Partilhar via


Referência de alerta do Microsoft Defender para IoT

Este artigo fornece uma referência dos alertas gerados pelo Microsoft Defender para sensores de rede IoT, incluindo uma lista de todos os tipos de alerta e descrições. A referência também mostra quais alertas podem ser triados como aprendíveis ou não, para obter mais informações sobre o status aprendível, consulte Status de alerta e opções de triagem. Você pode usar essa referência para mapear alertas em playbooks, definir regras de encaminhamento em um sensor de rede de Tecnologia Operacional (OT) ou outra atividade personalizada.

Alertas OT desativados por padrão

Vários alertas são desativados por padrão, conforme indicado pelos asteriscos (*) nas tabelas abaixo. Os usuários administradores do sensor OT podem ativar ou desativar alertas da página Suporte em um sensor de rede OT específico.

Se você desativar alertas referenciados em outros locais, como regras de encaminhamento de alertas, atualize essas referências conforme necessário.

Gravidade do alerta

Os alertas do Defender for IoT usam os seguintes níveis de gravidade:

Portal do Azure Sensor OT Description
Alto Crítico Indica um ataque mal-intencionado que deve ser tratado imediatamente.
Medium Major: Indica uma ameaça à segurança que é importante abordar.
Baixo Menor, Advertência Indica algum desvio do comportamento da linha de base que pode conter uma ameaça à segurança ou não contém ameaças à segurança.

As gravidades de alerta nesta página listam a gravidade, conforme mostrado no portal do Azure.

Tipos de alerta suportados

Tipo de alerta Description
Alertas de violação de política Acionado quando o mecanismo de violação de política deteta um desvio do tráfego aprendido anteriormente. Por exemplo:
- Um novo dispositivo é detetado.
- Uma nova configuração é detetada em um dispositivo.
- Um dispositivo não definido como um dispositivo de programação realiza uma mudança de programação.
- Uma versão de firmware alterada.
Alertas de violação do protocolo Acionado quando o mecanismo de violação de protocolo deteta estruturas de pacotes ou valores de campo que não estão em conformidade com a especificação do protocolo.
Alertas operacionais Acionado quando o mecanismo operacional deteta incidentes operacionais de rede ou um mau funcionamento do dispositivo. Por exemplo, um dispositivo de rede foi interrompido através de um comando Stop PLC ou uma interface num sensor parou de monitorizar o tráfego.
Alertas de software maligno Acionado quando o mecanismo de malware deteta atividade maliciosa da rede. Por exemplo, o mecanismo deteta um ataque conhecido, como o Conficker.
Alertas de anomalias Acionado quando o mecanismo de anomalia deteta um desvio. Por exemplo, um dispositivo está executando verificações de rede, mas não está definido como um dispositivo de varredura.

A política de deteção de alertas do Defender for IoT orienta os diferentes mecanismos de alerta para disparar alertas com base no impacto nos negócios e no contexto da rede e reduzir alertas relacionados a TI de baixo valor. Para obter mais informações, consulte Alertas focados em ambientes OT/IT.

Categorias de alerta suportadas

Cada alerta tem uma das seguintes categorias:

  • Comportamento anormal de comunicação
  • Comportamento anormal de comunicação HTTP
  • Autenticação
  • Backup
  • Anomalias de largura de banda
  • Estouro de buffer
  • Falhas de comando
  • Alterações de configuração
  • Alertas Personalizados
  • Deteção
  • Alteração de firmware
  • Comandos ilegais
  • Acesso à Internet
  • Falhas de operação
  • Problemas operacionais
  • Programação
  • Acesso remoto
  • Comandos Reiniciar/Parar
  • Digitalizar
  • Tráfego do sensor
  • Suspeita de atividade maliciosa
  • Suspeita de malware
  • Comportamento de comunicação não autorizado
  • Sem resposta

Alertas do mecanismo de política

Os alertas do mecanismo de política descrevem os desvios detetados em relação ao comportamento da linha de base aprendido.

Title Description Gravidade Categoria MITRE ATT&CK
Táticas e técnicas
Aprendível
Software Beckhoff Alterado O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. Médio Alteração de firmware Táticas:
- Inibir a função de resposta
- Persistência

Técnicas:
- T0857: Firmware do sistema
Aprendível
Falha no login do banco de dados Foi detetada uma tentativa de início de sessão falhada de um dispositivo de origem para um servidor de destino. Isso pode ser o resultado de erro humano, mas também pode indicar uma tentativa maliciosa de comprometer o servidor ou os dados nele.

Limite: 2 falhas de início de sessão em 5 minutos
Médio Autenticação Táticas:
- Movimento Lateral
- Coleção

Técnicas:
- T0812: Credenciais padrão
- T0811: Dados de Repositórios de Informação
Não aprendível
Versão do firmware Emerson ROC alterada O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. Médio Alteração de firmware Táticas:
- Inibir a função de resposta
- Persistência

Técnicas:
- T0857: Firmware do sistema
Aprendível
Endereço externo dentro da rede comunicada com a Internet Um dispositivo de origem definido como parte da sua rede está se comunicando com endereços da Internet. A fonte não está autorizada a se comunicar com endereços da Internet. Alto Acesso à Internet Táticas:
- Acesso Inicial

Técnicas:
- T0883: Dispositivo acessível pela Internet
Aprendível
Dispositivo de campo descoberto inesperadamente Um novo dispositivo de origem foi detetado na rede, mas não está autorizado. Médio Deteção Táticas:
- Descoberta

Técnicas:
- T0842: Deteção de rede
Não aprendível
Alteração de firmware detetada O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. Médio Alteração de firmware Táticas:
- Inibir a função de resposta
- Persistência

Técnicas:
- T0857: Firmware do sistema
Não aprendível
Versão do firmware alterada O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. Médio Alteração de firmware Táticas:
- Inibir a função de resposta
- Persistência

Técnicas:
- T0857: Firmware do sistema
Aprendível
Foxboro I/A Operação não autorizada Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0836: Modificar parâmetro
Aprendível
Falha no login do FTP Foi detetada uma tentativa de início de sessão falhada de um dispositivo de origem para um servidor de destino. Esse alerta pode ser o resultado de erro humano, mas também pode indicar uma tentativa maliciosa de comprometer o servidor ou os dados nele. Médio Autenticação Táticas:
- Movimento Lateral
- Comando e Controlo

Técnicas:
- T0812: Credenciais padrão
- T0869: Protocolo de camada de aplicação padrão
Não aprendível
Código de função gerado exceção não autorizada * Um dispositivo de origem (secundário) retornou uma exceção para um dispositivo de destino (primário). Médio Falhas de comando Táticas:
- Inibir a função de resposta

Técnicas:
- T0835: Manipular imagem de E/S
Aprendível
Configurações de tipo de mensagem GOOSE As configurações de mensagem (identificadas pelo ID do protocolo) foram alteradas em um dispositivo de origem. Baixo Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0836: Modificar parâmetro
Aprendível
Versão do firmware da Honeywell alterada O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. Médio Alteração de firmware Táticas:
- Inibir a função de resposta
- Persistência

Técnicas:
- T0857: Firmware do sistema
Aprendível
Comunicação HTTP ilegal * Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento anormal de comunicação HTTP Táticas:
- Descoberta

Técnicas:
- T0846: Descoberta remota do sistema
Aprendível
Acesso à Internet detetado Um dispositivo de origem definido como parte da sua rede está se comunicando com endereços da Internet. A fonte não está autorizada a se comunicar com endereços da Internet. Médio Acesso à Internet Táticas:
- Acesso Inicial

Técnicas:
- T0883: Dispositivo acessível pela Internet
Aprendível
Versão de firmware Mitsubishi alterada O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. Médio Alteração de firmware Táticas:
- Inibir a função de resposta
- Persistência

Técnicas:
- T0857: Firmware do sistema
Aprendível
Violação do intervalo de endereços Modbus Um dispositivo primário solicitou acesso a um novo endereço de memória secundária. Médio Comportamento de comunicação não autorizado Táticas:
- Descoberta

Técnicas:
- T0842: Deteção de rede
Aprendível
Versão do firmware Modbus alterada O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. Médio Alteração de firmware Táticas:
- Inibir a função de resposta
- Persistência

Técnicas:
- T0857: Firmware do sistema
Aprendível
Nova atividade detetada - classe CIP Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Descoberta

Técnicas:
- T0888: Descoberta remota de informações do sistema
Aprendível
Nova atividade detetada - Serviço de classe CIP Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Inibir a função de resposta

Técnicas:
- T0836: Modificar parâmetro
Aprendível
Nova atividade detetada - Comando CIP PCCC Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Inibir a função de resposta

Técnicas:
- T0836: Modificar parâmetro
Aprendível
Nova atividade detetada - símbolo CIP Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados
- Inibir a função de resposta

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0836: Modificar parâmetro
Aprendível
Nova atividade detetada - Conexão de E/S EtherNet/IP Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Descoberta
- Inibir a função de resposta

Técnicas:
- T0846: Descoberta remota do sistema
- T0835: Manipular imagem de E/S
Aprendível
Nova atividade detetada - Comando do protocolo EtherNet/IP Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Inibir a função de resposta

Técnicas:
- T0836: Modificar parâmetro
Aprendível
Nova atividade detetada - Código de mensagem GSM Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- CommandAndControl

Técnicas:
- T0869: Protocolo de camada de aplicação padrão
Aprendível
Nova atividade detetada - Códigos de comando LonTalk Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Coleção
- Controlo de Processos Prejudicados

Técnicas:
- T0861 - Ponto & Identificação de Tag
- T0855: Mensagem de comando não autorizada
Aprendível
Nova descoberta de porta Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Baixo Deteção Táticas:
- Movimento Lateral

Técnicas:
- T0867: Transferência de Ferramenta Lateral
Aprendível
Nova atividade detetada - variável de rede LonTalk Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
Aprendível
Nova atividade detetada - solicitação de dados de ovação Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Coleção
- Descoberta

Técnicas:
- T0801: Estado do processo do monitor
- T0888: Descoberta remota de informações do sistema
Aprendível
Nova atividade detetada - comando de leitura/gravação (grupo de índice AMS) Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Alterações de configuração Táticas:
- Controlo de Processos Prejudicados
- Inibir a função de resposta

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0836: Modificar parâmetro
Aprendível
Nova atividade detetada - comando de leitura/gravação (deslocamento do índice AMS) Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Alterações de configuração Táticas:
- Controlo de Processos Prejudicados
- Inibir a função de resposta

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0836: Modificar parâmetro
Aprendível
Nova atividade detetada - tipo de mensagem DeltaV não autorizada Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados
- Execução

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0821: Modificar o controle do controlador
Aprendível
Nova atividade detetada - operação não autorizada do DeltaV ROC Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados
- Execução

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0821: Modificar o controle do controlador
Aprendível
Nova atividade detetada - tipo de mensagem RPC não autorizada Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
Aprendível
Nova atividade detetada - Usando o comando do protocolo AMS Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados
- Inibir a função de resposta
- Execução

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0836: Modificar parâmetro
- T0821: Modificar o controle do controlador
Aprendível
Nova atividade detetada - Usando o comando Siemens SICAM Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados
- Inibir a função de resposta

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0836: Modificar parâmetro
Aprendível
Nova atividade detetada - Usando o comando Suitelink Protocol Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados
- Inibir a função de resposta

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0836: Modificar parâmetro
Aprendível
Nova atividade detetada - Usando sessões do protocolo Suitelink Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0836: Modificar parâmetro
Aprendível
Nova atividade detetada - Usando o comando Yokogawa VNetIP Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados
- Execução

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0821: Modificar o controle do controlador
Aprendível
Novo ativo detetado Um novo dispositivo de origem foi detetado na rede, mas não está autorizado.

Este alerta aplica-se a dispositivos descobertos em sub-redes OT. Novos dispositivos descobertos em sub-redes de TI não disparam um alerta.
Médio Deteção Táticas:
- Descoberta

Técnicas:
- T0842: Deteção de rede
Aprendível
Nova configuração de dispositivo LLDP Um novo dispositivo de origem foi detetado na rede, mas não está autorizado. Médio Alterações de configuração Táticas:
- Descoberta

Técnicas:
- T0842: Deteção de rede
Aprendível
Comando não autorizado FINS da Omron Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0836: Modificar parâmetro
Aprendível
Firmware do PLC S7 Plus alterado O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. Médio Alteração de firmware Táticas:
- Inibir a função de resposta
- Persistência

Técnicas:
- T0857: Firmware do sistema
Aprendível
Valores de amostra Configurações de tipo de mensagem As configurações de mensagem (identificadas pelo ID do protocolo) foram alteradas em um dispositivo de origem. Baixo Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0836: Modificar parâmetro
Não aprendível
Suspeita de Verificação de Integridade Ilegal * Uma varredura foi detetada em um dispositivo de origem DNP3 (outstation). Esta verificação não foi autorizada como tráfego aprendido na sua rede. Médio Digitalizar Táticas:
- Descoberta

Técnicas:
- T0842: Deteção de rede
Aprendível
Toshiba Computer Link Comando não autorizado Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Baixo Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados
- Execução

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0821: Modificar o controle do controlador
Aprendível
Operação não autorizada do arquivo ABB Totalflow Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados
- Execução

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0821: Modificar o controle do controlador
Não aprendível
Operação não autorizada do registro ABB Totalflow Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados
- Execução

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0821: Modificar o controle do controlador
Não aprendível
Acesso não autorizado ao bloco de dados Siemens S7 Um dispositivo de origem tentou acessar um recurso em outro dispositivo. Uma tentativa de acesso a este recurso entre estes dois dispositivos não é autorizada como tráfego aprendido na sua rede. Baixo Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados
- Acesso Inicial

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0811: Dados de Repositórios de Informação
Aprendível
Acesso não autorizado ao objeto Siemens S7 Plus Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados
- Execução
- Inibir a função de resposta

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0821: Modificar o controle do controlador
- T0809: Destruição de Dados
Aprendível
Acesso não autorizado à tag Wonderware Um dispositivo de origem tentou acessar um recurso em outro dispositivo. Uma tentativa de acesso a este recurso entre estes dois dispositivos não é autorizada como tráfego aprendido na sua rede. Médio Comportamento de comunicação não autorizado Táticas:
- Coleção
- Controlo de Processos Prejudicados

Técnicas:
- T0861: Ponto & Identificação de Tag
- T0855: Mensagem de comando não autorizada
Aprendível
Acesso não autorizado a objetos BACNet Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados
- Execução

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0821: Modificar o controle do controlador
Aprendível
Rota BACNet não autorizada Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados
- Execução

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0821: Modificar o controle do controlador
Aprendível
Login não autorizado no banco de dados * Foi detetada uma tentativa de início de sessão entre um cliente de origem e um servidor de destino. A comunicação entre esses dispositivos não é autorizada como tráfego aprendido em sua rede. Médio Autenticação Táticas:
- Movimento Lateral
- Persistência
- Coleção

Técnicas:
- T0859: Contas Válidas
- T0811: Dados de Repositórios de Informação
Aprendível
Operação não autorizada do banco de dados Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento anormal de comunicação Táticas:
- Controlo de Processos Prejudicados
- Acesso Inicial

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0811: Dados de Repositórios de Informação
Aprendível
Operação ROC não autorizada da Emerson Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados
- Execução

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0821: Modificar o controle do controlador
Aprendível
Acesso não autorizado a arquivos SRTP da GE Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Coleção
- Movimento Lateral
- Persistência

Técnicas:
- T0801: Estado do processo do monitor
- T0859: Contas Válidas
Aprendível
Comando não autorizado do protocolo GE SRTP Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0821: Modificar o controle do controlador
Aprendível
Operação não autorizada da memória do sistema GE SRTP Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Descoberta
- Controlo de Processos Prejudicados

Técnicas:
- T0846: Descoberta remota do sistema
- T0855: Mensagem de comando não autorizada
Aprendível
Atividade HTTP não autorizada Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento anormal de comunicação HTTP Táticas:
- Acesso Inicial
- Comando e Controlo

Técnicas:
- T0822: Serviços Remotos Externos
- T0869: Protocolo de camada de aplicação padrão
Aprendível
Ação HTTP SOAP não autorizada * Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento anormal de comunicação HTTP Táticas:
- Comando e Controlo
- Execução

Técnicas:
- T0869: Protocolo de camada de aplicação padrão
- T0871: Execução através de API
Aprendível
Agente de usuário HTTP não autorizado * Um aplicativo não autorizado foi detetado em um dispositivo de origem. O aplicativo não está autorizado como um aplicativo aprendido em sua rede. Médio Comportamento anormal de comunicação HTTP Táticas:
- Comando e Controlo

Técnicas:
- T0869: Protocolo de camada de aplicação padrão
Aprendível
Conectividade com a Internet não autorizada detetada Um dispositivo de origem definido como parte da sua rede está se comunicando com endereços da Internet. A fonte não está autorizada a se comunicar com endereços da Internet. Alto Acesso à Internet Táticas:
- Acesso Inicial

Técnicas:
- T0883: Dispositivo acessível pela Internet
Aprendível
Comando Mitsubishi MELSEC não autorizado Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados
- Execução

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0821: Modificar o controle do controlador
Aprendível
Acesso não autorizado ao programa MMS Um dispositivo de origem tentou acessar um recurso em outro dispositivo. Uma tentativa de acesso a este recurso entre estes dois dispositivos não é autorizada como tráfego aprendido na sua rede. Médio Programação Táticas:
- Controlo de Processos Prejudicados
- Execução

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0821: Modificar o controle do controlador
Aprendível
Serviço MMS não autorizado Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados
- Execução

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0821: Modificar o controle do controlador
Aprendível
Conexão Multicast/Broadcast não autorizada Foi detetada uma ligação Multicast/Broadcast entre um dispositivo de origem e outros dispositivos. A comunicação multicast/broadcast não é autorizada. Alto Comportamento anormal de comunicação Táticas:
- Descoberta

Técnicas:
- T0842: Deteção de rede
Aprendível
Consulta de nome não autorizada Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento anormal de comunicação Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0836: Modificar parâmetro
Não aprendível
Atividade OPC UA não autorizada Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0836: Modificar parâmetro
Aprendível
Solicitação/resposta OPC UA não autorizada Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0836: Modificar parâmetro
Aprendível
A operação não autorizada foi detetada por uma regra definida pelo usuário Foi detetado tráfego entre dois dispositivos. Essa atividade não é autorizada, com base em uma Regra de Alerta Personalizada definida por um usuário. Médio Alertas Personalizados Táticas:
- Descoberta

Técnicas:
- T0842: Deteção de rede
Não aprendível
Leitura de configuração de PLC não autorizada O dispositivo de origem não é definido como um dispositivo de programação, mas executou uma operação de leitura/gravação em um controlador de destino. As alterações de programação só devem ser realizadas por dispositivos de programação. Um aplicativo de programação pode ter sido instalado neste dispositivo. Baixo Alterações de configuração Táticas:
- Coleção

Técnicas:
- T0801: Estado do processo do monitor
Aprendível
Gravação de configuração de PLC não autorizada O dispositivo de origem enviou um comando para ler/gravar o programa de um controlador de destino. Esta atividade não era vista anteriormente. Médio Alterações de configuração Táticas:
- Controlo de Processos Prejudicados
- Persistência
- Impacto

Técnicas:
- T0839: Firmware do módulo
- T0831: Manipulação de Controle
- T0889: Modificar Programa
Aprendível
Upload não autorizado do programa PLC O dispositivo de origem enviou um comando para ler/gravar o programa de um controlador de destino. Esta atividade não era vista anteriormente. Médio Programação Táticas:
- Controlo de Processos Prejudicados
- Persistência
- Coleção

Técnicas:
- T0839: Firmware do módulo
- T0845: Upload do Programa
Aprendível
Programação PLC não autorizada O dispositivo de origem não é definido como um dispositivo de programação, mas executou uma operação de leitura/gravação em um controlador de destino. As alterações de programação só devem ser realizadas por dispositivos de programação. Um aplicativo de programação pode ter sido instalado neste dispositivo. Alto Programação Táticas:
- Controlo de Processos Prejudicados
- Persistência
- Movimento Lateral

Técnicas:
- T0839: Firmware do módulo
- T0889: Modificar Programa
- T0843: Download do Programa
Aprendível
Tipo de quadro Profinet não autorizado Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0836: Modificar parâmetro
Aprendível
Comando SAIA S-Bus não autorizado Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
Aprendível
Execução não autorizada da função de controle Siemens S7 Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados
- Inibir a função de resposta

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0809: Destruição de Dados
Aprendível
Execução não autorizada Siemens S7 de função definida pelo usuário Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados
- Execução

Técnicas:
- T0836: Modificar parâmetro
- T0863: Execução do usuário
Aprendível
Acesso não autorizado a blocos Siemens S7 Plus Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Inibir a função de resposta
- Persistência
- Execução

Técnicas:
- T0803 - Bloquear mensagem de comando
- T0889: Modificar Programa
- T0821: Modificar o controle do controlador
Aprendível
Operação não autorizada Siemens S7 Plus Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados
- Execução

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0863: Execução do usuário
Aprendível
Login SMB não autorizado Foi detetada uma tentativa de início de sessão entre um cliente de origem e um servidor de destino. A comunicação entre esses dispositivos não é autorizada como tráfego aprendido em sua rede. Médio Autenticação Táticas:
- Acesso Inicial
- Movimento Lateral
- Persistência

Técnicas:
- T0886: Serviços Remotos
- T0859: Contas Válidas
Aprendível
Operação SNMP não autorizada Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento anormal de comunicação Táticas:
- Descoberta
- Comando e Controlo

Técnicas:
- T0842: Deteção de rede
- T0885: Porta comumente usada
Aprendível
Acesso SSH não autorizado Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Acesso Remoto Táticas:
- InitialAccess
- Movimento Lateral
- Comando e Controlo

Técnicas:
- T0886: Serviços Remotos
- T0869: Protocolo de camada de aplicação padrão
Aprendível
Processo não autorizado do Windows Um aplicativo não autorizado foi detetado em um dispositivo de origem. O aplicativo não está autorizado como um aplicativo aprendido em sua rede. Médio Comportamento anormal de comunicação Táticas:
- Execução
- Escalonamento de privilégios
- Comando e Controlo

Técnicas:
- T0841: Gancho
- T0885: Porta comumente usada
Aprendível
Serviço Windows não autorizado Um aplicativo não autorizado foi detetado em um dispositivo de origem. O aplicativo não está autorizado como um aplicativo aprendido em sua rede. Médio Comportamento anormal de comunicação Táticas:
- Acesso Inicial
- Movimento Lateral

Técnicas:
- T0866: Exploração de Serviços Remotos
Aprendível
A operação não autorizada foi detetada por uma regra definida pelo usuário Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros viola uma regra definida pelo usuário Médio Táticas:
- Descoberta

Técnicas:
- T0842: Deteção de rede
Não aprendível
Extensão Modbus Schneider Electric não permitida Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
Aprendível
Uso não permitido de tipos ASDU Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
Aprendível
Uso não permitido do código de função DNP3 Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0836: Modificar parâmetro
Aprendível
Uso não permitido de indicação interna (IIN) * Um dispositivo de origem DNP3 (outstation) relatou uma indicação interna (IIN) que não autorizou como tráfego aprendido em sua rede. Médio Comandos ilegais Táticas:
- Descoberta

Técnicas:
- T0842: Deteção de rede
Aprendível
Uso não permitido do código de função Modbus Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. Médio Comportamento de comunicação não autorizado Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0836: Modificar parâmetro
Aprendível

Alertas do mecanismo de anomalia

Nota

Este artigo poderá conter referências ao termo slave (secundário), um termo que a Microsoft já não utiliza. Quando o termo for removido do software, iremos removê-lo deste artigo.

Os alertas do mecanismo de anomalias descrevem anomalias detetadas na atividade da rede.

Title Description Gravidade Categoria MITRE ATT&CK
Táticas e técnicas
Aprendível
Padrão de exceção anormal em escravo * Um número excessivo de erros foi detetado em um dispositivo de origem. Este alerta pode ser o resultado de um problema operacional.

Limite: 20 exceções em 1 hora
Baixo Comportamento anormal de comunicação Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0806: E/S de Força Bruta
Não aprendível
Comprimento anormal do cabeçalho HTTP * O dispositivo de origem enviou uma mensagem anormal. Este alerta pode indicar uma tentativa de ataque ao dispositivo de destino. Alto Comportamento anormal de comunicação HTTP Táticas:
- Acesso Inicial
- Movimento Lateral
- Comando e Controlo

Técnicas:
- T0866: Exploração de Serviços Remotos
- T0869: Protocolo de camada de aplicação padrão
Aprendível
Número anormal de parâmetros no cabeçalho HTTP * O dispositivo de origem enviou uma mensagem anormal. Este alerta pode indicar uma tentativa de ataque ao dispositivo de destino. Alto Comportamento anormal de comunicação HTTP Táticas:
- Acesso Inicial
- Movimento Lateral
- Comando e Controlo

Técnicas:
- T0866: Exploração de Serviços Remotos
- T0869: Protocolo de camada de aplicação padrão
Aprendível
Comportamento periódico anormal no canal de comunicação Foi detetada uma alteração na frequência de comunicação entre os dispositivos de origem e de destino. Baixo Comportamento anormal de comunicação Táticas:
- Descoberta

Técnicas:
- T0842: Deteção de rede
Aprendível
Cessação anormal das candidaturas * Um número excessivo de comandos stop foi detetado em um dispositivo de origem. Este alerta pode ser o resultado de um problema operacional ou de uma tentativa de manipular o dispositivo.

Limite: 20 comandos de paragem em 3 horas
Médio Comportamento anormal de comunicação Táticas:
- Persistência
- Impacto

Técnicas:
- T0889: Modificar Programa
- T0831: Manipulação de Controle
Aprendível
Largura de banda de tráfego anormal * Largura de banda anormal foi detetada em um canal. A largura de banda parece ser menor/maior do que a detetada anteriormente. Para obter detalhes, trabalhe com o widget Largura de banda total. Baixo Anomalias de largura de banda Táticas:
- Descoberta

Técnicas:
- T0842: Deteção de rede
Aprendível
Largura de banda de tráfego anormal entre dispositivos * Largura de banda anormal foi detetada em um canal. A largura de banda parece ser menor/maior do que a detetada anteriormente. Para obter detalhes, trabalhe com o widget Largura de banda total. Baixo Anomalias de largura de banda Táticas:
- Descoberta

Técnicas:
- T0842: Deteção de rede
Não aprendível
Varredura de endereço detetada Um dispositivo de origem foi detetado verificando dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede.

Limite: 50 conexões para a mesma sub-rede de classe B em 2 minutos
Alto Digitalizar Táticas:
- Descoberta

Técnicas:
- T0842: Deteção de rede
Aprendível
Varredura de endereço ARP detetada * Um dispositivo de origem foi detetado verificando dispositivos de rede usando o protocolo ARP (Address Resolution Protocol). Este endereço de dispositivo não está autorizado como endereço de verificação ARP válido.

Limite: 40 exames em 6 minutos
Alto Digitalizar Táticas:
- Descoberta
- Coleção

Técnicas:
- T0842: Deteção de rede
- T0830: Homem no Meio
Aprendível
Falsificação ARP * Foi detetada uma quantidade anormal de pacotes na rede. Esse alerta pode indicar um ataque, por exemplo, uma falsificação de ARP ou um ataque de inundação ICMP.

Limite: 60 pacotes em 1 minuto
Baixo Comportamento anormal de comunicação Táticas:
- Coleção

Técnicas:
- T0830: Homem no Meio
Não aprendível
Tentativas de login excessivas Um dispositivo de origem foi visto executando tentativas excessivas de entrada em um servidor de destino. Este alerta pode indicar um ataque de força bruta. O servidor pode ser comprometido por um agente mal-intencionado.

Limite: 20 tentativas de início de sessão em 1 minuto
Alto Autenticação Táticas:
- Movimento Lateral
- Controlo de Processos Prejudicados

Técnicas:
- T0812: Credenciais padrão
- T0806: E/S de Força Bruta
Não aprendível
Número excessivo de sessões Um dispositivo de origem foi visto executando tentativas excessivas de entrada em um servidor de destino. Isso pode indicar um ataque de força bruta. O servidor pode ser comprometido por um agente mal-intencionado.

Limite: 50 sessões em 1 minuto
Alto Comportamento anormal de comunicação Táticas:
- Movimento Lateral
- Controlo de Processos Prejudicados

Técnicas:
- T0812: Credenciais padrão
- T0806: E/S de Força Bruta
Não aprendível
Taxa de reinicialização excessiva de um Outstation * Um número excessivo de comandos de reinicialização foi detetado em um dispositivo de origem. Esses alertas podem ser o resultado de um problema operacional ou uma tentativa de manipular o dispositivo.

Limite: 10 reinícios em 1 hora
Médio Comandos Reiniciar/Parar Táticas:
- Inibir a função de resposta
- Controlo de Processos Prejudicados

Técnicas:
- T0814: Negação de Serviço
- T0806: E/S de Força Bruta
Não aprendível
Tentativas excessivas de login SMB Um dispositivo de origem foi visto executando tentativas excessivas de entrada em um servidor de destino. Isso pode indicar um ataque de força bruta. O servidor pode ser comprometido por um agente mal-intencionado.

Limite: 10 tentativas de início de sessão em 10 minutos
Alto Autenticação Táticas:
- Persistência
- Execução
- Movimento Lateral

Técnicas:
- T0812: Credenciais padrão
- T0853: Scripts
- T0859: Contas Válidas
Não aprendível
Inundação ICMP * Foi detetada uma quantidade anormal de pacotes na rede. Esse alerta pode indicar um ataque, por exemplo, uma falsificação de ARP ou um ataque de inundação ICMP.

Limite: 60 pacotes em 1 minuto
Baixo Comportamento anormal de comunicação Táticas:
- Descoberta
- Coleção

Técnicas:
- T0842: Deteção de rede
- T0830: Homem no Meio
Não aprendível
Conteúdo de cabeçalho HTTP ilegal * O dispositivo de origem iniciou uma solicitação inválida. Alto Comportamento anormal de comunicação HTTP Táticas:
- Acesso Inicial
- Movimento Lateral

Técnicas:
- T0866: Exploração de Serviços Remotos
Não aprendível
Canal de comunicação inativo * Um canal de comunicação entre dois dispositivos esteve inativo durante um período em que a atividade é geralmente observada. Isso pode indicar que o programa que gera esse tráfego foi alterado ou o programa pode estar indisponível. Recomenda-se rever a configuração do programa instalado e verificar se ele está configurado corretamente.

Limiar: 1 minuto
Baixo Sem resposta Táticas:
- Inibir a função de resposta

Técnicas:
- T0881: Paragem de Serviço
Não aprendível
Varredura de endereço de longa duração detetada * Um dispositivo de origem foi detetado verificando dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede.

Limite: 50 conexões com a mesma sub-rede de classe B em 10 minutos
Alto Digitalizar Táticas:
- Descoberta

Técnicas:
- T0842: Deteção de rede
Aprendível
Tentativa de adivinhação de senha detetada Um dispositivo de origem foi visto executando tentativas excessivas de entrada em um servidor de destino. Isso pode indicar um ataque de força bruta. O servidor pode ser comprometido por um agente mal-intencionado.

Limite: 100 tentativas em 1 minuto
Alto Autenticação Táticas:
- Movimento Lateral

Técnicas:
- T0812: Credenciais padrão
- T0806: E/S de Força Bruta
Não aprendível
Verificação de PLC detetada Um dispositivo de origem foi detetado verificando dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede.

Limite: 10 exames em 2 minutos
Alto Digitalizar Táticas:
- Descoberta

Técnicas:
- T0842: Deteção de rede
Aprendível
Varredura de porta detetada Um dispositivo de origem foi detetado verificando dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede.

Limite: 25 exames em 2 minutos
Alto Digitalizar Táticas:
- Descoberta

Técnicas:
- T0842: Deteção de rede
Aprendível
Comprimento inesperado da mensagem O dispositivo de origem enviou uma mensagem anormal. Este alerta pode indicar uma tentativa de ataque ao dispositivo de destino.

Limite: comprimento do texto - 32768
Alto Comportamento anormal de comunicação Táticas:
- InitialAccess
- Movimento Lateral

Técnicas:
- T0869: Exploração de Serviços Remotos
Não aprendível
Tráfego inesperado para porta padrão * O tráfego foi detetado em um dispositivo usando uma porta reservada para outro protocolo. Médio Comportamento anormal de comunicação Táticas:
- Comando e Controlo
- Descoberta

Técnicas:
- T0869: Protocolo de camada de aplicação padrão
- T0842: Deteção de rede
Não aprendível

Alertas do mecanismo de violação de protocolo

Os alertas do mecanismo de protocolo descrevem desvios detetados na estrutura do pacote ou valores de campo em comparação com as especificações do protocolo.

Title Description Gravidade Categoria MITRE ATT&CK
Táticas e técnicas
Aprendível
Pacotes malformados excessivos em uma única sessão * Um número anormal de pacotes malformados enviados do dispositivo de origem para o dispositivo de destino. Este alerta pode indicar comunicações erradas ou uma tentativa de manipular o dispositivo visado.

Limite: 2 pacotes malformados em 10 minutos
Médio Comandos ilegais Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0806: E/S de Força Bruta
Não aprendível
Atualização de firmware Um dispositivo de origem enviou um comando para atualizar o firmware em um dispositivo de destino. Verifique se as atualizações recentes de programação, configuração e firmware feitas no dispositivo de destino são válidas. Baixo Alteração de firmware Táticas:
- Inibir a função de resposta
- Persistência

Técnicas:
- T0857: Firmware do sistema
Aprendível
Código de função não suportado pelo Outstation O dispositivo de destino recebeu uma solicitação inválida. Médio Comandos ilegais Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
Não aprendível
Mensagem BACNet ilegal O dispositivo de origem iniciou uma solicitação inválida. Médio Comandos ilegais Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0836: Modificar parâmetro
Não aprendível
Tentativa de conexão ilegal na porta 0 Um dispositivo de origem tentou se conectar ao dispositivo de destino na porta número zero (0). Para TCP, a porta 0 é reservada e não pode ser usada. Para UDP, a porta é opcional e um valor de 0 significa que não há porta. Normalmente, não há serviço em um sistema que escuta na porta 0. Esse evento pode indicar uma tentativa de atacar o dispositivo de destino ou indicar que um aplicativo foi programado incorretamente. Baixo Comandos ilegais Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0836: Modificar parâmetro
Não aprendível
Operação DNP3 ilegal O dispositivo de origem iniciou uma solicitação inválida. Médio Comandos ilegais Táticas:
- Acesso Inicial
- Movimento Lateral

Técnicas:
- T0866: Exploração de Serviços Remotos
Não aprendível
Operação ilegal do MODBUS (exceção levantada pelo mestre) O dispositivo de origem iniciou uma solicitação inválida. Médio Comandos ilegais Táticas:
- Acesso Inicial
- Movimento Lateral

Técnicas:
- T0866: Exploração de Serviços Remotos
Não aprendível
Operação ilegal MODBUS (código de função zero) * O dispositivo de origem iniciou uma solicitação inválida. Médio Comandos ilegais Táticas:
- Acesso Inicial
- Movimento Lateral

Técnicas:
- T0866: Exploração de Serviços Remotos
Não aprendível
Versão do protocolo ilegal * O dispositivo de origem iniciou uma solicitação inválida. Médio Comandos ilegais Táticas:
- Acesso Inicial
- Movimento Lateral
- Controlo de Processos Prejudicados

Técnicas:
- T0820: Serviços Remotos
- T0836: Modificar parâmetro
Não aprendível
Parâmetro incorreto enviado para Outstation O dispositivo de destino recebeu uma solicitação inválida. Médio Comandos ilegais Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0836: Modificar parâmetro
Não aprendível
Início de um código de função obsoleto (inicializar dados) O dispositivo de origem iniciou uma solicitação inválida. Baixo Comandos ilegais Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
Não aprendível
Início de um código de função obsoleto (Save Config) O dispositivo de origem iniciou uma solicitação inválida. Baixo Comandos ilegais Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
Não aprendível
Master solicitou uma confirmação da camada de aplicativo O dispositivo de origem iniciou uma solicitação inválida. Baixo Comandos ilegais Táticas:
- Comando e Controlo

Técnicas:
- T0869: Protocolo de camada de aplicação padrão
Não aprendível
Exceção Modbus Um dispositivo de origem (secundário) retornou uma exceção para um dispositivo de destino (primário). Médio Comandos ilegais Táticas:
- Inibir a função de resposta

Técnicas:
- T0814: Negação de Serviço
Não aprendível
Dispositivo escravo recebeu tipo ASDU ilegal O dispositivo de destino recebeu uma solicitação inválida. Médio Comandos ilegais Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0836: Modificar parâmetro
Não aprendível
Dispositivo escravo recebeu comando ilegal causa de transmissão O dispositivo de destino recebeu uma solicitação inválida. Médio Comandos ilegais Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0836: Modificar parâmetro
Não aprendível
Dispositivo escravo recebeu endereço comum ilegal O dispositivo de destino recebeu uma solicitação inválida. Médio Comandos ilegais Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0836: Modificar parâmetro
Não aprendível
Dispositivo escravo recebeu dados ilegais parâmetro de endereço * O dispositivo de destino recebeu uma solicitação inválida. Médio Comandos ilegais Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0836: Modificar parâmetro
Não aprendível
Dispositivo escravo recebeu dados ilegais parâmetro de valor * O dispositivo de destino recebeu uma solicitação inválida. Médio Comandos ilegais Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0836: Modificar parâmetro
Não aprendível
Dispositivo escravo recebeu código de função ilegal * O dispositivo de destino recebeu uma solicitação inválida. Médio Comandos ilegais Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0836: Modificar parâmetro
Não aprendível
Dispositivo escravo recebeu endereço de objeto de informação ilegal O dispositivo de destino recebeu uma solicitação inválida. Médio Comandos ilegais Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
- T0836: Modificar parâmetro
Não aprendível
Objeto desconhecido enviado para Outstation O dispositivo de destino recebeu uma solicitação inválida. Médio Comandos ilegais Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
Não aprendível
Uso de um código de função reservada O dispositivo de origem iniciou uma solicitação inválida. Médio Comandos ilegais Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0836: Modificar parâmetro
Não aprendível
Uso de formatação imprópria por Outstation * O dispositivo de origem iniciou uma solicitação inválida. Baixo Comandos ilegais Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
Não aprendível
Uso de sinalizadores de status reservado (IIN) Um dispositivo de origem DNP3 (outstation) utilizou o Indicador Interno 2.6 reservado. Recomenda-se verificar a configuração do dispositivo. Baixo Comandos ilegais Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0836: Modificar parâmetro
Não aprendível

Alertas do mecanismo de malware

Os alertas do mecanismo de malware descrevem a atividade maliciosa da rede detetada.

Title Description Gravidade Categoria MITRE ATT&CK
Táticas e técnicas
Aprendível
Tentativa de conexão com IP mal-intencionado conhecido Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido.

Acionado por sensores de rede OT e Enterprise IoT.
Alto Suspeita de atividade maliciosa Táticas:
- Acesso Inicial
- Comando e Controlo

Técnicas:
- T0883: Dispositivo acessível pela Internet
- T0884: Proxy de conexão
Não aprendível
Mensagem SMB inválida (implante DoublePulsar Backdoor) Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Alto Suspeita de malware Táticas:
- Acesso Inicial
- Movimento Lateral

Técnicas:
- T0866: Exploração de Serviços Remotos
Não aprendível
Solicitação de nome de domínio mal-intencionado Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido.

Acionado por sensores de rede OT e Enterprise IoT.
Alto Suspeita de atividade maliciosa Táticas:
- Acesso Inicial
- Comando e Controlo

Técnicas:
- T0883: Dispositivo acessível pela Internet
- T0884: Proxy de conexão
Aprendível
Caminho de URL malicioso Foi feita uma solicitação para um caminho de URL mal-intencionado conhecido. As solicitações feitas para esse caminho de URL podem indicar que a fonte que faz a solicitação está comprometida. Alto Suspeita de atividade maliciosa Táticas:
- Acesso Inicial
- Comando e Controlo

Técnicas:
- T0883: Dispositivo acessível pela Internet
- T0884: Proxy de conexão
Não aprendível
Arquivo de teste de malware detetado - EICAR AV Success Um arquivo de teste EICAR AV foi detetado no tráfego entre dois dispositivos (em qualquer transporte - TCP ou UDP). O ficheiro não é malware. É usado para confirmar se o software antivírus está instalado corretamente. Demonstre o que acontece quando um vírus é encontrado e verifique os procedimentos internos e as reações quando um vírus é encontrado. O software antivírus deve detetar EICAR como se fosse um vírus real. Alto Suspeita de atividade maliciosa Táticas:
- Descoberta

Técnicas:
- T0842: Deteção de rede
Não aprendível
Suspeita de malware Conficker Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Médio Suspeita de malware Táticas:
- Acesso Inicial
- Impacto

Técnicas:
- T0826: Perda de disponibilidade
- T0828: Perda de Produtividade e Receita
- T0847: Replicação através de mídia removível
Não aprendível
Suspeita de ataque de negação de serviço Um dispositivo de origem tentou iniciar um número excessivo de novas conexões com um dispositivo de destino. Isso pode indicar um ataque de negação de serviço (DOS) contra o dispositivo de destino e pode interromper a funcionalidade do dispositivo, afetar o desempenho e a disponibilidade do serviço ou causar erros irrecuperáveis.

Limite: 3000 tentativas em 1 minuto
Alto Suspeita de atividade maliciosa Táticas:
- Inibir a função de resposta

Técnicas:
- T0814: Negação de Serviço
Aprendível
Suspeita de atividade maliciosa Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que desencadeou os conhecidos "Indicadores de Compromisso" (IOC). Os metadados de alerta devem ser revisados pela equipe de segurança. Alto Suspeita de atividade maliciosa Táticas:
- Movimento Lateral

Técnicas:
- T0867: Transferência de Ferramenta Lateral
Não aprendível
Suspeita de atividade maliciosa (BlackEnergy) Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Alto Suspeita de malware Táticas:
- Comando e Controlo

Técnicas:
- T0869: Protocolo de camada de aplicação padrão
Não aprendível
Suspeita de atividade maliciosa (DarkComet) Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Alto Suspeita de malware Táticas:
- Impacto

Técnicas:
- T0882: Roubo de Informação Operacional
Não aprendível
Suspeita de atividade maliciosa (Duqu) Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Alto Suspeita de malware Táticas:
- Impacto

Técnicas:
- T0882: Roubo de Informação Operacional
Não aprendível
Suspeita de atividade maliciosa (chama) Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Alto Suspeita de malware Táticas:
- Coleção
- Impacto

Técnicas:
- T0882: Roubo de Informação Operacional
- T0811: Dados de Repositórios de Informação
Não aprendível
Suspeita de atividade maliciosa (Havex) Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Alto Suspeita de malware Táticas:
- Coleção
- Descoberta
- Inibir a função de resposta

Técnicas:
- T0861: Ponto & Identificação de Tag
- T0846: Descoberta remota do sistema
- T0814: Negação de Serviço
Não aprendível
Suspeita de atividade maliciosa (Karagany) Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Alto Suspeita de malware Táticas:
- Impacto

Técnicas:
- T0882: Roubo de Informação Operacional
Não aprendível
Suspeita de atividade maliciosa (LightsOut) Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Alto Suspeita de malware Táticas:
- Evasão

Técnicas:
- T0849: Mascaramento
Não aprendível
Suspeita de atividade maliciosa (consultas de nome) Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido.

Limite: 25 consultas de nome em 1 minuto
Alto Suspeita de atividade maliciosa Táticas:
- Comando e Controlo

Técnicas:
- T0884: Proxy de conexão
Não aprendível
Suspeita de atividade maliciosa (Hera Venenosa) Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Alto Suspeita de malware Táticas:
- Acesso Inicial
- Movimento Lateral

Técnicas:
- T0866: Exploração de Serviços Remotos
Não aprendível
Suspeita de atividade maliciosa (Regin) Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Alto Suspeita de malware Táticas:
- Acesso Inicial
- Movimento Lateral
- Impacto

Técnicas:
- T0866: Exploração de Serviços Remotos
- T0882: Roubo de Informação Operacional
Não aprendível
Suspeita de atividade maliciosa (Stuxnet) Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Alto Suspeita de malware Táticas:
- Acesso Inicial
- Movimento Lateral
- Impacto

Técnicas:
- T0818: Compromisso da Estação de Trabalho de Engenharia
- T0866: Exploração de Serviços Remotos
- T0831: Manipulação de Controle
Não aprendível
Suspeita de atividade maliciosa (WannaCry) * Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Médio Suspeita de malware Táticas:
- Acesso Inicial
- Movimento Lateral

Técnicas:
- T0866: Exploração de Serviços Remotos
- T0867: Transferência de Ferramenta Lateral
Não aprendível
Suspeita de NotPetya Malware - Parâmetros SMB ilegais detetados Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Alto Suspeita de malware Táticas:
- Acesso Inicial
- Movimento Lateral

Técnicas:
- T0866: Exploração de Serviços Remotos
Não aprendível
Suspeita de NotPetya Malware - Transação SMB ilegal detetada Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Alto Suspeita de malware Táticas:
- Movimento Lateral

Técnicas:
- T0867: Transferência de Ferramenta Lateral
Não aprendível
Suspeita de execução remota de código com PsExec Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Alto Suspeita de atividade maliciosa Táticas:
- Movimento Lateral
- Acesso Inicial

Técnicas:
- T0866: Exploração de Serviços Remotos
Não aprendível
Suspeita de Gerenciamento Remoto de Serviços do Windows * Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Alto Suspeita de atividade maliciosa Táticas:
- Acesso Inicial

Técnicas:
- T0822: RedeServiços Remotos Externos
Não aprendível
Arquivo executável suspeito detetado no ponto de extremidade Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Alto Suspeita de atividade maliciosa Táticas:
- Evasão
- Inibir a função de resposta

Técnicas:
- T0851: Rootkit
Aprendível
Tráfego suspeito detetado * Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que desencadeou os conhecidos "Indicadores de Compromisso" (IOC). Os metadados de alerta devem ser revisados pela equipe de segurança Alto Suspeita de atividade maliciosa Táticas:
- Descoberta

Técnicas:
- T0842: Deteção de rede
Não aprendível
Atividade de backup com assinaturas antivírus O tráfego detetado entre o dispositivo de origem e o servidor de backup de destino disparou esse alerta. O tráfego inclui backup de software antivírus que pode conter assinaturas de malware. Esta é provavelmente uma atividade de backup legítima. Baixo Backup Táticas:
- Impacto

Técnicas:
- T0882: Roubo de Informação Operacional
Não aprendível

Alertas do mecanismo operacional

Os alertas do mecanismo operacional descrevem incidentes operacionais detetados ou entidades com mau funcionamento.

Title Description Gravidade Categoria MITRE ATT&CK
Táticas e técnicas
Aprendível
Um comando S7 Stop PLC foi enviado O dispositivo de origem enviou um comando stop para um controlador de destino. O controlador para de operar até que um comando start seja enviado. Baixo Comandos Reiniciar/Parar Táticas:
- Movimento Lateral
- Evasão de Defesa
- Execução
- Inibir a função de resposta

Técnicas:
- T0843: Download do Programa
- T0858: Alterar Modo de Operação
- T0814: Negação de Serviço
Não aprendível
Falha na operação BACNet Um servidor retornou um código de erro. Esse alerta indica um erro do servidor ou uma solicitação inválida de um cliente. Médio Falhas de comando Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
Não aprendível
Estado incorreto do dispositivo MMS Um MMS Virtual Manufacturing Device (VMD) enviou uma mensagem de status. A mensagem indica que o servidor pode não estar configurado corretamente, parcialmente operacional ou não estar operacional. Médio Questões operacionais Táticas:
- Inibir a função de resposta

Técnicas:
- T0814: Negação de Serviço
Não aprendível
Alteração da configuração do dispositivo * Uma alteração de configuração foi detetada em um dispositivo de origem. Baixo Alterações de configuração Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0836: Modificar parâmetro
Não aprendível
Estouro contínuo do buffer de eventos na estação externa * Um evento de estouro de buffer foi detetado em um dispositivo de origem. O evento pode causar corrupção de dados, falhas de programa ou execução de código mal-intencionado.

Limiar: 3 ocorrências em 10 minutos
Médio Estouro de buffer Táticas:
- Inibir a função de resposta
- Controlo de Processos Prejudicados
- Persistência

Técnicas:
- T0814: Negação de Serviço
- T0806: E/S de Força Bruta
- T0839: Firmware do módulo
Não aprendível
Redefinição do controlador Um dispositivo de origem enviou um comando reset para um controlador de destino. O controlador parou de funcionar temporariamente e reiniciou automaticamente. Baixo Comandos Reiniciar/Parar Táticas:
- Evasão de Defesa
- Execução
- Inibir a função de resposta

Técnicas:
- T0858: Alterar Modo de Operação
- T0814: Negação de Serviço
Não aprendível
Paragem do controlador O dispositivo de origem enviou um comando stop para um controlador de destino. O controlador para de operar até que um comando start seja enviado. Baixo Comandos Reiniciar/Parar Táticas:
- Movimento Lateral
- Evasão de Defesa
- Execução
- Inibir a função de resposta

Técnicas:
- T0843: Download do Programa
- T0858: Alterar Modo de Operação
- T0814: Negação de Serviço
Não aprendível
Falha do dispositivo ao receber um endereço IP dinâmico O dispositivo de origem está configurado para receber um endereço IP dinâmico de um servidor DHCP, mas não recebeu um endereço. Isso indica um erro de configuração no dispositivo ou um erro operacional no servidor DHCP. Recomenda-se notificar o administrador da rede sobre o incidente Médio Falhas de comando Táticas:
- Descoberta

Técnicas:
- T0842: Deteção de rede
Não aprendível
Suspeita-se que o dispositivo esteja desconectado (sem resposta) Um dispositivo de origem não respondeu a um comando enviado a ele. Ele pode ter sido desconectado quando o comando foi enviado.

Limite: 8 tentativas em 5 minutos
Médio Sem resposta Táticas:
- Inibir a função de resposta

Técnicas:
- T0881: Paragem de Serviço
Não aprendível
Falha na solicitação de serviço CIP EtherNet/IP Um servidor retornou um código de erro. Isso indica um erro do servidor ou uma solicitação inválida de um cliente. Médio Falhas de comando Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
Não aprendível
Falha no comando do protocolo de encapsulamento EtherNet/IP Um servidor retornou um código de erro. Isso indica um erro do servidor ou uma solicitação inválida de um cliente. Médio Falhas de comando Táticas:
- Coleção

Técnicas:
- T0801: Estado do processo do monitor
Não aprendível
Estouro de buffer de eventos no Outstation Um evento de estouro de buffer foi detetado em um dispositivo de origem. O evento pode causar corrupção de dados, falhas de programa ou execução de código mal-intencionado. Médio Estouro de buffer Táticas:
- Inibir a função de resposta
- Controlo de Processos Prejudicados
- Persistência

Técnicas:
- T0814: Negação de Serviço
- T0839: Firmware do módulo
Não aprendível
A operação de backup esperada não ocorreu A atividade esperada de backup/transferência de arquivos não ocorreu entre dois dispositivos. Este alerta pode indicar erros no processo de backup / transferência de arquivos.

Limite: 100 segundos
Médio Backup Táticas:
- Inibir a função de resposta

Técnicas:
- T0809: Destruição de Dados
Aprendível
Falha de comando do GE SRTP Um servidor retornou um código de erro. Esse alerta indica um erro do servidor ou uma solicitação inválida de um cliente. Médio Falhas de comando Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
Não aprendível
GE SRTP Stop PLC Command foi enviado O dispositivo de origem enviou um comando stop para um controlador de destino. O controlador para de operar até que um comando start seja enviado. Baixo Comandos Reiniciar/Parar Táticas:
- Movimento Lateral
- Evasão de Defesa
- Execução
- Inibir a função de resposta

Técnicas:
- T0843: Download do Programa
- T0858: Alterar Modo de Operação
- T0814: Negação de Serviço
Não aprendível
Bloco de controle GOOSE requer configuração adicional Um dispositivo de origem enviou uma mensagem GOOSE indicando que o dispositivo precisa de comissionamento. Isso significa que o bloco de controle GOOSE requer configuração adicional e as mensagens GOOSE são parcial ou completamente inoperacionais. Médio Alterações de configuração Táticas:
- Controlo de Processos Prejudicados
- Inibir a função de resposta

Técnicas:
- T0803: Bloquear mensagem de comando
- T0821: Modificar o controle do controlador
Não aprendível
A configuração do conjunto de dados GOOSE foi alterada * Um conjunto de dados de mensagem (identificado pelo ID de protocolo) foi alterado em um dispositivo de origem. Isso significa que o dispositivo relata um conjunto de dados diferente para essa mensagem. Baixo Alterações de configuração Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0836: Modificar parâmetro
Não aprendível
Status inesperado do controlador Honeywell Um controlador Honeywell enviou uma mensagem de diagnóstico inesperada indicando uma alteração de status. Baixo Questões operacionais Táticas:
- Evasão
- Execução

Técnicas:
- T0858: Alterar Modo de Operação
Não aprendível
Erro do cliente HTTP * O dispositivo de origem iniciou uma solicitação inválida. Baixo Comportamento anormal de comunicação HTTP Táticas:
- Comando e Controlo

Técnicas:
- T0869: Protocolo de camada de aplicação padrão
Não aprendível
Endereço IP ilegal O sistema detetou tráfego entre um dispositivo de origem e um endereço IP que é um endereço inválido. Isso pode indicar uma configuração errada ou uma tentativa de gerar tráfego ilegal. Baixo Comportamento anormal de comunicação Táticas:
- Descoberta
- Controlo de Processos Prejudicados

Técnicas:
- T0842: Deteção de rede
- T0836: Modificar parâmetro
Não aprendível
Erro de autenticação mestre-escravo O processo de autenticação entre um dispositivo de origem DNP3 (primário) e um dispositivo de destino (estação de saída) falhou. Baixo Autenticação Táticas:
- Movimento Lateral
- Persistência

Técnicas:
- T0859: Contas Válidas
Não aprendível
Falha na solicitação de serviço MMS Um servidor retornou um código de erro. Isso indica um erro do servidor ou uma solicitação inválida de um cliente. Médio Falhas de comando Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
Não aprendível
Nenhum tráfego detetado na interface do sensor Um sensor parou de detetar tráfego de rede em uma interface de rede. Alto Sensor de Tráfego Táticas:
- Inibir a função de resposta

Técnicas:
- T0881: Paragem de Serviço
Não aprendível
OPC UA Server levantou um evento que requer a atenção do usuário Um servidor OPC UA enviou uma notificação de evento para um cliente. Este tipo de evento requer atenção do utilizador Médio Questões operacionais Táticas:
- Inibir a função de resposta

Técnicas:
- T0838: Modificar configurações de alarme
Não aprendível
Falha na solicitação de serviço OPC UA Um servidor retornou um código de erro. Isso indica um erro do servidor ou uma solicitação inválida de um cliente. Médio Falhas de comando Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
Não aprendível
Outstation reiniciado Uma reinicialização a frio foi detetada em um dispositivo de origem. Isso significa que o dispositivo foi fisicamente desligado e ligado novamente. Baixo Comandos Reiniciar/Parar Táticas:
- Inibir a função de resposta

Técnicas:
- T0816: Reinicialização/desligamento do dispositivo
Não aprendível
Outstation reinicia com freqüência Um número excessivo de reinicializações a frio foi detetado em um dispositivo de origem. Isso significa que o dispositivo foi fisicamente desligado e ligado novamente um número excessivo de vezes.

Limite: 2 reinícios em 10 minutos
Baixo Comandos Reiniciar/Parar Táticas:
- Inibir a função de resposta

Técnicas:
- T0814: Negação de Serviço
- T0816: Reinicialização/desligamento do dispositivo
Não aprendível
Configuração do Outstation alterada Uma alteração de configuração foi detetada em um dispositivo de origem. Médio Alterações de configuração Táticas:
- Inibir a função de resposta
- Persistência

Técnicas:
- T0857: Firmware do sistema
Não aprendível
Configuração corrompida do Outstation detetada Este dispositivo de origem DNP3 (outstation) relatou uma configuração corrompida. Médio Alterações de configuração Táticas:
- Inibir a função de resposta

Técnicas:
- T0809: Destruição de Dados
Não aprendível
Falha no comando DCP do Profinet Um servidor retornou um código de erro. Isso indica um erro do servidor ou uma solicitação inválida de um cliente. Médio Falhas de comando Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
Não aprendível
Redefinição de fábrica do dispositivo Profinet Um dispositivo de origem enviou um comando de redefinição de fábrica para um dispositivo de destino Profinet. O comando reset limpa as configurações do dispositivo Profinet e interrompe sua operação. Baixo Comandos Reiniciar/Parar Táticas:
- Evasão de Defesa
- Execução
- Inibir a função de resposta

Técnicas:
- T0858: Alterar Modo de Operação
- T0814: Negação de Serviço
Não aprendível
Falha na operação RPC * Um servidor retornou um código de erro. Esse alerta indica um erro do servidor ou uma solicitação inválida de um cliente. Médio Falhas de comando Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0855: Mensagem de comando não autorizada
Não aprendível
Valores de amostra A configuração do conjunto de dados da mensagem foi alterada * Um conjunto de dados de mensagem (identificado pelo ID de protocolo) foi alterado em um dispositivo de origem. Isso significa que o dispositivo relata um conjunto de dados diferente para essa mensagem. Baixo Alterações de configuração Táticas:
- Controlo de Processos Prejudicados

Técnicas:
- T0836: Modificar parâmetro
Não aprendível
Falha irrecuperável do dispositivo escravo * Um erro de condição irrecuperável foi detetado em um dispositivo de origem. Esse tipo de erro geralmente indica uma falha de hardware ou falha na execução de um comando específico. Médio Falhas de comando Táticas:
- Inibir a função de resposta

Técnicas:
- T0814: Negação de Serviço
Não aprendível
Suspeita de problemas de hardware em Outstation Um erro de condição irrecuperável foi detetado em um dispositivo de origem. Esse tipo de erro geralmente indica uma falha de hardware ou falha na execução de um comando específico. Médio Questões operacionais Táticas:
- Inibir a função de resposta

Técnicas:
- T0814: Negação de Serviço
- T0881: Paragem de Serviço
Não aprendível
Suspeita de dispositivo MODBUS sem resposta Um dispositivo de origem não respondeu a um comando enviado a ele. Ele pode ter sido desconectado quando o comando foi enviado.

Limite: Mínimo de 1 resposta válida para um mínimo de 3 pedidos no prazo de 5 minutos
Baixo Sem resposta Táticas:
- Inibir a função de resposta

Técnicas:
- T0881: Paragem de Serviço
Não aprendível
Tráfego detetado na interface do sensor Um sensor retomou a deteção de tráfego de rede em uma interface de rede. Baixo Sensor de Tráfego Táticas:
- Descoberta

Técnicas:
- T0842: Deteção de rede
Não aprendível
Modo de operação do PLC alterado O modo de funcionamento deste PLC foi alterado. O novo modo pode indicar que o PLC não é seguro. Deixar o PLC em um modo de operação inseguro pode permitir que adversários executem atividades maliciosas nele, como um download de programa. Se o PLC estiver comprometido, os dispositivos e processos que interagem com ele podem ser afetados. Isso pode afetar a segurança geral do sistema. Baixo Alterações de configuração Táticas:
- Execução
- Evasão

Técnicas:
- T0858: Alterar Modo de Operação
Não aprendível

Próximos passos

Para obter mais informações, consulte: