Dokumentacja alertów usługi Microsoft Defender dla IoT
Ten artykuł zawiera informacje o alertach generowanych przez czujniki sieciowe usługi Microsoft Defender dla IoT, w tym listę wszystkich typów alertów i opisów. W dokumentacji przedstawiono również, które alerty mogą być klasyfikowane jako możliwe do nauki lub nie, aby uzyskać więcej informacji na temat stanu z możliwością nauki, zobacz Stan alertów i opcje klasyfikacji. Możesz użyć tego odwołania do mapowania alertów na podręczniki, zdefiniować reguły przesyłania dalej w czujniku sieciowym technologii operacyjnej (OT) lub innego działania niestandardowego.
Alerty OT są domyślnie wyłączone
Kilka alertów jest domyślnie wyłączonych, co wskazuje gwiazdki (*) w poniższych tabelach. Administratorzy czujnika OT mogą włączać lub wyłączać alerty ze strony Pomocy technicznej w określonym czujniku sieci OT.
Jeśli wyłączysz alerty, do których odwołujesz się w innych miejscach, takich jak reguły przesyłania alertów, pamiętaj o zaktualizowaniu tych odwołań zgodnie z potrzebami.
Ważność alertu
Alerty usługi Defender dla IoT używają następujących poziomów ważności:
| Azure Portal | Czujnik OT | opis |
|---|---|---|
| Wysoka | Krytyczne | Wskazuje złośliwy atak, który powinien być natychmiast obsługiwany. |
| Medium | Istotne | Wskazuje zagrożenie bezpieczeństwa, które jest ważne dla rozwiązania problemu. |
| Niska | Pomocnicza, ostrzeżenie | Wskazuje pewne odchylenie od zachowania punktu odniesienia, które może zawierać zagrożenie bezpieczeństwa lub nie zawiera żadnych zagrożeń bezpieczeństwa. |
Ważność alertów na tej stronie zawiera listę ważności, jak pokazano w witrynie Azure Portal.
Obsługiwane typy alertów
| Typ alertu | opis |
|---|---|
| Alerty naruszenia zasad | Wyzwalany, gdy aparat naruszenia zasad wykryje odchylenie od wcześniej poznanego ruchu. Na przykład: . — Wykryto nowe urządzenie. — Na urządzeniu zostanie wykryta nowa konfiguracja. - Urządzenie niezdefiniowane jako urządzenie programistyczne przeprowadza zmianę programową. — Zmieniono wersję oprogramowania układowego. |
| Alerty dotyczące naruszeń protokołów | Wyzwalane, gdy aparat naruszenia protokołu wykrywa struktury pakietów lub wartości pól, które nie są zgodne ze specyfikacją protokołu. |
| Alerty operacyjne | Wyzwalane, gdy aparat operacyjny wykryje zdarzenia operacyjne sieci lub urządzenie działa nieprawidłowo. Na przykład urządzenie sieciowe zostało zatrzymane za pośrednictwem polecenia Stop PLC lub interfejsu na czujniku zatrzymano monitorowanie ruchu. |
| Alerty dotyczące złośliwego oprogramowania | Wyzwalane po wykryciu złośliwego działania sieci przez aparat złośliwego oprogramowania. Na przykład aparat wykrywa znany atak, taki jak Conficker. |
| Alerty dotyczące anomalii | Wyzwalane, gdy aparat anomalii wykryje odchylenie. Na przykład urządzenie wykonuje skanowanie sieci, ale nie jest zdefiniowane jako urządzenie skanujące. |
Zasady wykrywania alertów w usłudze Defender dla IoT kierują różne aparaty alertów w celu wyzwalania alertów na podstawie wpływu na działalność biznesową i kontekstu sieci oraz zmniejszenia niskiego poziomu alertów związanych z IT. Aby uzyskać więcej informacji, zobacz Ukierunkowane alerty w środowiskach OT/IT.
Obsługiwane kategorie alertów
Każdy alert ma jedną z następujących kategorii:
- Nietypowe zachowanie komunikacji
- Nietypowe zachowanie komunikacji HTTP
- Uwierzytelnianie
- Wykonywanie kopii zapasowej
- Anomalie przepustowości
- Przepełnienie buforu
- Błędy poleceń
- Zmiany konfiguracji
- Alerty niestandardowe
- Odnajdowanie
- Zmiana oprogramowania układowego
- Niedozwolone polecenia
- Dostęp do Internetu
- Błędy operacji
- Problemy operacyjne
- Programowanie
- Dostęp zdalny
- Polecenia ponownego uruchamiania/zatrzymywania
- Skanuj
- Ruch czujnika
- Podejrzenie złośliwego działania
- Podejrzenie złośliwego oprogramowania
- Zachowanie nieautoryzowanej komunikacji
- Nie odpowiada
Alerty aparatu zasad
Alerty aparatu zasad opisują wykryte odchylenia od poznanego zachowania punktu odniesienia.
| Nazwa | opis | Waga błędu | Kategoria | MITRE ATT&CK Taktyka i techniki |
Przyswajalny |
|---|---|---|---|---|---|
| Zmieniono oprogramowanie Beckhoff | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Śred. | Zmiana oprogramowania układowego | Taktyka: - Hamuj funkcję odpowiedzi -Wytrwałość Technik: - T0857: Oprogramowanie układowe systemu |
Przyswajalny |
| Logowanie bazy danych nie powiodło się | Wykryto nieudaną próbę logowania z urządzenia źródłowego na serwer docelowy. Może to być wynikiem błędu ludzkiego, ale może również wskazywać na złośliwą próbę naruszenia zabezpieczeń serwera lub danych na nim. Próg: 2 błędy logowania w ciągu 5 minut |
Śred. | Uwierzytelnianie | Taktyka: - Ruch poprzeczny -Kolekcja Technik: - T0812: Poświadczenia domyślne - T0811: Dane z repozytoriów informacji |
Nie można się nauczyć |
| Zmieniono wersję oprogramowania układowego Emerson ROC | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Śred. | Zmiana oprogramowania układowego | Taktyka: - Hamuj funkcję odpowiedzi -Wytrwałość Technik: - T0857: Oprogramowanie układowe systemu |
Przyswajalny |
| Adres zewnętrzny w sieci komunikującej się z Internetem | Urządzenie źródłowe zdefiniowane w ramach sieci komunikuje się z adresami internetowymi. Źródło nie jest autoryzowane do komunikowania się z adresami internetowymi. | Wys. | Dostęp do Internetu | Taktyka: - Dostęp początkowy Technik: - T0883: Urządzenie dostępne z Internetu |
Przyswajalny |
| Urządzenie pola zostało nieoczekiwanie odnalezione | Nowe urządzenie źródłowe zostało wykryte w sieci, ale nie jest autoryzowane. | Śred. | Odnajdowanie | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Nie można się nauczyć |
| Wykryto zmianę oprogramowania układowego | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Śred. | Zmiana oprogramowania układowego | Taktyka: - Hamuj funkcję odpowiedzi -Wytrwałość Technik: - T0857: Oprogramowanie układowe systemu |
Nie można się nauczyć |
| Zmieniono wersję oprogramowania układowego | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Śred. | Zmiana oprogramowania układowego | Taktyka: - Hamuj funkcję odpowiedzi -Wytrwałość Technik: - T0857: Oprogramowanie układowe systemu |
Przyswajalny |
| Operacja we/wy nieautoryzowanego we/wy foxboro | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Przyswajalny |
| Logowanie przy użyciu protokołu FTP nie powiodło się | Wykryto nieudaną próbę logowania z urządzenia źródłowego na serwer docelowy. Ten alert może być wynikiem błędu ludzkiego, ale może również wskazywać na złośliwą próbę naruszenia zabezpieczeń serwera lub danych na nim. | Śred. | Uwierzytelnianie | Taktyka: - Ruch poprzeczny - Sterowanie i sterowanie Technik: - T0812: Poświadczenia domyślne - T0869: Standardowy protokół warstwy aplikacji |
Nie można się nauczyć |
| Kod funkcji zgłosił nieautoryzowany wyjątek * | Urządzenie źródłowe (pomocnicze) zwróciło wyjątek do urządzenia docelowego (podstawowego). | Śred. | Błędy poleceń | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0835: Manipulowanie obrazem we/wy |
Przyswajalny |
| Ustawienia typu komunikatów w usłudze GOOSE | Ustawienia komunikatu (zidentyfikowane przez identyfikator protokołu) zostały zmienione na urządzeniu źródłowym. | Niski | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Przyswajalny |
| Zmieniono wersję oprogramowania układowego honeywell | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Śred. | Zmiana oprogramowania układowego | Taktyka: - Hamuj funkcję odpowiedzi -Wytrwałość Technik: - T0857: Oprogramowanie układowe systemu |
Przyswajalny |
| Niedozwolona komunikacja HTTP * | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Nietypowe zachowanie komunikacji HTTP | Taktyka: -Odkrycie Technik: - T0846: Odnajdywanie systemu zdalnego |
Przyswajalny |
| Wykryto dostęp do Internetu | Urządzenie źródłowe zdefiniowane w ramach sieci komunikuje się z adresami internetowymi. Źródło nie jest autoryzowane do komunikowania się z adresami internetowymi. | Śred. | Dostęp do Internetu | Taktyka: - Dostęp początkowy Technik: - T0883: Urządzenie dostępne z Internetu |
Przyswajalny |
| Zmieniono wersję oprogramowania układowego Mitsubishi | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Śred. | Zmiana oprogramowania układowego | Taktyka: - Hamuj funkcję odpowiedzi -Wytrwałość Technik: - T0857: Oprogramowanie układowe systemu |
Przyswajalny |
| Naruszenie zakresu adresów Modbus | Urządzenie podstawowe zażądało dostępu do nowego adresu pamięci pomocniczej. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny |
| Zmieniono wersję oprogramowania układowego Modbus | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Śred. | Zmiana oprogramowania układowego | Taktyka: - Hamuj funkcję odpowiedzi -Wytrwałość Technik: - T0857: Oprogramowanie układowe systemu |
Przyswajalny |
| Wykryto nowe działanie — klasa | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: -Odkrycie Technik: - T0888: Zdalne odnajdywanie Informacje o systemie |
Przyswajalny |
| Wykryto nowe działanie — usługa klasy | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0836: Modyfikowanie parametru |
Przyswajalny |
| Wykryto nowe działanie — polecenie PCCC | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0836: Modyfikowanie parametru |
Przyswajalny |
| Wykryto nowe działanie — symbol | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Przyswajalny |
| Wykryto nowe działanie — Połączenie we/wy sieci EtherNet/IP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: -Odkrycie - Hamuj funkcję odpowiedzi Technik: - T0846: Odnajdywanie systemu zdalnego - T0835: Manipulowanie obrazem we/wy |
Przyswajalny |
| Wykryto nowe działanie — Polecenie protokołu EtherNet/IP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0836: Modyfikowanie parametru |
Przyswajalny |
| Wykryto nowe działanie — kod komunikatu GSM | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - CommandAndControl Technik: - T0869: Standardowy protokół warstwy aplikacji |
Przyswajalny |
| Wykryto nowe działanie — kody poleceń LonTalk | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: -Kolekcja - Kontrola procesu upośledzonego Technik: - T0861 — Identyfikacja punktów i tagów - T0855: Brak autoryzacji komunikat polecenia |
Przyswajalny |
| Nowe odnajdywanie portów | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Niski | Odnajdowanie | Taktyka: - Ruch poprzeczny Technik: - T0867: Transfer narzędzi bocznych |
Przyswajalny |
| Wykryto nowe działanie — zmienna sieciowa LonTalk | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Przyswajalny |
| Wykryto nowe działanie — żądanie danych Ovation | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: -Kolekcja -Odkrycie Technik: - T0801: Monitorowanie stanu procesu - T0888: Zdalne odnajdywanie Informacje o systemie |
Przyswajalny |
| Wykryto nowe działanie — polecenie odczytu/zapisu (grupa indeksów AMS) | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zmiany konfiguracji | Taktyka: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Przyswajalny |
| Wykryto nowe działanie — polecenie odczytu/zapisu (przesunięcie indeksu AMS) | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zmiany konfiguracji | Taktyka: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Przyswajalny |
| Wykryto nowe działanie — nieautoryzowany typ komunikatu deltaV | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny |
| Wykryto nowe działanie — nieautoryzowana operacja deltaV ROC | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny |
| Wykryto nowe działanie — nieautoryzowany typ komunikatu RPC | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Przyswajalny |
| Wykryto nowe działanie — za pomocą polecenia protokołu AMS | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny |
| Wykryto nowe działanie — używanie polecenia Siemens SICAM | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Przyswajalny |
| Wykryto nowe działanie — używanie polecenia Suitelink Protocol | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Przyswajalny |
| Wykryto nowe działanie — używanie sesji protokołu Suitelink | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Przyswajalny |
| Wykryto nowe działanie — używanie polecenia Yokogawa VNetIP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny |
| Wykryto nowy zasób | Nowe urządzenie źródłowe zostało wykryte w sieci, ale nie jest autoryzowane. Ten alert dotyczy urządzeń odnalezionych w podsieciach OT. Nowe urządzenia odnalezione w podsieciach IT nie wyzwalają alertu. |
Śred. | Odnajdowanie | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny |
| Nowa konfiguracja urządzenia LLDP | Nowe urządzenie źródłowe zostało wykryte w sieci, ale nie jest autoryzowane. | Śred. | Zmiany konfiguracji | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny |
| Omron FINS Brak autoryzacji polecenia | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Przyswajalny |
| Zmieniono oprogramowanie układowe S7 Plus PLC | Oprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. | Śred. | Zmiana oprogramowania układowego | Taktyka: - Hamuj funkcję odpowiedzi -Wytrwałość Technik: - T0857: Oprogramowanie układowe systemu |
Przyswajalny |
| Ustawienia typu komunikatu z przykładowymi wartościami | Ustawienia komunikatu (zidentyfikowane przez identyfikator protokołu) zostały zmienione na urządzeniu źródłowym. | Niski | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Podejrzenie nielegalnego skanowania integralności * | Wykryto skanowanie na urządzeniu źródłowym DNP3 (przestacja). To skanowanie nie było autoryzowane jako poznany ruch w sieci. | Śred. | Skanuj | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny |
| Toshiba Computer Link Brak autoryzacji polecenia | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Niski | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny |
| Nieautoryzowana operacja pliku ABB Totalflow | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Nie można się nauczyć |
| Nieautoryzowana operacja rejestracji totalflow abb | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Nie można się nauczyć |
| Nieautoryzowany dostęp do bloku danych Firmy Siemens S7 | Urządzenie źródłowe próbowało uzyskać dostęp do zasobu na innym urządzeniu. Próba dostępu do tego zasobu między tymi dwoma urządzeniami nie jest autoryzowana jako poznany ruch w sieci. | Niski | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego - Dostęp początkowy Technik: - T0855: Brak autoryzacji komunikat polecenia - T0811: Dane z repozytoriów informacji |
Przyswajalny |
| Nieautoryzowany dostęp do obiektu Siemens S7 Plus | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja - Hamuj funkcję odpowiedzi Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera - T0809: Niszczenie danych |
Przyswajalny |
| Nieautoryzowany dostęp do tagu Wonderware | Urządzenie źródłowe próbowało uzyskać dostęp do zasobu na innym urządzeniu. Próba dostępu do tego zasobu między tymi dwoma urządzeniami nie jest autoryzowana jako poznany ruch w sieci. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: -Kolekcja - Kontrola procesu upośledzonego Technik: - T0861: Identyfikacja punktów i tagów - T0855: Brak autoryzacji komunikat polecenia |
Przyswajalny |
| Nieautoryzowany dostęp do obiektu BACNet | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny |
| Nieautoryzowana trasa BACNet | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny |
| Nieautoryzowane logowanie do bazy danych * | Wykryto próbę logowania między klientem źródłowym a serwerem docelowym. Komunikacja między tymi urządzeniami nie jest autoryzowana jako poznany ruch w sieci. | Śred. | Uwierzytelnianie | Taktyka: - Ruch poprzeczny -Wytrwałość -Kolekcja Technik: - T0859: Prawidłowe konta - T0811: Dane z repozytoriów informacji |
Przyswajalny |
| Operacja nieautoryzowanej bazy danych | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Nietypowe zachowanie komunikacji | Taktyka: - Kontrola procesu upośledzonego - Dostęp początkowy Technik: - T0855: Brak autoryzacji komunikat polecenia - T0811: Dane z repozytoriów informacji |
Przyswajalny |
| Nieautoryzowana operacja ROC Emersona | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny |
| Nieautoryzowany dostęp do plików GE SRTP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: -Kolekcja - LateralMovement -Wytrwałość Technik: - T0801: Monitorowanie stanu procesu - T0859: Prawidłowe konta |
Przyswajalny |
| Nieautoryzowane polecenie protokołu GE SRTP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny |
| Nieautoryzowana operacja pamięci systemowej GE SRTP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: -Odkrycie - Kontrola procesu upośledzonego Technik: - T0846: Odnajdywanie systemu zdalnego - T0855: Brak autoryzacji komunikat polecenia |
Przyswajalny |
| Nieautoryzowane działanie HTTP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Nietypowe zachowanie komunikacji HTTP | Taktyka: - Dostęp początkowy - Sterowanie i sterowanie Technik: - T0822: Zewnętrzne usługi zdalne - T0869: Standardowy protokół warstwy aplikacji |
Przyswajalny |
| Nieautoryzowana akcja PROTOKOŁU HTTP SOAP * | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Nietypowe zachowanie komunikacji HTTP | Taktyka: - Sterowanie i sterowanie -Egzekucja Technik: - T0869: Standardowy protokół warstwy aplikacji - T0871: Wykonywanie za pośrednictwem interfejsu API |
Przyswajalny |
| Nieautoryzowany agent użytkownika HTTP * | Wykryto nieautoryzowaną aplikację na urządzeniu źródłowym. Aplikacja nie jest autoryzowana jako wyuczonej aplikacji w sieci. | Śred. | Nietypowe zachowanie komunikacji HTTP | Taktyka: - Sterowanie i sterowanie Technik: - T0869: Standardowy protokół warstwy aplikacji |
Przyswajalny |
| Wykryto nieautoryzowaną łączność z Internetem | Urządzenie źródłowe zdefiniowane w ramach sieci komunikuje się z adresami internetowymi. Źródło nie jest autoryzowane do komunikowania się z adresami internetowymi. | Wys. | Dostęp do Internetu | Taktyka: - Dostęp początkowy Technik: - T0883: Urządzenie dostępne z Internetu |
Przyswajalny |
| Nieautoryzowane polecenie Mitsubishi MELSEC | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny |
| Nieautoryzowany dostęp do programu MMS | Urządzenie źródłowe próbowało uzyskać dostęp do zasobu na innym urządzeniu. Próba dostępu do tego zasobu między tymi dwoma urządzeniami nie jest autoryzowana jako poznany ruch w sieci. | Śred. | Programowanie | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny |
| Nieautoryzowana usługa MMS | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny |
| Nieautoryzowane połączenie multiemisji/emisji | Wykryto połączenie multiemisji/emisji między urządzeniem źródłowym a innymi urządzeniami. Komunikacja multiemisji/emisji nie jest autoryzowana. | Wys. | Nietypowe zachowanie komunikacji | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny |
| Kwerenda o nieautoryzowaną nazwę | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Nietypowe zachowanie komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Nieautoryzowane działanie OPC UA | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Przyswajalny |
| Nieautoryzowane żądanie/odpowiedź OPC UA | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Przyswajalny |
| Wykryto nieautoryzowaną operację przez regułę zdefiniowaną przez użytkownika | Wykryto ruch między dwoma urządzeniami. To działanie jest nieautoryzowane na podstawie niestandardowej reguły alertu zdefiniowanej przez użytkownika. | Śred. | Alerty niestandardowe | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Nie można się nauczyć |
| Odczyt konfiguracji nieautoryzowanego sterownika PLC | Urządzenie źródłowe nie jest zdefiniowane jako urządzenie programistyczne, ale wykonało operację odczytu/zapisu na kontrolerze docelowym. Zmiany programistyczne powinny być wykonywane tylko przez urządzenia programistyczne. Na tym urządzeniu mogła zostać zainstalowana aplikacja programistycka. | Niski | Zmiany konfiguracji | Taktyka: -Kolekcja Technik: - T0801: Monitorowanie stanu procesu |
Przyswajalny |
| Zapis konfiguracji nieautoryzowanego sterownika PLC | Urządzenie źródłowe wysłało polecenie odczytu/zapisu programu kontrolera docelowego. To działanie nie było wcześniej widoczne. | Śred. | Zmiany konfiguracji | Taktyka: - Kontrola procesu upośledzonego -Wytrwałość -Wpływ Technik: - T0839: Oprogramowanie układowe modułu - T0831: Manipulowanie kontrolką - T0889: Modyfikowanie programu |
Przyswajalny |
| Przekazywanie nieautoryzowanego programu PLC | Urządzenie źródłowe wysłało polecenie odczytu/zapisu programu kontrolera docelowego. To działanie nie było wcześniej widoczne. | Śred. | Programowanie | Taktyka: - Kontrola procesu upośledzonego -Wytrwałość -Kolekcja Technik: - T0839: Oprogramowanie układowe modułu - T0845: Przekazywanie programu |
Przyswajalny |
| Nieautoryzowane programowanie PLC | Urządzenie źródłowe nie jest zdefiniowane jako urządzenie programistyczne, ale wykonało operację odczytu/zapisu na kontrolerze docelowym. Zmiany programistyczne powinny być wykonywane tylko przez urządzenia programistyczne. Na tym urządzeniu mogła zostać zainstalowana aplikacja programistycka. | Wys. | Programowanie | Taktyka: - Kontrola procesu upośledzonego -Wytrwałość - Ruch poprzeczny Technik: - T0839: Oprogramowanie układowe modułu - T0889: Modyfikowanie programu - T0843: Pobieranie programu |
Przyswajalny |
| Nieautoryzowany typ ramki profinet | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Przyswajalny |
| Nieautoryzowane polecenie S-Bus SAIA | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Przyswajalny |
| Nieautoryzowana funkcja sterowania Firmy Siemens S7 | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi Technik: - T0855: Brak autoryzacji komunikat polecenia - T0809: Niszczenie danych |
Przyswajalny |
| Nieautoryzowane wykonanie funkcji zdefiniowanej przez użytkownika firmy Siemens S7 | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0836: Modyfikowanie parametru - T0863: Wykonywanie użytkownika |
Przyswajalny |
| Nieautoryzowany dostęp firmy Siemens S7 Plus | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Hamuj funkcję odpowiedzi -Wytrwałość -Egzekucja Technik: - T0803 — blokuj komunikat polecenia - T0889: Modyfikowanie programu - T0821: Modyfikowanie zadań kontrolera |
Przyswajalny |
| Nieautoryzowana operacja Siemens S7 Plus | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego -Egzekucja Technik: - T0855: Brak autoryzacji komunikat polecenia - T0863: Wykonywanie użytkownika |
Przyswajalny |
| Nieautoryzowane logowanie za pomocą protokołu SMB | Wykryto próbę logowania między klientem źródłowym a serwerem docelowym. Komunikacja między tymi urządzeniami nie jest autoryzowana jako poznany ruch w sieci. | Śred. | Uwierzytelnianie | Taktyka: - Dostęp początkowy - Ruch poprzeczny -Wytrwałość Technik: - T0886: Usługi zdalne - T0859: Prawidłowe konta |
Przyswajalny |
| Nieautoryzowana operacja SNMP | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Nietypowe zachowanie komunikacji | Taktyka: -Odkrycie - Sterowanie i sterowanie Technik: - T0842: Wąchanie sieci - T0885: Powszechnie używany port |
Przyswajalny |
| Nieautoryzowany dostęp za pomocą protokołu SSH | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Dostęp zdalny | Taktyka: - InitialAccess - Ruch poprzeczny - Sterowanie i sterowanie Technik: - T0886: Usługi zdalne - T0869: Standardowy protokół warstwy aplikacji |
Przyswajalny |
| Nieautoryzowany proces systemu Windows | Wykryto nieautoryzowaną aplikację na urządzeniu źródłowym. Aplikacja nie jest autoryzowana jako wyuczonej aplikacji w sieci. | Śred. | Nietypowe zachowanie komunikacji | Taktyka: -Egzekucja - Eskalacja uprawnień - Sterowanie i sterowanie Technik: - T0841: Hakowanie - T0885: Powszechnie używany port |
Przyswajalny |
| Nieautoryzowana usługa systemu Windows | Wykryto nieautoryzowaną aplikację na urządzeniu źródłowym. Aplikacja nie jest autoryzowana jako wyuczonej aplikacji w sieci. | Śred. | Nietypowe zachowanie komunikacji | Taktyka: - Dostęp początkowy - Ruch poprzeczny Technik: - T0866: Wykorzystywanie usług zdalnych |
Przyswajalny |
| Wykryto nieautoryzowaną operację przez regułę zdefiniowaną przez użytkownika | Wykryto nowe parametry ruchu. Ta kombinacja parametrów narusza regułę zdefiniowaną przez użytkownika | Śred. | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Nie można się nauczyć | |
| Bezsprzedane Modbus Schneider Electric Extension | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Przyswajalny |
| Nieuprawdzone użycie typów asDU | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Przyswajalny |
| Nieuprawdzone użycie kodu funkcji DNP3 | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Przyswajalny |
| Nieuprawdzone użycie wskazania wewnętrznego (IIN) * | Urządzenie źródłowe DNP3 (przestacja) zgłosiło wewnętrzne wskazanie (IIN), które nie ma autoryzacji jako poznany ruch w sieci. | Śred. | Niedozwolone polecenia | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny |
| Niewykonane użycie kodu funkcji Modbus | Wykryto nowe parametry ruchu. Ta kombinacja parametrów nie jest autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. | Śred. | Zachowanie nieautoryzowanej komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Przyswajalny |
Alerty dotyczące aparatu anomalii
Uwaga
Ten artykuł zawiera odwołania do terminu slave (element podrzędny), który nie jest już używany przez firmę Microsoft. Po usunięciu tego terminu z oprogramowania usuniemy go również z artykułu.
Alerty aparatu anomalii opisują wykryte anomalie w działaniu sieci.
| Nazwa | opis | Waga błędu | Kategoria | MITRE ATT&CK Taktyka i techniki |
Przyswajalny |
|---|---|---|---|---|---|
| Nietypowy wzorzec wyjątku w obiekcie podrzędnym * | Wykryto nadmierną liczbę błędów na urządzeniu źródłowym. Ten alert może być wynikiem problemu operacyjnego. Próg: 20 wyjątków w ciągu 1 godziny |
Niski | Nietypowe zachowanie komunikacji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0806: Atak siłowy we/wy |
Nie można się nauczyć |
| Nieprawidłowa długość nagłówka HTTP * | Urządzenie źródłowe wysłało nietypowy komunikat. Ten alert może wskazywać na próbę ataku na urządzenie docelowe. | Wys. | Nietypowe zachowanie komunikacji HTTP | Taktyka: - Dostęp początkowy - Ruch poprzeczny - Sterowanie i sterowanie Technik: - T0866: Wykorzystywanie usług zdalnych - T0869: Standardowy protokół warstwy aplikacji |
Przyswajalny |
| Nieprawidłowa liczba parametrów w nagłówku HTTP * | Urządzenie źródłowe wysłało nietypowy komunikat. Ten alert może wskazywać na próbę ataku na urządzenie docelowe. | Wys. | Nietypowe zachowanie komunikacji HTTP | Taktyka: - Dostęp początkowy - Ruch poprzeczny - Sterowanie i sterowanie Technik: - T0866: Wykorzystywanie usług zdalnych - T0869: Standardowy protokół warstwy aplikacji |
Przyswajalny |
| Nietypowe zachowanie okresowe w kanale komunikacyjnym | Wykryto zmianę częstotliwości komunikacji między urządzeniami źródłowymi i docelowymi. | Niski | Nietypowe zachowanie komunikacji | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny |
| Nieprawidłowe kończenie aplikacji * | Wykryto nadmierną liczbę poleceń zatrzymania na urządzeniu źródłowym. Ten alert może być wynikiem problemu operacyjnego lub próby manipulowania urządzeniem. Próg: 20 poleceń zatrzymania w ciągu 3 godzin |
Śred. | Nietypowe zachowanie komunikacji | Taktyka: -Wytrwałość -Wpływ Technik: - T0889: Modyfikowanie programu - T0831: Manipulowanie kontrolką |
Przyswajalny |
| Nietypowa przepustowość ruchu * | Wykryto nietypową przepustowość w kanale. Przepustowość wydaje się być niższa/wyższa niż wcześniej wykryta. Aby uzyskać szczegółowe informacje, należy pracować z widżetem Total Bandwidth (Łączna przepustowość). | Niski | Anomalie przepustowości | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny |
| Nietypowa przepustowość ruchu między urządzeniami * | Wykryto nietypową przepustowość w kanale. Przepustowość wydaje się być niższa/wyższa niż wcześniej wykryta. Aby uzyskać szczegółowe informacje, należy pracować z widżetem Total Bandwidth (Łączna przepustowość). | Niski | Anomalie przepustowości | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Nie można się nauczyć |
| Wykryto skanowanie adresów | Wykryto urządzenie źródłowe skanujące urządzenia sieciowe. To urządzenie nie jest autoryzowane jako urządzenie do skanowania sieci. Próg: 50 połączeń z tą samą podsiecią klasy B w ciągu 2 minut |
Wys. | Skanuj | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny |
| Wykryto skanowanie adresów ARP * | Wykryto urządzenie źródłowe skanujące urządzenia sieciowe przy użyciu protokołu ARP (Address Resolution Protocol). Ten adres urządzenia nie jest autoryzowany jako prawidłowy adres skanowania ARP. Próg: 40 skanowań w ciągu 6 minut |
Wys. | Skanuj | Taktyka: -Odkrycie -Kolekcja Technik: - T0842: Wąchanie sieci - T0830: Człowiek w środku |
Przyswajalny |
| Fałszowanie protokołu ARP * | Wykryto nietypową ilość pakietów w sieci. Ten alert może wskazywać na atak, na przykład podszywanie się za pomocą protokołu ARP lub atak powodziowy ICMP. Próg: 60 pakietów w ciągu 1 minuty |
Niski | Nietypowe zachowanie komunikacji | Taktyka: -Kolekcja Technik: - T0830: Człowiek w środku |
Nie można się nauczyć |
| Nadmierne próby logowania | Na urządzeniu źródłowym wystąpiły nadmierne próby logowania na serwerze docelowym. Ten alert może wskazywać na atak siłowy. Serwer może zostać naruszony przez złośliwego aktora. Próg: 20 prób logowania w ciągu 1 minuty |
Wys. | Uwierzytelnianie | Taktyka: - LateralMovement - Kontrola procesu upośledzonego Technik: - T0812: Poświadczenia domyślne - T0806: Atak siłowy we/wy |
Nie można się nauczyć |
| Nadmierna liczba sesji | Na urządzeniu źródłowym wystąpiły nadmierne próby logowania na serwerze docelowym. Może to wskazywać na atak siłowy. Serwer może zostać naruszony przez złośliwego aktora. Próg: 50 sesji w ciągu 1 minuty |
Wys. | Nietypowe zachowanie komunikacji | Taktyka: - Ruch poprzeczny - Kontrola procesu upośledzonego Technik: - T0812: Poświadczenia domyślne - T0806: Atak siłowy we/wy |
Nie można się nauczyć |
| Nadmierna szybkość ponownego uruchamiania przestacji * | Wykryto nadmierną liczbę poleceń ponownego uruchamiania na urządzeniu źródłowym. Te alerty mogą być wynikiem problemu operacyjnego lub próby manipulowania urządzeniem. Próg: 10 ponownych uruchomień w ciągu 1 godziny |
Śred. | Ponowne uruchamianie/zatrzymywanie poleceń | Taktyka: - Hamuj funkcję odpowiedzi - Kontrola procesu upośledzonego Technik: - T0814: Odmowa usługi - T0806: Atak siłowy we/wy |
Nie można się nauczyć |
| Nadmierne próby logowania przy użyciu protokołu SMB | Na urządzeniu źródłowym wystąpiły nadmierne próby logowania na serwerze docelowym. Może to wskazywać na atak siłowy. Serwer może zostać naruszony przez złośliwego aktora. Próg: 10 prób logowania w ciągu 10 minut |
Wys. | Uwierzytelnianie | Taktyka: -Wytrwałość -Egzekucja - LateralMovement Technik: - T0812: Poświadczenia domyślne - T0853: Skrypty - T0859: Prawidłowe konta |
Nie można się nauczyć |
| Powodzie ICMP * | Wykryto nietypową ilość pakietów w sieci. Ten alert może wskazywać na atak, na przykład podszywanie się za pomocą protokołu ARP lub atak powodziowy ICMP. Próg: 60 pakietów w ciągu 1 minuty |
Niski | Nietypowe zachowanie komunikacji | Taktyka: -Odkrycie -Kolekcja Technik: - T0842: Wąchanie sieci - T0830: Człowiek w środku |
Nie można się nauczyć |
| Niedozwolona zawartość nagłówka HTTP * | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Wys. | Nietypowe zachowanie komunikacji HTTP | Taktyka: - Dostęp początkowy - LateralMovement Technik: - T0866: Wykorzystywanie usług zdalnych |
Nie można się nauczyć |
| Nieaktywny kanał komunikacyjny * | Kanał komunikacyjny między dwoma urządzeniami był nieaktywny w okresie, w którym zwykle obserwowane jest działanie. Może to oznaczać, że program generujący ten ruch został zmieniony lub program może być niedostępny. Zaleca się przejrzenie konfiguracji zainstalowanego programu i sprawdzenie, czy jest prawidłowo skonfigurowany. Próg: 1 minuta |
Niski | Nie odpowiada | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0881: Zatrzymywanie usługi |
Nie do lernable |
| Wykryto skanowanie adresu o długim czasie trwania * | Wykryto urządzenie źródłowe skanujące urządzenia sieciowe. To urządzenie nie jest autoryzowane jako urządzenie do skanowania sieci. Próg: 50 połączeń z tą samą podsiecią klasy B w ciągu 10 minut |
Wys. | Skanuj | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny |
| Wykryto próbę odgadnięcia hasła | Na urządzeniu źródłowym wystąpiły nadmierne próby logowania na serwerze docelowym. Może to wskazywać na atak siłowy. Serwer może zostać naruszony przez złośliwego aktora. Próg: 100 prób w ciągu 1 minuty |
Wys. | Uwierzytelnianie | Taktyka: - Ruch poprzeczny Technik: - T0812: Poświadczenia domyślne - T0806: Atak siłowy we/wy |
Nie można się nauczyć |
| Wykryto skanowanie sterownika PLC | Wykryto urządzenie źródłowe skanujące urządzenia sieciowe. To urządzenie nie jest autoryzowane jako urządzenie do skanowania sieci. Próg: 10 skanowań w ciągu 2 minut |
Wys. | Skanuj | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny |
| Wykryto skanowanie portów | Wykryto urządzenie źródłowe skanujące urządzenia sieciowe. To urządzenie nie jest autoryzowane jako urządzenie do skanowania sieci. Próg: 25 skanowań w ciągu 2 minut |
Wys. | Skanuj | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Przyswajalny |
| Nieoczekiwana długość komunikatu | Urządzenie źródłowe wysłało nietypowy komunikat. Ten alert może wskazywać na próbę ataku na urządzenie docelowe. Próg: długość tekstu — 32768 |
Wys. | Nietypowe zachowanie komunikacji | Taktyka: - InitialAccess - LateralMovement Technik: - T0869: Wykorzystywanie usług zdalnych |
Nie można się nauczyć |
| Nieoczekiwany ruch dla portu standardowego * | Ruch został wykryty na urządzeniu przy użyciu portu zarezerwowanego dla innego protokołu. | Śred. | Nietypowe zachowanie komunikacji | Taktyka: - Sterowanie i sterowanie -Odkrycie Technik: - T0869: Standardowy protokół warstwy aplikacji - T0842: Wąchanie sieci |
Nie można się nauczyć |
Alerty aparatu naruszenia protokołu
Alerty aparatu protokołu opisują wykryte odchylenia w strukturze pakietów lub wartości pól w porównaniu ze specyfikacjami protokołu.
| Nazwa | opis | Waga błędu | Kategoria | MITRE ATT&CK Taktyka i techniki |
Przyswajalny |
|---|---|---|---|---|---|
| Nadmierne źle sformułowane pakiety w jednej sesji * | Nieprawidłowa liczba źle sformułowanych pakietów wysyłanych z urządzenia źródłowego do urządzenia docelowego. Ten alert może wskazywać na błędną komunikację lub próbę manipulowania urządzeniem docelowym. Próg: 2 źle sformułowane pakiety w ciągu 10 minut |
Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0806: Atak siłowy we/wy |
Nie można się nauczyć |
| Aktualizacja oprogramowania układowego | Urządzenie źródłowe wysłało polecenie w celu zaktualizowania oprogramowania układowego na urządzeniu docelowym. Sprawdź, czy najnowsze uaktualnienia programowania, konfiguracji i oprogramowania układowego wprowadzone na urządzeniu docelowym są prawidłowe. | Niski | Zmiana oprogramowania układowego | Taktyka: - Hamuj funkcję odpowiedzi -Wytrwałość Technik: - T0857: Oprogramowanie układowe systemu |
Przyswajalny |
| Kod funkcji nieobsługiwany przez funkcję outstation | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Komunikat o niedozwolonej sieci BACNet | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Próba nielegalnego połączenia na porcie 0 | Urządzenie źródłowe próbowało nawiązać połączenie z urządzeniem docelowym na porcie o numerze zero (0). W przypadku protokołu TCP port 0 jest zarezerwowany i nie można go używać. W przypadku protokołu UDP port jest opcjonalny, a wartość 0 oznacza brak portu. Zwykle nie ma usługi w systemie, który nasłuchuje na porcie 0. To zdarzenie może wskazywać na próbę ataku na urządzenie docelowe lub wskazuje, że aplikacja została nieprawidłowo zaprogramowana. | Niski | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Niedozwolona operacja DNP3 | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Dostęp początkowy - Ruch poprzeczny Technik: - T0866: Wykorzystywanie usług zdalnych |
Nie można się nauczyć |
| Niedozwolona operacja MODBUS (wyjątek zgłoszony przez wzorzec) | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Dostęp początkowy - Ruch poprzeczny Technik: - T0866: Wykorzystywanie usług zdalnych |
Nie można się nauczyć |
| Nielegalna operacja MODBUS (kod funkcji zero) * | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Dostęp początkowy - Ruch poprzeczny Technik: - T0866: Wykorzystywanie usług zdalnych |
Nie można się nauczyć |
| Niedozwolona wersja protokołu * | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Dostęp początkowy - LateralMovement - Kontrola procesu upośledzonego Technik: - T0820: Usługi zdalne - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Niepoprawny parametr wysłany do zastągowania | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Inicjowanie przestarzałego kodu funkcji (inicjowanie danych) | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Niski | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Inicjowanie przestarzałego kodu funkcji (Zapisz konfigurację) | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Niski | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Wzorzec zażądał potwierdzenia warstwy aplikacji | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Niski | Niedozwolone polecenia | Taktyka: - Sterowanie i sterowanie Technik: - T0869: Standardowy protokół warstwy aplikacji |
Nie można się nauczyć |
| Wyjątek Modbus | Urządzenie źródłowe (pomocnicze) zwróciło wyjątek do urządzenia docelowego (podstawowego). | Śred. | Niedozwolone polecenia | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0814: Odmowa usługi |
Nie można się nauczyć |
| Urządzenie podrzędne otrzymało niedozwolony typ ASDU | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Urządzenie podrzędne otrzymało nielegalną przyczynę transmisji | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Urządzenie podrzędne otrzymało niedozwolony wspólny adres | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Parametr niedozwolonego adresu danych odebrany przez urządzenie podrzędne * | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Parametr niewolniczy urządzenie otrzymało niedozwoloną wartość danych * | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Urządzenie podrzędne otrzymało niedozwolony kod funkcji * | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Urządzenie podrzędne otrzymało niedozwolony adres obiektu informacji | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Nieznany obiekt wysłany do zastągowania | Urządzenie docelowe odebrało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Użycie kodu funkcji zarezerwowanej | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Śred. | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Użycie nieprawidłowego formatowania według zaświadczania * | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Niski | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Użycie flag stanu zarezerwowanego (IIN) | Urządzenie źródłowe DNP3 (przestacja) używało zarezerwowanego wskaźnika wewnętrznego 2.6. Zaleca się sprawdzenie konfiguracji urządzenia. | Niski | Niedozwolone polecenia | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
Alerty aparatu złośliwego oprogramowania
Alerty aparatu złośliwego oprogramowania opisują wykryte złośliwe działania sieciowe.
| Nazwa | opis | Waga błędu | Kategoria | MITRE ATT&CK Taktyka i techniki |
Przyswajalny |
|---|---|---|---|---|---|
| Próba nawiązania połączenia ze znanym złośliwym adresem IP | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. Wyzwalane przez czujniki sieciowe OT i Enterprise IoT. |
Wys. | Podejrzenie złośliwego działania | Taktyka: - Dostęp początkowy - Sterowanie i sterowanie Technik: - T0883: Urządzenie dostępne z Internetu - T0884: Serwer proxy połączeń |
Nie można się nauczyć |
| Nieprawidłowy komunikat SMB (DoublePulsar Backdoor Implant) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: - Dostęp początkowy - LateralMovement Technik: - T0866: Wykorzystywanie usług zdalnych |
Nie można się nauczyć |
| Żądanie złośliwej nazwy domeny | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. Wyzwalane przez czujniki sieciowe OT i Enterprise IoT. |
Wys. | Podejrzenie złośliwego działania | Taktyka: - Dostęp początkowy - Sterowanie i sterowanie Technik: - T0883: Urządzenie dostępne z Internetu - T0884: Serwer proxy połączeń |
Przyswajalny |
| Złośliwa ścieżka adresu URL | Żądanie zostało skierowane do znanej złośliwej ścieżki adresu URL. Żądania dotyczące tej ścieżki adresu URL mogą wskazywać, że źródło wysyłające żądanie zostało naruszone. | Wys. | Podejrzenie złośliwego działania | Taktyka: - Dostęp początkowy - Sterowanie i sterowanie Technik: - T0883: Urządzenie dostępne z Internetu - T0884: Serwer proxy połączeń |
Nie można się nauczyć |
| Wykryto plik testowy złośliwego oprogramowania — powodzenie EICAR AV | Plik testowy EICAR AV został wykryty w ruchu między dwoma urządzeniami (za pośrednictwem dowolnego transportu — TCP lub UDP). Plik nie jest złośliwym oprogramowaniem. Służy do potwierdzenia, że oprogramowanie antywirusowe jest poprawnie zainstalowane. Pokazuj, co się stanie po znalezieniu wirusa, i sprawdź wewnętrzne procedury i reakcje po znalezieniu wirusa. Oprogramowanie antywirusowe powinno wykrywać EICAR tak, jakby było to prawdziwy wirus. | Wys. | Podejrzenie złośliwego działania | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Nie można się nauczyć |
| Podejrzenie złośliwego oprogramowania Conficker | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Śred. | Podejrzenie złośliwego oprogramowania | Taktyka: - Dostęp początkowy -Wpływ Technik: - T0826: Utrata dostępności - T0828: Utrata produktywności i przychodów - T0847: Replikacja za pośrednictwem nośnika wymiennego |
Nie można się nauczyć |
| Podejrzenie ataku typu "odmowa usługi" | Urządzenie źródłowe próbowało zainicjować nadmierną liczbę nowych połączeń z urządzeniem docelowym. Może to wskazywać na atak typu "odmowa usługi" (DOS) na urządzenie docelowe i może przerwać działanie urządzenia, wpłynąć na wydajność i dostępność usługi lub spowodować nieodwracalne błędy. Próg: 3000 prób w ciągu 1 minuty |
Wys. | Podejrzenie złośliwego działania | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0814: Odmowa usługi |
Przyswajalny |
| Podejrzenie złośliwego działania | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem, który wyzwolił znane "Wskaźniki naruszenia" (IOCs). Metadane alertu powinny być przeglądane przez zespół ds. zabezpieczeń. | Wys. | Podejrzenie złośliwego działania | Taktyka: - Ruch poprzeczny Technik: - T0867: Transfer narzędzi bocznych |
Nie można się nauczyć |
| Podejrzenie złośliwego działania (BlackWald) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: - Sterowanie i sterowanie Technik: - T0869: Standardowy protokół warstwy aplikacji |
Nie można się nauczyć |
| Podejrzenie złośliwego działania (DarkComet) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: -Wpływ Technik: - T0882: kradzież informacji operacyjnych |
Nie można się nauczyć |
| Podejrzenie złośliwego działania (Duqu) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: -Wpływ Technik: - T0882: kradzież informacji operacyjnych |
Nie można się nauczyć |
| Podejrzenie złośliwej aktywności (płomień) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: -Kolekcja -Wpływ Technik: - T0882: kradzież informacji operacyjnych - T0811: Dane z repozytoriów informacji |
Nie można się nauczyć |
| Podejrzenie złośliwego działania (Havex) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: -Kolekcja -Odkrycie - Hamuj funkcję odpowiedzi Technik: - T0861: Identyfikacja punktów i tagów - T0846: Odnajdywanie systemu zdalnego - T0814: Odmowa usługi |
Nie można się nauczyć |
| Podejrzenie złośliwego działania (Karagany) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: -Wpływ Technik: - T0882: kradzież informacji operacyjnych |
Nie można się nauczyć |
| Podejrzenie złośliwego działania (LightsOut) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: -Evasion Technik: - T0849: Maskquerading |
Nie można się nauczyć |
| Podejrzenie złośliwego działania (zapytania nazw) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. Próg: 25 zapytań dotyczących nazw w ciągu 1 minuty |
Wys. | Podejrzenie złośliwego działania | Taktyka: - Sterowanie i sterowanie Technik: - T0884: Serwer proxy połączeń |
Nie można się nauczyć |
| Podejrzenie złośliwej aktywności (Trucizna Bluszcz) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: - Dostęp początkowy - Ruch poprzeczny Technik: - T0866: Wykorzystywanie usług zdalnych |
Nie można się nauczyć |
| Podejrzenie złośliwego działania (Regin) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: - Dostęp początkowy - Ruch poprzeczny -Wpływ Technik: - T0866: Wykorzystywanie usług zdalnych - T0882: kradzież informacji operacyjnych |
Nie można się nauczyć |
| Podejrzenie złośliwego działania (Stuxnet) | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: - Dostęp początkowy - Ruch poprzeczny -Wpływ Technik: - T0818: Naruszenie zabezpieczeń stacji roboczej inżynieryjnej - T0866: Wykorzystywanie usług zdalnych - T0831: Manipulowanie kontrolką |
Nie można się nauczyć |
| Podejrzenie złośliwej aktywności (WannaCry) * | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Śred. | Podejrzenie złośliwego oprogramowania | Taktyka: - Dostęp początkowy - Ruch poprzeczny Technik: - T0866: Wykorzystywanie usług zdalnych - T0867: Transfer narzędzi bocznych |
Nie można się nauczyć |
| Podejrzenie złośliwego oprogramowania NotPetya — wykryto nielegalne parametry protokołu SMB | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: - Dostęp początkowy - Ruch poprzeczny Technik: - T0866: Wykorzystywanie usług zdalnych |
Nie można się nauczyć |
| Podejrzenie złośliwego oprogramowania NotPetya — wykryto nielegalną transakcję SMB | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego oprogramowania | Taktyka: - Ruch poprzeczny Technik: - T0867: Transfer narzędzi bocznych |
Nie można się nauczyć |
| Podejrzenie zdalnego wykonywania kodu za pomocą programu PsExec | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego działania | Taktyka: - Ruch poprzeczny - Dostęp początkowy Technik: - T0866: Wykorzystywanie usług zdalnych |
Nie można się nauczyć |
| Podejrzenie zdalnego zarządzania usługami systemu Windows * | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego działania | Taktyka: - Dostęp początkowy Technik: - T0822: NetworkExternal Remote Services |
Nie można się nauczyć |
| Wykryto podejrzany plik wykonywalny w punkcie końcowym | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie. | Wys. | Podejrzenie złośliwego działania | Taktyka: -Evasion - Hamuj funkcję odpowiedzi Technik: - T0851: Rootkit |
Przyswajalny |
| Wykryto podejrzany ruch * | Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem, który wyzwolił znane "Wskaźniki naruszenia" (IOCs). Metadane alertu powinny być przeglądane przez zespół ds. zabezpieczeń | Wys. | Podejrzenie złośliwego działania | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Nie można się nauczyć |
| Działanie tworzenia kopii zapasowej z podpisami antywirusowymi | Ruch wykryty między urządzeniem źródłowym a docelowym serwerem kopii zapasowej wyzwolił ten alert. Ruch obejmuje kopię zapasową oprogramowania antywirusowego, które może zawierać podpisy złośliwego oprogramowania. Jest to najprawdopodobniej uzasadnione działanie tworzenia kopii zapasowej. | Niski | Wykonywanie kopii zapasowej | Taktyka: -Wpływ Technik: - T0882: kradzież informacji operacyjnych |
Nie można się nauczyć |
Alerty aparatu operacyjnego
Alerty aparatu operacyjnego opisują wykryte zdarzenia operacyjne lub jednostki, które działają nieprawidłowo.
| Nazwa | opis | Waga błędu | Kategoria | MITRE ATT&CK Taktyka i techniki |
Przyswajalny |
|---|---|---|---|---|---|
| Wysłano polecenie S7 Stop PLC | Urządzenie źródłowe wysłało polecenie zatrzymania do kontrolera docelowego. Kontroler przestaje działać do momentu wysłania polecenia uruchamiania. | Niski | Ponowne uruchamianie/zatrzymywanie poleceń | Taktyka: - Ruch poprzeczny - Uchylanie się od obrony -Egzekucja - Hamuj funkcję odpowiedzi Technik: - T0843: Pobieranie programu - T0858: Zmiana trybu operacyjnego - T0814: Odmowa usługi |
Nie można się nauczyć |
| Operacja BACNet nie powiodła się | Serwer zwrócił kod błędu. Ten alert wskazuje błąd serwera lub nieprawidłowe żądanie klienta. | Śred. | Błędy poleceń | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Zły stan urządzenia MMS | Usługa MMS Virtual Manufacturing Device (VMD) wysłała komunikat o stanie. Komunikat wskazuje, że serwer może nie być poprawnie skonfigurowany, częściowo operacyjny lub w ogóle nie działa. | Śred. | Problemy operacyjne | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0814: Odmowa usługi |
Nie można się nauczyć |
| Zmiana konfiguracji urządzenia * | Wykryto zmianę konfiguracji na urządzeniu źródłowym. | Niski | Zmiany konfiguracji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Przepełnienie buforu zdarzeń ciągłych podczas zaświadczania * | Na urządzeniu źródłowym wykryto zdarzenie przepełnienia buforu. Zdarzenie może spowodować uszkodzenie danych, awarię programu lub wykonanie złośliwego kodu. Próg: 3 wystąpienia w ciągu 10 minut |
Śred. | Przepełnienie buforu | Taktyka: - Hamuj funkcję odpowiedzi - Kontrola procesu upośledzonego -Wytrwałość Technik: - T0814: Odmowa usługi - T0806: Atak siłowy we/wy - T0839: Oprogramowanie układowe modułu |
Nie można się nauczyć |
| Resetowanie kontrolera | Urządzenie źródłowe wysłało polecenie resetowania do kontrolera docelowego. Kontroler tymczasowo przestał działać i uruchamiał się ponownie automatycznie. | Niski | Ponowne uruchamianie/zatrzymywanie poleceń | Taktyka: - Uchylanie się od obrony -Egzekucja - Hamuj funkcję odpowiedzi Technik: - T0858: Zmiana trybu operacyjnego - T0814: Odmowa usługi |
Nie można się nauczyć |
| Zatrzymywanie kontrolera | Urządzenie źródłowe wysłało polecenie zatrzymania do kontrolera docelowego. Kontroler przestaje działać do momentu wysłania polecenia uruchamiania. | Niski | Ponowne uruchamianie/zatrzymywanie poleceń | Taktyka: - Ruch poprzeczny - Uchylanie się od obrony -Egzekucja - Hamuj funkcję odpowiedzi Technik: - T0843: Pobieranie programu - T0858: Zmiana trybu operacyjnego - T0814: Odmowa usługi |
Nie można się nauczyć |
| Nie można odebrać dynamicznego adresu IP urządzenia | Urządzenie źródłowe jest skonfigurowane do odbierania dynamicznego adresu IP z serwera DHCP, ale nie otrzymało adresu. Oznacza to błąd konfiguracji na urządzeniu lub błąd operacyjny na serwerze DHCP. Zaleca się powiadamianie administratora sieci o zdarzeniu | Śred. | Błędy poleceń | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Nie można się nauczyć |
| Urządzenie jest podejrzane o odłączenie (brak odpowiedzi) | Urządzenie źródłowe nie odpowiedziało na wysłane do niego polecenie. Być może został rozłączony po wysłaniu polecenia. Próg: 8 prób w ciągu 5 minut |
Śred. | Nie odpowiada | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0881: Zatrzymywanie usługi |
Nie można się nauczyć |
| Żądanie usługi EtherNet/IP nie powiodło się | Serwer zwrócił kod błędu. Wskazuje to błąd serwera lub nieprawidłowe żądanie klienta. | Śred. | Błędy poleceń | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Polecenie protokołu hermetyzacji EtherNet/IP nie powiodło się | Serwer zwrócił kod błędu. Wskazuje to błąd serwera lub nieprawidłowe żądanie klienta. | Śred. | Błędy poleceń | Taktyka: -Kolekcja Technik: - T0801: Monitorowanie stanu procesu |
Nie można się nauczyć |
| Przepełnienie buforu zdarzeń w outstation | Na urządzeniu źródłowym wykryto zdarzenie przepełnienia buforu. Zdarzenie może spowodować uszkodzenie danych, awarię programu lub wykonanie złośliwego kodu. | Śred. | Przepełnienie buforu | Taktyka: - Hamuj funkcję odpowiedzi - Kontrola procesu upośledzonego -Wytrwałość Technik: - T0814: Odmowa usługi - T0839: Oprogramowanie układowe modułu |
Nie można się nauczyć |
| Oczekiwana operacja tworzenia kopii zapasowej nie została wykonana | Oczekiwane działanie tworzenia kopii zapasowej/transferu plików nie wystąpiło między dwoma urządzeniami. Ten alert może wskazywać na błędy w procesie tworzenia kopii zapasowej/transferu plików. Próg: 100 sekund |
Śred. | Wykonywanie kopii zapasowej | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0809: Niszczenie danych |
Przyswajalny |
| Błąd polecenia GE SRTP | Serwer zwrócił kod błędu. Ten alert wskazuje błąd serwera lub nieprawidłowe żądanie klienta. | Śred. | Błędy poleceń | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Polecenie GE SRTP Stop PLC zostało wysłane | Urządzenie źródłowe wysłało polecenie zatrzymania do kontrolera docelowego. Kontroler przestaje działać do momentu wysłania polecenia uruchamiania. | Niski | Ponowne uruchamianie/zatrzymywanie poleceń | Taktyka: - Ruch poprzeczny - Uchylanie się od obrony -Egzekucja - Hamuj funkcję odpowiedzi Technik: - T0843: Pobieranie programu - T0858: Zmiana trybu operacyjnego - T0814: Odmowa usługi |
Nie można się nauczyć |
| Blok sterowania systemu GOOSE wymaga dalszej konfiguracji | Urządzenie źródłowe wysłało komunikat z systemem GOOSE wskazujący, że urządzenie wymaga uruchomienia. Oznacza to, że blok sterowania WOSE wymaga dalszej konfiguracji i komunikatów z systemem GOOSE są częściowo lub całkowicie nieoperacyjne. | Śred. | Zmiany konfiguracji | Taktyka: - Kontrola procesu upośledzonego - Hamuj funkcję odpowiedzi Technik: - T0803: Blokuj komunikat polecenia - T0821: Modyfikowanie zadań kontrolera |
Nie można się nauczyć |
| Konfiguracja zestawu danych GOOSE została zmieniona * | Zestaw danych komunikatu (zidentyfikowany przez identyfikator protokołu) został zmieniony na urządzeniu źródłowym. Oznacza to, że urządzenie zgłasza inny zestaw danych dla tego komunikatu. | Niski | Zmiany konfiguracji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Kontroler Honeywell — nieoczekiwany stan | Kontroler Honeywell wysłał nieoczekiwany komunikat diagnostyczny wskazujący zmianę stanu. | Niski | Problemy operacyjne | Taktyka: -Evasion -Egzekucja Technik: - T0858: Zmiana trybu operacyjnego |
Nie można się nauczyć |
| Błąd klienta HTTP * | Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. | Niski | Nietypowe zachowanie komunikacji HTTP | Taktyka: - Sterowanie i sterowanie Technik: - T0869: Standardowy protokół warstwy aplikacji |
Nie można się nauczyć |
| Niedozwolony adres IP | System wykrył ruch między urządzeniem źródłowym a adresem IP, który jest nieprawidłowym adresem. Może to wskazywać na nieprawidłową konfigurację lub próbę wygenerowania nielegalnego ruchu. | Niski | Nietypowe zachowanie komunikacji | Taktyka: -Odkrycie - Kontrola procesu upośledzonego Technik: - T0842: Wąchanie sieci - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Błąd uwierzytelniania typu master-slave | Proces uwierzytelniania między urządzeniem źródłowym DNP3 (podstawowym) i urządzeniem docelowym (outstation) nie powiodło się. | Niski | Uwierzytelnianie | Taktyka: - Ruch poprzeczny -Wytrwałość Technik: - T0859: Prawidłowe konta |
Nie można się nauczyć |
| Żądanie usługi MMS nie powiodło się | Serwer zwrócił kod błędu. Wskazuje to błąd serwera lub nieprawidłowe żądanie klienta. | Śred. | Błędy poleceń | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Brak wykrytego ruchu w interfejsie czujnika | Czujnik przestał wykrywać ruch sieciowy w interfejsie sieciowym. | Wys. | Ruch czujnika | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0881: Zatrzymywanie usługi |
Nie można się nauczyć |
| Serwer OPC UA zgłosił zdarzenie wymagające uwagi użytkownika | Serwer OPC UA wysłał powiadomienie o zdarzeniu do klienta. Tego typu zdarzenie wymaga uwagi użytkownika | Śred. | Problemy operacyjne | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0838: Modyfikowanie ustawień alarmu |
Nie można się nauczyć |
| Żądanie usługi OPC UA nie powiodło się | Serwer zwrócił kod błędu. Wskazuje to błąd serwera lub nieprawidłowe żądanie klienta. | Śred. | Błędy poleceń | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Po ponownym uruchomieniustation | Wykryto zimne ponowne uruchomienie na urządzeniu źródłowym. Oznacza to, że urządzenie zostało fizycznie wyłączone i ponownie włączone. | Niski | Ponowne uruchamianie/zatrzymywanie poleceń | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0816: Ponowne uruchamianie/zamykanie urządzenia |
Nie można się nauczyć |
| Często uruchamiane są ponowne uruchomienia stacji wychodzącej | Wykryto nadmierną liczbę zimnych ponownych uruchomień na urządzeniu źródłowym. Oznacza to, że urządzenie zostało fizycznie wyłączone i ponownie włączone zbyt wiele razy. Próg: 2 ponowne uruchomienia w ciągu 10 minut |
Niski | Ponowne uruchamianie/zatrzymywanie poleceń | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0814: Odmowa usługi - T0816: Ponowne uruchamianie/zamykanie urządzenia |
Nie można się nauczyć |
| Konfiguracja stacji wychodzącej została zmieniona | Wykryto zmianę konfiguracji na urządzeniu źródłowym. | Śred. | Zmiany konfiguracji | Taktyka: - Hamuj funkcję odpowiedzi -Wytrwałość Technik: - T0857: Oprogramowanie układowe systemu |
Nie można się nauczyć |
| Wykryto uszkodzoną konfigurację stacji wychodzącej | To urządzenie źródłowe DNP3 zgłosiło uszkodzoną konfigurację. | Śred. | Zmiany konfiguracji | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0809: Niszczenie danych |
Nie można się nauczyć |
| Polecenie Profinet DCP nie powiodło się | Serwer zwrócił kod błędu. Wskazuje to błąd serwera lub nieprawidłowe żądanie klienta. | Śred. | Błędy poleceń | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Profinet Device Factory Reset | Urządzenie źródłowe wysłało polecenie resetowania do ustawień fabrycznych do urządzenia docelowego Profinet. Polecenie reset usuwa konfiguracje urządzeń Profinet i zatrzymuje jego działanie. | Niski | Ponowne uruchamianie/zatrzymywanie poleceń | Taktyka: - Uchylanie się od obrony -Egzekucja - Hamuj funkcję odpowiedzi Technik: - T0858: Zmiana trybu operacyjnego - T0814: Odmowa usługi |
Nie można się nauczyć |
| Operacja RPC nie powiodła się * | Serwer zwrócił kod błędu. Ten alert wskazuje błąd serwera lub nieprawidłowe żądanie klienta. | Śred. | Błędy poleceń | Taktyka: - Kontrola procesu upośledzonego Technik: - T0855: Brak autoryzacji komunikat polecenia |
Nie można się nauczyć |
| Zmieniono konfigurację zestawu danych z przykładowymi wartościami * | Zestaw danych komunikatu (zidentyfikowany przez identyfikator protokołu) został zmieniony na urządzeniu źródłowym. Oznacza to, że urządzenie zgłasza inny zestaw danych dla tego komunikatu. | Niski | Zmiany konfiguracji | Taktyka: - Kontrola procesu upośledzonego Technik: - T0836: Modyfikowanie parametru |
Nie można się nauczyć |
| Niepowodzenie nieodzyskiwalne urządzenia podrzędnego * | Wykryto nieodwracalny błąd warunku na urządzeniu źródłowym. Ten rodzaj błędu zwykle wskazuje awarię sprzętu lub niepowodzenie wykonania określonego polecenia. | Śred. | Błędy poleceń | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0814: Odmowa usługi |
Nie można się nauczyć |
| Podejrzenie problemów ze sprzętem w zaświadczaniach | Wykryto nieodwracalny błąd warunku na urządzeniu źródłowym. Ten rodzaj błędu zwykle wskazuje awarię sprzętu lub niepowodzenie wykonania określonego polecenia. | Śred. | Problemy operacyjne | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0814: Odmowa usługi - T0881: Zatrzymywanie usługi |
Nie można się nauczyć |
| Podejrzenie nieodpowiadanego urządzenia MODBUS | Urządzenie źródłowe nie odpowiedziało na wysłane do niego polecenie. Być może został rozłączony po wysłaniu polecenia. Próg: Minimalna 1 prawidłowa odpowiedź dla co najmniej 3 żądań w ciągu 5 minut |
Niski | Nie odpowiada | Taktyka: - Hamuj funkcję odpowiedzi Technik: - T0881: Zatrzymywanie usługi |
Nie można się nauczyć |
| Ruch wykryty w interfejsie czujnika | Czujnik wznowił wykrywanie ruchu sieciowego w interfejsie sieciowym. | Niski | Ruch czujnika | Taktyka: -Odkrycie Technik: - T0842: Wąchanie sieci |
Nie można się nauczyć |
| Tryb operacyjny PLC został zmieniony | Tryb operacyjny na tym sterowniku PLC uległ zmianie. Nowy tryb może wskazywać, że sterownik PLC nie jest bezpieczny. Pozostawienie sterownika PLC w niezabezpieczonym trybie operacyjnym może umożliwić przeciwnikom wykonywanie na nim złośliwych działań, takich jak pobieranie programu. W przypadku naruszenia zabezpieczeń sterowników PLC urządzenia i procesy, które współdziałają z nim, mogą mieć wpływ. Może to mieć wpływ na ogólne zabezpieczenia i bezpieczeństwo systemu. | Niski | Zmiany konfiguracji | Taktyka: -Egzekucja -Evasion Technik: - T0858: Zmiana trybu operacyjnego |
Nie można się nauczyć |
Następne kroki
Aby uzyskać więcej informacji, zobacz:
- Wyświetlanie alertów w portalu usługi Defender for IoT i zarządzanie nimi
- Wyświetlanie alertów w czujniku
- Przyspieszanie przepływów pracy alertów
- Przekazywanie informacji o alercie
- Praca z alertami w lokalnej konsoli zarządzania
- Dokumentacja interfejsu API zarządzania alertami dla lokalnych konsol zarządzania
- Dokumentacja interfejsu API zarządzania alertami dla czujników monitorowania OT
- Przekazywanie informacji o alercie