Referência de Alerta do Microsoft Defender para IoT
Este artigo fornece uma referência dos alertas gerados pelo Microsoft Defender para sensores de rede IoT, incluindo uma lista de todos os tipos de alerta e descrições. A referência também mostra quais alertas podem ser triados como aprendíveis ou não, para obter mais informações sobre o status aprendível, consulte Status de alerta e opções de triagem. Você pode usar essa referência para mapear alertas em guias estratégicos, definir regras de encaminhamento em um sensor de rede de Tecnologia Operacional (OT) ou outra atividade personalizada.
Alertas de OT desativados por padrão
Vários alertas estão desativados por padrão, conforme indicado pelos asteriscos (*) nas tabelas abaixo. Os usuários administradores do sensor de OT podem habilitar ou desabilitar os alertas na página Suporte em um sensor de rede de OT específico.
Caso desative os alertas referenciados em outros locais, como regras de encaminhamento de alertas, atualize essas referências conforme o necessário.
Severidades de alerta
Os alertas do Defender para IoT usam os seguintes níveis de gravidade:
| Portal do Azure | Sensor OT | Descrição |
|---|---|---|
| Alta | Crítico | Indica um ataque mal- intencionado com o qual você deve lidar imediatamente. |
| Média | Principal | Indica uma ameaça de segurança que é importante resolver. |
| Baixa | Insignificante, Aviso | Indica algum desvio do comportamento da base de referência que pode conter uma ameaça à segurança ou não contém nenhuma ameaça à segurança. |
As gravidades de alerta nesta página listam a gravidade, conforme mostrado no portal do Azure.
Tipos de alertas com suporte
| Tipo de alerta | Descrição |
|---|---|
| Alertas de violação de política | Disparado quando o mecanismo de Violação de Política detecta um desvio do tráfego aprendido anteriormente. Por exemplo: - Um novo dispositivo é detectado. - Uma nova configuração em um dispositivo é detectada. - Um dispositivo não definido como dispositivo de programação, realiza uma alteração de programação. - Uma versão de firmware é alterada. |
| Alertas de violação de protocolo | Disparado quando o mecanismo de Violação de Protocolo detecta estruturas de pacotes ou valores de campos que não estão em conformidade com a especificação do protocolo. |
| Alertas operacionais | Disparado quando o mecanismo Operacional detecta incidentes operacionais de rede ou um problema no funcionamento do dispositivo. Por exemplo: um dispositivo de rede foi parado usando um comando Stop PLC, ou uma interface em um sensor interrompeu o tráfego de monitoramento. |
| Alertas de malware | Disparados quando o mecanismo de malware detecta uma atividade de rede mal-intencionada. Por exemplo, o mecanismo detecta um ataque conhecido como Conficker. |
| Alertas de anomalias | Disparados quando o mecanismo de Anomalia detecta um desvio. Por exemplo: um dispositivo executa a verificação de rede, mas não está definido como um dispositivo de verificação. |
A política de detecção de alertas do Defender para IoT orienta os diferentes mecanismos de alerta para disparar alertas com base no impacto nos negócios e no contexto da rede e reduzir os alertas relacionados à TI de baixo valor. Para obter mais informações, confira Alertas com foco em ambientes de OT/TI.
Categorias de alertas compatíveis
Cada alerta tem uma das seguintes categorias:
- Comportamento de comunicação anormal
- Comportamento anormal de comunicação HTTP
- Autenticação
- Backup
- Anomalias de largura de banda
- Estouro de buffer
- Falhas de comando
- Alterações de configuração
- Alertas Personalizados
- Descoberta
- Alteração de firmware
- Comandos ilegais
- Acesso à Internet
- Falhas de operação
- Problemas operacionais
- Programação
- Acesso remoto
- Comandos Reiniciar/Parar
- Verificar
- Tráfego do sensor
- Suspeita de atividade mal-intencionada
- Suspeita de malware
- Comportamento de comunicação não autorizado
- Sem resposta
Alertas do mecanismo de política
Os alertas do mecanismo de política descrevem desvios detectados do comportamento da linha de base aprendido.
| Título | Descrição | Severidade | Categoria | MITRE ATT&CK Táticas e técnicas |
Aprendida |
|---|---|---|---|---|---|
| Software Beckhoff alterado | O firmware foi atualizado em um dispositivo de origem. Isso pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Média | Alteração de firmware | Táticas: - Função de Inibição de Resposta -Persistência Técnicas: – T0857: Firmware do sistema |
Aprendida |
| Falha no logon do banco de dados | Foi detectada uma tentativa de entrada com falha por meio de um dispositivo de origem em um servidor de destino. Isso pode ser o resultado de um erro humano, mas também pode indicar uma tentativa mal-intencionada de comprometer o servidor ou os dados contidos nele. Limite: Duas falhas de entrada em cinco minutos |
Médio | Autenticação | Táticas: - Movimento lateral -Coleção Técnicas: - T0812: Credenciais padrão – T0811: Dados dos repositórios de informações |
Não pode ser aprendido |
| Versão do firmware Emerson ROC alterada | O firmware foi atualizado em um dispositivo de origem. Isso pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Média | Alteração de firmware | Táticas: - Função de Inibição de Resposta -Persistência Técnicas: – T0857: Firmware do sistema |
Aprendida |
| Comunicação do endereço externo na rede com a Internet | Um dispositivo de origem definido como parte da sua rede está se comunicando com os endereços na Internet. A origem não está autorizada a se comunicar com endereços da Internet. | Alto | Acesso à Internet | Táticas: - Acesso inicial Técnicas: – T0883: Dispositivo acessível pela Internet |
Aprendida |
| Dispositivo de campo descoberto inesperadamente | Um novo dispositivo de origem foi detectado na rede, mas não está autorizado. | Média | Descoberta | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Não pode ser aprendido |
| Alteração de firmware detectada | O firmware foi atualizado em um dispositivo de origem. Isso pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Média | Alteração de firmware | Táticas: - Função de Inibição de Resposta -Persistência Técnicas: – T0857: Firmware do sistema |
Não pode ser aprendido |
| Versão do firmware alterada | O firmware foi atualizado em um dispositivo de origem. Isso pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Média | Alteração de firmware | Táticas: - Função de Inibição de Resposta -Persistência Técnicas: – T0857: Firmware do sistema |
Aprendida |
| Operação não autorizada de Foxboro I/A | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Aprendida |
| Falha no logon do FTP | Foi detectada uma tentativa de entrada com falha por meio de um dispositivo de origem em um servidor de destino. Este alerta pode ser o resultado de um erro humano, mas também pode indicar uma tentativa mal-intencionada de comprometer o servidor ou os dados contidos nele. | Médio | Autenticação | Táticas: - Movimento lateral - Comando e controle Técnicas: - T0812: Credenciais padrão – T0869: Protocolo de camada de aplicativo padrão |
Não pode ser aprendido |
| O código de função gerou uma exceção não autorizada* | Um dispositivo de origem (secundário) retornou uma exceção para um dispositivo de destino (primário). | Médio | Falhas de comando | Táticas: - Função de Inibição de Resposta Técnicas: – T0835: Manipular a imagem de E/S |
Aprendida |
| Configurações de tipo de mensagem GOOSE | As configurações da mensagem (identificada pela ID de protocolo) foram alteradas em um dispositivo de origem. | Baixo | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo Técnicas: – T0836: Modificar o parâmetro |
Aprendida |
| Versão do firmware Honeywell alterada | O firmware foi atualizado em um dispositivo de origem. Isso pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Média | Alteração de firmware | Táticas: - Função de Inibição de Resposta -Persistência Técnicas: – T0857: Firmware do sistema |
Aprendida |
| Comunicação HTTP inválida* | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento anormal de comunicação HTTP | Táticas: -Descobrimento Técnicas: – T0846: Descoberta do sistema remoto |
Aprendida |
| Acesso à Internet detectado | Um dispositivo de origem definido como parte da sua rede está se comunicando com os endereços na Internet. A origem não está autorizada a se comunicar com endereços da Internet. | Médio | Acesso à Internet | Táticas: - Acesso inicial Técnicas: – T0883: Dispositivo acessível pela Internet |
Aprendida |
| Versão do firmware Mitsubishi alterada | O firmware foi atualizado em um dispositivo de origem. Isso pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Média | Alteração de firmware | Táticas: - Função de Inibição de Resposta -Persistência Técnicas: – T0857: Firmware do sistema |
Aprendida |
| Violação de intervalo de endereços Modbus | Um dispositivo primário solicitou acesso a um novo endereço de memória secundária. | Médio | Comportamento de comunicação não autorizado | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
| Versão do firmware Modbus alterada | O firmware foi atualizado em um dispositivo de origem. Isso pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Média | Alteração de firmware | Táticas: - Função de Inibição de Resposta -Persistência Técnicas: – T0857: Firmware do sistema |
Aprendida |
| Nova atividade detectada – Classe CIP | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: -Descobrimento Técnicas: – T0888: Descoberta de informações do sistema remoto |
Aprendida |
| Nova atividade detectada – Serviço de classe CIP | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Função de Inibição de Resposta Técnicas: – T0836: Modificar o parâmetro |
Aprendida |
| Nova atividade detectada – Comando CIP PCCC | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Função de Inibição de Resposta Técnicas: – T0836: Modificar o parâmetro |
Aprendida |
| Nova atividade detectada – Símbolo CIP | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo - Função de Inibição de Resposta Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Aprendida |
| Nova atividade detectada – Conexão de E/S de Ethernet/IP | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: -Descobrimento - Função de Inibição de Resposta Técnicas: - T0846: Descoberta remota do sistema – T0835: Manipular a imagem de E/S |
Aprendida |
| Nova atividade detectada – Comando do protocolo Ethernet/IP | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Função de Inibição de Resposta Técnicas: – T0836: Modificar o parâmetro |
Aprendida |
| Nova atividade detectada – Código de mensagem GSM | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - CommandAndControl Técnicas: – T0869: Protocolo de camada de aplicativo padrão |
Aprendida |
| Nova atividade detectada – Códigos de comando LonTalk | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: -Coleção - Prejudicar o controle do processo Técnicas: - T0861 - Identificação de Pontos e Etiquetas – T0855: Mensagem de comando não autorizada |
Aprendida |
| Descoberta de novas portas | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Baixo | Descoberta | Táticas: - Movimento lateral Técnicas: – T0867: Transferência de ferramenta lateral |
Aprendida |
| Nova atividade detectada – Variável de rede LonTalk | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo Técnicas: – T0855: Mensagem de comando não autorizada |
Aprendida |
| Nova atividade detectada – Solicitação de dados de Ovation | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: -Coleção -Descobrimento Técnicas: - T0801: Monitorar o estado do processo – T0888: Descoberta de informações do sistema remoto |
Aprendida |
| Nova atividade detectada – Comando de leitura/gravação (grupo de índice do AMS) | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Alterações de configuração | Táticas: - Prejudicar o controle do processo - Função de Inibição de Resposta Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Aprendida |
| Nova atividade detectada – Comando de leitura/gravação (deslocamento do índice do AMS) | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Alterações de configuração | Táticas: - Prejudicar o controle do processo - Função de Inibição de Resposta Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Aprendida |
| Nova atividade detectada – Tipo de mensagem DeltaV não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Aprendida |
| Nova atividade detectada – Operação DeltaV ROC não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Aprendida |
| Nova atividade detectada – Tipo de mensagem RPC não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo Técnicas: – T0855: Mensagem de comando não autorizada |
Aprendida |
| Nova atividade detectada – Uso do comando do protocolo AMS | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo - Função de Inibição de Resposta -Execução Técnicas: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro – T0821: Modificar a tarefa do controlador |
Aprendida |
| Nova atividade detectada – Uso do comando do Siemens SICAM | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo - Função de Inibição de Resposta Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Aprendida |
| Nova atividade detectada – Uso do comando do protocolo Suitelink | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo - Função de Inibição de Resposta Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Aprendida |
| Nova atividade detectada – Uso de sessões do protocolo Suitelink | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo Técnicas: – T0836: Modificar o parâmetro |
Aprendida |
| Nova atividade detectada – Uso do comando Yokogawa VNetIP | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Aprendida |
| Novo ativo detectado | Um novo dispositivo de origem foi detectado na rede, mas não está autorizado. Esse alerta se aplica a dispositivos descobertos em sub-redes de OT. Novos dispositivos descobertos em sub-redes de TI não disparam um alerta. |
Média | Descoberta | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
| Nova configuração de dispositivo LLDP | Um novo dispositivo de origem foi detectado na rede, mas não está autorizado. | Média | Alterações de configuração | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
| Comando não autorizado do Omron FINS | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Aprendida |
| Firmware S7 Plus PLC alterado | O firmware foi atualizado em um dispositivo de origem. Isso pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Média | Alteração de firmware | Táticas: - Função de Inibição de Resposta -Persistência Técnicas: – T0857: Firmware do sistema |
Aprendida |
| Configurações de amostra de tipo de mensagem de valores | As configurações da mensagem (identificada pela ID de protocolo) foram alteradas em um dispositivo de origem. | Baixo | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo Técnicas: – T0836: Modificar o parâmetro |
Não pode ser aprendido |
| Suspeita de verificação de integridade inválida* | Uma verificação foi detectada em um dispositivo de origem DNP3 (outstation). Essa verificação não foi autorizada como tráfego aprendido na sua rede. | Médio | Verificar | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
| Comando não autorizado de link de computador Toshiba | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Baixo | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Aprendida |
| Operação de arquivo ABB Totalflow não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Não pode ser aprendido |
| Operação de registro Totalflow ABB não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Não pode ser aprendido |
| Acesso não autorizado ao bloco de dados do Siemens S7 | Um dispositivo de origem tentou acessar um recurso em outro dispositivo. Uma tentativa de acesso a esse recurso entre esses dois dispositivos não é autorizada como tráfego aprendido em sua rede. | Baixo | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo - Acesso inicial Técnicas: - T0855: Mensagem de comando não autorizada – T0811: Dados dos repositórios de informações |
Aprendida |
| Acesso não autorizado ao objeto do Siemens S7 Plus | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo -Execução - Função de Inibição de Resposta Técnicas: - T0855: Mensagem de comando não autorizada - T0821: Modificar a tarefa do controlador – T0809: Destruição de dados |
Aprendida |
| Acesso não autorizado à marca de Wonderware | Um dispositivo de origem tentou acessar um recurso em outro dispositivo. Uma tentativa de acesso a esse recurso entre esses dois dispositivos não é autorizada como tráfego aprendido em sua rede. | Média | Comportamento de comunicação não autorizado | Táticas: -Coleção - Prejudicar o controle do processo Técnicas: - T0861: Identificação de pontos e etiquetas – T0855: Mensagem de comando não autorizada |
Aprendida |
| Acesso a objeto BACNet não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Aprendida |
| Rota do BACNet não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Aprendida |
| Logon de banco de dados não autorizado* | Foi detectada uma tentativa de entrada de um cliente de origem em um servidor de destino. A comunicação entre esses dispositivos não é autorizada como tráfego aprendido em sua rede. | Média | Autenticação | Táticas: - Movimento lateral -Persistência -Coleção Técnicas: - T0859: Contas válidas – T0811: Dados dos repositórios de informações |
Aprendida |
| Operação de banco de dados não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação anormal | Táticas: - Prejudicar o controle do processo - Acesso inicial Técnicas: - T0855: Mensagem de comando não autorizada – T0811: Dados dos repositórios de informações |
Aprendida |
| Operação de Emerson ROC não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Aprendida |
| Acesso a arquivo do GE SRTP não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: -Coleção - Movimento lateral -Persistência Técnicas: - T0801: Monitorar o estado do processo – T0859: Contas válidas |
Aprendida |
| Comando de protocolo GE SRTP não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Aprendida |
| Operação de memória do sistema GE SRTP não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: -Descobrimento - Prejudicar o controle do processo Técnicas: - T0846: Descoberta remota do sistema – T0855: Mensagem de comando não autorizada |
Aprendida |
| Atividade HTTP não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento anormal de comunicação HTTP | Táticas: - Acesso inicial - Comando e controle Técnicas: - T0822: Serviços remotos externos – T0869: Protocolo de camada de aplicativo padrão |
Aprendida |
| Ação SOAP HTTP não autorizada * | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento anormal de comunicação HTTP | Táticas: - Comando e controle -Execução Técnicas: - T0869: Protocolo de Camada de Aplicativo Padrão – T0871: Execução por meio da API |
Aprendida |
| Agente do usuário HTTP não autorizado * | Um aplicativo não autorizado foi detectado em um dispositivo de origem. O aplicativo não está autorizado como um aplicativo aprendido em sua rede. | Média | Comportamento anormal de comunicação HTTP | Táticas: - Comando e controle Técnicas: – T0869: Protocolo de camada de aplicativo padrão |
Aprendida |
| Conectividade com a Internet não autorizada detectada | Um dispositivo de origem definido como parte da sua rede está se comunicando com os endereços na Internet. A origem não está autorizada a se comunicar com endereços da Internet. | Alto | Acesso à Internet | Táticas: - Acesso inicial Técnicas: – T0883: Dispositivo acessível pela Internet |
Aprendida |
| Comando Mitsubishi MELSEC não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Aprendida |
| Acesso de programa MMS não autorizado | Um dispositivo de origem tentou acessar um recurso em outro dispositivo. Uma tentativa de acesso a esse recurso entre esses dois dispositivos não é autorizada como tráfego aprendido em sua rede. | Média | Programação | Táticas: - Prejudicar o controle do processo -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Aprendida |
| Serviço MMS não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Aprendida |
| Conexão de multicast/difusão não autorizada | Uma conexão multicast/difusão foi detectada entre um dispositivo de origem e outros dispositivos. A comunicação multicast/difundida não está autorizada. | Alta | Comportamento de comunicação anormal | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
| Consulta de nome não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação anormal | Táticas: - Prejudicar o controle do processo Técnicas: – T0836: Modificar o parâmetro |
Não pode ser aprendido |
| Atividade de agente do usuário OPC não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo Técnicas: – T0836: Modificar o parâmetro |
Aprendida |
| Solicitação/resposta de agente do usuário OPC não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo Técnicas: – T0836: Modificar o parâmetro |
Aprendida |
| Uma operação não autorizada foi detectada por uma regra definida pelo usuário | Foi detectado o tráfego entre dois dispositivos. Essa atividade não é autorizada com base em uma regra de alerta personalizada definida por um usuário. | Médio | Alertas Personalizados | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Não pode ser aprendido |
| Leitura de configuração de PLC não autorizada | O dispositivo de origem não está definido como um dispositivo de programação, mas realizou uma operação de leitura/gravação em um controlador de destino. As alterações de programação só devem ser executadas por dispositivos de programação. Um aplicativo de programação pode ter sido instalado neste dispositivo. | Baixo | Alterações de configuração | Táticas: -Coleção Técnicas: – T0801: Monitorar o estado do processo |
Aprendida |
| Gravação de configuração de PLC não autorizada | O dispositivo de origem enviou um comando para ler/gravar o programa de um controlador de destino. Essa atividade não foi observada anteriormente. | Médio | Alterações de configuração | Táticas: - Prejudicar o controle do processo -Persistência -Impacto Técnicas: - T0839: Firmware do módulo - T0831: Manipulação de Controle – T0889: Modificar o programa |
Aprendida |
| Upload de programa PLC não autorizado | O dispositivo de origem enviou um comando para ler/gravar o programa de um controlador de destino. Essa atividade não foi observada anteriormente. | Médio | Programação | Táticas: - Prejudicar o controle do processo -Persistência -Coleção Técnicas: - T0839: Firmware do módulo – T0845: Upload do programa |
Aprendida |
| Programação de PLC não autorizada | O dispositivo de origem não está definido como um dispositivo de programação, mas realizou uma operação de leitura/gravação em um controlador de destino. As alterações de programação só devem ser executadas por dispositivos de programação. Um aplicativo de programação pode ter sido instalado neste dispositivo. | Alto | Programação | Táticas: - Prejudicar o controle do processo -Persistência - Movimento lateral Técnicas: - T0839: Firmware do módulo - T0889: Modificar programa – T0843: Download de programas |
Aprendida |
| Tipo de quadro do Profinet não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo Técnicas: – T0836: Modificar o parâmetro |
Aprendida |
| Comando SAIA S-Bus não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo Técnicas: – T0855: Mensagem de comando não autorizada |
Aprendida |
| Execução não autorizada da função de controle do Siemens S7 | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo - Função de Inibição de Resposta Técnicas: - T0855: Mensagem de comando não autorizada – T0809: Destruição de dados |
Aprendida |
| Execução não autorizada da função definida pelo usuário do Siemens S7 | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo -Execução Técnicas: - T0836: Modificar parâmetro – T0863: Execução do usuário |
Aprendida |
| Acesso de bloqueio não autorizado do Siemens S7 Plus | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Função de Inibição de Resposta -Persistência -Execução Técnicas: - T0803 - Mensagem de comando de bloqueio - T0889: Modificar programa – T0821: Modificar a tarefa do controlador |
Aprendida |
| Operação não autorizada do Siemens S7 Plus | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0863: Execução do usuário |
Aprendida |
| Logon do SMB não autorizado | Foi detectada uma tentativa de entrada de um cliente de origem em um servidor de destino. A comunicação entre esses dispositivos não é autorizada como tráfego aprendido em sua rede. | Média | Autenticação | Táticas: - Acesso inicial - Movimento lateral -Persistência Técnicas: - T0886: Serviços remotos – T0859: Contas válidas |
Aprendida |
| Operação do SNMP não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação anormal | Táticas: -Descobrimento - Comando e controle Técnicas: - T0842: Detecção de rede – T0885: Porta comumente usada |
Aprendida |
| Acesso do SSH não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Acesso remoto | Táticas: - Acesso inicial - Movimento lateral - Comando e controle Técnicas: - T0886: Serviços remotos – T0869: Protocolo de camada de aplicativo padrão |
Aprendida |
| Processo do Windows não autorizado | Um aplicativo não autorizado foi detectado em um dispositivo de origem. O aplicativo não está autorizado como um aplicativo aprendido em sua rede. | Média | Comportamento de comunicação anormal | Táticas: -Execução - Escalonamento de privilégios - Comando e controle Técnicas: - T0841: Enganchar – T0885: Porta comumente usada |
Aprendida |
| Serviço Windows não autorizado | Um aplicativo não autorizado foi detectado em um dispositivo de origem. O aplicativo não está autorizado como um aplicativo aprendido em sua rede. | Média | Comportamento de comunicação anormal | Táticas: - Acesso inicial - Movimento lateral Técnicas: – T0866: Exploração de serviços remotos |
Aprendida |
| Uma operação não autorizada foi detectada por uma regra definida pelo usuário | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros viola uma regra definida pelo usuário | Médio | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Não pode ser aprendido | |
| Extensão do Modbus Schneider Electric não permitida | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo Técnicas: – T0855: Mensagem de comando não autorizada |
Aprendida |
| Uso não permitido de tipos ASDU | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo Técnicas: – T0855: Mensagem de comando não autorizada |
Aprendida |
| Uso não permitido de código de função DNP3 | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo Técnicas: – T0836: Modificar o parâmetro |
Aprendida |
| Uso não permitido de IIN (indicação interna) * | Um dispositivo de origem DNP3 (outstation) relatou uma IIN (indicação interna) que não foi autorizada como tráfego aprendido na sua rede. | Médio | Comandos ilegais | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
| Uso não permitido de código de função Modbus | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Prejudicar o controle do processo Técnicas: – T0836: Modificar o parâmetro |
Aprendida |
Alertas do mecanismo de anomalias
Observação
Este artigo contém referências ao termo servidor subordinado, um termo que a Microsoft não usa mais. Quando o termo for removido do software, também o removeremos deste artigo.
Os alertas do mecanismo de anomalias descrevem anomalias detectadas na atividade de rede.
| Título | Descrição | Severidade | Categoria | MITRE ATT&CK Táticas e técnicas |
Aprendida |
|---|---|---|---|---|---|
| Padrão de exceção anormal no subordinado* | Um número excessivo de erros foi detectado em um dispositivo de origem. Esse alerta pode ser o resultado de um problema operacional. Limite: 20 exceções em 1 hora |
Baixo | Comportamento de comunicação anormal | Táticas: - Prejudicar o controle do processo Técnicas: – T0806: E/S de força bruta |
Não pode ser aprendido |
| Comprimento anormal de cabeçalho HTTP * | O dispositivo de origem enviou uma mensagem anormal. Esse alerta pode indicar uma tentativa de atacar o dispositivo de destino. | Alto | Comportamento anormal de comunicação HTTP | Táticas: - Acesso inicial - Movimento lateral - Comando e controle Técnicas: - T0866: Exploração de serviços remotos – T0869: Protocolo de camada de aplicativo padrão |
Aprendida |
| Número anormal de parâmetros no cabeçalho HTTP * | O dispositivo de origem enviou uma mensagem anormal. Esse alerta pode indicar uma tentativa de atacar o dispositivo de destino. | Alto | Comportamento anormal de comunicação HTTP | Táticas: - Acesso inicial - Movimento lateral - Comando e controle Técnicas: - T0866: Exploração de serviços remotos – T0869: Protocolo de camada de aplicativo padrão |
Aprendida |
| Comportamento periódico anormal no canal de comunicação | Foi detectada uma alteração na frequência de comunicação entre os dispositivos de origem e de destino. | Baixo | Comportamento de comunicação anormal | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
| Término anormal de aplicativos * | Um número excessivo de comandos de parada foi detectado em um dispositivo de origem. Esse alerta pode ser o resultado de um problema operacional ou de uma tentativa de manipular o dispositivo. Limite: 20 comandos de parada em 3 horas |
Médio | Comportamento de comunicação anormal | Táticas: -Persistência -Impacto Técnicas: - T0889: Modificar programa – T0831: Manipulação do controle |
Aprendida |
| Largura de Banda de tráfego anormal * | Largura de banda anormal detectada em um canal. A largura de banda parece ser inferior/superior à que foi detectada anteriormente. Para obter detalhes, trabalhe com o widget de Largura de Banda Total. | Baixo | Anomalias de largura de banda | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
| Largura de Banda de tráfego anormal entre dispositivos * | Largura de banda anormal detectada em um canal. A largura de banda parece ser inferior/superior à que foi detectada anteriormente. Para obter detalhes, trabalhe com o widget de Largura de Banda Total. | Baixo | Anomalias de largura de banda | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Não pode ser aprendido |
| Verificação de endereço detectada | Um dispositivo de origem foi detectado verificando os dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede. Limite: 50 conexões com a mesma sub-rede de classe B em 2 minutos |
Alto | Verificar | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
| Verificação de endereço ARP detectada * | Um dispositivo de origem foi detectado verificando dispositivos de rede usando o protocolo ARP. Esse endereço de dispositivo não está autorizado como endereço de verificação ARP válido. Limite: 40 verificações em 6 minutos |
Alta | Verificar | Táticas: -Descobrimento -Coleção Técnicas: - T0842: Detecção de rede – T0830: Ataque man-in-the-middle |
Aprendida |
| Falsificação de ARP * | Um volume anormal de pacotes foi detectado na rede. Este alerta pode indicar um ataque, por exemplo, uma falsificação de ARP ou um ataque de inundação por ICMP. Limite: 60 pacotes em 1 minuto |
Baixo | Comportamento de comunicação anormal | Táticas: -Coleção Técnicas: – T0830: Ataque man-in-the-middle |
Não pode ser aprendido |
| Número de excesso de tentativas de logon | Um dispositivo de origem foi observado executando tentativas de entrada excessivas em um servidor de destino. Esse alerta pode indicar um ataque de força bruta. O servidor pode estar comprometido por um agente mal-intencionado. Limite: 20 tentativas de sincronização em um minuto |
Alto | Autenticação | Táticas: - Movimento lateral - Prejudicar o controle do processo Técnicas: - T0812: Credenciais padrão – T0806: E/S de força bruta |
Não pode ser aprendido |
| Número excessivo de sessões | Um dispositivo de origem foi observado executando tentativas de entrada excessivas em um servidor de destino. Isso pode indicar um ataque de força bruta. O servidor pode estar comprometido por um agente mal-intencionado. Limite: 50 sessões em 1 minuto |
Alta | Comportamento de comunicação anormal | Táticas: - Movimento lateral - Prejudicar o controle do processo Técnicas: - T0812: Credenciais padrão – T0806: E/S de força bruta |
Não pode ser aprendido |
| Número excessivo da taxa de reinicialização de uma Outstation * | Um número excessivo de comandos de reinicialização foi detectado em um dispositivo de origem. Esses alertas podem ser o resultado de um problema operacional ou de uma tentativa de manipular o dispositivo. Limite: 10 reinicializações em 1 hora |
Médio | Comandos Reiniciar/Parar | Táticas: - Função de Inibição de Resposta - Prejudicar o controle do processo Técnicas: - T0814: Negação de serviço – T0806: E/S de força bruta |
Não pode ser aprendido |
| Número excessivo de tentativas de logon SMB | Um dispositivo de origem foi observado executando tentativas de entrada excessivas em um servidor de destino. Isso pode indicar um ataque de força bruta. O servidor pode estar comprometido por um agente mal-intencionado. Limite: Dez tentativas de logon em dez minutos |
Alta | Autenticação | Táticas: -Persistência -Execução - Movimento lateral Técnicas: - T0812: Credenciais padrão - T0853: Script – T0859: Contas válidas |
Não pode ser aprendido |
| Inundação por ICMP * | Um volume anormal de pacotes foi detectado na rede. Este alerta pode indicar um ataque, por exemplo, uma falsificação de ARP ou um ataque de inundação por ICMP. Limite: 60 pacotes em 1 minuto |
Baixo | Comportamento de comunicação anormal | Táticas: -Descobrimento -Coleção Técnicas: - T0842: Detecção de rede – T0830: Ataque man-in-the-middle |
Não pode ser aprendido |
| Conteúdo de cabeçalho HTTP inválido * | O dispositivo de origem iniciou uma solicitação inválida. | Alto | Comportamento anormal de comunicação HTTP | Táticas: - Acesso inicial - Movimento lateral Técnicas: – T0866: Exploração de serviços remotos |
Não pode ser aprendido |
| Canal de comunicação inativo * | Um canal de comunicação entre dois dispositivos estava inativo durante um período em que a atividade geralmente é observada. Isso pode indicar que o programa que gera esse tráfego foi alterado ou o programa pode estar não disponível. É recomendável examinar a configuração do programa instalado e verificar se ele está configurado corretamente. Limite: 1 minuto |
Baixo | Sem resposta | Táticas: - Função de Inibição de Resposta Técnicas: – T0881: Parada de serviço |
Não pode ser aprendido |
| Verificação de endereço de longa duração detectada* | Um dispositivo de origem foi detectado verificando os dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede. Limite: 50 conexões com a mesma sub-rede de classe B em 10 minutos |
Alta | Verificar | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
| Tentativa de detecção de senha detectada | Um dispositivo de origem foi observado executando tentativas de entrada excessivas em um servidor de destino. Isso pode indicar um ataque de força bruta. O servidor pode estar comprometido por um agente mal-intencionado. Limite: 100 tentativas em 1 minuto |
Alta | Autenticação | Táticas: - Movimento lateral Técnicas: - T0812: Credenciais padrão – T0806: E/S de força bruta |
Não pode ser aprendido |
| Verificação de PLC detectada | Um dispositivo de origem foi detectado verificando os dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede. Limite: 10 verificações em 2 minutos |
Alta | Verificar | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
| Verificação de porta detectada | Um dispositivo de origem foi detectado verificando os dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede. Limite: 25 verificações em 2 minutos |
Alta | Verificar | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
| Comprimento de mensagem inesperado | O dispositivo de origem enviou uma mensagem anormal. Esse alerta pode indicar uma tentativa de atacar o dispositivo de destino. Limite: comprimento do texto – 32768 |
Alta | Comportamento de comunicação anormal | Táticas: - Acesso inicial - Movimento lateral Técnicas: – T0869: Exploração de serviços remotos |
Não pode ser aprendido |
| Tráfego inesperado para a porta Standard* | Foi detectado o tráfego em um dispositivo usando uma porta reservada para outro protocolo. | Médio | Comportamento de comunicação anormal | Táticas: - Comando e controle -Descobrimento Técnicas: - T0869: Protocolo de Camada de Aplicativo Padrão – T0842: Detecção da rede |
Não pode ser aprendido |
Alertas do mecanismo de violação de protocolo
Os alertas do mecanismo de protocolo descrevem os desvios detectados na estrutura do pacote ou os valores de campo em comparação com especificações de protocolo.
| Título | Descrição | Severidade | Categoria | MITRE ATT&CK Táticas e técnicas |
Aprendida |
|---|---|---|---|---|---|
| Número excessivo de pacotes malformados em uma única sessão * | Um número anormal de pacotes malformados enviados do dispositivo de origem para o dispositivo de destino. Este alerta pode indicar comunicações incorretas ou uma tentativa de manipular o dispositivo de destino. Limite: 2 pacotes malformados em 10 minutos |
Médio | Comandos ilegais | Táticas: - Prejudicar o controle do processo Técnicas: – T0806: E/S de força bruta |
Não pode ser aprendido |
| Atualização de Firmware | Um dispositivo de origem enviou um comando para atualizar o firmware em um dispositivo de destino. Verifique se as atualizações recentes de programação, configuração e firmware feitas no dispositivo de destino são válidas. | Baixo | Alteração de firmware | Táticas: - Função de Inibição de Resposta -Persistência Técnicas: – T0857: Firmware do sistema |
Aprendida |
| Código de função sem suporte na outstation | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Prejudicar o controle do processo Técnicas: – T0855: Mensagem de comando não autorizada |
Não pode ser aprendido |
| Mensagem do BACNet inválida | O dispositivo de origem iniciou uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Prejudicar o controle do processo Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Não pode ser aprendido |
| Tentativa de conexão inválida na porta 0 | Um dispositivo de origem tentou se conectar ao dispositivo de destino no número da porta 0 (zero). Para o TCP, a porta 0 é reservada e não pode ser usada. Para o UDP, a porta é opcional e um valor igual a 0 significa nenhuma porta. Normalmente, não há nenhum serviço em sistemas que escutam na porta 0. Esse evento pode indicar uma tentativa de atacar o dispositivo de destino ou indicar que um aplicativo foi programado incorretamente. | Baixo | Comandos ilegais | Táticas: - Prejudicar o controle do processo Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Não pode ser aprendido |
| Operação do DNP3 inválida | O dispositivo de origem iniciou uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Acesso inicial - Movimento lateral Técnicas: – T0866: Exploração de serviços remotos |
Não pode ser aprendido |
| Operação do Modbus inválida (exceção gerada pelo mestre) | O dispositivo de origem iniciou uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Acesso inicial - Movimento lateral Técnicas: – T0866: Exploração de serviços remotos |
Não pode ser aprendido |
| Operação do MODBUS inválida (código de função zero) * | O dispositivo de origem iniciou uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Acesso inicial - Movimento lateral Técnicas: – T0866: Exploração de serviços remotos |
Não pode ser aprendido |
| Versão de protocolo inválida * | O dispositivo de origem iniciou uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Acesso inicial - Movimento lateral - Prejudicar o controle do processo Técnicas: - T0820: Serviços remotos – T0836: Modificar o parâmetro |
Não pode ser aprendido |
| Parâmetro incorreto enviado para a outstation | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Prejudicar o controle do processo Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Não pode ser aprendido |
| Inicialização de um código de função obsoleto (inicializar dados) | O dispositivo de origem iniciou uma solicitação inválida. | Baixo | Comandos ilegais | Táticas: - Prejudicar o controle do processo Técnicas: – T0855: Mensagem de comando não autorizada |
Não pode ser aprendido |
| Inicialização de um código de função obsoleto (salvar configuração) | O dispositivo de origem iniciou uma solicitação inválida. | Baixo | Comandos ilegais | Táticas: - Prejudicar o controle do processo Técnicas: – T0855: Mensagem de comando não autorizada |
Não pode ser aprendido |
| O mestre solicitou uma confirmação de camada de aplicativo | O dispositivo de origem iniciou uma solicitação inválida. | Baixo | Comandos ilegais | Táticas: - Comando e controle Técnicas: – T0869: Protocolo de camada de aplicativo padrão |
Não pode ser aprendido |
| Exceção de Modbus | Um dispositivo de origem (secundário) retornou uma exceção para um dispositivo de destino (primário). | Médio | Comandos ilegais | Táticas: - Função de Inibição de Resposta Técnicas: – T0814: Negação de serviço |
Não pode ser aprendido |
| O dispositivo subordinado recebeu um tipo de ASDU inválido | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Prejudicar o controle do processo Técnicas: – T0836: Modificar o parâmetro |
Não pode ser aprendido |
| O dispositivo subordinado recebeu uma causa de comando de transmissão inválida | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Prejudicar o controle do processo Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Não pode ser aprendido |
| O dispositivo subordinado recebeu um endereço comum inválido | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Prejudicar o controle do processo Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Não pode ser aprendido |
| O dispositivo subordinado recebeu um parâmetro de endereço de dados inválido * | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Prejudicar o controle do processo Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Não pode ser aprendido |
| O dispositivo subordinado recebeu um parâmetro de valor de dados inválido * | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Prejudicar o controle do processo Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Não pode ser aprendido |
| O dispositivo subordinado recebeu um código de função inválido * | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Prejudicar o controle do processo Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Não pode ser aprendido |
| O dispositivo subordinado recebeu um endereço de objeto de informações inválido | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Prejudicar o controle do processo Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Não pode ser aprendido |
| Objeto desconhecido enviado para o outstation | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Prejudicar o controle do processo Técnicas: – T0855: Mensagem de comando não autorizada |
Não pode ser aprendido |
| Uso de um código de função reservado | O dispositivo de origem iniciou uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Prejudicar o controle do processo Técnicas: – T0836: Modificar o parâmetro |
Não pode ser aprendido |
| Uso de formatação imprópria pela Outstation * | O dispositivo de origem iniciou uma solicitação inválida. | Baixo | Comandos ilegais | Táticas: - Prejudicar o controle do processo Técnicas: – T0855: Mensagem de comando não autorizada |
Não pode ser aprendido |
| Uso de sinalizadores de status reservados (IIN) | Um dispositivo de origem DNP3 (outstation) usou o indicador interno reservado 2.6. É recomendável verificar a configuração do dispositivo. | Baixo | Comandos ilegais | Táticas: - Prejudicar o controle do processo Técnicas: – T0836: Modificar o parâmetro |
Não pode ser aprendido |
Alertas do mecanismo de malware
Os alertas do mecanismo de malware descrevem a atividade de rede mal-intencionada detectada.
| Título | Descrição | Severidade | Categoria | MITRE ATT&CK Táticas e técnicas |
Aprendida |
|---|---|---|---|---|---|
| Tentativa de conexão com IP mal-intencionado conhecido | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Disparado por sensores de rede de OT e de Enterprise IoT. |
Alto | Suspeita de atividade mal-intencionada | Táticas: - Acesso inicial - Comando e controle Técnicas: - T0883: Dispositivo acessível pela Internet – T0884: Proxy da conexão |
Não pode ser aprendido |
| Mensagem SMB inválida (implante de backdoor DoublePulsar) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Acesso inicial - Movimento lateral Técnicas: – T0866: Exploração de serviços remotos |
Não pode ser aprendido |
| Solicitação de nome de domínio mal-intencionado | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Disparado por sensores de rede de OT e de Enterprise IoT. |
Alto | Suspeita de atividade mal-intencionada | Táticas: - Acesso inicial - Comando e controle Técnicas: - T0883: Dispositivo acessível pela Internet – T0884: Proxy da conexão |
Aprendida |
| Caminho de URL malicioso | Uma solicitação foi feita para um caminho de URL mal-intencionado conhecido. As solicitações feitas para esse caminho de URL podem indicar que a fonte que faz a solicitação está comprometida. | Alto | Suspeita de atividade mal-intencionada | Táticas: - Acesso inicial - Comando e controle Técnicas: - T0883: Dispositivo acessível pela Internet – T0884: Proxy da conexão |
Não pode ser aprendido |
| Arquivo de teste de malware detectado – êxito do EICAR AV | Um arquivo de teste do EICAR AV foi detectado no tráfego entre dois dispositivos (em qualquer transporte – TCP ou UDP). O arquivo não é um malware. Ele é usado para confirmar se o software antivírus foi instalado corretamente. Demonstra o que acontece quando um vírus é encontrado e verifica os procedimentos internos e as reações quando um vírus é encontrado. O software antivírus deve detectar o EICAR como se ele fosse um vírus real. | Alta | Suspeita de atividade mal-intencionada | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Não pode ser aprendido |
| Suspeita de malware Conficker | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Média | Suspeita de malware | Táticas: - Acesso inicial -Impacto Técnicas: - T0826: Perda de disponibilidade - T0828: Perda de Produtividade e Receita – T0847: Replicação por meio de mídia removível |
Não pode ser aprendido |
| Suspeita de ataque de negação de serviço | Um dispositivo de origem tentou iniciar um número excessivo de novas conexões com um dispositivo de destino. Isso pode indicar um ataque de negação de serviço (DOS) contra o dispositivo de destino e pode interromper a funcionalidade do dispositivo, afetar o desempenho e a disponibilidade do serviço ou causar erros irrecuperáveis. Limite: Três mil tentativas em um minuto |
Alta | Suspeita de atividade mal-intencionada | Táticas: - Função de Inibição de Resposta Técnicas: – T0814: Negação de serviço |
Aprendida |
| Suspeita de atividade mal-intencionada | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que acionou 'Indicadores de Comprometimento' (IOCs) conhecidos. Os metadados de alerta devem ser revisados pela equipe de segurança. | Alta | Suspeita de atividade mal-intencionada | Táticas: - Movimento lateral Técnicas: – T0867: Transferência de ferramenta lateral |
Não pode ser aprendido |
| Suspeita de atividade mal-intencionada (BlackEnergy) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Comando e controle Técnicas: – T0869: Protocolo de camada de aplicativo padrão |
Não pode ser aprendido |
| Suspeita de atividade mal-intencionada (DarkComet) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: -Impacto Técnicas: – T0882: Roubo de informações operacionais |
Não pode ser aprendido |
| Suspeita de atividade mal-intencionada (Duqu) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: -Impacto Técnicas: – T0882: Roubo de informações operacionais |
Não pode ser aprendido |
| Suspeita de atividade mal-intencionada (Flame) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: -Coleção -Impacto Técnicas: - T0882: Roubo de informações operacionais – T0811: Dados dos repositórios de informações |
Não pode ser aprendido |
| Suspeita de atividade mal-intencionada (Havex) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: -Coleção -Descobrimento - Função de Inibição de Resposta Técnicas: - T0861: Identificação de pontos e etiquetas - T0846: Descoberta remota do sistema – T0814: Negação de serviço |
Não pode ser aprendido |
| Suspeita de atividade mal-intencionada (Karagany) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: -Impacto Técnicas: – T0882: Roubo de informações operacionais |
Não pode ser aprendido |
| Suspeita de atividade mal-intencionada (LightsOut) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: -Evasão Técnicas: – T0849: Mascaramento |
Não pode ser aprendido |
| Suspeita de atividade mal-intencionada (consultas de nome) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Limite: 25 consultas de nome em 1 minuto |
Alto | Suspeita de atividade mal-intencionada | Táticas: - Comando e controle Técnicas: – T0884: Proxy da conexão |
Não pode ser aprendido |
| Suspeita de atividade mal-intencionada (Poison Ivy) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Acesso inicial - Movimento lateral Técnicas: – T0866: Exploração de serviços remotos |
Não pode ser aprendido |
| Suspeita de atividade mal-intencionada (Regin) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Acesso inicial - Movimento lateral -Impacto Técnicas: - T0866: Exploração de serviços remotos – T0882: Roubo de informações operacionais |
Não pode ser aprendido |
| Suspeita de atividade mal-intencionada (Stuxnet) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Acesso inicial - Movimento lateral -Impacto Técnicas: - T0818: Comprometimento da estação de trabalho de engenharia - T0866: Exploração de serviços remotos – T0831: Manipulação do controle |
Não pode ser aprendido |
| Suspeita de atividade mal-intencionada (WannaCry) * | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Média | Suspeita de malware | Táticas: - Acesso inicial - Movimento lateral Técnicas: - T0866: Exploração de serviços remotos – T0867: Transferência de ferramenta lateral |
Não pode ser aprendido |
| Suspeita de malware NotPetya – Parâmetros de SMB inválidos detectados | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Acesso inicial - Movimento lateral Técnicas: – T0866: Exploração de serviços remotos |
Não pode ser aprendido |
| Suspeita de malware NotPetya – Transação SMB inválida detectada | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Movimento lateral Técnicas: – T0867: Transferência de ferramenta lateral |
Não pode ser aprendido |
| Suspeita de execução remota de código com o PsExec | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de atividade mal-intencionada | Táticas: - Movimento lateral - Acesso inicial Técnicas: – T0866: Exploração de serviços remotos |
Não pode ser aprendido |
| Suspeita de gerenciamento de serviços remotos do Windows * | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de atividade mal-intencionada | Táticas: - Acesso inicial Técnicas: – T0822: Serviços remoto externos da rede |
Não pode ser aprendido |
| Arquivo executável suspeito detectado no ponto de extremidade | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de atividade mal-intencionada | Táticas: -Evasão - Função de Inibição de Resposta Técnicas: – T0851: Rootkit |
Aprendida |
| Tráfego suspeito detectado * | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que acionou 'Indicadores de Comprometimento' (IOCs) conhecidos. Os metadados de alerta devem ser revisados pela equipe de segurança | Alta | Suspeita de atividade mal-intencionada | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Não pode ser aprendido |
| Atividade de backup com assinaturas de antivírus | O tráfego detectado entre o dispositivo de origem e o servidor de backup de destino disparou esse alerta. O tráfego inclui o backup do software antivírus que pode conter assinaturas de malware. Essa provavelmente é uma atividade legítima de backup. | Baixo | Backup | Táticas: -Impacto Técnicas: – T0882: Roubo de informações operacionais |
Não pode ser aprendido |
Alertas do mecanismo operacional
Os alertas do mecanismo operacional descrevem incidentes operacionais detectados ou entidades com funcionamento inadequado.
| Título | Descrição | Severidade | Categoria | MITRE ATT&CK Táticas e técnicas |
Aprendida |
|---|---|---|---|---|---|
| Um comando S7 Stop PLC foi enviado | O dispositivo de origem enviou um comando de parada para um controlador de destino. O controlador para de operar até que um comando de início seja enviado. | Baixo | Comandos Reiniciar/Parar | Táticas: - Movimento lateral - Evasão de Defesa -Execução - Função de Inibição de Resposta Técnicas: - T0843: Download do programa - T0858: Alterar o modo de operação – T0814: Negação de serviço |
Não pode ser aprendido |
| Falha na operação do BACNet | Um servidor retornou um código de erro. Este alerta indica um erro de servidor ou uma solicitação inválida por um cliente. | Médio | Falhas de comando | Táticas: - Prejudicar o controle do processo Técnicas: – T0855: Mensagem de comando não autorizada |
Não pode ser aprendido |
| Estado do dispositivo MMS inválido | Um VMD (Dispositivo Virtual de Manufatura) MMS enviou uma mensagem de status. A mensagem indica que o servidor pode não estar configurado corretamente, parcialmente operacional ou não estar operacional. | Média | Problemas operacionais | Táticas: - Função de Inibição de Resposta Técnicas: – T0814: Negação de serviço |
Não pode ser aprendido |
| Alteração da configuração do dispositivo * | Uma alteração de configuração foi detectada em um dispositivo de origem. | Baixo | Alterações de configuração | Táticas: - Prejudicar o controle do processo Técnicas: – T0836: Modificar o parâmetro |
Não pode ser aprendido |
| Estouro de buffer de eventos contínuo na Outstation * | Um evento de estouro de buffer foi detectado em um dispositivo de origem. O evento pode causar corrupção de dados, falhas de programa ou execução de código mal-intencionado. Limite: 3 ocorrências em 10 minutos |
Médio | Estouro de buffer | Táticas: - Função de Inibição de Resposta - Prejudicar o controle do processo -Persistência Técnicas: - T0814: Negação de serviço - T0806: E/S de força bruta – T0839: Firmware de módulo |
Não pode ser aprendido |
| Redefinição do controlador | Um dispositivo de origem enviou um comando de redefinição para um controlador de destino. O controlador parou de operar temporariamente e foi iniciado de modo automático. | Baixo | Comandos Reiniciar/Parar | Táticas: - Evasão de Defesa -Execução - Função de Inibição de Resposta Técnicas: - T0858: Alterar o modo de operação – T0814: Negação de serviço |
Não pode ser aprendido |
| Parada do controlador | O dispositivo de origem enviou um comando de parada para um controlador de destino. O controlador para de operar até que um comando de início seja enviado. | Baixo | Comandos Reiniciar/Parar | Táticas: - Movimento lateral - Evasão de Defesa -Execução - Função de Inibição de Resposta Técnicas: - T0843: Download do programa - T0858: Alterar o modo de operação – T0814: Negação de serviço |
Não pode ser aprendido |
| O dispositivo não pôde receber um endereço IP dinâmico | O dispositivo de origem está configurado para receber um endereço IP dinâmico de um servidor DHCP, mas não recebeu um endereço. Isso indica um erro de configuração no dispositivo ou um erro operacional no servidor DHCP. É recomendável notificar o administrador de rede do incidente | Médio | Falhas de comando | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Não pode ser aprendido |
| Suspeita de desconexão do dispositivo (sem resposta) | Um dispositivo de origem não respondeu a um comando enviado para ele. Ele pode ter sido desconectado quando o comando foi enviado. Limite: 8 tentativas em 5 minutos |
Médio | Sem resposta | Táticas: - Função de Inibição de Resposta Técnicas: – T0881: Parada de serviço |
Não pode ser aprendido |
| Falha na solicitação de serviço CIP de Ethernet/IP | Um servidor retornou um código de erro. Isso indica um erro de servidor ou uma solicitação inválida por um cliente. | Médio | Falhas de comando | Táticas: - Prejudicar o controle do processo Técnicas: – T0855: Mensagem de comando não autorizada |
Não pode ser aprendido |
| Falha no comando de protocolo de encapsulamento Ethernet/IP | Um servidor retornou um código de erro. Isso indica um erro de servidor ou uma solicitação inválida por um cliente. | Médio | Falhas de comando | Táticas: -Coleção Técnicas: – T0801: Monitorar o estado do processo |
Não pode ser aprendido |
| Estouro de buffer de eventos na outstation | Um evento de estouro de buffer foi detectado em um dispositivo de origem. O evento pode causar corrupção de dados, falhas de programa ou execução de código mal-intencionado. | Média | Estouro de buffer | Táticas: - Função de Inibição de Resposta - Prejudicar o controle do processo -Persistência Técnicas: - T0814: Negação de serviço – T0839: Firmware de módulo |
Não pode ser aprendido |
| A operação de backup esperada não ocorreu | A atividade esperada de transferência de arquivo/backup entre dois dispositivos não ocorreu. Este alerta pode indicar erros no processo de backup/transferência de arquivos. Limite: 100 segundos |
Médio | Backup | Táticas: - Função de Inibição de Resposta Técnicas: – T0809: Destruição de dados |
Aprendida |
| Falha do comando GE SRTP | Um servidor retornou um código de erro. Este alerta indica um erro de servidor ou uma solicitação inválida por um cliente. | Médio | Falhas de comando | Táticas: - Prejudicar o controle do processo Técnicas: – T0855: Mensagem de comando não autorizada |
Não pode ser aprendido |
| O comando GE SRTP Stop PLC foi enviado | O dispositivo de origem enviou um comando de parada para um controlador de destino. O controlador para de operar até que um comando de início seja enviado. | Baixo | Comandos Reiniciar/Parar | Táticas: - Movimento lateral - Evasão de Defesa -Execução - Função de Inibição de Resposta Técnicas: - T0843: Download do programa - T0858: Alterar o modo de operação – T0814: Negação de serviço |
Não pode ser aprendido |
| O bloco de controle GOOSE exige configuração adicional | Um dispositivo de origem enviou uma mensagem GOOSE indicando que o dispositivo precisa de comissões. Isso significa que o bloco de controle GOOSE exige configuração adicional e que as mensagens GOOSE estão parcial ou completamente não operacionais. | Médio | Alterações de configuração | Táticas: - Prejudicar o controle do processo - Função de Inibição de Resposta Técnicas: - T0803: Mensagem de comando de bloqueio – T0821: Modificar a tarefa do controlador |
Não pode ser aprendido |
| A configuração do conjunto de dados GOOSE foi alterada* | Um conjunto de dados da mensagem (identificada pela ID de protocolo) foi alterado em um dispositivo de origem. Isso significa que o dispositivo relata um conjunto de dados diferente para essa mensagem. | Baixo | Alterações de configuração | Táticas: - Prejudicar o controle do processo Técnicas: – T0836: Modificar o parâmetro |
Não pode ser aprendido |
| Status inesperado do controlador Honeywell | Um controlador Honeywell enviou uma mensagem de diagnóstico inesperada indicando uma alteração de status. | Baixo | Problemas operacionais | Táticas: -Evasão -Execução Técnicas: – T0858: Alterar o modo operacional |
Não pode ser aprendido |
| Erro do cliente HTTP * | O dispositivo de origem iniciou uma solicitação inválida. | Baixo | Comportamento anormal de comunicação HTTP | Táticas: - Comando e controle Técnicas: – T0869: Protocolo de camada de aplicativo padrão |
Não pode ser aprendido |
| Endereço IP inválido | O sistema detectou o tráfego entre um dispositivo de origem e um endereço IP inválido. Isso pode indicar configuração incorreta ou uma tentativa de gerar tráfego ilegal. | Baixo | Comportamento de comunicação anormal | Táticas: -Descobrimento - Prejudicar o controle do processo Técnicas: - T0842: Detecção de rede – T0836: Modificar o parâmetro |
Não pode ser aprendido |
| Erro de autenticação de mestre/subordinado | Falha no processo de autenticação entre um dispositivo de origem DNP3 (primário) e um dispositivo de destino (outstation). | Baixo | Autenticação | Táticas: - Movimento lateral -Persistência Técnicas: – T0859: Contas válidas |
Não pode ser aprendido |
| Falha na solicitação de serviço MMS | Um servidor retornou um código de erro. Isso indica um erro de servidor ou uma solicitação inválida por um cliente. | Médio | Falhas de comando | Táticas: - Prejudicar o controle do processo Técnicas: – T0855: Mensagem de comando não autorizada |
Não pode ser aprendido |
| Nenhum tráfego detectado na interface do sensor | Um sensor parou de detectar o tráfego de rede em um adaptador de rede. | Alto | Tráfego do sensor | Táticas: - Função de Inibição de Resposta Técnicas: – T0881: Parada de serviço |
Não pode ser aprendido |
| O servidor OPC UA gerou um evento que exige a atenção do usuário | Um servidor OPC UA enviou uma notificação de eventos para um cliente. Esse tipo de evento exige a atenção do usuário | Médio | Problemas operacionais | Táticas: - Função de Inibição de Resposta Técnicas: – T0838: Modificar as configurações do alarme |
Não pode ser aprendido |
| Falha na solicitação de serviço OPC UA | Um servidor retornou um código de erro. Isso indica um erro de servidor ou uma solicitação inválida por um cliente. | Médio | Falhas de comando | Táticas: - Prejudicar o controle do processo Técnicas: – T0855: Mensagem de comando não autorizada |
Não pode ser aprendido |
| Outstation reiniciada | Foi detectada uma reinicialização a frio em um dispositivo de origem. Isso significa que o dispositivo foi fisicamente desligado e reconectado. | Baixo | Comandos Reiniciar/Parar | Táticas: - Função de Inibição de Resposta Técnicas: – T0816: Reinicialização/desligamento de dispositivo |
Não pode ser aprendido |
| Reinicializações frequentes da outstation | Um número excessivo de reinicializações a frio foi detectado em um dispositivo de origem. Isso significa que o dispositivo foi fisicamente desligado e reconectado um número excessivo de vezes. Limite: 2 reinicializações em 10 minutos |
Baixo | Comandos Reiniciar/Parar | Táticas: - Função de Inibição de Resposta Técnicas: - T0814: Negação de serviço – T0816: Reinicialização/desligamento de dispositivo |
Não pode ser aprendido |
| Configuração alterada da outstation | Uma alteração de configuração foi detectada em um dispositivo de origem. | Médio | Alterações de configuração | Táticas: - Função de Inibição de Resposta -Persistência Técnicas: – T0857: Firmware do sistema |
Não pode ser aprendido |
| Configuração corrompida da outstation detectada | Este dispositivo de origem DNP3 (outstation) relatou uma configuração corrompida. | Médio | Alterações de configuração | Táticas: - Função de Inibição de Resposta Técnicas: – T0809: Destruição de dados |
Não pode ser aprendido |
| Falha do comando de DCP do Profinet | Um servidor retornou um código de erro. Isso indica um erro de servidor ou uma solicitação inválida por um cliente. | Médio | Falhas de comando | Táticas: - Prejudicar o controle do processo Técnicas: – T0855: Mensagem de comando não autorizada |
Não pode ser aprendido |
| Redefinição de fábrica de dispositivo do Profinet | Um dispositivo de origem enviou um comando de redefinição de fábrica para um dispositivo de destino Profinet. O comando de redefinição limpa as configurações de dispositivo Profinet e interrompe a operação dele. | Baixo | Comandos Reiniciar/Parar | Táticas: - Evasão de Defesa -Execução - Função de Inibição de Resposta Técnicas: - T0858: Alterar o modo de operação – T0814: Negação de serviço |
Não pode ser aprendido |
| Falha na operação do RPC * | Um servidor retornou um código de erro. Este alerta indica um erro de servidor ou uma solicitação inválida por um cliente. | Médio | Falhas de comando | Táticas: - Prejudicar o controle do processo Técnicas: – T0855: Mensagem de comando não autorizada |
Não pode ser aprendido |
| Alteração nos valores de amostra da configuração do conjunto de dados da mensagem * | Um conjunto de dados da mensagem (identificada pela ID de protocolo) foi alterado em um dispositivo de origem. Isso significa que o dispositivo relata um conjunto de dados diferente para essa mensagem. | Baixo | Alterações de configuração | Táticas: - Prejudicar o controle do processo Técnicas: – T0836: Modificar o parâmetro |
Não pode ser aprendido |
| Falha irrecuperável do dispositivo subordinado * | Um erro de condição irrecuperável foi detectado em um dispositivo de origem. Esse tipo de erro geralmente indica uma falha de hardware ou uma falha ao executar um comando específico. | Médio | Falhas de comando | Táticas: - Função de Inibição de Resposta Técnicas: – T0814: Negação de serviço |
Não pode ser aprendido |
| Suspeita de problemas de hardware na outstation | Um erro de condição irrecuperável foi detectado em um dispositivo de origem. Esse tipo de erro geralmente indica uma falha de hardware ou uma falha ao executar um comando específico. | Médio | Problemas operacionais | Táticas: - Função de Inibição de Resposta Técnicas: - T0814: Negação de serviço – T0881: Parada de serviço |
Não pode ser aprendido |
| Suspeita de dispositivo Modbus sem resposta | Um dispositivo de origem não respondeu a um comando enviado para ele. Ele pode ter sido desconectado quando o comando foi enviado. Limite: mínimo de 1 resposta válida para um mínimo de 3 solicitações dentro de 5 minutos |
Baixo | Sem resposta | Táticas: - Função de Inibição de Resposta Técnicas: – T0881: Parada de serviço |
Não pode ser aprendido |
| Tráfego detectado na interface do sensor | Um sensor retomou a detecção do tráfego de rede em um adaptador de rede. | Baixo | Tráfego do sensor | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Não pode ser aprendido |
| Modo de operação PLC alterado | O modo de operação neste PLC foi alterado. O novo modo pode indicar que o PLC não é seguro. Deixar o PLC em um modo operacional inseguro pode permitir que adversários executem atividades maliciosas nele, como o download de um programa. Se o PLC for comprometido, os dispositivos e processos que interagem com ele podem ser afetados. Isso pode afetar a segurança geral do sistema. | Baixo | Alterações de configuração | Táticas: -Execução -Evasão Técnicas: – T0858: Alterar o modo operacional |
Não pode ser aprendido |
Próximas etapas
Para saber mais, veja:
- Exibir e gerenciar alertas no portal Defender para IoT
- Exibir alertas no sensor
- Acelerar fluxos de trabalho de alertas
- Encaminhar informações de alertas
- Trabalhar com alertas no console de gerenciamento local
- Referência da API de gerenciamento de alerta para consoles de gerenciamento locais
- Referência da API de gerenciamento de alertas para sensores de monitoramento de OT
- Encaminhar informações de alertas