Microsoft Defender for IoT-riasztások referenciája
Ez a cikk a Microsoft Defender által az IoT-hálózati érzékelőkhöz létrehozott riasztásokra hivatkozik, beleértve az összes riasztástípust és leírást. A hivatkozás azt is bemutatja, hogy mely riasztások állíthatók be tanulhatóként vagy sem. A megtanulható állapotról további információt a riasztások állapotáról és a triaging lehetőségekről talál. Ezt a hivatkozást használhatja a riasztások forgatókönyvekbe való leképezésére, az operatív technológia (OT) hálózati érzékelőinek továbbítási szabályainak meghatározására vagy más egyéni tevékenységekre.
Az OT-riasztások alapértelmezés szerint ki lettek kapcsolva
Alapértelmezés szerint több riasztás is ki van kapcsolva, amint azt a csillag (*) jelzi az alábbi táblázatokban. Az OT-érzékelő rendszergazdai felhasználói engedélyezhetik vagy letilthatják a riasztásokat egy adott OT-hálózati érzékelő támogatási oldaláról.
Ha kikapcsolja a más helyeken hivatkozott riasztásokat, például a riasztástovábbítási szabályokat, szükség szerint frissítse ezeket a hivatkozásokat.
Riasztás súlyosságai
Az IoT-alapú Defender-riasztások a következő súlyossági szinteket használják:
| Azure Portal | OT-érzékelő | Leírás |
|---|---|---|
| Magas | Kritikus | Rosszindulatú támadást jelez, amelyet azonnal kezelni kell. |
| Medium | Őrnagy | Olyan biztonsági fenyegetést jelez, amelyet fontos kezelni. |
| Alacsony | Alverzió, figyelmeztetés | Az alapkonfigurációtól való eltérést jelzi, amely biztonsági fenyegetést tartalmazhat, vagy nem tartalmaz biztonsági fenyegetést. |
Az ezen a lapon található riasztási súlyosságok az Azure Portalon látható súlyosságot sorolják fel.
Támogatott riasztástípusok
| Riasztástípus | Leírás |
|---|---|
| Szabályzatsértési riasztások | Akkor aktiválódik, ha a szabályzatsértési motor észleli a korábban tanult forgalomtól való eltérést. Például: - A rendszer új eszközt észlel. – A rendszer új konfigurációt észlel egy eszközön. - A programozási eszközként nem definiált eszközök programozási módosítást hajtanak végre. - A belső vezérlőprogram verziója megváltozott. |
| Protokoll megsértésével kapcsolatos riasztások | Akkor aktiválódik, ha a protokollsértési motor olyan csomagstruktúrákat vagy mezőértékeket észlel, amelyek nem felelnek meg a protokoll specifikációjának. |
| Működéssel kapcsolatos riasztások | Akkor aktiválódik, ha az operatív motor hálózati működési incidenseket vagy hibásan működő eszközt észlel. Egy hálózati eszközt például leállított egy Stop PLC paranccsal, vagy egy érzékelő adaptere leállította a forgalom figyelését. |
| Kártevőkkel kapcsolatos riasztások | Akkor aktiválódik, ha a kártevőmotor rosszindulatú hálózati tevékenységet észlel. A motor például egy ismert támadást észlel, például a Confickert. |
| Rendellenességgel kapcsolatos riasztások | Akkor aktiválódik, ha az anomáliadetektáló motor eltérést észlel. Egy eszköz például hálózati vizsgálatot végez, de nincs beolvasási eszközként definiálva. |
Az IoT-hez készült Defender riasztásészlelési szabályzata a különböző riasztási motorokat irányítja a riasztások aktiválásához az üzleti hatás és a hálózati környezet alapján, valamint csökkenti az alacsony értékű informatikai riasztásokat. További információ: Szűrt riasztások OT/IT-környezetekben.
Támogatott riasztási kategóriák
Minden riasztás a következő kategóriák egyikével rendelkezik:
- Rendellenes kommunikációs viselkedés
- Rendellenes HTTP-kommunikációs viselkedés
- Hitelesítés
- Backup
- Sávszélesség-rendellenességek
- Puffer túlcsordult
- Parancshibák
- Konfigurációs módosítások
- Egyéni riasztások
- Felderítés
- Belső vezérlőprogram módosítása
- Illegális parancsok
- Internet-hozzáférés
- Művelethibák
- Működési problémák
- Programozás
- Távelérés
- Parancsok újraindítása/leállítása
- Vizsgálat
- Érzékelőforgalom
- Rosszindulatú tevékenység gyanúja
- Kártevő gyanúja
- Jogosulatlan kommunikációs viselkedés
- Nem válaszol
Szabályzatmotor-riasztások
A szabályzatmotor riasztásai a tanult alapkonfiguráció viselkedésétől észlelt eltéréseket írják le.
A szabályzatmotor riasztási táblája az Összesített elemet tartalmazza, amely azt jelzi, hogy több ilyen típusú riasztás csoportosítható és csak egyszer szerepelhet a Riasztások lapon a riasztások kimerültsége csökkentése érdekében. További információ: összesített riasztások.
| Cím | Leírás | Súlyosság | Kategória | MITRE ATT&CK Taktikák és technikák |
Tanulható | Összesített szabálysértések |
|---|---|---|---|---|---|---|
| A Beckhoff szoftver megváltozott | A belső vezérlőprogram frissítve lett egy forráseszközön. Ez lehet engedélyezett tevékenység, például tervezett karbantartási eljárás. | Közepes | Belső vezérlőprogram módosítása |
Taktika: - Gátolja a válaszfüggvényt -Kitartás Technikák: - T0857: Rendszer belső vezérlőprogramja |
Tanulható | Nem |
| Az adatbázis-bejelentkezés sikertelen | A rendszer sikertelen bejelentkezési kísérletet észlelt egy forráseszközről egy célkiszolgálóra. Ez emberi hiba következménye lehet, de a kiszolgáló vagy a rajta lévő adatok veszélyeztetésére tett rosszindulatú kísérletre is utalhat. Küszöbérték: 2 bejelentkezési hiba 5 perc alatt |
Közepes | Hitelesítés |
Taktika: - Oldalirányú mozgás -Gyűjtemény Technikák: - T0812: Alapértelmezett hitelesítő adatok - T0811: Adatok az információs adattárakból |
Nem tanulható | Nem |
| Az Emerson ROC belső vezérlőprogramjának verziója megváltozott | A belső vezérlőprogram frissítve lett egy forráseszközön. Ez lehet engedélyezett tevékenység, például tervezett karbantartási eljárás. | Közepes | Belső vezérlőprogram módosítása |
Taktika: - Gátolja a válaszfüggvényt -Kitartás Technikák: - T0857: Rendszer belső vezérlőprogramja |
Tanulható | Igen |
| Az interneten keresztül kommunikált külső cím a hálózaton belül | A hálózat részeként definiált forráseszköz internetes címekkel kommunikál. A forrás nem jogosult az internetes címekkel való kommunikációra. | Magas | Internet-hozzáférés |
Taktika: - Kezdeti hozzáférés Technikák: - T0883: Internet akadálymentes eszköz |
Tanulható | Nem |
| Váratlanul felderített mezőeszköz | A rendszer új forráseszközt észlelt a hálózaton, de nincs engedélyezve. | Közepes | Felderítés |
Taktika: -Felfedezés Technikák: - T0842: Hálózati sniffing |
Nem tanulható | Nem |
| Belső vezérlőprogram-módosítás észlelhető | A belső vezérlőprogram frissítve lett egy forráseszközön. Ez lehet engedélyezett tevékenység, például tervezett karbantartási eljárás. | Közepes | Belső vezérlőprogram módosítása |
Taktika: - Gátolja a válaszfüggvényt -Kitartás Technikák: - T0857: Rendszer belső vezérlőprogramja |
Nem tanulható | Nem |
| A belső vezérlőprogram verziója módosult | A belső vezérlőprogram frissítve lett egy forráseszközön. Ez lehet engedélyezett tevékenység, például tervezett karbantartási eljárás. | Közepes | Belső vezérlőprogram módosítása |
Taktika: - Gátolja a válaszfüggvényt -Kitartás Technikák: - T0857: Rendszer belső vezérlőprogramja |
Tanulható | Igen |
| Foxboro I/A jogosulatlan művelet | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet - T0836: Paraméter módosítása |
Tanulható | Igen |
| Az FTP-bejelentkezés sikertelen | A rendszer sikertelen bejelentkezési kísérletet észlelt egy forráseszközről egy célkiszolgálóra. Ez a riasztás emberi hiba következménye lehet, de a kiszolgáló vagy a rajta lévő adatok veszélyeztetésére tett rosszindulatú kísérletre is utalhat. | Közepes | Hitelesítés |
Taktika: - Oldalirányú mozgás - Parancs és vezérlés Technikák: - T0812: Alapértelmezett hitelesítő adatok - T0869: Standard Application Layer Protocol |
Nem tanulható | Nem |
| A függvénykód nem engedélyezett kivételt okozott * | A forráseszköz (másodlagos) kivételt adott vissza egy céleszköznek (elsődleges). | Közepes | Parancshibák |
Taktika: - Gátolja a válaszfüggvényt Technikák: - T0835: I/O-rendszerkép kezelése |
Tanulható | Igen |
| LIBA-üzenettípus beállításai | Az üzenet (a protokollazonosító alapján azonosított) beállításai módosultak egy forráseszközön. | Alacsony | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0836: Paraméter módosítása |
Tanulható | Igen |
| Honeywell belső vezérlőprogram verziója megváltozott | A belső vezérlőprogram frissítve lett egy forráseszközön. Ez lehet engedélyezett tevékenység, például tervezett karbantartási eljárás. | Közepes | Belső vezérlőprogram módosítása |
Taktika: - Gátolja a válaszfüggvényt -Kitartás Technikák: - T0857: Rendszer belső vezérlőprogramja |
Tanulható | Nem |
| Illegális HTTP-kommunikáció * | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Rendellenes HTTP-kommunikációs viselkedés |
Taktika: -Felfedezés Technikák: - T0846: Távoli rendszerfelderítés |
Tanulható | Nem |
| Internet-hozzáférés észlelhető | A hálózat részeként definiált forráseszköz internetes címekkel kommunikál. A forrás nem jogosult az internetes címekkel való kommunikációra. | Közepes | Internet-hozzáférés |
Taktika: - Kezdeti hozzáférés Technikák: - T0883: Internet akadálymentes eszköz |
Tanulható | Nem |
| A Mitsubishi belső vezérlőprogram verziója megváltozott | A belső vezérlőprogram frissítve lett egy forráseszközön. Ez lehet engedélyezett tevékenység, például tervezett karbantartási eljárás. | Közepes | Belső vezérlőprogram módosítása |
Taktika: - Gátolja a válaszfüggvényt -Kitartás Technikák: - T0857: Rendszer belső vezérlőprogramja |
Tanulható | Nem |
| Modbus-címtartomány megsértése | Egy elsődleges eszköz hozzáférést kért egy új másodlagos memóriacímhez. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: -Felfedezés Technikák: - T0842: Hálózati sniffing |
Tanulható | Igen |
| Modbus belső vezérlőprogram verziója megváltozott | A belső vezérlőprogram frissítve lett egy forráseszközön. Ez lehet engedélyezett tevékenység, például tervezett karbantartási eljárás. | Közepes | Belső vezérlőprogram módosítása |
Taktika: - Gátolja a válaszfüggvényt -Kitartás Technikák: - T0857: Rendszer belső vezérlőprogramja |
Tanulható | Nem |
| Új tevékenység észlelhető – CIP-osztály | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: -Felfedezés Technikák: - T0888: Távoli Rendszerinformáció felderítés |
Tanulható | Igen |
| Új tevékenység észlelhető – CIP osztályszolgáltatás | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Gátolja a válaszfüggvényt Technikák: - T0836: Paraméter módosítása |
Tanulható | Igen |
| Új tevékenység észlelhető – CIP PCCC-parancs | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Gátolja a válaszfüggvényt Technikák: - T0836: Paraméter módosítása |
Tanulható | Igen |
| Új tevékenység észlelhető – CIP szimbólum | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés - Gátolja a válaszfüggvényt Technikák: - T0855: Jogosulatlan parancsüzenet - T0836: Paraméter módosítása |
Tanulható | Igen |
| Új tevékenység észlelhető – EtherNet/IP I/O-kapcsolat | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: -Felfedezés - Gátolja a válaszfüggvényt Technikák: - T0846: Távoli rendszerfelderítés - T0835: I/O-rendszerkép kezelése |
Tanulható | Igen |
| Új tevékenység észlelhető – EtherNet/IP Protokoll parancs | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Gátolja a válaszfüggvényt Technikák: - T0836: Paraméter módosítása |
Tanulható | Igen |
| Új tevékenység észlelhető – GSM-üzenetkód | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - CommandAndControl Technikák: - T0869: Standard Application Layer Protocol |
Tanulható | Igen |
| Új tevékenység észlelhető – LonTalk parancskódok | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: -Gyűjtemény - Rontja a Folyamatvezérlés Technikák: - T0861 - Pont > Címkeazonosítás - T0855: Jogosulatlan parancsüzenet |
Tanulható | Igen |
| Új portfelderítés | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Alacsony | Felderítés |
Taktika: - Oldalirányú mozgás Technikák: - T0867: Oldalirányú eszközátvitel |
Tanulható | Nem |
| Új tevékenység észlelhető – LonTalk hálózati változó | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet |
Tanulható | Igen |
| Új tevékenység észlelhető – Ovációs adatkérés | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: -Gyűjtemény -Felfedezés Technikák: - T0801: Folyamatállapot figyelése - T0888: Távoli Rendszerinformáció felderítés |
Tanulható | Igen |
| Új tevékenység észlelhető – Olvasási/írási parancs (AMS indexcsoport) | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Konfigurációs módosítások |
Taktika: - Rontja a Folyamatvezérlés - Gátolja a válaszfüggvényt Technikák: - T0855: Jogosulatlan parancsüzenet - T0836: Paraméter módosítása |
Tanulható | Igen |
| Új tevékenység észlelhető – Olvasási/írási parancs (AMS indexeltolás) | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Konfigurációs módosítások |
Taktika: - Rontja a Folyamatvezérlés - Gátolja a válaszfüggvényt Technikák: - T0855: Jogosulatlan parancsüzenet - T0836: Paraméter módosítása |
Tanulható | Igen |
| Új tevékenység észlelhető – Jogosulatlan DeltaV-üzenettípus | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés -Kivégzés Technikák: - T0855: Jogosulatlan parancsüzenet - T0821: Vezérlő feladatának módosítása |
Tanulható | Igen |
| Új tevékenység észlelhető – Jogosulatlan DeltaV ROC-művelet | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés -Kivégzés Technikák: - T0855: Jogosulatlan parancsüzenet - T0821: Vezérlő feladatának módosítása |
Tanulható | Igen |
| Új tevékenység észlelhető – Jogosulatlan RPC-üzenettípus | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet |
Tanulható | Igen |
| Új tevékenység észlelhető – AZ AMS Protokoll parancs használata | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés - Gátolja a válaszfüggvényt -Kivégzés Technikák: - T0855: Jogosulatlan parancsüzenet - T0836: Paraméter módosítása - T0821: Vezérlő feladatának módosítása |
Tanulható | Igen |
| Új tevékenység észlelhető – A Siemens SICAM parancs használata | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés - Gátolja a válaszfüggvényt Technikák: - T0855: Jogosulatlan parancsüzenet - T0836: Paraméter módosítása |
Tanulható | Igen |
| Új tevékenység észlelhető – A Suitelink Protocol parancs használata | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés - Gátolja a válaszfüggvényt Technikák: - T0855: Jogosulatlan parancsüzenet - T0836: Paraméter módosítása |
Tanulható | Igen |
| Új tevékenység észlelhető – Suitelink Protocol-munkamenetek használata | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0836: Paraméter módosítása |
Tanulható | Igen |
| Új tevékenység észlelhető – Yokogawa VNetIP-parancs használata | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés -Kivégzés Technikák: - T0855: Jogosulatlan parancsüzenet - T0821: Vezérlő feladatának módosítása |
Tanulható | Igen |
| Új objektum észlelhető | A rendszer új forráseszközt észlelt a hálózaton, de nincs engedélyezve. Ez a riasztás az OT-alhálózatokban felderített eszközökre vonatkozik. Az informatikai alhálózatokban felderített új eszközök nem aktiválnak riasztást. |
Közepes | Felderítés |
Taktika: -Felfedezés Technikák: - T0842: Hálózati sniffing |
Tanulható | Nem |
| Új LLDP-eszközkonfiguráció | A rendszer új forráseszközt észlelt a hálózaton, de nincs engedélyezve. | Közepes | Konfigurációs módosítások |
Taktika: -Felfedezés Technikák: - T0842: Hálózati sniffing |
Tanulható | Nem |
| Omron FINS – Jogosulatlan parancs | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet - T0836: Paraméter módosítása |
Tanulható | Igen |
| Módosult az S7 Plus PLC belső vezérlőprogramja | A belső vezérlőprogram frissítve lett egy forráseszközön. Ez lehet engedélyezett tevékenység, például tervezett karbantartási eljárás. | Közepes | Belső vezérlőprogram módosítása |
Taktika: - Gátolja a válaszfüggvényt -Kitartás Technikák: - T0857: Rendszer belső vezérlőprogramja |
Tanulható | Nem |
| Mintául szolgáló értékek üzenettípus-beállításai | Az üzenet (a protokollazonosító alapján azonosított) beállításai módosultak egy forráseszközön. | Alacsony | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0836: Paraméter módosítása |
Nem tanulható | Igen |
| Az illegális integritás vizsgálatának gyanúja * | Vizsgálatot észleltek egy DNP3-forráseszközön (outstation). Ez a vizsgálat nem engedélyezett tanult forgalomként a hálózaton. | Közepes | Vizsgálat |
Taktika: -Felfedezés Technikák: - T0842: Hálózati sniffing |
Tanulható | Nem |
| Toshiba Computer Link – Jogosulatlan parancs | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Alacsony | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés -Kivégzés Technikák: - T0855: Jogosulatlan parancsüzenet - T0821: Vezérlő feladatának módosítása |
Tanulható | Igen |
| Jogosulatlan ABB Totalflow-fájlművelet | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés -Kivégzés Technikák: - T0855: Jogosulatlan parancsüzenet - T0821: Vezérlő feladatának módosítása |
Nem tanulható | Igen |
| Jogosulatlan ABB Totalflow-regisztrációs művelet | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés -Kivégzés Technikák: - T0855: Jogosulatlan parancsüzenet - T0821: Vezérlő feladatának módosítása |
Nem tanulható | Igen |
| A Siemens S7 adatblokkhoz való jogosulatlan hozzáférés | Egy forráseszköz megpróbált hozzáférni egy erőforráshoz egy másik eszközön. Az erőforrás elérésére tett kísérlet a két eszköz között nem engedélyezett a hálózaton tanult forgalomként. | Alacsony | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés - Kezdeti hozzáférés Technikák: - T0855: Jogosulatlan parancsüzenet - T0811: Adatok az információs adattárakból |
Tanulható | Igen |
| Jogosulatlan hozzáférés a Siemens S7 Plus objektumhoz | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés -Kivégzés - Gátolja a válaszfüggvényt Technikák: - T0855: Jogosulatlan parancsüzenet - T0821: Vezérlő feladatának módosítása - T0809: Adatmegsemmisítés |
Tanulható | Igen |
| A Wonderware címkéhez való jogosulatlan hozzáférés | Egy forráseszköz megpróbált hozzáférni egy erőforráshoz egy másik eszközön. Az erőforrás elérésére tett kísérlet a két eszköz között nem engedélyezett a hálózaton tanult forgalomként. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: -Gyűjtemény - Rontja a Folyamatvezérlés Technikák: - T0861: Pont > Címkeazonosítás - T0855: Jogosulatlan parancsüzenet |
Tanulható | Igen |
| Jogosulatlan BACNet-objektumhozzáférés | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés -Kivégzés Technikák: - T0855: Jogosulatlan parancsüzenet - T0821: Vezérlő feladatának módosítása |
Tanulható | Igen |
| Jogosulatlan BACNet-útvonal | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés -Kivégzés Technikák: - T0855: Jogosulatlan parancsüzenet - T0821: Vezérlő feladatának módosítása |
Tanulható | Igen |
| Jogosulatlan adatbázis-bejelentkezés * | A rendszer bejelentkezési kísérletet észlelt egy forrásügyfél és a célkiszolgáló között. Az eszközök közötti kommunikáció nem engedélyezett a hálózaton tanult forgalomként. | Közepes | Hitelesítés |
Taktika: - Oldalirányú mozgás -Kitartás -Gyűjtemény Technikák: - T0859: Érvényes fiókok - T0811: Adatok az információs adattárakból |
Tanulható | Nem |
| Jogosulatlan adatbázis-művelet | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Rendellenes kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés - Kezdeti hozzáférés Technikák: - T0855: Jogosulatlan parancsüzenet - T0811: Adatok az információs adattárakból |
Tanulható | Igen |
| Jogosulatlan Emerson ROC-művelet | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés -Kivégzés Technikák: - T0855: Jogosulatlan parancsüzenet - T0821: Vezérlő feladatának módosítása |
Tanulható | Igen |
| Jogosulatlan GE SRTP-fájlhozzáférés | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: -Gyűjtemény - LateralMovement -Kitartás Technikák: - T0801: Folyamatállapot figyelése - T0859: Érvényes fiókok |
Tanulható | Igen |
| Jogosulatlan GE SRTP protokollparancs | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet - T0821: Vezérlő feladatának módosítása |
Tanulható | Igen |
| Jogosulatlan GE SRTP rendszermemória-művelet | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: -Felfedezés - Rontja a Folyamatvezérlés Technikák: - T0846: Távoli rendszerfelderítés - T0855: Jogosulatlan parancsüzenet |
Tanulható | Igen |
| Jogosulatlan HTTP-tevékenység | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Rendellenes HTTP-kommunikációs viselkedés |
Taktika: - Kezdeti hozzáférés - Parancs és vezérlés Technikák: - T0822: Külső távoli szolgáltatások - T0869: Standard Application Layer Protocol |
Tanulható | Nem |
| Jogosulatlan HTTP SOAP-művelet * | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Rendellenes HTTP-kommunikációs viselkedés |
Taktika: - Parancs és vezérlés -Kivégzés Technikák: - T0869: Standard Application Layer Protocol - T0871: Végrehajtás API-val |
Tanulható | Nem |
| Jogosulatlan HTTP-felhasználói ügynök * | Jogosulatlan alkalmazást észleltek egy forráseszközön. Az alkalmazás nem engedélyezett tanult alkalmazásként a hálózaton. | Közepes | Rendellenes HTTP-kommunikációs viselkedés |
Taktika: - Parancs és vezérlés Technikák: - T0869: Standard Application Layer Protocol |
Tanulható | Nem |
| Jogosulatlan internetkapcsolat észlelhető | A hálózat részeként definiált forráseszköz internetes címekkel kommunikál. A forrás nem jogosult az internetes címekkel való kommunikációra. | Magas | Internet-hozzáférés |
Taktika: - Kezdeti hozzáférés Technikák: - T0883: Internet akadálymentes eszköz |
Tanulható | Nem |
| Jogosulatlan Mitsubishi MELSEC-parancs | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés -Kivégzés Technikák: - T0855: Jogosulatlan parancsüzenet - T0821: Vezérlő feladatának módosítása |
Tanulható | Igen |
| Jogosulatlan MMS-programhozzáférés | Egy forráseszköz megpróbált hozzáférni egy erőforráshoz egy másik eszközön. Az erőforrás elérésére tett kísérlet a két eszköz között nem engedélyezett a hálózaton tanult forgalomként. | Közepes | Programozás |
Taktika: - Rontja a Folyamatvezérlés -Kivégzés Technikák: - T0855: Jogosulatlan parancsüzenet - T0821: Vezérlő feladatának módosítása |
Tanulható | Igen |
| Jogosulatlan MMS-szolgáltatás | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés -Kivégzés Technikák: - T0855: Jogosulatlan parancsüzenet - T0821: Vezérlő feladatának módosítása |
Tanulható | Igen |
| Jogosulatlan csoportos küldési/szórási kapcsolat | A rendszer csoportos küldési/szórási kapcsolatot észlelt egy forráseszköz és más eszközök között. A csoportos küldési/szórásos kommunikáció nincs engedélyezve. | Magas | Rendellenes kommunikációs viselkedés |
Taktika: -Felfedezés Technikák: - T0842: Hálózati sniffing |
Tanulható | Igen |
| Jogosulatlan név lekérdezése | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Rendellenes kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0836: Paraméter módosítása |
Nem tanulható | Igen |
| Jogosulatlan OPC UA-tevékenység | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0836: Paraméter módosítása |
Tanulható | Igen |
| Jogosulatlan OPC UA-kérés/válasz | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0836: Paraméter módosítása |
Tanulható | Igen |
| A felhasználó által meghatározott szabály jogosulatlan műveletet észlelt | A rendszer két eszköz közötti forgalmat észlelt. Ez a tevékenység nem engedélyezett, egy felhasználó által definiált egyéni riasztási szabály alapján. | Közepes | Egyéni riasztások |
Taktika: -Felfedezés Technikák: - T0842: Hálózati sniffing |
Nem tanulható | Nem |
| Jogosulatlan PLC-konfiguráció olvasása | A forráseszköz nem programozási eszközként van definiálva, hanem olvasási/írási műveletet hajtott végre egy célvezérlőn. A programozási módosításokat csak programozási eszközök végezhetik el. Előfordulhat, hogy egy programozási alkalmazás lett telepítve erre az eszközre. | Alacsony | Konfigurációs módosítások |
Taktika: -Gyűjtemény Technikák: - T0801: Folyamatállapot figyelése |
Tanulható | Nem |
| Nem engedélyezett PLC-konfiguráció írása | A forráseszköz parancsot küldött egy célvezérlő programjának olvasására/írására. Ez a tevékenység korábban nem volt látható. | Közepes | Konfigurációs módosítások |
Taktika: - Rontja a Folyamatvezérlés -Kitartás -Ütközik Technikák: - T0839: Modul belső vezérlőprogramja - T0831: A vezérlés manipulálása - T0889: Program módosítása |
Tanulható | Nem |
| Jogosulatlan PLC-programfeltöltés | A forráseszköz parancsot küldött egy célvezérlő programjának olvasására/írására. Ez a tevékenység korábban nem volt látható. | Közepes | Programozás |
Taktika: - Rontja a Folyamatvezérlés -Kitartás -Gyűjtemény Technikák: - T0839: Modul belső vezérlőprogramja - T0845: Program feltöltése |
Tanulható | Nem |
| Jogosulatlan PLC-programozás | A forráseszköz nem programozási eszközként van definiálva, hanem olvasási/írási műveletet hajtott végre egy célvezérlőn. A programozási módosításokat csak programozási eszközök végezhetik el. Előfordulhat, hogy egy programozási alkalmazás lett telepítve erre az eszközre. | Magas | Programozás |
Taktika: - Rontja a Folyamatvezérlés -Kitartás - Oldalirányú mozgás Technikák: - T0839: Modul belső vezérlőprogramja - T0889: Program módosítása - T0843: Program letöltése |
Tanulható | Nem |
| Jogosulatlan Profinet-keret típusa | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0836: Paraméter módosítása |
Tanulható | Igen |
| Jogosulatlan SAIA S-Bus-parancs | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet |
Tanulható | Igen |
| Nem engedélyezett Siemens S7 vezérlőfüggvény végrehajtása | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés - Gátolja a válaszfüggvényt Technikák: - T0855: Jogosulatlan parancsüzenet - T0809: Adatmegsemmisítés |
Tanulható | Igen |
| Felhasználó által definiált függvény jogosulatlan Siemens S7 végrehajtása | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés -Kivégzés Technikák: - T0836: Paraméter módosítása - T0863: Felhasználó végrehajtása |
Tanulható | Igen |
| Jogosulatlan Siemens S7 Plus blokkhozzáférés | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Gátolja a válaszfüggvényt -Kitartás -Kivégzés Technikák: - T0803 – Parancsüzenet letiltása - T0889: Program módosítása - T0821: Vezérlő feladatának módosítása |
Tanulható | Igen |
| Jogosulatlan Siemens S7 Plus-művelet | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés -Kivégzés Technikák: - T0855: Jogosulatlan parancsüzenet - T0863: Felhasználó végrehajtása |
Tanulható | Igen |
| Jogosulatlan SMB-bejelentkezés | A rendszer bejelentkezési kísérletet észlelt egy forrásügyfél és a célkiszolgáló között. Az eszközök közötti kommunikáció nem engedélyezett a hálózaton tanult forgalomként. | Közepes | Hitelesítés |
Taktika: - Kezdeti hozzáférés - Oldalirányú mozgás -Kitartás Technikák: - T0886: Távoli szolgáltatások - T0859: Érvényes fiókok |
Tanulható | Igen |
| Jogosulatlan SNMP-művelet | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Rendellenes kommunikációs viselkedés |
Taktika: -Felfedezés - Parancs és vezérlés Technikák: - T0842: Hálózati sniffing - T0885: Gyakran használt port |
Tanulható | Igen |
| Jogosulatlan SSH-hozzáférés | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Távelérés |
Taktika: - InitialAccess - Oldalirányú mozgás - Parancs és vezérlés Technikák: - T0886: Távoli szolgáltatások - T0869: Standard Application Layer Protocol |
Tanulható | Nem |
| Jogosulatlan Windows-folyamat | Jogosulatlan alkalmazást észleltek egy forráseszközön. Az alkalmazás nem engedélyezett tanult alkalmazásként a hálózaton. | Közepes | Rendellenes kommunikációs viselkedés |
Taktika: -Kivégzés - Jogosultságok eszkalálása - Parancs és vezérlés Technikák: - T0841: Horgolás - T0885: Gyakran használt port |
Tanulható | Igen |
| Jogosulatlan Windows-szolgáltatás | Jogosulatlan alkalmazást észleltek egy forráseszközön. Az alkalmazás nem engedélyezett tanult alkalmazásként a hálózaton. | Közepes | Rendellenes kommunikációs viselkedés |
Taktika: - Kezdeti hozzáférés - Oldalirányú mozgás Technikák: - T0866: Távoli szolgáltatások kihasználása |
Tanulható | Igen |
| A felhasználó által meghatározott szabály jogosulatlan műveletet észlelt | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció sérti a felhasználó által megadott szabályt | Közepes |
Taktika: -Felfedezés Technikák: - T0842: Hálózati sniffing |
Nem tanulható | Nem | |
| Nem kibocsátott Modbus Schneider elektromos bővítmény | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet |
Tanulható | Igen |
| ASDU-típusok nem kibocsátott használata | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet |
Tanulható | Igen |
| A DNP3 függvénykód nem kibocsátott használata | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0836: Paraméter módosítása |
Tanulható | Igen |
| Belső jelzés (IIN) nem kibocsátott használata * | A DNP3-forráseszköz (outstation) egy belső jelzést (IIN) jelentett, amely nem engedélyezett tanult forgalomként a hálózaton. | Közepes | Illegális parancsok |
Taktika: -Felfedezés Technikák: - T0842: Hálózati sniffing |
Tanulható | Nem |
| Modbus-függvénykód nem kibocsátott használata | A rendszer új forgalmi paramétereket észlelt. Ez a paraméterkombináció nem engedélyezett tanult forgalomként a hálózaton. A következő kombináció nem engedélyezett. | Közepes | Jogosulatlan kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0836: Paraméter módosítása |
Tanulható | Igen |
Anomáliával kapcsolatos motorriasztások
Feljegyzés
Ebben a cikkben szerepel a slave (alárendelt) kifejezés, amelyet a Microsoft már nem használ. Ha a kifejezés el lesz távolítva a szoftverből, a cikkből is eltávolítjuk.
Az anomáliával kapcsolatos motorriasztások a hálózati tevékenység észlelt rendellenességeit ismertetik.
| Cím | Leírás | Súlyosság | Kategória | MITRE ATT&CK Taktikák és technikák |
Tanulható |
|---|---|---|---|---|---|
| Rendellenes kivételminta a Slaveben * | Túl sok hibát észleltek egy forráseszközön. Ez a riasztás működési probléma eredménye lehet. Küszöbérték: 20 kivétel 1 óra alatt |
Alacsony | Rendellenes kommunikációs viselkedés |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0806: Brute Force I/O |
Nem tanulható |
| Rendellenes HTTP-fejléchossz * | A forráseszköz rendellenes üzenetet küldött. Ez a riasztás a céleszköz megtámadására tett kísérletet jelezheti. | Magas | Rendellenes HTTP-kommunikációs viselkedés |
Taktika: - Kezdeti hozzáférés - Oldalirányú mozgás - Parancs és vezérlés Technikák: - T0866: Távoli szolgáltatások kihasználása - T0869: Standard Application Layer Protocol |
Tanulható |
| A HTTP-fejlécben található paraméterek rendellenes száma * | A forráseszköz rendellenes üzenetet küldött. Ez a riasztás a céleszköz megtámadására tett kísérletet jelezheti. | Magas | Rendellenes HTTP-kommunikációs viselkedés |
Taktika: - Kezdeti hozzáférés - Oldalirányú mozgás - Parancs és vezérlés Technikák: - T0866: Távoli szolgáltatások kihasználása - T0869: Standard Application Layer Protocol |
Tanulható |
| Rendellenes periodikus viselkedés a kommunikációs csatornában | A rendszer változást észlelt a forrás- és céleszközök közötti kommunikáció gyakoriságában. | Alacsony | Rendellenes kommunikációs viselkedés |
Taktika: -Felfedezés Technikák: - T0842: Hálózati sniffing |
Tanulható |
| Alkalmazások rendellenes leállítása * | A forráseszközön túl sok leállítási parancsot észleltek. Ez a riasztás működési probléma vagy az eszköz manipulálására tett kísérlet eredménye lehet. Küszöbérték: 20 leállítási parancs 3 óra alatt |
Közepes | Rendellenes kommunikációs viselkedés |
Taktika: -Kitartás -Ütközik Technikák: - T0889: Program módosítása - T0831: A vezérlés manipulálása |
Tanulható |
| Rendellenes forgalmi sávszélesség * | A rendszer rendellenes sávszélességet észlelt egy csatornán. Úgy tűnik, hogy a sávszélesség alacsonyabb/magasabb a korábban észleltnél. A részletekért a Teljes sávszélesség widgettel dolgozhat. | Alacsony | Sávszélesség-rendellenességek |
Taktika: -Felfedezés Technikák: - T0842: Hálózati sniffing |
Tanulható |
| Rendellenes forgalmi sávszélesség az eszközök között * | A rendszer rendellenes sávszélességet észlelt egy csatornán. Úgy tűnik, hogy a sávszélesség alacsonyabb/magasabb a korábban észleltnél. A részletekért a Teljes sávszélesség widgettel dolgozhat. | Alacsony | Sávszélesség-rendellenességek |
Taktika: -Felfedezés Technikák: - T0842: Hálózati sniffing |
Nem tanulható |
| Címvizsgálat észlelve | A rendszer egy forráseszközt észlelt a hálózati eszközök vizsgálatához. Ez az eszköz nem jogosult hálózati ellenőrző eszközként. Küszöbérték: 2 perc alatt 50 kapcsolat ugyanarra a B osztályú alhálózatra |
Magas | Vizsgálat |
Taktika: -Felfedezés Technikák: - T0842: Hálózati sniffing |
Tanulható |
| ARP-címvizsgálat észlelhető * | A rendszer egy forráseszközt észlelt a hálózati eszközök címfeloldási protokoll (ARP) használatával történő vizsgálatához. Ez az eszközcím nem érvényes ARP-ellenőrzési címként van engedélyezve. Küszöbérték: 40 vizsgálat 6 perc alatt |
Magas | Vizsgálat |
Taktika: -Felfedezés -Gyűjtemény Technikák: - T0842: Hálózati sniffing - T0830: Ember középen |
Tanulható |
| ARP-hamisítás * | A rendszer rendellenes mennyiségű csomagot észlelt a hálózaton. Ez a riasztás támadást jelezhet, például ARP-hamisítást vagy ICMP-elárasztási támadást. Küszöbérték: 60 csomag 1 perc alatt |
Alacsony | Rendellenes kommunikációs viselkedés |
Taktika: -Gyűjtemény Technikák: - T0830: Ember középen |
Nem tanulható |
| Túlzott bejelentkezési kísérletek | Egy forráseszköz túlzott bejelentkezési kísérleteket hajtott végre egy célkiszolgálón. Ez a riasztás találgatásos támadást jelezhet. Előfordulhat, hogy egy rosszindulatú szereplő feltöri a kiszolgálót. Küszöbérték: 20 bejelentkezési kísérlet 1 perc alatt |
Magas | Hitelesítés |
Taktika: - LateralMovement - Rontja a Folyamatvezérlés Technikák: - T0812: Alapértelmezett hitelesítő adatok - T0806: Brute Force I/O |
Nem tanulható |
| Munkamenetek túlzott száma | Egy forráseszköz túlzott bejelentkezési kísérleteket hajtott végre egy célkiszolgálón. Ez találgatásos támadást jelezhet. Előfordulhat, hogy egy rosszindulatú szereplő feltöri a kiszolgálót. Küszöbérték: 50 munkamenet 1 perc alatt |
Magas | Rendellenes kommunikációs viselkedés |
Taktika: - Oldalirányú mozgás - Rontja a Folyamatvezérlés Technikák: - T0812: Alapértelmezett hitelesítő adatok - T0806: Brute Force I/O |
Nem tanulható |
| Túlzott újraindítási arány egy outstation * | A rendszer túl sok újraindítási parancsot észlelt egy forráseszközön. Ezek a riasztások működési probléma vagy az eszköz manipulálására tett kísérlet eredménye lehet. Küszöbérték: 10 újraindítás 1 óra alatt |
Közepes | Parancsok újraindítása/ leállítása |
Taktika: - Gátolja a válaszfüggvényt - Rontja a Folyamatvezérlés Technikák: - T0814: Szolgáltatásmegtagadás - T0806: Brute Force I/O |
Nem tanulható |
| Túlzott SMB-bejelentkezési kísérletek | Egy forráseszköz túlzott bejelentkezési kísérleteket hajtott végre egy célkiszolgálón. Ez találgatásos támadást jelezhet. Előfordulhat, hogy egy rosszindulatú szereplő feltöri a kiszolgálót. Küszöbérték: 10 bejelentkezési kísérlet 10 perc alatt |
Magas | Hitelesítés |
Taktika: -Kitartás -Kivégzés - LateralMovement Technikák: - T0812: Alapértelmezett hitelesítő adatok - T0853: Szkriptelés - T0859: Érvényes fiókok |
Nem tanulható |
| ICMP-árvíz * | A rendszer rendellenes mennyiségű csomagot észlelt a hálózaton. Ez a riasztás támadást jelezhet, például ARP-hamisítást vagy ICMP-elárasztási támadást. Küszöbérték: 60 csomag 1 perc alatt |
Alacsony | Rendellenes kommunikációs viselkedés |
Taktika: -Felfedezés -Gyűjtemény Technikák: - T0842: Hálózati sniffing - T0830: Ember középen |
Nem tanulható |
| Illegális HTTP-fejléctartalom * | A forráseszköz érvénytelen kérést kezdeményezett. | Magas | Rendellenes HTTP-kommunikációs viselkedés |
Taktika: - Kezdeti hozzáférés - LateralMovement Technikák: - T0866: Távoli szolgáltatások kihasználása |
Nem tanulható |
| Inaktív kommunikációs csatorna * | A két eszköz közötti kommunikációs csatorna inaktív volt egy olyan időszakban, amelyben a tevékenység általában megfigyelhető. Ez azt jelezheti, hogy a forgalmat létrehozó program megváltozott, vagy a program nem érhető el. Javasoljuk, hogy tekintse át a telepített program konfigurációját, és ellenőrizze, hogy megfelelően van-e konfigurálva. Küszöbérték: 1 perc |
Alacsony | Nem válaszol |
Taktika: - Gátolja a válaszfüggvényt Technikák: - T0881: Szolgáltatás leállítása |
Nem tanulható |
| Hosszú időtartamú címvizsgálat észlelhető * | A rendszer egy forráseszközt észlelt a hálózati eszközök vizsgálatához. Ez az eszköz nem jogosult hálózati ellenőrző eszközként. Küszöbérték: 10 perc alatt 50 kapcsolat ugyanarra a B osztályú alhálózatra |
Magas | Vizsgálat |
Taktika: -Felfedezés Technikák: - T0842: Hálózati sniffing |
Tanulható |
| Jelszó-találgatási kísérlet észlelhető | Egy forráseszköz túlzott bejelentkezési kísérleteket hajtott végre egy célkiszolgálón. Ez találgatásos támadást jelezhet. Előfordulhat, hogy egy rosszindulatú szereplő feltöri a kiszolgálót. Küszöbérték: 100 kísérlet 1 perc alatt |
Magas | Hitelesítés |
Taktika: - Oldalirányú mozgás Technikák: - T0812: Alapértelmezett hitelesítő adatok - T0806: Brute Force I/O |
Nem tanulható |
| PLC-vizsgálat észlelhető | A rendszer egy forráseszközt észlelt a hálózati eszközök vizsgálatához. Ez az eszköz nem jogosult hálózati ellenőrző eszközként. Küszöbérték: 10 vizsgálat 2 perc alatt |
Magas | Vizsgálat |
Taktika: -Felfedezés Technikák: - T0842: Hálózati sniffing |
Tanulható |
| Portvizsgálat észlelve | A rendszer egy forráseszközt észlelt a hálózati eszközök vizsgálatához. Ez az eszköz nem jogosult hálózati ellenőrző eszközként. Küszöbérték: 25 vizsgálat 2 perc alatt |
Magas | Vizsgálat |
Taktika: -Felfedezés Technikák: - T0842: Hálózati sniffing |
Tanulható |
| Váratlan üzenethossz | A forráseszköz rendellenes üzenetet küldött. Ez a riasztás a céleszköz megtámadására tett kísérletet jelezheti. Küszöbérték: szöveg hossza – 32768 |
Magas | Rendellenes kommunikációs viselkedés |
Taktika: - InitialAccess - LateralMovement Technikák: - T0869: Távoli szolgáltatások kihasználása |
Nem tanulható |
| Váratlan forgalom a standard porthoz * | A rendszer egy másik protokollhoz fenntartott port használatával észlelte a forgalmat egy eszközön. | Közepes | Rendellenes kommunikációs viselkedés |
Taktika: - Parancs és vezérlés -Felfedezés Technikák: - T0869: Standard Application Layer Protocol - T0842: Hálózati sniffing |
Nem tanulható |
Protokollmegsértési motor riasztásai
A protokollmotor-riasztások a csomagstruktúra észlelt eltéréseit vagy a protokoll specifikációihoz képest a mezőértékeket írják le.
| Cím | Leírás | Súlyosság | Kategória | MITRE ATT&CK Taktikák és technikák |
Tanulható |
|---|---|---|---|---|---|
| Túlzott hibásan formázott csomagok egyetlen munkamenetben * | A forráseszközről a céleszközre küldött hibásan formázott csomagok rendellenes száma. Ez a riasztás téves kommunikációt jelezhet, vagy megpróbálhatja manipulálni a megcélzott eszközt. Küszöbérték: 2 hibásan formázott csomag 10 perc alatt |
Közepes | Illegális parancsok |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0806: Brute Force I/O |
Nem tanulható |
| Belső vezérlőprogram frissítése | A forráseszköz parancsot küldött a belső vezérlőprogram frissítéséhez a céleszközön. Ellenőrizze, hogy a céleszközre végrehajtott legutóbbi programozás, konfiguráció és belső vezérlőprogram-frissítés érvényes-e. | Alacsony | Belső vezérlőprogram módosítása |
Taktika: - Gátolja a válaszfüggvényt -Kitartás Technikák: - T0857: Rendszer belső vezérlőprogramja |
Tanulható |
| Az Outstation nem támogatja a függvénykódot | A céleszköz érvénytelen kérést kapott. | Közepes | Illegális parancsok |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet |
Nem tanulható |
| Illegális BACNet-üzenet | A forráseszköz érvénytelen kérést kezdeményezett. | Közepes | Illegális parancsok |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet - T0836: Paraméter módosítása |
Nem tanulható |
| Érvénytelen kapcsolati kísérlet a 0-s porton | Egy forráseszköz megpróbált csatlakozni a céleszközhöz a nulla (0) portszámon. TCP esetén a 0-s port foglalt, és nem használható. Az UDP esetében a port nem kötelező, a 0 érték pedig azt jelenti, hogy nincs port. Általában nincs olyan szolgáltatás a rendszeren, amely a 0-s portot figyeli. Ez az esemény a céleszköz megtámadására tett kísérletre utalhat, vagy azt jelezheti, hogy egy alkalmazás helytelenül lett beprogramozva. | Alacsony | Illegális parancsok |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet - T0836: Paraméter módosítása |
Nem tanulható |
| Illegális DNP3-művelet | A forráseszköz érvénytelen kérést kezdeményezett. | Közepes | Illegális parancsok |
Taktika: - Kezdeti hozzáférés - Oldalirányú mozgás Technikák: - T0866: Távoli szolgáltatások kihasználása |
Nem tanulható |
| Illegális MODBUS-művelet (a master által kiváltott kivétel) | A forráseszköz érvénytelen kérést kezdeményezett. | Közepes | Illegális parancsok |
Taktika: - Kezdeti hozzáférés - Oldalirányú mozgás Technikák: - T0866: Távoli szolgáltatások kihasználása |
Nem tanulható |
| Illegális MODBUS-művelet (Nulla függvénykód) * | A forráseszköz érvénytelen kérést kezdeményezett. | Közepes | Illegális parancsok |
Taktika: - Kezdeti hozzáférés - Oldalirányú mozgás Technikák: - T0866: Távoli szolgáltatások kihasználása |
Nem tanulható |
| Érvénytelen protokollverzió * | A forráseszköz érvénytelen kérést kezdeményezett. | Közepes | Illegális parancsok |
Taktika: - Kezdeti hozzáférés - LateralMovement - Rontja a Folyamatvezérlés Technikák: - T0820: Távoli szolgáltatások - T0836: Paraméter módosítása |
Nem tanulható |
| Helytelen paraméter elküldve az Outstation-nek | A céleszköz érvénytelen kérést kapott. | Közepes | Illegális parancsok |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet - T0836: Paraméter módosítása |
Nem tanulható |
| Elavult függvénykód kezdeményezése (adatok inicializálása) | A forráseszköz érvénytelen kérést kezdeményezett. | Alacsony | Illegális parancsok |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet |
Nem tanulható |
| Elavult függvénykód kezdeményezése (Save Config) | A forráseszköz érvénytelen kérést kezdeményezett. | Alacsony | Illegális parancsok |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet |
Nem tanulható |
| A főkiszolgáló egy alkalmazásréteg megerősítését kérte | A forráseszköz érvénytelen kérést kezdeményezett. | Alacsony | Illegális parancsok |
Taktika: - Parancs és vezérlés Technikák: - T0869: Standard Application Layer Protocol |
Nem tanulható |
| Modbus-kivétel | A forráseszköz (másodlagos) kivételt adott vissza egy céleszköznek (elsődleges). | Közepes | Illegális parancsok |
Taktika: - Gátolja a válaszfüggvényt Technikák: - T0814: Szolgáltatásmegtagadás |
Nem tanulható |
| A slave eszköz illegális ASDU-típust kapott | A céleszköz érvénytelen kérést kapott. | Közepes | Illegális parancsok |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0836: Paraméter módosítása |
Nem tanulható |
| A slave eszköz az átvitel jogellenes parancsának okaként kapott | A céleszköz érvénytelen kérést kapott. | Közepes | Illegális parancsok |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet - T0836: Paraméter módosítása |
Nem tanulható |
| A slave eszköz illegális általános címet kapott | A céleszköz érvénytelen kérést kapott. | Közepes | Illegális parancsok |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet - T0836: Paraméter módosítása |
Nem tanulható |
| A Slave-eszköz érvénytelen adatcímparamétert kapott * | A céleszköz érvénytelen kérést kapott. | Közepes | Illegális parancsok |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet - T0836: Paraméter módosítása |
Nem tanulható |
| A Slave-eszköz illegális adatérték-paramétert kapott * | A céleszköz érvénytelen kérést kapott. | Közepes | Illegális parancsok |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet - T0836: Paraméter módosítása |
Nem tanulható |
| A Slave-eszköz érvénytelen függvénykódot kapott * | A céleszköz érvénytelen kérést kapott. | Közepes | Illegális parancsok |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet - T0836: Paraméter módosítása |
Nem tanulható |
| A slave eszköz illegális információobjektum-címet kapott | A céleszköz érvénytelen kérést kapott. | Közepes | Illegális parancsok |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet - T0836: Paraméter módosítása |
Nem tanulható |
| Ismeretlen objektum, amelyet outstation-nek küldtek | A céleszköz érvénytelen kérést kapott. | Közepes | Illegális parancsok |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet |
Nem tanulható |
| Fenntartott függvénykód használata | A forráseszköz érvénytelen kérést kezdeményezett. | Közepes | Illegális parancsok |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0836: Paraméter módosítása |
Nem tanulható |
| Helytelen formázás használata outstation használatával * | A forráseszköz érvénytelen kérést kezdeményezett. | Alacsony | Illegális parancsok |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet |
Nem tanulható |
| Fenntartott állapotjelzők használata (IIN) | Egy DNP3-forráseszköz (outstation) a fenntartott Belső Mutató 2.6-ot használta. Javasoljuk, hogy ellenőrizze az eszköz konfigurációját. | Alacsony | Illegális parancsok |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0836: Paraméter módosítása |
Nem tanulható |
Kártevőmotor-riasztások
A kártevőmotor-riasztások az észlelt rosszindulatú hálózati tevékenységeket írják le.
| Cím | Leírás | Súlyosság | Kategória | MITRE ATT&CK Taktikák és technikák |
Tanulható |
|---|---|---|---|---|---|
| Kapcsolati kísérlet az ismert rosszindulatú IP-címre | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység az ismert kártevők által használt metódust kihasználó támadással hozható létre. Ot és Enterprise IoT hálózati érzékelők is aktiválják. |
Magas | Rosszindulatú tevékenység gyanúja |
Taktika: - Kezdeti hozzáférés - Parancs és vezérlés Technikák: - T0883: Internet akadálymentes eszköz - T0884: Kapcsolatproxy |
Nem tanulható |
| Érvénytelen SMB-üzenet (DoublePulsar backdoor implant) | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység az ismert kártevők által használt metódust kihasználó támadással hozható létre. | Magas | Kártevő gyanúja |
Taktika: - Kezdeti hozzáférés - LateralMovement Technikák: - T0866: Távoli szolgáltatások kihasználása |
Nem tanulható |
| Rosszindulatú tartománynév-kérés | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység az ismert kártevők által használt metódust kihasználó támadással hozható létre. Ot és Enterprise IoT hálózati érzékelők is aktiválják. |
Magas | Rosszindulatú tevékenység gyanúja |
Taktika: - Kezdeti hozzáférés - Parancs és vezérlés Technikák: - T0883: Internet akadálymentes eszköz - T0884: Kapcsolatproxy |
Tanulható |
| Rosszindulatú URL-cím elérési útja | Egy ismert rosszindulatú URL-címre irányuló kérés érkezett. Az URL-elérési útra irányuló kérések azt jelezhetik, hogy a kérést küldő forrás sérült. | Magas | Rosszindulatú tevékenység gyanúja |
Taktika: - Kezdeti hozzáférés - Parancs és vezérlés Technikák: - T0883: Internet akadálymentes eszköz - T0884: Kapcsolatproxy |
Nem tanulható |
| Kártevőtesztfájl észlelve – Az EICAR AV sikeres | Egy EICAR AV-tesztfájlt észleltek két eszköz közötti forgalomban (bármilyen átvitelen keresztül – TCP vagy UDP). A fájl nem kártevő. A víruskereső szoftver helyes telepítésének ellenőrzésére szolgál. Bemutatja, mi történik, ha vírust talál, és ellenőrizze a belső eljárásokat és reakciókat, amikor vírust talál. A víruskereső szoftvernek úgy kell észlelnie az EICAR-t, mintha valódi vírus lenne. | Magas | Rosszindulatú tevékenység gyanúja |
Taktika: -Felfedezés Technikák: - T0842: Hálózati sniffing |
Nem tanulható |
| Conficker-kártevő gyanúja | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység az ismert kártevők által használt metódust kihasználó támadással hozható létre. | Közepes | Kártevő gyanúja |
Taktika: - Kezdeti hozzáférés -Ütközik Technikák: - T0826: A rendelkezésre állás elvesztése - T0828: A termelékenység és a bevétel csökkenése - T0847: Replikáció cserélhető adathordozón keresztül |
Nem tanulható |
| Szolgáltatásmegtagadási támadás gyanúja | Egy forráseszköz túl sok új kapcsolatot próbált kezdeményezni egy céleszközhöz. Ez szolgáltatásmegtagadási (DOS) támadást jelezhet a céleszköz ellen, és megszakíthatja az eszköz működését, befolyásolhatja a teljesítményt és a szolgáltatás rendelkezésre állását, vagy helyreállíthatatlan hibákat okozhat. Küszöbérték: 3000 kísérlet 1 perc alatt |
Magas | Rosszindulatú tevékenység gyanúja |
Taktika: - Gátolja a válaszfüggvényt Technikák: - T0814: Szolgáltatásmegtagadás |
Tanulható |
| Rosszindulatú tevékenység gyanúja | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység egy olyan támadáshoz lehet társítva, amely aktiválta az ismert "Kompromisszumok mutatói" (IOCs) műveletet. A riasztás metaadatait a biztonsági csapatnak kell áttekintenie. | Magas | Rosszindulatú tevékenység gyanúja |
Taktika: - Oldalirányú mozgás Technikák: - T0867: Oldalirányú eszközátvitel |
Nem tanulható |
| Rosszindulatú tevékenység gyanúja (BlackEnergy) | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység az ismert kártevők által használt metódust kihasználó támadással hozható létre. | Magas | Kártevő gyanúja |
Taktika: - Parancs és vezérlés Technikák: - T0869: Standard Application Layer Protocol |
Nem tanulható |
| Rosszindulatú tevékenység gyanúja (DarkComet) | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység az ismert kártevők által használt metódust kihasználó támadással hozható létre. | Magas | Kártevő gyanúja |
Taktika: -Ütközik Technikák: - T0882: Működési adatok ellopása |
Nem tanulható |
| Rosszindulatú tevékenység gyanúja (Duqu) | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység az ismert kártevők által használt metódust kihasználó támadással hozható létre. | Magas | Kártevő gyanúja |
Taktika: -Ütközik Technikák: - T0882: Működési adatok ellopása |
Nem tanulható |
| Rosszindulatú tevékenység gyanúja (Láng) | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység az ismert kártevők által használt metódust kihasználó támadással hozható létre. | Magas | Kártevő gyanúja |
Taktika: -Gyűjtemény -Ütközik Technikák: - T0882: Működési adatok ellopása - T0811: Adatok az információs adattárakból |
Nem tanulható |
| Rosszindulatú tevékenység gyanúja (Havex) | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység az ismert kártevők által használt metódust kihasználó támadással hozható létre. | Magas | Kártevő gyanúja |
Taktika: -Gyűjtemény -Felfedezés - Gátolja a válaszfüggvényt Technikák: - T0861: Pont > Címkeazonosítás - T0846: Távoli rendszerfelderítés - T0814: Szolgáltatásmegtagadás |
Nem tanulható |
| Rosszindulatú tevékenység gyanúja (Karagany) | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység az ismert kártevők által használt metódust kihasználó támadással hozható létre. | Magas | Kártevő gyanúja |
Taktika: -Ütközik Technikák: - T0882: Működési adatok ellopása |
Nem tanulható |
| Rosszindulatú tevékenység gyanúja (LightsOut) | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység az ismert kártevők által használt metódust kihasználó támadással hozható létre. | Magas | Kártevő gyanúja |
Taktika: -Kijátszás Technikák: - T0849: Maszkolás |
Nem tanulható |
| Rosszindulatú tevékenység gyanúja (név-lekérdezések) | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység az ismert kártevők által használt metódust kihasználó támadással hozható létre. Küszöbérték: 25 név lekérdezése 1 perc alatt |
Magas | Rosszindulatú tevékenység gyanúja |
Taktika: - Parancs és vezérlés Technikák: - T0884: Kapcsolatproxy |
Nem tanulható |
| Rosszindulatú tevékenység gyanúja (Poison Ivy) | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység az ismert kártevők által használt metódust kihasználó támadással hozható létre. | Magas | Kártevő gyanúja |
Taktika: - Kezdeti hozzáférés - Oldalirányú mozgás Technikák: - T0866: Távoli szolgáltatások kihasználása |
Nem tanulható |
| Rosszindulatú tevékenység gyanúja (Regin) | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység az ismert kártevők által használt metódust kihasználó támadással hozható létre. | Magas | Kártevő gyanúja |
Taktika: - Kezdeti hozzáférés - Oldalirányú mozgás -Ütközik Technikák: - T0866: Távoli szolgáltatások kihasználása - T0882: Működési adatok ellopása |
Nem tanulható |
| Rosszindulatú tevékenység gyanúja (Stuxnet) | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység az ismert kártevők által használt metódust kihasználó támadással hozható létre. | Magas | Kártevő gyanúja |
Taktika: - Kezdeti hozzáférés - Oldalirányú mozgás -Ütközik Technikák: - T0818: Mérnöki munkaállomás biztonsága - T0866: Távoli szolgáltatások kihasználása - T0831: A vezérlés manipulálása |
Nem tanulható |
| Rosszindulatú tevékenység gyanúja (WannaCry) * | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység az ismert kártevők által használt metódust kihasználó támadással hozható létre. | Közepes | Kártevő gyanúja |
Taktika: - Kezdeti hozzáférés - Oldalirányú mozgás Technikák: - T0866: Távoli szolgáltatások kihasználása - T0867: Oldalirányú eszközátvitel |
Nem tanulható |
| NotPetya malware gyanúja – Illegális SMB-paraméterek észlelhetők | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység az ismert kártevők által használt metódust kihasználó támadással hozható létre. | Magas | Kártevő gyanúja |
Taktika: - Kezdeti hozzáférés - Oldalirányú mozgás Technikák: - T0866: Távoli szolgáltatások kihasználása |
Nem tanulható |
| NotPetya malware gyanúja – Illegális SMB-tranzakció észlelhető | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység az ismert kártevők által használt metódust kihasználó támadással hozható létre. | Magas | Kártevő gyanúja |
Taktika: - Oldalirányú mozgás Technikák: - T0867: Oldalirányú eszközátvitel |
Nem tanulható |
| Távoli kódvégrehajtás gyanúja a PsExec használatával | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység az ismert kártevők által használt metódust kihasználó támadással hozható létre. | Magas | Rosszindulatú tevékenység gyanúja |
Taktika: - Oldalirányú mozgás - Kezdeti hozzáférés Technikák: - T0866: Távoli szolgáltatások kihasználása |
Nem tanulható |
| Távoli Windows-szolgáltatáskezelés gyanúja * | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység az ismert kártevők által használt metódust kihasználó támadással hozható létre. | Magas | Rosszindulatú tevékenység gyanúja |
Taktika: - Kezdeti hozzáférés Technikák: - T0822: NetworkExternal Remote Services |
Nem tanulható |
| Gyanús végrehajtható fájl észlelhető a végponton | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység az ismert kártevők által használt metódust kihasználó támadással hozható létre. | Magas | Rosszindulatú tevékenység gyanúja |
Taktika: -Kijátszás - Gátolja a válaszfüggvényt Technikák: - T0851: Rootkit |
Tanulható |
| Gyanús forgalom észlelhető * | A rendszer gyanús hálózati tevékenységet észlelt. Ez a tevékenység egy olyan támadáshoz lehet társítva, amely aktiválta az ismert "Kompromisszumok mutatói" (IOCs) műveletet. A riasztás metaadatait a biztonsági csapatnak kell áttekintenie | Magas | Rosszindulatú tevékenység gyanúja |
Taktika: -Felfedezés Technikák: - T0842: Hálózati sniffing |
Nem tanulható |
| Biztonsági mentési tevékenység víruskereső aláírásokkal | A forráseszköz és a cél biztonsági mentési kiszolgáló között észlelt forgalom aktiválta ezt a riasztást. A forgalom magában foglalja a kártevő-aláírásokat tartalmazó víruskereső szoftverek biztonsági mentését. Ez valószínűleg jogos biztonsági mentési tevékenység. | Alacsony | Backup |
Taktika: -Ütközik Technikák: - T0882: Működési adatok ellopása |
Nem tanulható |
Működési motorra vonatkozó riasztások
Az operatív motor riasztásai az észlelt üzemeltetési incidenseket vagy hibásan működő entitásokat ismertetik.
| Cím | Leírás | Súlyosság | Kategória | MITRE ATT&CK Taktikák és technikák |
Tanulható |
|---|---|---|---|---|---|
| S7 Stop PLC-parancs lett elküldve | A forráseszköz leállítási parancsot küldött egy célvezérlőnek. A vezérlő addig működik, amíg el nem küld egy indítási parancsot. | Alacsony | Parancsok újraindítása/ leállítása |
Taktika: - Oldalirányú mozgás - Védelmi kijátszás -Kivégzés - Gátolja a válaszfüggvényt Technikák: - T0843: Program letöltése - T0858: Működési mód módosítása - T0814: Szolgáltatásmegtagadás |
Nem tanulható |
| A BACNet-művelet nem sikerült | Egy kiszolgáló hibakódot adott vissza. Ez a riasztás egy kiszolgálóhibát vagy egy ügyfél érvénytelen kérését jelzi. | Közepes | Parancshibák |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet |
Nem tanulható |
| Hibás MMS-eszközállapot | Egy MMS virtuális gyártóeszköz (VMD) állapotüzenetet küldött. Az üzenet azt jelzi, hogy a kiszolgáló nincs megfelelően konfigurálva, részben működőképes vagy egyáltalán nem működik. | Közepes | Működési problémák |
Taktika: - Gátolja a válaszfüggvényt Technikák: - T0814: Szolgáltatásmegtagadás |
Nem tanulható |
| Eszközkonfiguráció módosítása * | A rendszer konfigurációmódosítást észlelt egy forráseszközön. | Alacsony | Konfigurációs módosítások |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0836: Paraméter módosítása |
Nem tanulható |
| Folyamatos eseménypuffer túlcsordulása outstation esetén * | A rendszer puffertúllépési eseményt észlelt egy forráseszközön. Az esemény adatsérülést, programösszeomlást vagy rosszindulatú kód végrehajtását okozhatja. Küszöbérték: 3 előfordulás 10 perc alatt |
Közepes | Puffer túlcsordult |
Taktika: - Gátolja a válaszfüggvényt - Rontja a Folyamatvezérlés -Kitartás Technikák: - T0814: Szolgáltatásmegtagadás - T0806: Brute Force I/O - T0839: Modul belső vezérlőprogramja |
Nem tanulható |
| Vezérlő alaphelyzetbe állítása | A forráseszköz alaphelyzetbe állítási parancsot küldött egy célvezérlőnek. A vezérlő átmenetileg leállt, és automatikusan újra elindult. | Alacsony | Parancsok újraindítása/ leállítása |
Taktika: - Védelmi kijátszás -Kivégzés - Gátolja a válaszfüggvényt Technikák: - T0858: Működési mód módosítása - T0814: Szolgáltatásmegtagadás |
Nem tanulható |
| Vezérlő leállítása | A forráseszköz leállítási parancsot küldött egy célvezérlőnek. A vezérlő addig működik, amíg el nem küld egy indítási parancsot. | Alacsony | Parancsok újraindítása/ leállítása |
Taktika: - Oldalirányú mozgás - Védelmi kijátszás -Kivégzés - Gátolja a válaszfüggvényt Technikák: - T0843: Program letöltése - T0858: Működési mód módosítása - T0814: Szolgáltatásmegtagadás |
Nem tanulható |
| Az eszköz nem kapott dinamikus IP-címet | A forráseszköz úgy van konfigurálva, hogy dinamikus IP-címet kapjon egy DHCP-kiszolgálótól, de nem kapott címet. Ez konfigurációs hibát jelez az eszközön, vagy működési hibát a DHCP-kiszolgálón. Javasoljuk, hogy értesítse a hálózati rendszergazdát az incidensről | Közepes | Parancshibák |
Taktika: -Felfedezés Technikák: - T0842: Hálózati sniffing |
Nem tanulható |
| Az eszköz feltehetően le van választva (nem válaszol) | A forráseszköz nem válaszolt a neki küldött parancsra. Előfordulhat, hogy a parancs elküldésekor megszakadt a kapcsolat. Küszöbérték: 8 kísérlet 5 perc alatt |
Közepes | Nem válaszol |
Taktika: - Gátolja a válaszfüggvényt Technikák: - T0881: Szolgáltatás leállítása |
Nem tanulható |
| Az EtherNet/IP CIP szolgáltatáskérése sikertelen | Egy kiszolgáló hibakódot adott vissza. Ez egy kiszolgálóhibát vagy egy ügyfél érvénytelen kérését jelzi. | Közepes | Parancshibák |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet |
Nem tanulható |
| Az EtherNet/IP Encapsulation Protocol parancs nem sikerült | Egy kiszolgáló hibakódot adott vissza. Ez egy kiszolgálóhibát vagy egy ügyfél érvénytelen kérését jelzi. | Közepes | Parancshibák |
Taktika: -Gyűjtemény Technikák: - T0801: Folyamatállapot figyelése |
Nem tanulható |
| Eseménypuffer túlcsordulása az Outstationben | A rendszer puffertúllépési eseményt észlelt egy forráseszközön. Az esemény adatsérülést, programösszeomlást vagy rosszindulatú kód végrehajtását okozhatja. | Közepes | Puffer túlcsordult |
Taktika: - Gátolja a válaszfüggvényt - Rontja a Folyamatvezérlés -Kitartás Technikák: - T0814: Szolgáltatásmegtagadás - T0839: Modul belső vezérlőprogramja |
Nem tanulható |
| A várt biztonsági mentési művelet nem történt meg | A várt biztonsági mentési/fájlátviteli tevékenység nem történt meg két eszköz között. Ez a riasztás a biztonsági mentési/fájlátviteli folyamat hibáit jelezheti. Küszöbérték: 100 másodperc |
Közepes | Backup |
Taktika: - Gátolja a válaszfüggvényt Technikák: - T0809: Adatmegsemmisítés |
Tanulható |
| GE SRTP-parancshiba | Egy kiszolgáló hibakódot adott vissza. Ez a riasztás egy kiszolgálóhibát vagy egy ügyfél érvénytelen kérését jelzi. | Közepes | Parancshibák |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet |
Nem tanulható |
| GE SRTP Stop PLC parancs elküldve | A forráseszköz leállítási parancsot küldött egy célvezérlőnek. A vezérlő addig működik, amíg el nem küld egy indítási parancsot. | Alacsony | Parancsok újraindítása/ leállítása |
Taktika: - Oldalirányú mozgás - Védelmi kijátszás -Kivégzés - Gátolja a válaszfüggvényt Technikák: - T0843: Program letöltése - T0858: Működési mód módosítása - T0814: Szolgáltatásmegtagadás |
Nem tanulható |
| A LIBA-vezérlőblokk további konfigurálást igényel | A forráseszköz egy GOOSE üzenetet küldött, amely jelzi, hogy az eszköznek üzembe kell helyezést igényelnie. Ez azt jelenti, hogy a GOOSE vezérlőblokk további konfigurációt igényel, és a GOOSE-üzenetek részben vagy teljesen nem működnek. | Közepes | Konfigurációs módosítások |
Taktika: - Rontja a Folyamatvezérlés - Gátolja a válaszfüggvényt Technikák: - T0803: Parancsüzenet letiltása - T0821: Vezérlő feladatának módosítása |
Nem tanulható |
| A LIBA-adatkészlet konfigurációja megváltozott * | Egy (protokollazonosítóval azonosított) üzenet adatkészlete módosult egy forráseszközön. Ez azt jelenti, hogy az eszköz egy másik adatkészletet jelent az üzenethez. | Alacsony | Konfigurációs módosítások |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0836: Paraméter módosítása |
Nem tanulható |
| Honeywell-vezérlő váratlan állapota | A Honeywell-vezérlő váratlan diagnosztikai üzenetet küldött, amely állapotváltozást jelez. | Alacsony | Működési problémák |
Taktika: -Kijátszás -Kivégzés Technikák: - T0858: Működési mód módosítása |
Nem tanulható |
| HTTP-ügyfélhiba * | A forráseszköz érvénytelen kérést kezdeményezett. | Alacsony | Rendellenes HTTP-kommunikációs viselkedés |
Taktika: - Parancs és vezérlés Technikák: - T0869: Standard Application Layer Protocol |
Nem tanulható |
| Illegális IP-cím | A rendszer egy forráseszköz és egy érvénytelen IP-cím közötti forgalmat észlelt. Ez helytelen konfigurációt vagy illegális forgalom generálására tett kísérletet jelezhet. | Alacsony | Rendellenes kommunikációs viselkedés |
Taktika: -Felfedezés - Rontja a Folyamatvezérlés Technikák: - T0842: Hálózati sniffing - T0836: Paraméter módosítása |
Nem tanulható |
| Master-Slave hitelesítési hiba | A DNP3 forráseszköz (elsődleges) és a céleszköz (outstation) közötti hitelesítési folyamat nem sikerült. | Alacsony | Hitelesítés |
Taktika: - Oldalirányú mozgás -Kitartás Technikák: - T0859: Érvényes fiókok |
Nem tanulható |
| Az MMS szolgáltatáskérése sikertelen | Egy kiszolgáló hibakódot adott vissza. Ez egy kiszolgálóhibát vagy egy ügyfél érvénytelen kérését jelzi. | Közepes | Parancshibák |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet |
Nem tanulható |
| Nincs forgalom észlelve az érzékelő felületén | Egy érzékelő leállította a hálózati forgalom észlelését egy hálózati adapteren. | Magas | Érzékelőforgalom |
Taktika: - Gátolja a válaszfüggvényt Technikák: - T0881: Szolgáltatás leállítása |
Nem tanulható |
| Az OPC UA-kiszolgáló olyan eseményt adott elő, amely a felhasználó figyelmét igényli | Egy OPC UA-kiszolgáló eseményértesítést küldött egy ügyfélnek. Ez az eseménytípus felhasználói figyelmet igényel | Közepes | Működési problémák |
Taktika: - Gátolja a válaszfüggvényt Technikák: - T0838: Riasztási beállítások módosítása |
Nem tanulható |
| Az OPC UA szolgáltatáskérése sikertelen | Egy kiszolgáló hibakódot adott vissza. Ez egy kiszolgálóhibát vagy egy ügyfél érvénytelen kérését jelzi. | Közepes | Parancshibák |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet |
Nem tanulható |
| Újraindult a kitelepítés | A rendszer hideg újraindítást észlelt egy forráseszközön. Ez azt jelenti, hogy az eszköz fizikailag ki lett kapcsolva, és újra be volt kapcsolva. | Alacsony | Parancsok újraindítása/ leállítása |
Taktika: - Gátolja a válaszfüggvényt Technikák: - T0816: Eszköz újraindítása/leállítása |
Nem tanulható |
| Az outstation gyakran újraindul | A rendszer túl sok hideg újraindítást észlelt egy forráseszközön. Ez azt jelenti, hogy az eszköz fizikailag ki volt kapcsolva, és újra be volt kapcsolva túl sok alkalommal. Küszöbérték: 2 újraindítás 10 perc alatt |
Alacsony | Parancsok újraindítása/ leállítása |
Taktika: - Gátolja a válaszfüggvényt Technikák: - T0814: Szolgáltatásmegtagadás - T0816: Eszköz újraindítása/leállítása |
Nem tanulható |
| Az outstation konfigurációja megváltozott | A rendszer konfigurációmódosítást észlelt egy forráseszközön. | Közepes | Konfigurációs módosítások |
Taktika: - Gátolja a válaszfüggvényt -Kitartás Technikák: - T0857: Rendszer belső vezérlőprogramja |
Nem tanulható |
| A kiépítés sérült konfigurációját észlelte | Ez a DNP3-forráseszköz (outstation) sérült konfigurációt jelentett. | Közepes | Konfigurációs módosítások |
Taktika: - Gátolja a válaszfüggvényt Technikák: - T0809: Adatmegsemmisítés |
Nem tanulható |
| A Profinet DCP parancsa nem sikerült | Egy kiszolgáló hibakódot adott vissza. Ez egy kiszolgálóhibát vagy egy ügyfél érvénytelen kérését jelzi. | Közepes | Parancshibák |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet |
Nem tanulható |
| Profinet Device Factory alaphelyzetbe állítása | A forráseszköz gyári alaphelyzetbe állítási parancsot küldött egy Profinet-céleszközre. Az alaphelyzetbe állítási parancs törli a Profinet eszközkonfigurációit, és leállítja annak működését. | Alacsony | Parancsok újraindítása/ leállítása |
Taktika: - Védelmi kijátszás -Kivégzés - Gátolja a válaszfüggvényt Technikák: - T0858: Működési mód módosítása - T0814: Szolgáltatásmegtagadás |
Nem tanulható |
| Az RPC-művelet nem sikerült * | Egy kiszolgáló hibakódot adott vissza. Ez a riasztás egy kiszolgálóhibát vagy egy ügyfél érvénytelen kérését jelzi. | Közepes | Parancshibák |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0855: Jogosulatlan parancsüzenet |
Nem tanulható |
| A mintaértékek üzenetadatkészletének konfigurációja módosult * | Egy (protokollazonosítóval azonosított) üzenet adatkészlete módosult egy forráseszközön. Ez azt jelenti, hogy az eszköz egy másik adatkészletet jelent az üzenethez. | Alacsony | Konfigurációs módosítások |
Taktika: - Rontja a Folyamatvezérlés Technikák: - T0836: Paraméter módosítása |
Nem tanulható |
| A Slave-eszköz helyreállíthatatlan hibája * | A rendszer helyreállíthatatlan állapothibát észlelt egy forráseszközön. Ez a hiba általában hardverhibát vagy egy adott parancs végrehajtásának sikertelenségét jelzi. | Közepes | Parancshibák |
Taktika: - Gátolja a válaszfüggvényt Technikák: - T0814: Szolgáltatásmegtagadás |
Nem tanulható |
| Hardverproblémák gyanúja az outstation-ben | A rendszer helyreállíthatatlan állapothibát észlelt egy forráseszközön. Ez a hiba általában hardverhibát vagy egy adott parancs végrehajtásának sikertelenségét jelzi. | Közepes | Működési problémák |
Taktika: - Gátolja a válaszfüggvényt Technikák: - T0814: Szolgáltatásmegtagadás - T0881: Szolgáltatás leállítása |
Nem tanulható |
| Nem válaszoló MODBUS-eszköz gyanúja | A forráseszköz nem válaszolt a neki küldött parancsra. Előfordulhat, hogy a parancs elküldésekor megszakadt a kapcsolat. Küszöbérték: Legalább 1 érvényes válasz legalább 3 kérelemre 5 percen belül |
Alacsony | Nem válaszol |
Taktika: - Gátolja a válaszfüggvényt Technikák: - T0881: Szolgáltatás leállítása |
Nem tanulható |
| Forgalom észlelve az érzékelő felületén | Egy érzékelő újra észlelte a hálózati forgalmat egy hálózati adapteren. | Alacsony | Érzékelőforgalom |
Taktika: -Felfedezés Technikák: - T0842: Hálózati sniffing |
Nem tanulható |
| A PLC működési módja megváltozott | A PLC működési módja megváltozott. Az új mód azt jelezheti, hogy a PLC nem biztonságos. Ha nem biztonságos üzemeltetési módban hagyja a PLC-t, a támadók rosszindulatú műveleteket végezhetnek rajta, például egy programletöltést. Ha a PLC sérült, az azokkal interakcióba lépő eszközökre és folyamatokra is hatással lehet. Ez hatással lehet a rendszer általános biztonságára és biztonságára. | Alacsony | Konfigurációs módosítások |
Taktika: -Kivégzés -Kijátszás Technikák: - T0858: Működési mód módosítása |
Nem tanulható |
Következő lépések
További információk:
- Riasztások megtekintése és kezelése az IoT-alapú Defender portálon
- Riasztások megtekintése az érzékelőn
- Riasztási munkafolyamatok felgyorsítása
- Riasztási információk továbbítása
- Riasztások használata a helyszíni felügyeleti konzolon
- Riasztáskezelési API-referencia helyszíni felügyeleti konzolokhoz
- Riasztáskezelési API-referencia ot monitorozási érzékelőkhöz