Microsoft Defender för IoT-aviseringsreferens
Den här artikeln innehåller en referens till de aviseringar som genereras av Microsoft Defender för IoT-nätverkssensorer, inklusive en lista över alla aviseringstyper och beskrivningar. Referensen visar också vilka aviseringar som kan sorteras som läsbara eller inte, för mer information om den lärbara statusen, se Aviseringsstatusar och sorteringsalternativ. Du kan använda den här referensen för att mappa aviseringar till spelböcker, definiera vidarebefordransregler för en nätverkssensor för driftteknik (OT) eller annan anpassad aktivitet.
OT-aviseringar inaktiverade som standard
Flera aviseringar är inaktiverade som standard, vilket anges av asterisker (*) i tabellerna nedan. OT-sensoradministratörsanvändare kan aktivera eller inaktivera aviseringar från supportsidan på en specifik OT-nätverkssensor.
Om du inaktiverar aviseringar som refereras till på andra platser, till exempel regler för vidarebefordran av aviseringar, bör du uppdatera dessa referenser efter behov.
Allvarlighetsgrad för aviseringar
Defender för IoT-aviseringar använder följande allvarlighetsnivåer:
| Azure Portal | OT-sensor | beskrivning |
|---|---|---|
| Hög | Kritisk | Anger en skadlig attack som ska hanteras omedelbart. |
| Medel | Stora | Anger ett säkerhetshot som är viktigt att åtgärda. |
| Låg | Mindre, varning | Anger en viss avvikelse från baslinjebeteendet som kan innehålla ett säkerhetshot eller som inte innehåller några säkerhetshot. |
Allvarlighetsgraderna för aviseringar på den här sidan visar allvarlighetsgraden enligt beskrivningen i Azure-portalen.
Aviseringstyper som stöds
| Aviseringstyp | beskrivning |
|---|---|
| Aviseringar om principöverträdelse | Utlöses när policyöverträdelsemotorn identifierar en avvikelse från tidigare inlärd trafik. Till exempel: – En ny enhet har identifierats. – En ny konfiguration identifieras på en enhet. – En enhet som inte definieras som en programmeringsenhet utför en programmeringsändring. – En version av inbyggd programvara har ändrats. |
| Aviseringar om protokollöverträdelser | Utlöses när motorn för protokollöverträdelse identifierar paketstrukturer eller fältvärden som inte uppfyller protokollspecifikationen. |
| Driftaviseringar | Utlöses när driftmotorn identifierar nätverksdriftsincidenter eller en enhet som inte fungerar. Till exempel stoppades en nätverksenhet via ett Stop PLC-kommando eller ett gränssnitt på en sensor stoppade övervakningstrafiken. |
| Aviseringar om skadlig kod | Utlöses när malware-motorn identifierar skadlig nätverksaktivitet. Motorn identifierar till exempel en känd attack, till exempel Conficker. |
| Aviseringar om avvikelser | Utlöses när avvikelsemotorn identifierar en avvikelse. En enhet utför till exempel nätverksgenomsökningar men definieras inte som en genomsökningsenhet. |
Defender for IoT:s princip för aviseringsidentifiering styr de olika aviseringsmotorerna för att utlösa aviseringar baserat på affärspåverkan och nätverkskontext och minska IT-relaterade aviseringar med lågt värde. Mer information finns i Fokuserade aviseringar i OT/IT-miljöer.
Aviseringskategorier som stöds
Varje avisering har någon av följande kategorier:
- Onormalt kommunikationsbeteende
- Onormalt HTTP-kommunikationsbeteende
- Autentisering
- Backup
- Bandbreddsavvikelser
- Buffertspill
- Kommandofel
- Konfigurationsändringar
- Anpassade aviseringar
- Identifiering
- Ändring av inbyggd programvara
- Otillåtna kommandon
- Internet
- Åtgärdsfel
- Driftsproblem
- Programmering
- Fjärråtkomst
- Starta om/stoppa kommandon
- Skanna
- Sensortrafik
- Misstanke om skadlig aktivitet
- Misstanke om skadlig kod
- Otillåtet kommunikationsbeteende
- Svarar inte
Principmotoraviseringar
Principmotoraviseringar beskriver identifierade avvikelser från inlärt baslinjebeteende.
| Title | Description | Allvarlighetsgrad | Kategori | MITRE ATT&CK Taktiker och tekniker |
Lärbar |
|---|---|---|---|---|---|
| Beckhoff Software har ändrats | Den inbyggda programvaran uppdaterades på en källenhet. Detta kan vara auktoriserad aktivitet, till exempel en planerad underhållsprocedur. | Medel | Ändring av inbyggd programvara | Taktiker: - Hämma svarsfunktion -Uthållighet Tekniker: - T0857: Inbyggd programvara för system |
Lärbar |
| Databasinloggning misslyckades | Ett misslyckat inloggningsförsök upptäcktes från en källenhet till en målserver. Detta kan bero på ett mänskligt fel, men kan också tyda på ett skadligt försök att kompromettera servern eller data på den. Tröskelvärde: 2 inloggningsfel på 5 minuter |
Medel | Autentisering | Taktiker: - Lateral rörelse -Samling Tekniker: – T0812: Standardautentiseringsuppgifter – T0811: Data från informationslagringsplatser |
Går inte att lära sig |
| Emerson ROC Firmware Version har ändrats | Den inbyggda programvaran uppdaterades på en källenhet. Detta kan vara auktoriserad aktivitet, till exempel en planerad underhållsprocedur. | Medel | Ändring av inbyggd programvara | Taktiker: - Hämma svarsfunktion -Uthållighet Tekniker: - T0857: Inbyggd programvara för system |
Lärbar |
| Extern adress i nätverket som kommuniceras med Internet | En källenhet som definieras som en del av nätverket kommunicerar med Internetadresser. Källan har inte behörighet att kommunicera med Internetadresser. | Högt | Internet | Taktiker: – Inledande åtkomst Tekniker: – T0883: Internettillgänglig enhet |
Lärbar |
| Fältenhet upptäcktes oväntat | En ny källenhet identifierades i nätverket men är inte auktoriserad. | Medel | Identifiering | Taktiker: -Upptäckten Tekniker: - T0842: Nätverkssniffning |
Går inte att lära sig |
| Ändring av inbyggd programvara har identifierats | Den inbyggda programvaran uppdaterades på en källenhet. Detta kan vara auktoriserad aktivitet, till exempel en planerad underhållsprocedur. | Medel | Ändring av inbyggd programvara | Taktiker: - Hämma svarsfunktion -Uthållighet Tekniker: - T0857: Inbyggd programvara för system |
Går inte att lära sig |
| Version av inbyggd programvara har ändrats | Den inbyggda programvaran uppdaterades på en källenhet. Detta kan vara auktoriserad aktivitet, till exempel en planerad underhållsprocedur. | Medel | Ändring av inbyggd programvara | Taktiker: - Hämma svarsfunktion -Uthållighet Tekniker: - T0857: Inbyggd programvara för system |
Lärbar |
| Foxboro I/A Obehörig åtgärd | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande – T0836: Ändra parameter |
Lärbar |
| FTP-inloggningen misslyckades | Ett misslyckat inloggningsförsök upptäcktes från en källenhet till en målserver. Den här aviseringen kan bero på ett mänskligt fel, men kan också tyda på ett skadligt försök att kompromettera servern eller data på den. | Medel | Autentisering | Taktiker: - Lateral rörelse - Kommando och kontroll Tekniker: – T0812: Standardautentiseringsuppgifter - T0869: Standard Application Layer Protocol |
Går inte att lära sig |
| Fel vid utlösen av funktionskod – otillåtet undantag * | En källenhet (sekundär) returnerade ett undantag till en målenhet (primär). | Medel | Kommandofel | Taktiker: - Hämma svarsfunktion Tekniker: - T0835: Manipulera I/O-bild |
Lärbar |
| GOOSE-meddelandetyp Inställningar | Meddelandeinställningarna (identifieras med protokoll-ID) har ändrats på en källenhet. | Låg | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll Tekniker: – T0836: Ändra parameter |
Lärbar |
| Honeywells version av inbyggd programvara har ändrats | Den inbyggda programvaran uppdaterades på en källenhet. Detta kan vara auktoriserad aktivitet, till exempel en planerad underhållsprocedur. | Medel | Ändring av inbyggd programvara | Taktiker: - Hämma svarsfunktion -Uthållighet Tekniker: - T0857: Inbyggd programvara för system |
Lärbar |
| Ogiltig HTTP-kommunikation * | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Onormalt HTTP-kommunikationsbeteende | Taktiker: -Upptäckten Tekniker: – T0846: Fjärrsystemidentifiering |
Lärbar |
| Internetåtkomst har identifierats | En källenhet som definieras som en del av nätverket kommunicerar med Internetadresser. Källan har inte behörighet att kommunicera med Internetadresser. | Medel | Internet | Taktiker: – Inledande åtkomst Tekniker: – T0883: Internettillgänglig enhet |
Lärbar |
| Versionen av den inbyggda Programvaran för Mitsubishi har ändrats | Den inbyggda programvaran uppdaterades på en källenhet. Detta kan vara auktoriserad aktivitet, till exempel en planerad underhållsprocedur. | Medel | Ändring av inbyggd programvara | Taktiker: - Hämma svarsfunktion -Uthållighet Tekniker: - T0857: Inbyggd programvara för system |
Lärbar |
| Modbus-adressintervallsöverträdelse | En primär enhet begärde åtkomst till en ny sekundär minnesadress. | Medel | Otillåtet kommunikationsbeteende | Taktiker: -Upptäckten Tekniker: - T0842: Nätverkssniffning |
Lärbar |
| Modbus firmware version har ändrats | Den inbyggda programvaran uppdaterades på en källenhet. Detta kan vara auktoriserad aktivitet, till exempel en planerad underhållsprocedur. | Medel | Ändring av inbyggd programvara | Taktiker: - Hämma svarsfunktion -Uthållighet Tekniker: - T0857: Inbyggd programvara för system |
Lärbar |
| Ny aktivitet har identifierats – CIP-klass | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: -Upptäckten Tekniker: – T0888: Fjärridentifiering Systeminformation |
Lärbar |
| Ny aktivitet har identifierats – CIP-klasstjänst | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Hämma svarsfunktion Tekniker: – T0836: Ändra parameter |
Lärbar |
| Ny aktivitet har identifierats – CIP PCCC-kommando | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Hämma svarsfunktion Tekniker: – T0836: Ändra parameter |
Lärbar |
| Ny aktivitet har identifierats – CIP-symbol | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll - Hämma svarsfunktion Tekniker: – T0855: Obehörigt kommandomeddelande – T0836: Ändra parameter |
Lärbar |
| Ny aktivitet har identifierats – EtherNet/IP I/O-Anslut ion | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: -Upptäckten - Hämma svarsfunktion Tekniker: – T0846: Fjärrsystemidentifiering - T0835: Manipulera I/O-bild |
Lärbar |
| Ny aktivitet har identifierats – EtherNet/IP Protocol-kommando | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Hämma svarsfunktion Tekniker: – T0836: Ändra parameter |
Lärbar |
| Ny aktivitet har identifierats – GSM-meddelandekod | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - CommandAndControl Tekniker: - T0869: Standard Application Layer Protocol |
Lärbar |
| Ny aktivitet har identifierats – LonTalk-kommandokoder | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: -Samling - Försämra processkontroll Tekniker: - T0861 – Punkt- och taggidentifiering – T0855: Obehörigt kommandomeddelande |
Lärbar |
| Ny portidentifiering | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Låg | Identifiering | Taktiker: - Lateral rörelse Tekniker: - T0867: Lateral verktygsöverföring |
Lärbar |
| Ny aktivitet har identifierats – nätverksvariabeln LonTalk | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande |
Lärbar |
| Ny aktivitet har identifierats – Ovation-databegäran | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: -Samling -Upptäckten Tekniker: – T0801: Övervaka processtillstånd – T0888: Fjärridentifiering Systeminformation |
Lärbar |
| Ny aktivitet har identifierats – läs-/skrivkommando (AMS-indexgrupp) | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Konfigurationsändringar | Taktiker: - Försämra processkontroll - Hämma svarsfunktion Tekniker: – T0855: Obehörigt kommandomeddelande – T0836: Ändra parameter |
Lärbar |
| Ny aktivitet har identifierats – läs-/skrivkommando (AMS-indexförskjutning) | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Konfigurationsändringar | Taktiker: - Försämra processkontroll - Hämma svarsfunktion Tekniker: – T0855: Obehörigt kommandomeddelande – T0836: Ändra parameter |
Lärbar |
| Ny aktivitet har identifierats – Otillåten DeltaV-meddelandetyp | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll -Utförande Tekniker: – T0855: Obehörigt kommandomeddelande - T0821: Ändra styrenhetsaktivitet |
Lärbar |
| Ny aktivitet har identifierats – Obehörig DeltaV ROC-åtgärd | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll -Utförande Tekniker: – T0855: Obehörigt kommandomeddelande - T0821: Ändra styrenhetsaktivitet |
Lärbar |
| Ny aktivitet har identifierats – Otillåten RPC-meddelandetyp | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande |
Lärbar |
| Ny aktivitet har identifierats – använda AMS-protokollkommando | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll - Hämma svarsfunktion -Utförande Tekniker: – T0855: Obehörigt kommandomeddelande – T0836: Ändra parameter - T0821: Ändra styrenhetsaktivitet |
Lärbar |
| Ny aktivitet har identifierats – använda Kommandot Siemens SICAM | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll - Hämma svarsfunktion Tekniker: – T0855: Obehörigt kommandomeddelande – T0836: Ändra parameter |
Lärbar |
| Ny aktivitet har identifierats – använd kommandot Suitelink Protocol | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll - Hämma svarsfunktion Tekniker: – T0855: Obehörigt kommandomeddelande – T0836: Ändra parameter |
Lärbar |
| Ny aktivitet har identifierats – Använda Suitelink Protocol-sessioner | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll Tekniker: – T0836: Ändra parameter |
Lärbar |
| Ny aktivitet har identifierats – använda Yokogawa VNetIP-kommandot | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll -Utförande Tekniker: – T0855: Obehörigt kommandomeddelande - T0821: Ändra styrenhetsaktivitet |
Lärbar |
| Ny tillgång har identifierats | En ny källenhet identifierades i nätverket men är inte auktoriserad. Den här aviseringen gäller för enheter som identifieras i OT-undernät. Nya enheter som identifieras i IT-undernät utlöser ingen avisering. |
Medel | Identifiering | Taktiker: -Upptäckten Tekniker: - T0842: Nätverkssniffning |
Lärbar |
| Ny LLDP-enhetskonfiguration | En ny källenhet identifierades i nätverket men är inte auktoriserad. | Medel | Konfigurationsändringar | Taktiker: -Upptäckten Tekniker: - T0842: Nätverkssniffning |
Lärbar |
| Omron FINS-obehörigt kommando | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande – T0836: Ändra parameter |
Lärbar |
| S7 Plus PLC Firmware har ändrats | Den inbyggda programvaran uppdaterades på en källenhet. Detta kan vara auktoriserad aktivitet, till exempel en planerad underhållsprocedur. | Medel | Ändring av inbyggd programvara | Taktiker: - Hämma svarsfunktion -Uthållighet Tekniker: - T0857: Inbyggd programvara för system |
Lärbar |
| Meddelandetyp för exempelvärden Inställningar | Meddelandeinställningarna (identifieras med protokoll-ID) har ändrats på en källenhet. | Låg | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll Tekniker: – T0836: Ändra parameter |
Går inte att lära sig |
| Misstanke om illegal integritetssökning * | En genomsökning upptäcktes på en DNP3-källenhet (utstation). Den här genomsökningen har inte godkänts som inlärd trafik i nätverket. | Medel | Skanna | Taktiker: -Upptäckten Tekniker: - T0842: Nätverkssniffning |
Lärbar |
| Obehörigt kommando för Toshiba Computer Link | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Låg | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll -Utförande Tekniker: – T0855: Obehörigt kommandomeddelande - T0821: Ändra styrenhetsaktivitet |
Lärbar |
| Otillåten ABB Totalflow-filåtgärd | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll -Utförande Tekniker: – T0855: Obehörigt kommandomeddelande - T0821: Ändra styrenhetsaktivitet |
Går inte att lära sig |
| Obehörig ABB Totalflow-registeråtgärd | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll -Utförande Tekniker: – T0855: Obehörigt kommandomeddelande - T0821: Ändra styrenhetsaktivitet |
Går inte att lära sig |
| Obehörig åtkomst till Siemens S7-datablock | En källenhet försökte komma åt en resurs på en annan enhet. Ett åtkomstförsök till den här resursen mellan dessa två enheter har inte behörighet som inlärd trafik i nätverket. | Låg | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll – Inledande åtkomst Tekniker: – T0855: Obehörigt kommandomeddelande – T0811: Data från informationslagringsplatser |
Lärbar |
| Obehörig åtkomst till Siemens S7 Plus-objekt | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll -Utförande - Hämma svarsfunktion Tekniker: – T0855: Obehörigt kommandomeddelande - T0821: Ändra styrenhetsaktivitet – T0809: Dataförstörelse |
Lärbar |
| Obehörig åtkomst till Wonderware-tagg | En källenhet försökte komma åt en resurs på en annan enhet. Ett åtkomstförsök till den här resursen mellan dessa två enheter har inte behörighet som inlärd trafik i nätverket. | Medel | Otillåtet kommunikationsbeteende | Taktiker: -Samling - Försämra processkontroll Tekniker: - T0861: Punkt- och taggidentifiering – T0855: Obehörigt kommandomeddelande |
Lärbar |
| Obehörig BACNet-objektåtkomst | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll -Utförande Tekniker: – T0855: Obehörigt kommandomeddelande - T0821: Ändra styrenhetsaktivitet |
Lärbar |
| Obehörig BACNet-väg | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll -Utförande Tekniker: – T0855: Obehörigt kommandomeddelande - T0821: Ändra styrenhetsaktivitet |
Lärbar |
| Obehörig databasinloggning * | Ett inloggningsförsök mellan en källklient och målserver identifierades. Kommunikation mellan dessa enheter är inte auktoriserad som inlärd trafik i nätverket. | Medel | Autentisering | Taktiker: - Lateral rörelse -Uthållighet -Samling Tekniker: - T0859: Giltiga konton – T0811: Data från informationslagringsplatser |
Lärbar |
| Otillåten databasåtgärd | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Onormalt kommunikationsbeteende | Taktiker: - Försämra processkontroll – Inledande åtkomst Tekniker: – T0855: Obehörigt kommandomeddelande – T0811: Data från informationslagringsplatser |
Lärbar |
| Obehörig Emerson ROC-åtgärd | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll -Utförande Tekniker: – T0855: Obehörigt kommandomeddelande - T0821: Ändra styrenhetsaktivitet |
Lärbar |
| Obehörig GE SRTP-filåtkomst | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: -Samling – LateralMovement -Uthållighet Tekniker: – T0801: Övervaka processtillstånd - T0859: Giltiga konton |
Lärbar |
| Otillåtet GE SRTP-protokollkommando | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande - T0821: Ändra styrenhetsaktivitet |
Lärbar |
| Otillåten GE SRTP-systemminnesåtgärd | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: -Upptäckten - Försämra processkontroll Tekniker: – T0846: Fjärrsystemidentifiering – T0855: Obehörigt kommandomeddelande |
Lärbar |
| Obehörig HTTP-aktivitet | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Onormalt HTTP-kommunikationsbeteende | Taktiker: – Inledande åtkomst - Kommando och kontroll Tekniker: – T0822: Externa fjärrtjänster - T0869: Standard Application Layer Protocol |
Lärbar |
| Otillåten HTTP SOAP-åtgärd * | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Onormalt HTTP-kommunikationsbeteende | Taktiker: - Kommando och kontroll -Utförande Tekniker: - T0869: Standard Application Layer Protocol – T0871: Körning via API |
Lärbar |
| Obehörig HTTP-användaragent * | Ett otillåtet program upptäcktes på en källenhet. Programmet är inte auktoriserat som ett inlärt program i nätverket. | Medel | Onormalt HTTP-kommunikationsbeteende | Taktiker: - Kommando och kontroll Tekniker: - T0869: Standard Application Layer Protocol |
Lärbar |
| Obehörig Internet-Anslut ivitet har identifierats | En källenhet som definieras som en del av nätverket kommunicerar med Internetadresser. Källan har inte behörighet att kommunicera med Internetadresser. | Högt | Internet | Taktiker: – Inledande åtkomst Tekniker: – T0883: Internettillgänglig enhet |
Lärbar |
| Otillåtet Mitsubishi MELSEC-kommando | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll -Utförande Tekniker: – T0855: Obehörigt kommandomeddelande - T0821: Ändra styrenhetsaktivitet |
Lärbar |
| Obehörig åtkomst till MMS-program | En källenhet försökte komma åt en resurs på en annan enhet. Ett åtkomstförsök till den här resursen mellan dessa två enheter har inte behörighet som inlärd trafik i nätverket. | Medel | Programmering | Taktiker: - Försämra processkontroll -Utförande Tekniker: – T0855: Obehörigt kommandomeddelande - T0821: Ändra styrenhetsaktivitet |
Lärbar |
| Obehörig MMS-tjänst | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll -Utförande Tekniker: – T0855: Obehörigt kommandomeddelande - T0821: Ändra styrenhetsaktivitet |
Lärbar |
| Otillåten multicast-/sändnings-Anslut ion | En multicast-/sändningsanslutning identifierades mellan en källenhet och andra enheter. Multicast/Broadcast-kommunikation är inte auktoriserad. | Högt | Onormalt kommunikationsbeteende | Taktiker: -Upptäckten Tekniker: - T0842: Nätverkssniffning |
Lärbar |
| Fråga om obehörigt namn | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Onormalt kommunikationsbeteende | Taktiker: - Försämra processkontroll Tekniker: – T0836: Ändra parameter |
Går inte att lära sig |
| Obehörig OPC UA-aktivitet | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll Tekniker: – T0836: Ändra parameter |
Lärbar |
| Obehörig OPC UA-begäran/svar | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll Tekniker: – T0836: Ändra parameter |
Lärbar |
| Obehörig åtgärd identifierades av en användardefinierad regel | Trafik upptäcktes mellan två enheter. Den här aktiviteten är obehörig, baserat på en anpassad aviseringsregel som definierats av en användare. | Medel | Anpassade aviseringar | Taktiker: -Upptäckten Tekniker: - T0842: Nätverkssniffning |
Går inte att lära sig |
| Otillåten PLC-konfiguration läs | Källenheten definieras inte som en programmeringsenhet utan utförde en läs-/skrivåtgärd på en målstyrenhet. Programmeringsändringar bör endast utföras av programmeringsenheter. Ett programmeringsprogram kan ha installerats på den här enheten. | Låg | Konfigurationsändringar | Taktiker: -Samling Tekniker: – T0801: Övervaka processtillstånd |
Lärbar |
| Unauthorized PLC Configuration Write | Källenheten skickade ett kommando för att läsa/skriva programmet för en målkontrollant. Den här aktiviteten har inte setts tidigare. | Medel | Konfigurationsändringar | Taktiker: - Försämra processkontroll -Uthållighet -Effekt Tekniker: – T0839: Modulens inbyggda programvara - T0831: Manipulering av kontroll - T0889: Ändra program |
Lärbar |
| Otillåten PLC-programuppladdning | Källenheten skickade ett kommando för att läsa/skriva programmet för en målkontrollant. Den här aktiviteten har inte setts tidigare. | Medel | Programmering | Taktiker: - Försämra processkontroll -Uthållighet -Samling Tekniker: – T0839: Modulens inbyggda programvara - T0845: Programuppladdning |
Lärbar |
| Otillåten PLC-programmering | Källenheten definieras inte som en programmeringsenhet utan utförde en läs-/skrivåtgärd på en målstyrenhet. Programmeringsändringar bör endast utföras av programmeringsenheter. Ett programmeringsprogram kan ha installerats på den här enheten. | Högt | Programmering | Taktiker: - Försämra processkontroll -Uthållighet - Lateral rörelse Tekniker: – T0839: Modulens inbyggda programvara - T0889: Ändra program - T0843: Ladda ned program |
Lärbar |
| Otillåten typ av profinet-ram | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll Tekniker: – T0836: Ändra parameter |
Lärbar |
| Otillåtet SAIA S-Bus-kommando | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande |
Lärbar |
| Otillåten Siemens S7-körning av kontrollfunktion | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll - Hämma svarsfunktion Tekniker: – T0855: Obehörigt kommandomeddelande – T0809: Dataförstörelse |
Lärbar |
| Otillåten Siemens S7-körning av användardefinierad funktion | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll -Utförande Tekniker: – T0836: Ändra parameter – T0863: Användarkörning |
Lärbar |
| Obehörig Siemens S7 Plus Blockera åtkomst | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Hämma svarsfunktion -Uthållighet -Utförande Tekniker: – T0803 – Blockera kommandomeddelande - T0889: Ändra program - T0821: Ändra styrenhetsaktivitet |
Lärbar |
| Otillåten Siemens S7 Plus-åtgärd | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll -Utförande Tekniker: – T0855: Obehörigt kommandomeddelande – T0863: Användarkörning |
Lärbar |
| Obehörig SMB-inloggning | Ett inloggningsförsök mellan en källklient och målserver identifierades. Kommunikation mellan dessa enheter är inte auktoriserad som inlärd trafik i nätverket. | Medel | Autentisering | Taktiker: – Inledande åtkomst - Lateral rörelse -Uthållighet Tekniker: - T0886: Fjärrtjänster - T0859: Giltiga konton |
Lärbar |
| Obehörig SNMP-åtgärd | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Onormalt kommunikationsbeteende | Taktiker: -Upptäckten - Kommando och kontroll Tekniker: - T0842: Nätverkssniffning - T0885: Vanliga portar |
Lärbar |
| Obehörig SSH-åtkomst | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Fjärråtkomst | Taktiker: – InitialAccess - Lateral rörelse - Kommando och kontroll Tekniker: - T0886: Fjärrtjänster - T0869: Standard Application Layer Protocol |
Lärbar |
| Obehörig Windows-process | Ett otillåtet program upptäcktes på en källenhet. Programmet är inte auktoriserat som ett inlärt program i nätverket. | Medel | Onormalt kommunikationsbeteende | Taktiker: -Utförande – Eskalering av privilegier - Kommando och kontroll Tekniker: - T0841: Hooking - T0885: Vanliga portar |
Lärbar |
| Obehörig Windows-tjänst | Ett otillåtet program upptäcktes på en källenhet. Programmet är inte auktoriserat som ett inlärt program i nätverket. | Medel | Onormalt kommunikationsbeteende | Taktiker: – Inledande åtkomst - Lateral rörelse Tekniker: - T0866: Utnyttjande av fjärrtjänster |
Lärbar |
| Obehörig åtgärd identifierades av en användardefinierad regel | Nya trafikparametrar har identifierats. Den här parameterkombinationen bryter mot en användardefinierad regel | Medel | Taktiker: -Upptäckten Tekniker: - T0842: Nätverkssniffning |
Går inte att lära sig | |
| Opergerad Modbus Schneider Electric Extension | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande |
Lärbar |
| Ej utelämnad användning av ASDU-typer | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande |
Lärbar |
| Ej utelämnad användning av DNP3-funktionskod | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll Tekniker: – T0836: Ändra parameter |
Lärbar |
| Ej utelämnad användning av intern indikation (IIN) * | En DNP3-källenhet (utstation) rapporterade en intern indikation (IIN) som inte har auktoriserats som inlärd trafik i nätverket. | Medel | Otillåtna kommandon | Taktiker: -Upptäckten Tekniker: - T0842: Nätverkssniffning |
Lärbar |
| Ej utelämnad användning av Modbus-funktionskod | Nya trafikparametrar har identifierats. Den här parameterkombinationen har inte behörighet som inlärd trafik i nätverket. Följande kombination är obehörig. | Medel | Otillåtet kommunikationsbeteende | Taktiker: - Försämra processkontroll Tekniker: – T0836: Ändra parameter |
Lärbar |
Aviseringar om avvikelsemotor
Kommentar
Den här artikeln innehåller referenser till termen slav, en term som Microsoft inte längre använder. När termen tas bort från programvaran tar vi bort den från den här artikeln.
Aviseringar om avvikelsemotorn beskriver identifierade avvikelser i nätverksaktiviteten.
| Title | Description | Allvarlighetsgrad | Kategori | MITRE ATT&CK Taktiker och tekniker |
Lärbar |
|---|---|---|---|---|---|
| Onormalt undantagsmönster i slave * | Ett överdrivet antal fel upptäcktes på en källenhet. Den här aviseringen kan bero på ett driftproblem. Tröskelvärde: 20 undantag på 1 timme |
Låg | Onormalt kommunikationsbeteende | Taktiker: - Försämra processkontroll Tekniker: - T0806: Brute Force I/O |
Går inte att lära sig |
| Onormal LÄNGD på HTTP-sidhuvud * | Källenheten skickade ett onormalt meddelande. Den här aviseringen kan tyda på ett försök att attackera målenheten. | Högt | Onormalt HTTP-kommunikationsbeteende | Taktiker: – Inledande åtkomst - Lateral rörelse - Kommando och kontroll Tekniker: - T0866: Utnyttjande av fjärrtjänster - T0869: Standard Application Layer Protocol |
Lärbar |
| Onormalt antal parametrar i HTTP-huvudet * | Källenheten skickade ett onormalt meddelande. Den här aviseringen kan tyda på ett försök att attackera målenheten. | Högt | Onormalt HTTP-kommunikationsbeteende | Taktiker: – Inledande åtkomst - Lateral rörelse - Kommando och kontroll Tekniker: - T0866: Utnyttjande av fjärrtjänster - T0869: Standard Application Layer Protocol |
Lärbar |
| Onormalt periodiskt beteende i kommunikationskanalen | En ändring i kommunikationsfrekvensen mellan käll- och målenheterna upptäcktes. | Låg | Onormalt kommunikationsbeteende | Taktiker: -Upptäckten Tekniker: - T0842: Nätverkssniffning |
Lärbar |
| Onormal avslutning av program * | Ett överdrivet antal stoppkommandon upptäcktes på en källenhet. Den här aviseringen kan bero på ett driftproblem eller ett försök att manipulera enheten. Tröskelvärde: 20 stoppkommandon på 3 timmar |
Medel | Onormalt kommunikationsbeteende | Taktiker: -Uthållighet -Effekt Tekniker: - T0889: Ändra program - T0831: Manipulering av kontroll |
Lärbar |
| Onormal trafikbandbredd * | Onormal bandbredd upptäcktes på en kanal. Bandbredden verkar vara lägre/högre än vad som tidigare identifierats. Mer information finns i widgeten Total bandbredd. | Låg | Bandbreddsavvikelser | Taktiker: -Upptäckten Tekniker: - T0842: Nätverkssniffning |
Lärbar |
| Onormal trafikbandbredd mellan enheter * | Onormal bandbredd upptäcktes på en kanal. Bandbredden verkar vara lägre/högre än vad som tidigare identifierats. Mer information finns i widgeten Total bandbredd. | Låg | Bandbreddsavvikelser | Taktiker: -Upptäckten Tekniker: - T0842: Nätverkssniffning |
Går inte att lära sig |
| Adresssökning har identifierats | En källenhet upptäcktes genomsöka nätverksenheter. Den här enheten är inte auktoriserad som en nätverksgenomsökningsenhet. Tröskelvärde: 50 anslutningar till samma B-klassundernät på 2 minuter |
Högt | Skanna | Taktiker: -Upptäckten Tekniker: - T0842: Nätverkssniffning |
Lärbar |
| ARP-adresssökning har identifierats * | En källenhet upptäcktes genomsöka nätverksenheter med hjälp av ARP (Address Resolution Protocol). Den här enhetsadressen har inte behörighet som giltig ARP-genomsökningsadress. Tröskelvärde: 40 genomsökningar på 6 minuter |
Högt | Skanna | Taktiker: -Upptäckten -Samling Tekniker: - T0842: Nätverkssniffning - T0830: Man i mitten |
Lärbar |
| Förfalskning av ARP * | En onormal mängd paket upptäcktes i nätverket. Den här aviseringen kan tyda på en attack, till exempel en ARP-förfalskning eller en ICMP-översvämningsattack. Tröskelvärde: 60 paket på 1 minut |
Låg | Onormalt kommunikationsbeteende | Taktiker: -Samling Tekniker: - T0830: Man i mitten |
Går inte att lära sig |
| Överdrivet många inloggningsförsök | En källenhet sågs utföra alltför stora inloggningsförsök till en målserver. Den här aviseringen kan tyda på en brute force-attack. Servern kan ha komprometterats av en obehörig aktör. Tröskelvärde: 20 inloggningsförsök på 1 minut |
Högt | Autentisering | Taktiker: – LateralMovement - Försämra processkontroll Tekniker: – T0812: Standardautentiseringsuppgifter - T0806: Brute Force I/O |
Går inte att lära sig |
| Överdrivet antal sessioner | En källenhet sågs utföra alltför stora inloggningsförsök till en målserver. Detta kan tyda på en råstyrkeattack. Servern kan ha komprometterats av en obehörig aktör. Tröskelvärde: 50 sessioner på 1 minut |
Högt | Onormalt kommunikationsbeteende | Taktiker: - Lateral rörelse - Försämra processkontroll Tekniker: – T0812: Standardautentiseringsuppgifter - T0806: Brute Force I/O |
Går inte att lära sig |
| Överdriven omstartshastighet för en utstation * | Ett överdrivet antal omstartskommandon upptäcktes på en källenhet. Dessa aviseringar kan bero på ett driftproblem eller ett försök att manipulera enheten. Tröskelvärde: 10 omstarter på 1 timme |
Medel | Starta om/stoppa kommandon | Taktiker: - Hämma svarsfunktion - Försämra processkontroll Tekniker: - T0814: Denial of Service - T0806: Brute Force I/O |
Går inte att lära sig |
| Överdrivet många SMB-inloggningsförsök | En källenhet sågs utföra alltför stora inloggningsförsök till en målserver. Detta kan tyda på en råstyrkeattack. Servern kan ha komprometterats av en obehörig aktör. Tröskelvärde: 10 inloggningsförsök på 10 minuter |
Högt | Autentisering | Taktiker: -Uthållighet -Utförande – LateralMovement Tekniker: – T0812: Standardautentiseringsuppgifter - T0853: Skript - T0859: Giltiga konton |
Går inte att lära sig |
| ICMP-översvämningar * | En onormal mängd paket upptäcktes i nätverket. Den här aviseringen kan tyda på en attack, till exempel en ARP-förfalskning eller en ICMP-översvämningsattack. Tröskelvärde: 60 paket på 1 minut |
Låg | Onormalt kommunikationsbeteende | Taktiker: -Upptäckten -Samling Tekniker: - T0842: Nätverkssniffning - T0830: Man i mitten |
Går inte att lära sig |
| Ogiltigt HTTP-huvudinnehåll * | Källenheten initierade en ogiltig begäran. | Högt | Onormalt HTTP-kommunikationsbeteende | Taktiker: – Inledande åtkomst – LateralMovement Tekniker: - T0866: Utnyttjande av fjärrtjänster |
Går inte att lära sig |
| Inaktiv kommunikationskanal * | En kommunikationskanal mellan två enheter var inaktiv under en period då aktiviteten vanligtvis observeras. Detta kan tyda på att programmet som genererar den här trafiken har ändrats eller att programmet kanske inte är tillgängligt. Vi rekommenderar att du granskar konfigurationen av det installerade programmet och kontrollerar att det är korrekt konfigurerat. Tröskelvärde: 1 minut |
Låg | Svarar inte | Taktiker: - Hämma svarsfunktion Tekniker: – T0881: Tjänststopp |
Inte inernable |
| Adresssökning med lång varaktighet har identifierats * | En källenhet upptäcktes genomsöka nätverksenheter. Den här enheten är inte auktoriserad som en nätverksgenomsökningsenhet. Tröskelvärde: 50 anslutningar till samma B-klassundernät på 10 minuter |
Högt | Skanna | Taktiker: -Upptäckten Tekniker: - T0842: Nätverkssniffning |
Lärbar |
| Försök att gissa lösenord har identifierats | En källenhet sågs utföra alltför stora inloggningsförsök till en målserver. Detta kan tyda på en råstyrkeattack. Servern kan ha komprometterats av en obehörig aktör. Tröskelvärde: 100 försök på 1 minut |
Högt | Autentisering | Taktiker: - Lateral rörelse Tekniker: – T0812: Standardautentiseringsuppgifter - T0806: Brute Force I/O |
Går inte att lära sig |
| PLC-genomsökning har identifierats | En källenhet upptäcktes genomsöka nätverksenheter. Den här enheten är inte auktoriserad som en nätverksgenomsökningsenhet. Tröskelvärde: 10 genomsökningar på 2 minuter |
Högt | Skanna | Taktiker: -Upptäckten Tekniker: - T0842: Nätverkssniffning |
Lärbar |
| Portgenomsökning har identifierats | En källenhet upptäcktes genomsöka nätverksenheter. Den här enheten är inte auktoriserad som en nätverksgenomsökningsenhet. Tröskelvärde: 25 genomsökningar på 2 minuter |
Högt | Skanna | Taktiker: -Upptäckten Tekniker: - T0842: Nätverkssniffning |
Lärbar |
| Oväntad meddelandelängd | Källenheten skickade ett onormalt meddelande. Den här aviseringen kan tyda på ett försök att attackera målenheten. Tröskelvärde: textlängd - 32768 |
Högt | Onormalt kommunikationsbeteende | Taktiker: – InitialAccess – LateralMovement Tekniker: - T0869: Utnyttjande av fjärrtjänster |
Går inte att lära sig |
| Oväntad trafik för standardport * | Trafik upptäcktes på en enhet med hjälp av en port som är reserverad för ett annat protokoll. | Medel | Onormalt kommunikationsbeteende | Taktiker: - Kommando och kontroll -Upptäckten Tekniker: - T0869: Standard Application Layer Protocol - T0842: Nätverkssniffning |
Går inte att lära sig |
Aviseringar om protokollöverträdelsemotor
Protokollmotoraviseringar beskriver identifierade avvikelser i paketstrukturen eller fältvärden jämfört med protokollspecifikationer.
| Title | Description | Allvarlighetsgrad | Kategori | MITRE ATT&CK Taktiker och tekniker |
Lärbar |
|---|---|---|---|---|---|
| Överdrivet felaktiga paket i en enda session * | Ett onormalt antal felaktiga paket som skickas från källenheten till målenheten. Den här aviseringen kan tyda på felaktig kommunikation eller ett försök att manipulera målenheten. Tröskelvärde: 2 felaktiga paket på 10 minuter |
Medel | Otillåtna kommandon | Taktiker: - Försämra processkontroll Tekniker: - T0806: Brute Force I/O |
Går inte att lära sig |
| Uppdatering av inbyggd programvara | En källenhet skickade ett kommando för att uppdatera den inbyggda programvaran på en målenhet. Kontrollera att de senaste uppgraderingarna av programmering, konfiguration och inbyggd programvara som gjorts till målenheten är giltiga. | Låg | Ändring av inbyggd programvara | Taktiker: - Hämma svarsfunktion -Uthållighet Tekniker: - T0857: Inbyggd programvara för system |
Lärbar |
| Funktionskod stöds inte av utstation | Målenheten tog emot en ogiltig begäran. | Medel | Otillåtna kommandon | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande |
Går inte att lära sig |
| Ogiltigt BACNet-meddelande | Källenheten initierade en ogiltig begäran. | Medel | Otillåtna kommandon | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande – T0836: Ändra parameter |
Går inte att lära sig |
| Ogiltigt Anslut ionsförsök på port 0 | En källenhet försökte ansluta till målenheten på portnummer noll (0). För TCP är port 0 reserverad och kan inte användas. För UDP är porten valfri och värdet 0 innebär ingen port. Det finns vanligtvis ingen tjänst i ett system som lyssnar på port 0. Den här händelsen kan tyda på ett försök att attackera målenheten eller indikera att ett program har programmerats felaktigt. | Låg | Otillåtna kommandon | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande – T0836: Ändra parameter |
Går inte att lära sig |
| Ogiltig DNP3-åtgärd | Källenheten initierade en ogiltig begäran. | Medel | Otillåtna kommandon | Taktiker: – Inledande åtkomst - Lateral rörelse Tekniker: - T0866: Utnyttjande av fjärrtjänster |
Går inte att lära sig |
| Ogiltig MODBUS-åtgärd (undantag som genererats av huvudservern) | Källenheten initierade en ogiltig begäran. | Medel | Otillåtna kommandon | Taktiker: – Inledande åtkomst - Lateral rörelse Tekniker: - T0866: Utnyttjande av fjärrtjänster |
Går inte att lära sig |
| Ogiltig MODBUS-åtgärd (funktionskod noll) * | Källenheten initierade en ogiltig begäran. | Medel | Otillåtna kommandon | Taktiker: – Inledande åtkomst - Lateral rörelse Tekniker: - T0866: Utnyttjande av fjärrtjänster |
Går inte att lära sig |
| Ogiltig protokollversion * | Källenheten initierade en ogiltig begäran. | Medel | Otillåtna kommandon | Taktiker: – Inledande åtkomst – LateralMovement - Försämra processkontroll Tekniker: - T0820: Fjärrtjänster – T0836: Ändra parameter |
Går inte att lära sig |
| Felaktig parameter skickad till utstation | Målenheten tog emot en ogiltig begäran. | Medel | Otillåtna kommandon | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande – T0836: Ändra parameter |
Går inte att lära sig |
| Initiering av en föråldrad funktionskod (initiera data) | Källenheten initierade en ogiltig begäran. | Låg | Otillåtna kommandon | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande |
Går inte att lära sig |
| Initiering av en föråldrad funktionskod (Spara konfiguration) | Källenheten initierade en ogiltig begäran. | Låg | Otillåtna kommandon | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande |
Går inte att lära sig |
| Master begärde en bekräftelse på programskiktet | Källenheten initierade en ogiltig begäran. | Låg | Otillåtna kommandon | Taktiker: - Kommando och kontroll Tekniker: - T0869: Standard Application Layer Protocol |
Går inte att lära sig |
| Modbus-undantag | En källenhet (sekundär) returnerade ett undantag till en målenhet (primär). | Medel | Otillåtna kommandon | Taktiker: - Hämma svarsfunktion Tekniker: - T0814: Denial of Service |
Går inte att lära sig |
| Slavenhet mottagen olaglig ASDU-typ | Målenheten tog emot en ogiltig begäran. | Medel | Otillåtna kommandon | Taktiker: - Försämra processkontroll Tekniker: – T0836: Ändra parameter |
Går inte att lära sig |
| Slavenhet mottagen olaglig kommandoorsak till överföring | Målenheten tog emot en ogiltig begäran. | Medel | Otillåtna kommandon | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande – T0836: Ändra parameter |
Går inte att lära sig |
| Slavenhet mottagen olaglig gemensam adress | Målenheten tog emot en ogiltig begäran. | Medel | Otillåtna kommandon | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande – T0836: Ändra parameter |
Går inte att lära sig |
| Parametern Slave Device Received Illegal Data Address * | Målenheten tog emot en ogiltig begäran. | Medel | Otillåtna kommandon | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande – T0836: Ändra parameter |
Går inte att lära sig |
| Parametern Slave Device Received Illegal Data Value * | Målenheten tog emot en ogiltig begäran. | Medel | Otillåtna kommandon | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande – T0836: Ändra parameter |
Går inte att lära sig |
| Slavenhet mottagen ogiltig funktionskod * | Målenheten tog emot en ogiltig begäran. | Medel | Otillåtna kommandon | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande – T0836: Ändra parameter |
Går inte att lära sig |
| Slave Device Received Illegal Information Object Address | Målenheten tog emot en ogiltig begäran. | Medel | Otillåtna kommandon | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande – T0836: Ändra parameter |
Går inte att lära sig |
| Okänt objekt som skickas till utstation | Målenheten tog emot en ogiltig begäran. | Medel | Otillåtna kommandon | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande |
Går inte att lära sig |
| Användning av en reserverad funktionskod | Källenheten initierade en ogiltig begäran. | Medel | Otillåtna kommandon | Taktiker: - Försämra processkontroll Tekniker: – T0836: Ändra parameter |
Går inte att lära sig |
| Användning av felaktig formatering efter utstation * | Källenheten initierade en ogiltig begäran. | Låg | Otillåtna kommandon | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande |
Går inte att lära sig |
| Användning av reserverade statusflaggor (IIN) | En DNP3-källenhet (utstation) använde den reserverade interna indikatorn 2.6. Vi rekommenderar att du kontrollerar enhetens konfiguration. | Låg | Otillåtna kommandon | Taktiker: - Försämra processkontroll Tekniker: – T0836: Ändra parameter |
Går inte att lära sig |
Aviseringar om skadlig kodmotor
Aviseringar om skadlig kodmotor beskriver identifierad skadlig nätverksaktivitet.
| Title | Description | Allvarlighetsgrad | Kategori | MITRE ATT&CK Taktiker och tekniker |
Lärbar |
|---|---|---|---|---|---|
| Anslut ionsförsök till känd skadlig IP-adress | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utnyttjar en metod som används av känd skadlig kod. Utlöses av både OT- och Enterprise IoT-nätverkssensorer. |
Högt | Misstanke om skadlig aktivitet | Taktiker: – Inledande åtkomst - Kommando och kontroll Tekniker: – T0883: Internettillgänglig enhet - T0884: Anslut ion Proxy |
Går inte att lära sig |
| Ogiltigt SMB-meddelande (DoublePulsar Backdoor Implant) | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utnyttjar en metod som används av känd skadlig kod. | Högt | Misstanke om skadlig kod | Taktiker: – Inledande åtkomst – LateralMovement Tekniker: - T0866: Utnyttjande av fjärrtjänster |
Går inte att lära sig |
| Begäran om skadligt domännamn | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utnyttjar en metod som används av känd skadlig kod. Utlöses av både OT- och Enterprise IoT-nätverkssensorer. |
Högt | Misstanke om skadlig aktivitet | Taktiker: – Inledande åtkomst - Kommando och kontroll Tekniker: – T0883: Internettillgänglig enhet - T0884: Anslut ion Proxy |
Lärbar |
| Testfil för skadlig kod har identifierats – EICAR AV lyckades | En EICAR AV-testfil identifierades i trafiken mellan två enheter (över alla transporter – TCP eller UDP). Filen är inte skadlig kod. Den används för att bekräfta att antivirusprogrammet är korrekt installerat. Visa vad som händer när ett virus hittas och kontrollera interna procedurer och reaktioner när ett virus hittas. Antivirusprogram bör identifiera EICAR som om det vore ett riktigt virus. | Högt | Misstanke om skadlig aktivitet | Taktiker: -Upptäckten Tekniker: - T0842: Nätverkssniffning |
Går inte att lära sig |
| Misstanke om skadlig kod i Conficker | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utnyttjar en metod som används av känd skadlig kod. | Medel | Misstanke om skadlig kod | Taktiker: – Inledande åtkomst -Effekt Tekniker: - T0826: Förlust av tillgänglighet - T0828: Förlust av produktivitet och intäkter – T0847: Replikering via flyttbara medier |
Går inte att lära sig |
| Misstanke om överbelastningsattack | En källenhet försökte initiera ett alltför stort antal nya anslutningar till en målenhet. Detta kan tyda på en DoS-attack (Denial Of Service) mot målenheten och kan störa enhetens funktioner, påverka prestanda och tjänsttillgänglighet eller orsaka oåterkalleliga fel. Tröskelvärde: 3 000 försök på 1 minut |
Högt | Misstanke om skadlig aktivitet | Taktiker: - Hämma svarsfunktion Tekniker: - T0814: Denial of Service |
Lärbar |
| Misstanke om skadlig aktivitet | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utlöste kända "Indikatorer för kompromiss" (IOCs). Aviseringsmetadata bör granskas av säkerhetsteamet. | Högt | Misstanke om skadlig aktivitet | Taktiker: - Lateral rörelse Tekniker: - T0867: Lateral verktygsöverföring |
Går inte att lära sig |
| Misstanke om skadlig aktivitet (BlackEnergy) | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utnyttjar en metod som används av känd skadlig kod. | Högt | Misstanke om skadlig kod | Taktiker: - Kommando och kontroll Tekniker: - T0869: Standard Application Layer Protocol |
Går inte att lära sig |
| Misstanke om skadlig aktivitet (DarkComet) | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utnyttjar en metod som används av känd skadlig kod. | Högt | Misstanke om skadlig kod | Taktiker: -Effekt Tekniker: - T0882: Stöld av operativ information |
Går inte att lära sig |
| Misstanke om skadlig aktivitet (Duqu) | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utnyttjar en metod som används av känd skadlig kod. | Högt | Misstanke om skadlig kod | Taktiker: -Effekt Tekniker: - T0882: Stöld av operativ information |
Går inte att lära sig |
| Misstanke om skadlig aktivitet (flamma) | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utnyttjar en metod som används av känd skadlig kod. | Högt | Misstanke om skadlig kod | Taktiker: -Samling -Effekt Tekniker: - T0882: Stöld av operativ information – T0811: Data från informationslagringsplatser |
Går inte att lära sig |
| Misstanke om skadlig aktivitet (Havex) | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utnyttjar en metod som används av känd skadlig kod. | Högt | Misstanke om skadlig kod | Taktiker: -Samling -Upptäckten - Hämma svarsfunktion Tekniker: - T0861: Punkt- och taggidentifiering – T0846: Fjärrsystemidentifiering - T0814: Denial of Service |
Går inte att lära sig |
| Misstanke om skadlig aktivitet (Karagany) | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utnyttjar en metod som används av känd skadlig kod. | Högt | Misstanke om skadlig kod | Taktiker: -Effekt Tekniker: - T0882: Stöld av operativ information |
Går inte att lära sig |
| Misstanke om skadlig aktivitet (LightsOut) | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utnyttjar en metod som används av känd skadlig kod. | Högt | Misstanke om skadlig kod | Taktiker: -Skatteflykt Tekniker: - T0849: Maskering |
Går inte att lära sig |
| Misstanke om skadlig aktivitet (namnfrågor) | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utnyttjar en metod som används av känd skadlig kod. Tröskelvärde: 25 namnfrågor på 1 minut |
Högt | Misstanke om skadlig aktivitet | Taktiker: - Kommando och kontroll Tekniker: - T0884: Anslut ion Proxy |
Går inte att lära sig |
| Misstanke om skadlig aktivitet (Poison Ivy) | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utnyttjar en metod som används av känd skadlig kod. | Högt | Misstanke om skadlig kod | Taktiker: – Inledande åtkomst - Lateral rörelse Tekniker: - T0866: Utnyttjande av fjärrtjänster |
Går inte att lära sig |
| Misstanke om skadlig aktivitet (regin) | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utnyttjar en metod som används av känd skadlig kod. | Högt | Misstanke om skadlig kod | Taktiker: – Inledande åtkomst - Lateral rörelse -Effekt Tekniker: - T0866: Utnyttjande av fjärrtjänster - T0882: Stöld av operativ information |
Går inte att lära sig |
| Misstanke om skadlig aktivitet (Stuxnet) | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utnyttjar en metod som används av känd skadlig kod. | Högt | Misstanke om skadlig kod | Taktiker: – Inledande åtkomst - Lateral rörelse -Effekt Tekniker: - T0818: Engineering Workstation Compromise - T0866: Utnyttjande av fjärrtjänster - T0831: Manipulering av kontroll |
Går inte att lära sig |
| Misstanke om skadlig aktivitet (WannaCry) * | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utnyttjar en metod som används av känd skadlig kod. | Medel | Misstanke om skadlig kod | Taktiker: – Inledande åtkomst - Lateral rörelse Tekniker: - T0866: Utnyttjande av fjärrtjänster - T0867: Lateral verktygsöverföring |
Går inte att lära sig |
| Misstänkt notPetya-skadlig kod – Olagliga SMB-parametrar har identifierats | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utnyttjar en metod som används av känd skadlig kod. | Högt | Misstanke om skadlig kod | Taktiker: – Inledande åtkomst - Lateral rörelse Tekniker: - T0866: Utnyttjande av fjärrtjänster |
Går inte att lära sig |
| Misstänkt notPetya-skadlig kod – Olaglig SMB-transaktion identifierad | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utnyttjar en metod som används av känd skadlig kod. | Högt | Misstanke om skadlig kod | Taktiker: - Lateral rörelse Tekniker: - T0867: Lateral verktygsöverföring |
Går inte att lära sig |
| Misstanke om fjärrkörning av kod med PsExec | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utnyttjar en metod som används av känd skadlig kod. | Högt | Misstanke om skadlig aktivitet | Taktiker: - Lateral rörelse – Inledande åtkomst Tekniker: - T0866: Utnyttjande av fjärrtjänster |
Går inte att lära sig |
| Misstanke om fjärrhantering av Windows-tjänster * | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utnyttjar en metod som används av känd skadlig kod. | Högt | Misstanke om skadlig aktivitet | Taktiker: – Inledande åtkomst Tekniker: - T0822: NetworkExternal Remote Services |
Går inte att lära sig |
| Misstänkt körbar fil har identifierats på slutpunkten | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utnyttjar en metod som används av känd skadlig kod. | Högt | Misstanke om skadlig aktivitet | Taktiker: -Skatteflykt - Hämma svarsfunktion Tekniker: - T0851: Rootkit |
Lärbar |
| Misstänkt trafik har identifierats * | Misstänkt nätverksaktivitet har identifierats. Den här aktiviteten kan vara associerad med en attack som utlöste kända "Indikatorer för kompromiss" (IOCs). Aviseringsmetadata bör granskas av säkerhetsteamet | Högt | Misstanke om skadlig aktivitet | Taktiker: -Upptäckten Tekniker: - T0842: Nätverkssniffning |
Går inte att lära sig |
| Säkerhetskopieringsaktivitet med antivirussignaturer | Trafik som identifierats mellan källenheten och målservern för säkerhetskopiering utlöste den här aviseringen. Trafiken omfattar säkerhetskopiering av antivirusprogram som kan innehålla signaturer för skadlig kod. Det här är troligtvis legitim säkerhetskopieringsaktivitet. | Låg | Backup | Taktiker: -Effekt Tekniker: - T0882: Stöld av operativ information |
Går inte att lära sig |
Aviseringar om driftmotor
Aviseringar om driftmotorn beskriver identifierade driftincidenter eller felaktiga entiteter.
| Title | Description | Allvarlighetsgrad | Kategori | MITRE ATT&CK Taktiker och tekniker |
Lärbar |
|---|---|---|---|---|---|
| Ett S7 Stop PLC-kommando skickades | Källenheten skickade ett stoppkommando till en målkontrollant. Kontrollanten slutar fungera tills ett startkommando skickas. | Låg | Starta om/stoppa kommandon | Taktiker: - Lateral rörelse - Försvarsundandragande -Utförande - Hämma svarsfunktion Tekniker: - T0843: Ladda ned program – T0858: Ändra driftläge - T0814: Denial of Service |
Går inte att lära sig |
| BACNet-åtgärden misslyckades | En server returnerade en felkod. Den här aviseringen anger ett serverfel eller en ogiltig begäran från en klient. | Medel | Kommandofel | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande |
Går inte att lära sig |
| Felaktigt MMS-enhetstillstånd | En virtuell MMS-tillverkningsenhet (VMD) skickade ett statusmeddelande. Meddelandet anger att servern kanske inte är korrekt konfigurerad, delvis i drift eller inte fungerar alls. | Medel | Driftproblem | Taktiker: - Hämma svarsfunktion Tekniker: - T0814: Denial of Service |
Går inte att lära sig |
| Ändring av enhetskonfiguration * | En konfigurationsändring upptäcktes på en källenhet. | Låg | Konfigurationsändringar | Taktiker: - Försämra processkontroll Tekniker: – T0836: Ändra parameter |
Går inte att lära sig |
| Buffertspill för kontinuerlig händelse vid utstation * | En buffertspillhändelse upptäcktes på en källenhet. Händelsen kan orsaka skadade data, programkrascher eller körning av skadlig kod. Tröskelvärde: 3 förekomster på 10 minuter |
Medel | Buffertspill | Taktiker: - Hämma svarsfunktion - Försämra processkontroll -Uthållighet Tekniker: - T0814: Denial of Service - T0806: Brute Force I/O – T0839: Modulens inbyggda programvara |
Går inte att lära sig |
| Återställning av styrenhet | En källenhet skickade ett återställningskommando till en målkontrollant. Kontrollanten slutade fungera tillfälligt och startades igen automatiskt. | Låg | Starta om/stoppa kommandon | Taktiker: - Försvarsundandragande -Utförande - Hämma svarsfunktion Tekniker: – T0858: Ändra driftläge - T0814: Denial of Service |
Går inte att lära sig |
| Kontrollantstopp | Källenheten skickade ett stoppkommando till en målkontrollant. Kontrollanten slutar fungera tills ett startkommando skickas. | Låg | Starta om/stoppa kommandon | Taktiker: - Lateral rörelse - Försvarsundandragande -Utförande - Hämma svarsfunktion Tekniker: - T0843: Ladda ned program – T0858: Ändra driftläge - T0814: Denial of Service |
Går inte att lära sig |
| Enheten kunde inte ta emot en dynamisk IP-adress | Källenheten är konfigurerad för att ta emot en dynamisk IP-adress från en DHCP-server men fick ingen adress. Detta indikerar ett konfigurationsfel på enheten eller ett driftfel på DHCP-servern. Vi rekommenderar att du meddelar nätverksadministratören om incidenten | Medel | Kommandofel | Taktiker: -Upptäckten Tekniker: - T0842: Nätverkssniffning |
Går inte att lära sig |
| Enheten misstänks vara frånkopplad (svarar inte) | En källenhet svarade inte på ett kommando som skickades till den. Det kan ha kopplats från när kommandot skickades. Tröskelvärde: 8 försök på 5 minuter |
Medel | Svarar inte | Taktiker: - Hämma svarsfunktion Tekniker: – T0881: Tjänststopp |
Går inte att lära sig |
| EtherNet/IP CIP-tjänstbegäran misslyckades | En server returnerade en felkod. Detta indikerar ett serverfel eller en ogiltig begäran från en klient. | Medel | Kommandofel | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande |
Går inte att lära sig |
| EtherNet/IP-inkapslingsprotokollkommandot misslyckades | En server returnerade en felkod. Detta indikerar ett serverfel eller en ogiltig begäran från en klient. | Medel | Kommandofel | Taktiker: -Samling Tekniker: – T0801: Övervaka processtillstånd |
Går inte att lära sig |
| Händelsebufferten flödar över i utstation | En buffertspillhändelse upptäcktes på en källenhet. Händelsen kan orsaka skadade data, programkrascher eller körning av skadlig kod. | Medel | Buffertspill | Taktiker: - Hämma svarsfunktion - Försämra processkontroll -Uthållighet Tekniker: - T0814: Denial of Service – T0839: Modulens inbyggda programvara |
Går inte att lära sig |
| Den förväntade säkerhetskopieringsåtgärden inträffade inte | Den förväntade säkerhetskopierings-/filöverföringsaktiviteten inträffade inte mellan två enheter. Den här aviseringen kan tyda på fel i processen för säkerhetskopiering/filöverföring. Tröskelvärde: 100 sekunder |
Medel | Backup | Taktiker: - Hämma svarsfunktion Tekniker: – T0809: Dataförstörelse |
Lärbar |
| GE SRTP-kommandofel | En server returnerade en felkod. Den här aviseringen anger ett serverfel eller en ogiltig begäran från en klient. | Medel | Kommandofel | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande |
Går inte att lära sig |
| GE SRTP Stop PLC-kommandot skickades | Källenheten skickade ett stoppkommando till en målkontrollant. Kontrollanten slutar fungera tills ett startkommando skickas. | Låg | Starta om/stoppa kommandon | Taktiker: - Lateral rörelse - Försvarsundandragande -Utförande - Hämma svarsfunktion Tekniker: - T0843: Ladda ned program – T0858: Ändra driftläge - T0814: Denial of Service |
Går inte att lära sig |
| GOOSE-kontrollblock kräver ytterligare konfiguration | En källenhet skickade ett GOOSE-meddelande som anger att enheten behöver beställas. Det innebär att GOOSE-kontrollblocket kräver ytterligare konfiguration och ATT GOOSE-meddelanden delvis eller helt inte fungerar. | Medel | Konfigurationsändringar | Taktiker: - Försämra processkontroll - Hämma svarsfunktion Tekniker: – T0803: Blockera kommandomeddelande - T0821: Ändra styrenhetsaktivitet |
Går inte att lära sig |
| KONFIGURATION AV GOOSE-datauppsättning har ändrats * | Ett meddelande (identifieras med protokoll-ID) ändrades på en källenhet. Det innebär att enheten rapporterar en annan datauppsättning för det här meddelandet. | Låg | Konfigurationsändringar | Taktiker: - Försämra processkontroll Tekniker: – T0836: Ändra parameter |
Går inte att lära sig |
| Honeywell Controller oväntad status | En Honeywell-kontrollant skickade ett oväntat diagnostikmeddelande som anger en statusändring. | Låg | Driftproblem | Taktiker: -Skatteflykt -Utförande Tekniker: – T0858: Ändra driftläge |
Går inte att lära sig |
| HTTP-klientfel * | Källenheten initierade en ogiltig begäran. | Låg | Onormalt HTTP-kommunikationsbeteende | Taktiker: - Kommando och kontroll Tekniker: - T0869: Standard Application Layer Protocol |
Går inte att lära sig |
| Ogiltig IP-adress | Systemet upptäckte trafik mellan en källenhet och en IP-adress som är en ogiltig adress. Detta kan tyda på fel konfiguration eller ett försök att generera olaglig trafik. | Låg | Onormalt kommunikationsbeteende | Taktiker: -Upptäckten - Försämra processkontroll Tekniker: - T0842: Nätverkssniffning – T0836: Ändra parameter |
Går inte att lära sig |
| Master-Slave-autentiseringsfel | Autentiseringsprocessen mellan en DNP3-källenhet (primär) och en målenhet (utstation) misslyckades. | Låg | Autentisering | Taktiker: - Lateral rörelse -Uthållighet Tekniker: - T0859: Giltiga konton |
Går inte att lära sig |
| MMS-tjänstbegäran misslyckades | En server returnerade en felkod. Detta indikerar ett serverfel eller en ogiltig begäran från en klient. | Medel | Kommandofel | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande |
Går inte att lära sig |
| Ingen trafik har identifierats i sensorgränssnittet | En sensor slutade identifiera nätverkstrafik i ett nätverksgränssnitt. | Högt | Sensortrafik | Taktiker: - Hämma svarsfunktion Tekniker: – T0881: Tjänststopp |
Går inte att lära sig |
| OPC UA-servern skapade en händelse som kräver användarens uppmärksamhet | En OPC UA-server skickade ett händelsemeddelande till en klient. Den här typen av händelse kräver användarens uppmärksamhet | Medel | Driftproblem | Taktiker: - Hämma svarsfunktion Tekniker: - T0838: Ändra larm Inställningar |
Går inte att lära sig |
| OPC UA-tjänstbegäran misslyckades | En server returnerade en felkod. Detta indikerar ett serverfel eller en ogiltig begäran från en klient. | Medel | Kommandofel | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande |
Går inte att lära sig |
| Utstation startas om | En kall omstart upptäcktes på en källenhet. Det innebär att enheten var fysiskt avstängd och aktiverad igen. | Låg | Starta om/stoppa kommandon | Taktiker: - Hämma svarsfunktion Tekniker: – T0816: Omstart/avstängning av enhet |
Går inte att lära sig |
| Utstation startas om ofta | Ett överdrivet antal kalla omstarter upptäcktes på en källenhet. Det innebär att enheten var fysiskt avstängd och på igen ett överdrivet antal gånger. Tröskelvärde: 2 omstarter på 10 minuter |
Låg | Starta om/stoppa kommandon | Taktiker: - Hämma svarsfunktion Tekniker: - T0814: Denial of Service – T0816: Omstart/avstängning av enhet |
Går inte att lära sig |
| Utstationens konfiguration har ändrats | En konfigurationsändring upptäcktes på en källenhet. | Medel | Konfigurationsändringar | Taktiker: - Hämma svarsfunktion -Uthållighet Tekniker: - T0857: Inbyggd programvara för system |
Går inte att lära sig |
| Utstationernas skadade konfiguration har identifierats | Den här DNP3-källenheten (utstation) rapporterade en skadad konfiguration. | Medel | Konfigurationsändringar | Taktiker: - Hämma svarsfunktion Tekniker: – T0809: Dataförstörelse |
Går inte att lära sig |
| Profinet DCP-kommandot misslyckades | En server returnerade en felkod. Detta indikerar ett serverfel eller en ogiltig begäran från en klient. | Medel | Kommandofel | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande |
Går inte att lära sig |
| Fabriksåterställning för Profinet-enhet | En källenhet skickade ett fabriksåterställningskommando till en Profinet-målenhet. Återställningskommandot rensar Konfigurationer av Profinet-enheter och stoppar åtgärden. | Låg | Starta om/stoppa kommandon | Taktiker: - Försvarsundandragande -Utförande - Hämma svarsfunktion Tekniker: – T0858: Ändra driftläge - T0814: Denial of Service |
Går inte att lära sig |
| RPC-åtgärden misslyckades * | En server returnerade en felkod. Den här aviseringen anger ett serverfel eller en ogiltig begäran från en klient. | Medel | Kommandofel | Taktiker: - Försämra processkontroll Tekniker: – T0855: Obehörigt kommandomeddelande |
Går inte att lära sig |
| Konfigurationen av meddelandedatauppsättning för exempelvärden har ändrats * | Ett meddelande (identifieras med protokoll-ID) ändrades på en källenhet. Det innebär att enheten rapporterar en annan datauppsättning för det här meddelandet. | Låg | Konfigurationsändringar | Taktiker: - Försämra processkontroll Tekniker: – T0836: Ändra parameter |
Går inte att lära sig |
| Fel som inte kan återställas för slavenheter * | Ett oåterkalleligt villkorsfel upptäcktes på en källenhet. Den här typen av fel indikerar vanligtvis ett maskinvarufel eller ett fel med att utföra ett specifikt kommando. | Medel | Kommandofel | Taktiker: - Hämma svarsfunktion Tekniker: - T0814: Denial of Service |
Går inte att lära sig |
| Misstanke om maskinvaruproblem i utstation | Ett oåterkalleligt villkorsfel upptäcktes på en källenhet. Den här typen av fel indikerar vanligtvis ett maskinvarufel eller ett fel med att utföra ett specifikt kommando. | Medel | Driftproblem | Taktiker: - Hämma svarsfunktion Tekniker: - T0814: Denial of Service – T0881: Tjänststopp |
Går inte att lära sig |
| Misstanke om att MODBUS-enheten inte svarar | En källenhet svarade inte på ett kommando som skickades till den. Det kan ha kopplats från när kommandot skickades. Tröskelvärde: Minst 1 giltigt svar för minst 3 begäranden inom 5 minuter |
Låg | Svarar inte | Taktiker: - Hämma svarsfunktion Tekniker: – T0881: Tjänststopp |
Går inte att lära sig |
| Trafik identifierad i sensorgränssnittet | En sensor återupptog identifieringen av nätverkstrafik i ett nätverksgränssnitt. | Låg | Sensortrafik | Taktiker: -Upptäckten Tekniker: - T0842: Nätverkssniffning |
Går inte att lära sig |
| PLC-driftläget har ändrats | Driftläget på denna PLC har ändrats. Det nya läget kan tyda på att PLC inte är säker. Om du lämnar PLC i ett osäkert driftsläge kan angripare utföra skadliga aktiviteter på den, till exempel en programnedladdning. Om PLC komprometteras kan enheter och processer som interagerar med den påverkas. Detta kan påverka den övergripande systemsäkerheten. | Låg | Konfigurationsändringar | Taktiker: -Utförande -Skatteflykt Tekniker: – T0858: Ändra driftläge |
Går inte att lära sig |
Nästa steg
Mer information finns i:
- Visa och hantera aviseringar på Defender för IoT-portalen
- Visa aviseringar på sensorn
- Påskynda aviseringsarbetsflöden
- Vidarebefordra aviseringsinformation
- Arbeta med aviseringar i den lokala hanteringskonsolen
- API-referens för aviseringshantering för lokala hanteringskonsoler
- API-referens för aviseringshantering för OT-övervakningssensorer
- Vidarebefordra aviseringsinformation