych |
Nie można się nauczyć |
| Nielegalna operacja MODBUS (kod funkcji zero) * | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Dostęp początkowy - Ruch poprzeczny Technik: - T0866: Wykorzystywanie usług zdalnych |
Nie można się nauczyć |
| Niedozwolona wersja protokołu * | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Dostęp początkowy - LateralMovement - Kontrola procesu upośledzonego Technik: - T0820: Usługi zdalne - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Niepoprawny parametr wysłany do zastągowania | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Inicjowanie przestarzałego kodu funkcji (inicjowanie danych) | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Niski | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Inicjowanie przestarzałego kodu funkcji (Zapisz konfigurację) | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Niski | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Wzorzec zażądał potwierdzenia warstwy aplikacji | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Niski | Niedozwolone polecenia | Taktyka: - Sterowanie i sterowanie Technik: - T0869: Standardowy protokół warstwy aplikacji |
Nie można się nauczyć |
| Wyjątek Modbus | Urządzenie źródłowe (pomocnicze) zwróciło wyjątek do urządzenia docelowego (podstawowego). | Śred. | Niedozwolone polecenia | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0814: Odmowa usługi |
Nie można się nauczyć |
| Urządzenie podrzędne otrzymało niedozwolony typ ASDU | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Urządzenie podrzędne otrzymało nielegalną przyczynę transmisji | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Urządzenie podrzędne otrzymało niedozwolony wspólny adres | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Parametr niedozwolonego adresu danych odebrany przez urządzenie podrzędne * | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Parametr niewolniczy urządzenie otrzymało niedozwoloną wartość danych * | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Urządzenie podrzędne otrzymało niedozwolony kod funkcji * | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Urządzenie podrzędne otrzymało niedozwolony adres obiektu informacji | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Nieznany obiekt wysłany do zastągowania | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Użycie kodu funkcji zarezerwowanej | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Użycie nieprawidłowego formatowania według zaświadczania * | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Niski | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Użycie flag stanu zarezerwowanego (IIN) | Urządzenie źródłowe DNP3 (przestacja) używało zarezerwowanego wskaźnika wewnętrznego 2.6. Zaleca się sprawdzenie konfiguracji urządzenia. | Niski | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
Alerty aparatu złośliwego oprogramowania
Alerty aparatu złośliwego oprogramowania opisują wykryte złośliwe działania sieciowe.
| Nazwa | opis | Waga błędu | Kategoria | MITRE ATT&CK Taktyka i techniki |
Przyswajalny |
|---|---|---|---|---|---|
| Próba nawiązania połączenia ze znanym złośliwym adresem IP | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. Wyzwalane przez czujniki sieciowe OT i Enterprise IoT. |
Wys. | Podejrzenie złośliwego działania | Taktyka: - Dostęp początkowy - Sterowanie i sterowanie Technik: - T0883: Urządzenie dostępne z Internetu - T0884: Serwer proxy połączeń |
Nie można się nauczyć |
| Nieprawidłowy komunikat SMB (DoublePulsar Backdoor Implant) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: - Dostęp początkowy - LateralMovement Technik: - T0866: Wykorzystywanie usług zdalnych |
Nie można się nauczyć |
| Żądanie złośliwej nazwy domeny | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. Wyzwalane przez czujniki sieciowe OT i Enterprise IoT. |
Wys. | Podejrzenie złośliwego działania | Taktyka: - Dostęp początkowy - Sterowanie i sterowanie Technik: - T0883: Urządzenie dostępne z Internetu - T0884: Serwer proxy połączeń |
Przyswajalny |
| Złośliwa ścieżka adresu URL | Żądanie zostało skierowane do znanej złośliwej ścieżki adresu URL. Żądania dotyczące tej ścieżki adresu URL mogą wskazywać, że źródło wysyłające żądanie zostało naruszone. | Wys. | Podejrzenie złośliwego działania | Taktyka: - Dostęp początkowy - Sterowanie i sterowanie Technik: - T0883: Urządzenie dostępne z Internetu - T0884: Serwer proxy połączeń |
Nie można się nauczyć |
| Wykryto plik testowy złośliwego oprogramowania — powodzenie EICAR AV | Plik testowy EICAR AV został wykryty w ruchu między dwoma urządzeniami (za pośrednictwem dowolnego transportu — TCP lub UDP). Plik nie jest złośliwym oprogramowaniem. Służy do potwierdzenia, że oprogramowanie antywirusowe jest poprawnie zainstalowane. Pokazuj, co się stanie po znalezieniu wirusa, i sprawdź wewnętrzne procedury i reakcje po znalezieniu wirusa. Oprogramowanie antywirusowe powinno wykrywać EICAR tak, jakby było to prawdziwy wirus. | Wys. | Podejrzenie złośliwego działania | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Nie można się nauczyć |
| Podejrzenie złośliwego oprogramowania Conficker | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Śred. | Podejrzenie złośliwego oprogramowania | Taktyka: - Dostęp początkowy -Wpływ Technik: - T0826: Utrata dostępności - T0828: Utrata produktywności i przychodów - T0847: Replikacja za pośrednictwem nośnika wymiennego |
Nie można się nauczyć |
| Podejrzenie ataku typu "odmowa usługi" | Urządzenie źródłowe próbowało zainicjować nadmierną liczbę nowych połączeń z urządzeniem docelowym. Może to wskazywać na atak typu "odmowa usługi" (DOS) na urządzenie docelowe i może przerwać działanie urządzenia, wpłynąć na wydajność i dostępność usługi lub spowodować nieodwracalne błędy. Próg: 3000 prób w ciągu 1 minuty |
Wys. | Podejrzenie złośliwego działania | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0814: Odmowa usługi |
Przyswajalny |
| Podejrzenie złośliwego działania | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem, który wyzwolił znane "Wskaźniki naruszenia" (IOCs). Metadane alertu powinny być przeglądane przez zespół ds. zabezpieczeń. | Wys. | Podejrzenie złośliwego działania | Taktyka: - Ruch poprzeczny Technik: - T0867: Transfer narzędzi bocznych |
Nie można się nauczyć |
| Podejrzenie złośliwego działania (BlackWald) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: - Sterowanie i sterowanie Technik: - T0869: Standardowy protokół warstwy aplikacji |
Nie można się nauczyć |
| Podejrzenie złośliwego działania (DarkComet) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: -Wpływ Technik: - T0882: kradzież informacji operacyjnych |
Nie można się nauczyć |
| Podejrzenie złośliwego działania (Duqu) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: -Wpływ Technik: - T0882: kradzież informacji operacyjnych |
Nie można się nauczyć |
| Podejrzenie złośliwej aktywności (płomień) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: -Kolekcja -Wpływ Technik: - T0882: kradzież informacji operacyjnych - T0811: Dane z repozytoriów informacji |
Nie można się nauczyć |
| Podejrzenie złośliwego działania (Havex) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: -Kolekcja -Odkrycie - Hamuj funkcję odpowiedzi Technik: - T0861: Identyfikacja punktów i tagów - T0846: Odnajdywanie systemu zdalnego - T0814: Odmowa usługi |
Nie można się nauczyć |
| Podejrzenie złośliwego działania (Karagany) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: -Wpływ Technik: - T0882: kradzież informacji operacyjnych |
Nie można się nauczyć |
| Podejrzenie złośliwego działania (LightsOut) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: -Evasion Technik: - T0849: Maskquerading |
Nie można się nauczyć |
| Podejrzenie złośliwego działania (zapytania nazw) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. Próg: 25 zapytań dotyczących nazw w ciągu 1 minuty |
Wys. | Podejrzenie złośliwego działania | Taktyka: - Sterowanie i sterowanie Technik: - T0884: Serwer proxy połączeń |
Nie można się nauczyć |
| Podejrzenie złośliwej aktywności (Trucizna Bluszcz) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: - Dostęp początkowy - Ruch poprzeczny Technik: - T0866: Wykorzystywanie usług zdalnych |
Nie można się nauczyć |
| Podejrzenie złośliwego działania (Regin) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: - Dostęp początkowy - Ruch poprzeczny -Wpływ Technik: - T0866: Wykorzystywanie usług zdalnych - T0882: kradzież informacji operacyjnych |
Nie można się nauczyć |
| Podejrzenie złośliwego działania (Stuxnet) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: - Dostęp początkowy - Ruch poprzeczny -Wpływ Technik: - T0818: Naruszenie zabezpieczeń stacji roboczej inżynieryjnej - T0866: Wykorzystywanie usług zdalnych - T0831: Manipulowanie kontrolką |
Nie można się nauczyć |
| Podejrzenie złośliwej aktywności (WannaCry) * | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Śred. | Podejrzenie złośliwego oprogramowania | Taktyka: - Dostęp początkowy - Ruch poprzeczny Technik: - T0866: Wykorzystywanie usług zdalnych - T0867: Transfer narzędzi bocznych |
Nie można się nauczyć |
| Podejrzenie złośliwego oprogramowania NotPetya — wykryto nielegalne parametry protokołu SMB | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: - Dostęp początkowy - Ruch poprzeczny Technik: - T0866: Wykorzystywanie usług zdalnych |
Nie można się nauczyć |
| Podejrzenie złośliwego oprogramowania NotPetya — wykryto nielegalną transakcję SMB | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: - Ruch poprzeczny Technik: - T0867: Transfer narzędzi bocznych |
Nie można się nauczyć |
| Podejrzenie zdalnego wykonywania kodu za pomocą programu PsExec | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego działania | Taktyka: - Ruch poprzeczny - Dostęp początkowy Technik: - T0866: Wykorzystywanie usług zdalnych |
Nie można się nauczyć |
| Podejrzenie zdalnego zarządzania usługami systemu Windows * | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego działania | Taktyka: - Dostęp początkowy Technik: - T0822: NetworkExternal Remote Services |
Nie można się nauczyć |
| Wykryto podejrzany plik wykonywalny w punkcie końcowym | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego działania | Taktyka: -Evasion - Hamuj funkcję odpowiedzi Technik: - T0851: Rootkit |
Przyswajalny |
| Wykryto podejrzany ruch * | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem, który wyzwolił znane "Wskaźniki naruszenia" (IOCs). Metadane alertu powinny być przeglądane przez zespół ds. zabezpieczeń | Wys. | Podejrzenie złośliwego działania | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Nie można się nauczyć |
| Działanie tworzenia kopii zapasowej z podpisami antywirusowymi | Ruch wykryty między urządzeniem źródłowym a docelowym serwerem kopii zapasowej wyzwolił ten alert. Ruch obejmuje kopię zapasową oprogramowania antywirusowego, które może zawierać podpisy złośliwego oprogramowania. Jest to najprawdopodobniej uzasadnione działanie tworzenia kopii zapasowej. | Niski | Wykonywanie kopii zapasowej | Taktyka: -Wpływ Technik: - T0882: kradzież informacji operacyjnych |
Nie można się nauczyć |
Alerty aparatu operacyjnego
Alerty aparatu operacyjnego opisują wykryte zdarzenia operacyjne lub jednostki, które działają nieprawidłowo.
| Nazwa | opis | Waga błędu | Kategoria | MITRE ATT&CK Taktyka i techniki |
Przyswajalny |
|---|---|---|---|---|---|
| Wysłano polecenie S7 Stop PLC | Urządzenie źródłowe wysłało polecenie zatrzymania do kontrolera docelowego. Kontroler przestaje działać do momentu wysłania polecenia uruchamiania. | Niski | Ponowne uruchamianie/zatrzymywanie poleceń | Taktyka: - Ruch poprzeczny - Uchylanie się od obrony -Egzekucja - Hamuj funkcję odpowiedzi Technik: - T0843: Pobieranie programu - T0858: Zmiana trybu operacyjnego - T0814: Odmowa usługi |
Nie można się nauczyć |
| Operacja BACNet nie powiodła się | Serwer zwrócił kod błędu. Ten alert wskazuje błąd serwera lub nieprawidłowe żądanie klienta. | Śred. | Błędy poleceń | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Zły stan urządzenia MMS | Usługa MMS Virtual Manufacturing Device (VMD) wysłała komunikat o stanie. Komunikat wskazuje, że serwer może nie być poprawnie skonfigurowany, częściowo operacyjny lub w ogóle nie działa. | Śred. | Problemy operacyjne | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0814: Odmowa usługi |
Nie można się nauczyć |
| Zmiana konfiguracji urządzenia * | Wykryto zmianę konfiguracji na urządzeniu źródłowym. | Niski | Zmiany konfiguracji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Przepełnienie buforu zdarzeń ciągłych podczas zaświadczania * | Na urządzeniu źródłowym wykryto zdarzenie przepełnienia buforu. Zdarzenie może spowodować uszkodzenie danych, awarię programu lub wykonanie złośliwego kodu. Próg: 3 wystąpienia w ciągu 10 minut |
Śred. | Przepełnienie buforu | Taktyka: - Hamuj funkcję odpowiedzi - Kontrola procesu upośledzonego -Wytrwałość Technik: - T0814: Odmowa usługi - T0806: Atak siłowy we/wy - T0839: Oprogramowanie układowe modułu |
Nie można się nauczyć |
| Resetowanie kontrolera | Urządzenie źródłowe wysłało polecenie resetowania do kontrolera docelowego. Kontroler tymczasowo przestał działać i uruchamiał się ponownie automatycznie. | Niski | Ponowne uruchamianie/zatrzymywanie poleceń | Taktyka: - Uchylanie się od obrony -Egzekucja - Hamuj funkcję odpowiedzi Technik: - T0858: Zmiana trybu operacyjnego - T0814: Odmowa usługi |
Nie można się nauczyć |
| Zatrzymywanie kontrolera | Urządzenie źródłowe wysłało polecenie zatrzymania do kontrolera docelowego. Kontroler przestaje działać do momentu wysłania polecenia uruchamiania. | Niski | Ponowne uruchamianie/zatrzymywanie poleceń | Taktyka: - Ruch poprzeczny - Uchylanie się od obrony -Egzekucja - Hamuj funkcję odpowiedzi Technik: - T0843: Pobieranie programu - T0858: Zmiana trybu operacyjnego - T0814: Odmowa usługi |
Nie można się nauczyć |
| Nie można odebrać dynamicznego adresu IP urządzenia | Urządzenie źródłowe jest skonfigurowane do odbierania dynamicznego adresu IP z serwera DHCP, ale nie otrzymało adresu. Oznacza to błąd konfiguracji na urządzeniu lub błąd operacyjny na serwerze DHCP. Zaleca się powiadamianie administratora sieci o zdarzeniu | Śred. | Błędy poleceń | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Nie można się nauczyć |
| Urządzenie jest podejrzane o odłączenie (brak odpowiedzi) | Urządzenie źródłowe nie odpowiedziało na wysłane do niego polecenie. Być może został rozłączony po wysłaniu polecenia. Próg: 8 prób w ciągu 5 minut |
Śred. | Nie odpowiada | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0881: Zatrzymywanie usługi |
Nie można się nauczyć |
| Żądanie usługi EtherNet/IP nie powiodło się | Serwer zwrócił kod błędu. Wskazuje to błąd serwera lub nieprawidłowe żądanie klienta. | Śred. | Błędy poleceń | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Polecenie protokołu hermetyzacji EtherNet/IP nie powiodło się | Serwer zwrócił kod błędu. Wskazuje to błąd serwera lub nieprawidłowe żądanie klienta. | Śred. | Błędy poleceń | Taktyka: -Kolekcja Technik: - T0801: Monitorowanie stanu procesu |
Nie można się nauczyć |
| Przepełnienie buforu zdarzeń w outstation | Na urządzeniu źródłowym wykryto zdarzenie przepełnienia buforu. Zdarzenie może spowodować uszkodzenie danych, awarię programu lub wykonanie złośliwego kodu. | Śred. | Przepełnienie buforu | Taktyka: - Hamuj funkcję odpowiedzi - Kontrola procesu upośledzonego -Wytrwałość Technik: - T0814: Odmowa usługi - T0839: Oprogramowanie układowe modułu |
Nie można się nauczyć |
| Oczekiwana operacja tworzenia kopii zapasowej nie została wykonana | Oczekiwane działanie tworzenia kopii zapasowej/transferu plików nie wystąpiło między dwoma urządzeniami. Ten alert może wskazywać na błędy w procesie tworzenia kopii zapasowej/transferu plików. Próg: 100 sekund |
Śred. | Wykonywanie kopii zapasowej | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0809: Niszczenie danych |
Przyswajalny |
| Błąd polecenia GE SRTP | Serwer zwrócił kod błędu. Ten alert wskazuje błąd serwera lub nieprawidłowe żądanie klienta. | Śred. | Błędy poleceń | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Polecenie GE SRTP Stop PLC zostało wysłane | Urządzenie źródłowe wysłało polecenie zatrzymania do kontrolera docelowego. Kontroler przestaje działać do momentu wysłania polecenia uruchamiania. | Niski | Ponowne uruchamianie/zatrzymywanie poleceń | Taktyka: - Ruch poprzeczny - Uchylanie się od obrony -Egzekucja - Hamuj funkcję odpowiedzi Technik: - T0843: Pobieranie programu - T0858: Zmiana trybu operacyjnego - T0814: Odmowa usługi |
Nie można się nauczyć |
| Blok sterowania systemu GOOSE wymaga dalszej konfiguracji | Urządzenie źródłowe wysłało komunikat z systemem GOOSE wskazujący, że urządzenie wymaga uruchomienia. Oznacza to, że blok sterowania WOSE wymaga dalszej konfiguracji i komunikatów z systemem GOOSE są częściowo lub całkowicie nieoperacyjne. | Śred. | Zmiany konfiguracji | Taktyka: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi Technik: - T0803: Blokuj komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Nie można się nauczyć |
| Konfiguracja zestawu danych GOOSE została zmieniona * | Zestaw danych komunikatu (zidentyfikowany przez identyfikator protokołu) został zmieniony na urządzeniu źródłowym. Oznacza to, że urządzenie zgłasza inny zestaw danych dla tego komunikatu. | Niski | Zmiany konfiguracji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Kontroler Honeywell — nieoczekiwany stan | Kontroler Honeywell wysłał nieoczekiwany komunikat diagnostyczny wskazujący zmianę stanu. | Niski | Problemy operacyjne | Taktyka: -Evasion -Egzekucja Technik: - T0858: Zmiana trybu operacyjnego |
Nie można się nauczyć |
| Błąd klienta HTTP * | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Niski | Nietypowe zachowanie komunikacji HTTP | Taktyka: - Sterowanie i sterowanie Technik: - T0869: Standardowy protokół warstwy aplikacji |
Nie można się nauczyć |
| Niedozwolony adres IP | System wykrył ruch między urządzeniem źródłowym a adresem IP, który jest nieprawidłowym adresem. Może to wskazywać na nieprawidłową konfigurację lub próbę wygenerowania nielegalnego ruchu. | Niski | Nietypowe zachowanie komunikacji | Taktyka: -Odkrycie - Kontrola procesu upośledzonego Technik: - T0842: Wąchanie sieci - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Błąd uwierzytelniania typu master-slave | Proces uwierzytelniania między urządzeniem źródłowym DNP3 (podstawowym) i urządzeniem docelowym (outstation) nie powiodło się. | Niski | Uwierzytelnianie | Taktyka: - Ruch poprzeczny -Wytrwałość Technik: - T0859: Prawidłowe konta |
Nie można się nauczyć |
| Żądanie usługi MMS nie powiodło się | Serwer zwrócił kod błędu. Wskazuje to błąd serwera lub nieprawidłowe żądanie klienta. | Śred. | Błędy poleceń | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Brak wykrytego ruchu w interfejsie czujnika | Czujnik przestał wykrywać ruch sieciowy w interfejsie sieciowym. | Wys. | Ruch czujnika | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0881: Zatrzymywanie usługi |
Nie można się nauczyć |
| Serwer OPC UA zgłosił zdarzenie wymagające uwagi użytkownika | Serwer OPC UA wysłał powiadomienie o zdarzeniu do klienta. Tego typu zdarzenie wymaga uwagi użytkownika | Śred. | Problemy operacyjne | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0838: Modyfikowanie ustawień alarmu |
Nie można się nauczyć |
| Żądanie usługi OPC UA nie powiodło się | Serwer zwrócił kod błędu. Wskazuje to błąd serwera lub nieprawidłowe żądanie klienta. | Śred. | Błędy poleceń | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Po ponownym uruchomieniustation | Wykryto zimne ponowne uruchomienie na urządzeniu źródłowym. Oznacza to, że urządzenie zostało fizycznie wyłączone i ponownie włączone. | Niski | Ponowne uruchamianie/zatrzymywanie poleceń | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0816: Ponowne uruchamianie/zamykanie urządzenia |
Nie można się nauczyć |
| Często uruchamiane są ponowne uruchomienia stacji wychodzącej | Wykryto nadmierną liczbę zimnych ponownych uruchomień na urządzeniu źródłowym. Oznacza to, że urządzenie zostało fizycznie wyłączone i ponownie włączone zbyt wiele razy. Próg: 2 ponowne uruchomienia w ciągu 10 minut |
Niski | Ponowne uruchamianie/zatrzymywanie poleceń | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0814: Odmowa usługi - T0816: Ponowne uruchamianie/zamykanie urządzenia |
Nie można się nauczyć |
| Konfiguracja stacji wychodzącej została zmieniona | Wykryto zmianę konfiguracji na urządzeniu źródłowym. | Śred. | Zmiany konfiguracji | Taktyka: - Hamuj funkcję odpowiedzi -Wytrwałość Technik: - T0857: Oprogramowanie układowe systemu |
Nie można się nauczyć |
| Wykryto uszkodzoną konfigurację stacji wychodzącej | To urządzenie źródłowe DNP3 zgłosiło uszkodzoną konfigurację. | Śred. | Zmiany konfiguracji | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0809: Niszczenie danych |
Nie można się nauczyć |
| Polecenie Profinet DCP nie powiodło się | Serwer zwrócił kod błędu. Wskazuje to błąd serwera lub nieprawidłowe żądanie klienta. | Śred. | Błędy poleceń | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Profinet Device Factory Reset | Urządzenie źródłowe wysłało polecenie resetowania do ustawień fabrycznych do urządzenia docelowego Profinet. Polecenie reset usuwa konfiguracje urządzeń Profinet i zatrzymuje jego działanie. | Niski | Ponowne uruchamianie/zatrzymywanie poleceń | Taktyka: - Uchylanie się od obrony -Egzekucja - Hamuj funkcję odpowiedzi Technik: - T0858: Zmiana trybu operacyjnego - T0814: Odmowa usługi |
Nie można się nauczyć |
| Operacja RPC nie powiodła się * | Serwer zwrócił kod błędu. Ten alert wskazuje błąd serwera lub nieprawidłowe żądanie klienta. | Śred. | Błędy poleceń | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Zmieniono konfigurację zestawu danych z przykładowymi wartościami * | Zestaw danych komunikatu (zidentyfikowany przez identyfikator protokołu) został zmieniony na urządzeniu źródłowym. Oznacza to, że urządzenie zgłasza inny zestaw danych dla tego komunikatu. | Niski | Zmiany konfiguracji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Niepowodzenie nieodzyskiwalne urządzenia podrzędnego * | Wykryto nieodwracalny błąd warunku na urządzeniu źródłowym. Ten rodzaj błędu zwykle wskazuje awarię sprzętu lub niepowodzenie wykonania określonego polecenia. | Śred. | Błędy poleceń | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0814: Odmowa usługi |
Nie można się nauczyć |
| Podejrzenie problemów ze sprzętem w zaświadczaniach | Wykryto nieodwracalny błąd warunku na urządzeniu źródłowym. Ten rodzaj błędu zwykle wskazuje awarię sprzętu lub niepowodzenie wykonania określonego polecenia. | Śred. | Problemy operacyjne | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0814: Odmowa usługi - T0881: Zatrzymywanie usługi |
Nie można się nauczyć |
| Podejrzenie nieodpowiadanego urządzenia MODBUS | Urządzenie źródłowe nie odpowiedziało na wysłane do niego polecenie. Być może został rozłączony po wysłaniu polecenia. Próg: Minimalna 1 prawidłowa odpowiedź dla co najmniej 3 żądań w ciągu 5 minut |
Niski | Nie odpowiada | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0881: Zatrzymywanie usługi |
Nie można się nauczyć |
| Ruch wykryty w interfejsie czujnika | Czujnik wznowił wykrywanie ruchu sieciowego w interfejsie sieciowym. | Niski | Ruch czujnika | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Nie można się nauczyć |
| Tryb operacyjny PLC został zmieniony | Tryb operacyjny na tym sterowniku PLC uległ zmianie. Nowy tryb może wskazywać, że sterownik PLC nie jest bezpieczny. Pozostawienie sterownika PLC w niezabezpieczonym trybie operacyjnym może umożliwić przeciwnikom wykonywanie na nim złośliwych działań, takich jak pobieranie programu. W przypadku naruszenia zabezpieczeń sterowników PLC urządzenia i procesy, które współdziałają z nim, mogą mieć wpływ. Może to mieć wpływ na ogólne zabezpieczenia i bezpieczeństwo systemu. | Niski | Zmiany konfiguracji | Taktyka: -Egzekucja -Evasion Technik: - T0858: Zmiana trybu operacyjnego |
Nie można się nauczyć |
Następne kroki
Aby uzyskać więcej informacji, zobacz:
- Wyświetlanie alertów w portalu usługi Defender for IoT i zarządzanie nimi
- Wyświetlanie alertów w czujniku
- Przyspieszanie przepływów pracy alertów
- Przekazywanie informacji o alercie
- Praca z alertami w lokalnej konsoli zarządzania
- Dokumentacja interfejsu API zarządzania alertami dla lokalnych konsol zarządzania
- Dokumentacja interfejsu API zarządzania alertami dla czujników monitorowania OT
- Przekazywanie informacji o alercie