IoT için Microsoft Defender uyarı başvurusu
Bu makale, IoT için Microsoft Defender ağ algılayıcıları tarafından oluşturulan tüm uyarı türlerinin ve açıklamalarının listesi de dahil olmak üzere uyarıların bir başvurusunu sağlar. Başvuru ayrıca hangi uyarıların öğrenilebilir veya değil olarak önceliklendirilebileceğini de gösterir. Öğrenilebilir durum hakkında daha fazla bilgi için bkz . Uyarı durumları ve önceliklendirme seçenekleri. Uyarıları playbook'lara eşlemek, operasyonel teknoloji (OT) ağ algılayıcısı veya diğer özel etkinliklerde iletme kuralları tanımlamak için bu başvurudan yararlanabilirsiniz.
OT uyarıları varsayılan olarak kapalıdır
Aşağıdaki tablolarda yıldız işareti (*) ile gösterildiği gibi, varsayılan olarak birkaç uyarı kapatılır. OT algılayıcısı Yönetici kullanıcıları, belirli bir OT ağ algılayıcısının Destek sayfasından uyarıları etkinleştirebilir veya devre dışı bırakabilir.
Uyarı iletme kuralları gibi başka yerlerde başvuruda bulunılan uyarıları kapatırsanız, bu başvuruları gerektiği gibi güncelleştirdiğinizden emin olun.
Uyarı önem dereceleri
IoT için Defender uyarıları aşağıdaki önem düzeylerini kullanır:
| Azure portal | OT algılayıcısı | Açıklama |
|---|---|---|
| Yüksek | Kritik | Hemen işlenmesi gereken kötü amaçlı bir saldırıyı gösterir. |
| Medium | Binbaşı | Ele alınması gereken bir güvenlik tehdidini gösterir. |
| Alçak | İkincil, Uyarı | Temel davranıştan bir güvenlik tehdidi içerebilecek veya güvenlik tehdidi içerebilecek bir sapma olduğunu gösterir. |
Bu sayfadaki uyarı önem dereceleri, Azure portalında gösterildiği gibi önem derecesini listeler.
Desteklenen uyarı türleri
| Uyarı türü | Açıklama |
|---|---|
| İlke ihlali uyarıları | İlke İhlali altyapısı daha önce öğrenilen trafikten bir sapma algıladığında tetiklenmiş. Örneğin: - Yeni bir cihaz algılandı. - Cihazda yeni bir yapılandırma algılandı. - Programlama cihazı olarak tanımlanmayan bir cihaz bir programlama değişikliği gerçekleştirir. - Üretici yazılımı sürümü değiştirildi. |
| Protokol ihlali uyarıları | Protokol İhlali altyapısı, protokol belirtimine uymayan paket yapılarını veya alan değerlerini algıladığında tetikler. |
| İşlemsel uyarılar | İşletim altyapısı ağ işletimsel olayları veya bir cihazın arızalı olduğunu algıladığında tetikleniyor. Örneğin, bir ağ cihazı bir Stop PLC komutu aracılığıyla durduruldu veya algılayıcıdaki bir arabirim trafiği izlemeyi durdurdu. |
| Kötü amaçlı yazılım uyarıları | Kötü amaçlı yazılım altyapısı kötü amaçlı ağ etkinliği algıladığında tetikler. Örneğin, altyapı Conficker gibi bilinen bir saldırı algılar. |
| Anomali uyarıları | Anomali altyapısı bir sapma algıladığında tetikler. Örneğin, bir cihaz ağ taramaları yapıyor ancak tarama cihazı olarak tanımlanmamıştır. |
IoT için Defender'ın uyarı algılama ilkesi, farklı uyarı altyapılarını iş etkisi ve ağ bağlamı temelinde uyarıları tetikler ve düşük değerli BT ile ilgili uyarıları azaltır. Daha fazla bilgi için bkz . OT/BT ortamlarında odaklanmış uyarılar.
Desteklenen uyarı kategorileri
Her uyarı aşağıdaki kategorilerden birine sahiptir:
- Anormal İletişim Davranışı
- Anormal HTTP İletişim Davranışı
- Kimlik Doğrulaması
- Yedekleme
- Bant Genişliği Anomalileri
- Arabellek taşması
- Komut Hataları
- Yapılandırma değişiklikleri
- Özel Uyarılar
- Bulma
- Üretici yazılımı değişikliği
- Geçersiz komutlar
- İnternet Erişimi
- İşlem Hataları
- İşletim sorunları
- Programlama
- Uzaktan erişim
- Komutları Yeniden Başlat/Durdur
- Tara
- Algılayıcı trafiği
- Kötü amaçlı etkinlik şüphesi
- Kötü Amaçlı Yazılım Şüphesi
- Yetkisiz İletişim Davranışı
- Yanıt vermiyor
İlke altyapısı uyarıları
İlke altyapısı uyarıları, öğrenilen temel davranıştan algılanan sapmaları açıklar.
İlke altyapısı uyarıları tablosu, uyarı yorgunluğunu azaltmak için bu türdeki birden çok uyarının birlikte gruplandırılabildiğini ve Uyarılar sayfasında yalnızca bir kez listelenebileceğini belirtmek için Toplanan öğeyi içerir. Daha fazla bilgi için bkz . toplu uyarılar.
| Ünvan | Açıklama | Önem derecesi | Kategori | MITRE ATT&CK Taktikler ve teknikler |
Öğrenilebilir | Toplu ihlaller |
|---|---|---|---|---|---|---|
| Beckhoff Yazılımı Değiştirildi | Üretici yazılımı bir kaynak cihazda güncelleştirildi. Bu, planlı bakım yordamı gibi yetkili bir etkinlik olabilir. | Orta | Üretici Yazılımı Değişikliği |
Taktikler: - Yanıt İşlevini Engelle -Devamlılık Teknik: - T0857: Sistem Üretici Yazılımı |
Öğrenilebilir | Hayır |
| Veritabanı Oturum Açma Başarısız Oldu | Kaynak cihazdan hedef sunucuya başarısız oturum açma girişimi algılandı. Bu, insan hatasının sonucu olabilir, ancak sunucunun veya üzerindeki verilerin güvenliğini aşmaya yönelik kötü amaçlı bir girişimi de gösterebilir. Eşik: 5 dakikada 2 oturum açma hatası |
Orta | Kimlik Doğrulaması |
Taktikler: - YanAl Hareket -Koleksiyon Teknik: - T0812: Varsayılan Kimlik Bilgileri - T0811: Bilgi Depolarından Alınan Veriler |
Öğrenilemez | Hayır |
| Emerson ROC Üretici Yazılımı Sürümü Değiştirildi | Üretici yazılımı bir kaynak cihazda güncelleştirildi. Bu, planlı bakım yordamı gibi yetkili bir etkinlik olabilir. | Orta | Üretici Yazılımı Değişikliği |
Taktikler: - Yanıt İşlevini Engelle -Devamlılık Teknik: - T0857: Sistem Üretici Yazılımı |
Öğrenilebilir | Yes |
| İnternet ile iletişim kuran ağ içindeki dış adres | Ağınızın bir parçası olarak tanımlanan bir kaynak cihaz İnternet adresleriyle iletişim kuruyor. Kaynak, İnternet adresleriyle iletişim kurma yetkisine sahip değil. | Yüksek | İnternet Erişimi |
Taktikler: - İlk Erişim Teknik: - T0883: İnternet'e Erişilebilir Cihaz |
Öğrenilebilir | Hayır |
| Alan Cihazı Beklenmedik Bir Şekilde Bulundu | Ağda yeni bir kaynak cihaz algılandı ancak yetkilendirilemedi. | Orta | Bulma |
Taktikler: -Keşif Teknik: - T0842: Ağ Algılama |
Öğrenilemez | Hayır |
| Üretici Yazılımı Değişikliği Algılandı | Üretici yazılımı bir kaynak cihazda güncelleştirildi. Bu, planlı bakım yordamı gibi yetkili bir etkinlik olabilir. | Orta | Üretici Yazılımı Değişikliği |
Taktikler: - Yanıt İşlevini Engelle -Devamlılık Teknik: - T0857: Sistem Üretici Yazılımı |
Öğrenilemez | Hayır |
| Üretici Yazılımı Sürümü Değiştirildi | Üretici yazılımı bir kaynak cihazda güncelleştirildi. Bu, planlı bakım yordamı gibi yetkili bir etkinlik olabilir. | Orta | Üretici Yazılımı Değişikliği |
Taktikler: - Yanıt İşlevini Engelle -Devamlılık Teknik: - T0857: Sistem Üretici Yazılımı |
Öğrenilebilir | Yes |
| Foxboro I/A Yetkisiz İşlemi | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi - T0836: Parametreyi Değiştir |
Öğrenilebilir | Yes |
| FTP Oturumu Açılamadı | Kaynak cihazdan hedef sunucuya başarısız oturum açma girişimi algılandı. Bu uyarı, insan hatasının sonucu olabilir, ancak sunucu veya üzerindeki verilerin güvenliğini aşmaya yönelik kötü amaçlı bir girişimi de gösterebilir. | Orta | Kimlik Doğrulaması |
Taktikler: - YanAl Hareket - Komut ve Denetim Teknik: - T0812: Varsayılan Kimlik Bilgileri - T0869: Standart Uygulama Katmanı Protokolü |
Öğrenilemez | Hayır |
| İşlev Kodu Yetkisiz Özel Durum Oluşturdu * | Kaynak cihaz (ikincil), hedef cihaza (birincil) bir özel durum döndürdü. | Orta | Komut Hataları |
Taktikler: - Yanıt İşlevini Engelle Teknik: - T0835: G/Ç Görüntüsünü İşleme |
Öğrenilebilir | Yes |
| GOOSE İleti Türü Ayarları | İleti (protokol kimliğiyle tanımlanır) ayarları bir kaynak cihazda değiştirildi. | Düşük | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0836: Parametreyi Değiştir |
Öğrenilebilir | Yes |
| Honeywell Üretici Yazılımı Sürümü Değiştirildi | Üretici yazılımı bir kaynak cihazda güncelleştirildi. Bu, planlı bakım yordamı gibi yetkili bir etkinlik olabilir. | Orta | Üretici Yazılımı Değişikliği |
Taktikler: - Yanıt İşlevini Engelle -Devamlılık Teknik: - T0857: Sistem Üretici Yazılımı |
Öğrenilebilir | Hayır |
| Geçersiz HTTP İletişimi * | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Anormal HTTP İletişim Davranışı |
Taktikler: -Keşif Teknik: - T0846: Uzak Sistem Bulma |
Öğrenilebilir | Hayır |
| İnternet Erişimi Algılandı | Ağınızın bir parçası olarak tanımlanan bir kaynak cihaz İnternet adresleriyle iletişim kuruyor. Kaynak, İnternet adresleriyle iletişim kurma yetkisine sahip değil. | Orta | İnternet Erişimi |
Taktikler: - İlk Erişim Teknik: - T0883: İnternet'e Erişilebilir Cihaz |
Öğrenilebilir | Hayır |
| Mitsubishi Üretici Yazılımı Sürümü Değiştirildi | Üretici yazılımı bir kaynak cihazda güncelleştirildi. Bu, planlı bakım yordamı gibi yetkili bir etkinlik olabilir. | Orta | Üretici Yazılımı Değişikliği |
Taktikler: - Yanıt İşlevini Engelle -Devamlılık Teknik: - T0857: Sistem Üretici Yazılımı |
Öğrenilebilir | Hayır |
| Modbus Adres Aralığı İhlali | Birincil cihaz yeni bir ikincil bellek adresine erişim istedi. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: -Keşif Teknik: - T0842: Ağ Algılama |
Öğrenilebilir | Yes |
| Modbus Üretici Yazılımı Sürümü Değiştirildi | Üretici yazılımı bir kaynak cihazda güncelleştirildi. Bu, planlı bakım yordamı gibi yetkili bir etkinlik olabilir. | Orta | Üretici Yazılımı Değişikliği |
Taktikler: - Yanıt İşlevini Engelle -Devamlılık Teknik: - T0857: Sistem Üretici Yazılımı |
Öğrenilebilir | Hayır |
| Yeni Etkinlik Algılandı - CIP Sınıfı | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: -Keşif Teknik: - T0888: Uzak Sistem Bilgileri Bulma |
Öğrenilebilir | Yes |
| Yeni Etkinlik Algılandı - CIP Sınıf Hizmeti | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - Yanıt İşlevini Engelle Teknik: - T0836: Parametreyi Değiştir |
Öğrenilebilir | Yes |
| Yeni Etkinlik Algılandı - CIP PCCC Komutu | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - Yanıt İşlevini Engelle Teknik: - T0836: Parametreyi Değiştir |
Öğrenilebilir | Yes |
| Yeni Etkinlik Algılandı - CIP Simgesi | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar - Yanıt İşlevini Engelle Teknik: - T0855: Yetkisiz Komut İletisi - T0836: Parametreyi Değiştir |
Öğrenilebilir | Yes |
| Yeni Etkinlik Algılandı - EtherNet/IP G/Ç Bağlantısı | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: -Keşif - Yanıt İşlevini Engelle Teknik: - T0846: Uzak Sistem Bulma - T0835: G/Ç Görüntüsünü İşleme |
Öğrenilebilir | Yes |
| Yeni Etkinlik Algılandı - EtherNet/IP Protokolü Komutu | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - Yanıt İşlevini Engelle Teknik: - T0836: Parametreyi Değiştir |
Öğrenilebilir | Yes |
| Yeni Etkinlik Algılandı - GSM İleti Kodu | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - CommandAndControl Teknik: - T0869: Standart Uygulama Katmanı Protokolü |
Öğrenilebilir | Yes |
| Yeni Etkinlik Algılandı - LonTalk Komut Kodları | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: -Koleksiyon - İşlem Denetimini Bozar Teknik: - T0861 - Nokta ve Etiket Belirleme - T0855: Yetkisiz Komut İletisi |
Öğrenilebilir | Yes |
| Yeni Bağlantı Noktası Bulma | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Düşük | Bulma |
Taktikler: - YanAl Hareket Teknik: - T0867: YanAl Takım Aktarımı |
Öğrenilebilir | Hayır |
| Yeni Etkinlik Algılandı - LonTalk Ağ Değişkeni | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi |
Öğrenilebilir | Yes |
| Yeni Etkinlik Algılandı - Ovation Veri İsteği | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: -Koleksiyon -Keşif Teknik: - T0801: İşlem Durumunu İzleme - T0888: Uzak Sistem Bilgileri Bulma |
Öğrenilebilir | Yes |
| Yeni Etkinlik Algılandı - Okuma/Yazma Komutu (AMS Dizin Grubu) | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yapılandırma Değişiklikleri |
Taktikler: - İşlem Denetimini Bozar - Yanıt İşlevini Engelle Teknik: - T0855: Yetkisiz Komut İletisi - T0836: Parametreyi Değiştir |
Öğrenilebilir | Yes |
| Yeni Etkinlik Algılandı - Okuma/Yazma Komutu (AMS Dizin Uzaklığı) | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yapılandırma Değişiklikleri |
Taktikler: - İşlem Denetimini Bozar - Yanıt İşlevini Engelle Teknik: - T0855: Yetkisiz Komut İletisi - T0836: Parametreyi Değiştir |
Öğrenilebilir | Yes |
| Yeni Etkinlik Algılandı - Yetkisiz DeltaV İleti Türü | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar -İdam Teknik: - T0855: Yetkisiz Komut İletisi - T0821: Denetleyici Görevini Değiştirme |
Öğrenilebilir | Yes |
| Yeni Etkinlik Algılandı - Yetkisiz DeltaV ROC İşlemi | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar -İdam Teknik: - T0855: Yetkisiz Komut İletisi - T0821: Denetleyici Görevini Değiştirme |
Öğrenilebilir | Yes |
| Yeni Etkinlik Algılandı - Yetkisiz RPC İleti Türü | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi |
Öğrenilebilir | Yes |
| Yeni Etkinlik Algılandı - AMS Protokol Komutunu Kullanma | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar - Yanıt İşlevini Engelle -İdam Teknik: - T0855: Yetkisiz Komut İletisi - T0836: Parametreyi Değiştir - T0821: Denetleyici Görevini Değiştirme |
Öğrenilebilir | Yes |
| Yeni Etkinlik Algılandı - Siemens SICAM Komutunu Kullanma | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar - Yanıt İşlevini Engelle Teknik: - T0855: Yetkisiz Komut İletisi - T0836: Parametreyi Değiştir |
Öğrenilebilir | Yes |
| Yeni Etkinlik Algılandı - Suitelink Protokolü komutunu kullanma | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar - Yanıt İşlevini Engelle Teknik: - T0855: Yetkisiz Komut İletisi - T0836: Parametreyi Değiştir |
Öğrenilebilir | Yes |
| Yeni Etkinlik Algılandı - Suitelink Protokolü oturumlarını kullanma | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0836: Parametreyi Değiştir |
Öğrenilebilir | Yes |
| Yeni Etkinlik Algılandı - Yokogawa VNetIP Komutunu Kullanma | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar -İdam Teknik: - T0855: Yetkisiz Komut İletisi - T0821: Denetleyici Görevini Değiştirme |
Öğrenilebilir | Yes |
| Yeni Varlık Algılandı | Ağda yeni bir kaynak cihaz algılandı ancak yetkilendirilemedi. Bu uyarı, OT alt ağlarında bulunan cihazlar için geçerlidir. BT alt ağlarında bulunan yeni cihazlar uyarı tetiklemez. |
Orta | Bulma |
Taktikler: -Keşif Teknik: - T0842: Ağ Algılama |
Öğrenilebilir | Hayır |
| Yeni LLDP Cihaz Yapılandırması | Ağda yeni bir kaynak cihaz algılandı ancak yetkilendirilemedi. | Orta | Yapılandırma Değişiklikleri |
Taktikler: -Keşif Teknik: - T0842: Ağ Algılama |
Öğrenilebilir | Hayır |
| Omron FINS Yetkisiz Komutu | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi - T0836: Parametreyi Değiştir |
Öğrenilebilir | Yes |
| S7 Plus PLC Üretici Yazılımı Değiştirildi | Üretici yazılımı bir kaynak cihazda güncelleştirildi. Bu, planlı bakım yordamı gibi yetkili bir etkinlik olabilir. | Orta | Üretici Yazılımı Değişikliği |
Taktikler: - Yanıt İşlevini Engelle -Devamlılık Teknik: - T0857: Sistem Üretici Yazılımı |
Öğrenilebilir | Hayır |
| Örneklenmiş Değerler İleti Türü Ayarları | İleti (protokol kimliğiyle tanımlanır) ayarları bir kaynak cihazda değiştirildi. | Düşük | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0836: Parametreyi Değiştir |
Öğrenilemez | Yes |
| Geçersiz Bütünlük Taraması Şüphesi * | Bir DNP3 kaynak cihazında (outstation) tarama algılandı. Bu tarama, ağınızda öğrenilen trafik olarak yetkilendirilmedi. | Orta | Tara |
Taktikler: -Keşif Teknik: - T0842: Ağ Algılama |
Öğrenilebilir | Hayır |
| Toshiba Bilgisayar Bağlantısı Yetkisiz Komutu | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Düşük | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar -İdam Teknik: - T0855: Yetkisiz Komut İletisi - T0821: Denetleyici Görevini Değiştirme |
Öğrenilebilir | Yes |
| Yetkisiz ABB Totalflow Dosya İşlemi | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar -İdam Teknik: - T0855: Yetkisiz Komut İletisi - T0821: Denetleyici Görevini Değiştirme |
Öğrenilemez | Yes |
| Yetkisiz ABB Totalflow Yazmaç İşlemi | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar -İdam Teknik: - T0855: Yetkisiz Komut İletisi - T0821: Denetleyici Görevini Değiştirme |
Öğrenilemez | Yes |
| Siemens S7 Veri Bloğuna Yetkisiz Erişim | Kaynak cihaz başka bir cihazdaki bir kaynağa erişmeye çalıştı. Bu iki cihaz arasındaki bu kaynağa erişim girişimi, ağınızdaki öğrenilen trafik olarak yetkilendirilmiyor. | Düşük | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar - İlk Erişim Teknik: - T0855: Yetkisiz Komut İletisi - T0811: Bilgi Depolarından Alınan Veriler |
Öğrenilebilir | Yes |
| Siemens S7 Plus Nesnesine Yetkisiz Erişim | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar -İdam - Yanıt İşlevini Engelle Teknik: - T0855: Yetkisiz Komut İletisi - T0821: Denetleyici Görevini Değiştirme - T0809: Veri Yok Etme |
Öğrenilebilir | Yes |
| Wonderware Etiketine Yetkisiz Erişim | Kaynak cihaz başka bir cihazdaki bir kaynağa erişmeye çalıştı. Bu iki cihaz arasındaki bu kaynağa erişim girişimi, ağınızdaki öğrenilen trafik olarak yetkilendirilmiyor. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: -Koleksiyon - İşlem Denetimini Bozar Teknik: - T0861: Nokta ve Etiket Belirleme - T0855: Yetkisiz Komut İletisi |
Öğrenilebilir | Yes |
| Yetkisiz BACNet Nesne Erişimi | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar -İdam Teknik: - T0855: Yetkisiz Komut İletisi - T0821: Denetleyici Görevini Değiştirme |
Öğrenilebilir | Yes |
| Yetkisiz BACNet Yolu | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar -İdam Teknik: - T0855: Yetkisiz Komut İletisi - T0821: Denetleyici Görevini Değiştirme |
Öğrenilebilir | Yes |
| Yetkisiz Veritabanı Oturum Açma * | Kaynak istemci ile hedef sunucu arasında oturum açma girişimi algılandı. Bu cihazlar arasındaki iletişim, ağınızda öğrenilen trafik olarak yetkilendirilmiyor. | Orta | Kimlik Doğrulaması |
Taktikler: - YanAl Hareket -Devamlılık -Koleksiyon Teknik: - T0859: Geçerli Hesaplar - T0811: Bilgi Depolarından Alınan Veriler |
Öğrenilebilir | Hayır |
| Yetkisiz Veritabanı İşlemi | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Anormal İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar - İlk Erişim Teknik: - T0855: Yetkisiz Komut İletisi - T0811: Bilgi Depolarından Alınan Veriler |
Öğrenilebilir | Yes |
| Yetkisiz Emerson ROC İşlemi | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar -İdam Teknik: - T0855: Yetkisiz Komut İletisi - T0821: Denetleyici Görevini Değiştirme |
Öğrenilebilir | Yes |
| Yetkisiz GE SRTP Dosya Erişimi | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: -Koleksiyon - LateralMovement -Devamlılık Teknik: - T0801: İşlem Durumunu İzleme - T0859: Geçerli Hesaplar |
Öğrenilebilir | Yes |
| Yetkisiz GE SRTP Protokolü Komutu | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi - T0821: Denetleyici Görevini Değiştirme |
Öğrenilebilir | Yes |
| Yetkisiz GE SRTP Sistem Belleği İşlemi | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: -Keşif - İşlem Denetimini Bozar Teknik: - T0846: Uzak Sistem Bulma - T0855: Yetkisiz Komut İletisi |
Öğrenilebilir | Yes |
| Yetkisiz HTTP Etkinliği | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Anormal HTTP İletişim Davranışı |
Taktikler: - İlk Erişim - Komut ve Denetim Teknik: - T0822: Dış Uzak Hizmetler - T0869: Standart Uygulama Katmanı Protokolü |
Öğrenilebilir | Hayır |
| Yetkisiz HTTP SOAP Eylemi * | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Anormal HTTP İletişim Davranışı |
Taktikler: - Komut ve Denetim -İdam Teknik: - T0869: Standart Uygulama Katmanı Protokolü - T0871: API aracılığıyla yürütme |
Öğrenilebilir | Hayır |
| Yetkisiz HTTP Kullanıcı Aracısı * | Kaynak cihazda yetkisiz bir uygulama algılandı. Uygulama, ağınızda öğrenilen bir uygulama olarak yetkilendirilmiyor. | Orta | Anormal HTTP İletişim Davranışı |
Taktikler: - Komut ve Denetim Teknik: - T0869: Standart Uygulama Katmanı Protokolü |
Öğrenilebilir | Hayır |
| Yetkisiz İnternet Bağlantısı Algılandı | Ağınızın bir parçası olarak tanımlanan bir kaynak cihaz İnternet adresleriyle iletişim kuruyor. Kaynak, İnternet adresleriyle iletişim kurma yetkisine sahip değil. | Yüksek | İnternet Erişimi |
Taktikler: - İlk Erişim Teknik: - T0883: İnternet'e Erişilebilir Cihaz |
Öğrenilebilir | Hayır |
| Yetkisiz Mitsubishi MELSEC Komutu | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar -İdam Teknik: - T0855: Yetkisiz Komut İletisi - T0821: Denetleyici Görevini Değiştirme |
Öğrenilebilir | Yes |
| Yetkisiz MMS Programı Erişimi | Kaynak cihaz başka bir cihazdaki bir kaynağa erişmeye çalıştı. Bu iki cihaz arasındaki bu kaynağa erişim girişimi, ağınızdaki öğrenilen trafik olarak yetkilendirilmiyor. | Orta | Programlama |
Taktikler: - İşlem Denetimini Bozar -İdam Teknik: - T0855: Yetkisiz Komut İletisi - T0821: Denetleyici Görevini Değiştirme |
Öğrenilebilir | Yes |
| Yetkisiz MMS Hizmeti | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar -İdam Teknik: - T0855: Yetkisiz Komut İletisi - T0821: Denetleyici Görevini Değiştirme |
Öğrenilebilir | Yes |
| Yetkisiz Çok Noktaya Yayın/Yayın Bağlantısı | Kaynak cihazla diğer cihazlar arasında çok noktaya yayın/yayın bağlantısı algılandı. Çok noktaya yayın/Yayın iletişimi yetkilendirilmiyor. | Yüksek | Anormal İletişim Davranışı |
Taktikler: -Keşif Teknik: - T0842: Ağ Algılama |
Öğrenilebilir | Yes |
| Yetkisiz Ad Sorgusu | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Anormal İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0836: Parametreyi Değiştir |
Öğrenilemez | Yes |
| Yetkisiz OPC UA Etkinliği | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0836: Parametreyi Değiştir |
Öğrenilebilir | Yes |
| Yetkisiz OPC UA İsteği/Yanıtı | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0836: Parametreyi Değiştir |
Öğrenilebilir | Yes |
| Kullanıcı Tanımlı Kural tarafından Yetkisiz İşlem algılandı | İki cihaz arasında trafik algılandı. Bu etkinlik, bir kullanıcı tarafından tanımlanan Özel Uyarı Kuralı temelinde yetkisizdir. | Orta | Özel Uyarılar |
Taktikler: -Keşif Teknik: - T0842: Ağ Algılama |
Öğrenilemez | Hayır |
| Yetkisiz PLC Yapılandırması Okuma | Kaynak cihaz bir programlama cihazı olarak tanımlanmamıştır ancak hedef denetleyicide okuma/yazma işlemi gerçekleştirmiş. Programlama değişiklikleri yalnızca programlama cihazları tarafından gerçekleştirilmelidir. Bu cihaza bir programlama uygulaması yüklenmiş olabilir. | Düşük | Yapılandırma Değişiklikleri |
Taktikler: -Koleksiyon Teknik: - T0801: İşlem Durumunu İzleme |
Öğrenilebilir | Hayır |
| Yetkisiz PLC Yapılandırması Yazma | Kaynak cihaz, hedef denetleyicinin programını okumak/yazmak için bir komut gönderdi. Bu etkinlik daha önce görülmedi. | Orta | Yapılandırma Değişiklikleri |
Taktikler: - İşlem Denetimini Bozar -Devamlılık -Etki Teknik: - T0839: Modül Üretici Yazılımı - T0831: Denetimin Manipülasyonu - T0889: Programı Değiştir |
Öğrenilebilir | Hayır |
| Yetkisiz PLC Programı Yükleme | Kaynak cihaz, hedef denetleyicinin programını okumak/yazmak için bir komut gönderdi. Bu etkinlik daha önce görülmedi. | Orta | Programlama |
Taktikler: - İşlem Denetimini Bozar -Devamlılık -Koleksiyon Teknik: - T0839: Modül Üretici Yazılımı - T0845: Program Yükleme |
Öğrenilebilir | Hayır |
| Yetkisiz PLC Programlama | Kaynak cihaz bir programlama cihazı olarak tanımlanmamıştır ancak hedef denetleyicide okuma/yazma işlemi gerçekleştirmiş. Programlama değişiklikleri yalnızca programlama cihazları tarafından gerçekleştirilmelidir. Bu cihaza bir programlama uygulaması yüklenmiş olabilir. | Yüksek | Programlama |
Taktikler: - İşlem Denetimini Bozar -Devamlılık - YanAl Hareket Teknik: - T0839: Modül Üretici Yazılımı - T0889: Programı Değiştir - T0843: Program İndirme |
Öğrenilebilir | Hayır |
| Yetkisiz Profinet Çerçeve Türü | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0836: Parametreyi Değiştir |
Öğrenilebilir | Yes |
| Yetkisiz SAIA S-Bus Komutu | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi |
Öğrenilebilir | Yes |
| Yetkisiz Siemens S7 Kontrol İşlevinin Yürütülmesi | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar - Yanıt İşlevini Engelle Teknik: - T0855: Yetkisiz Komut İletisi - T0809: Veri Yok Etme |
Öğrenilebilir | Yes |
| Yetkisiz Siemens S7 Kullanıcı Tanımlı İşlevin Yürütülmesi | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar -İdam Teknik: - T0836: Parametreyi Değiştir - T0863: Kullanıcı Yürütme |
Öğrenilebilir | Yes |
| Yetkisiz Siemens S7 Plus Blok Erişimi | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - Yanıt İşlevini Engelle -Devamlılık -İdam Teknik: - T0803 - Komut İletisi Engelle - T0889: Programı Değiştir - T0821: Denetleyici Görevini Değiştirme |
Öğrenilebilir | Yes |
| Yetkisiz Siemens S7 Plus Operasyonu | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar -İdam Teknik: - T0855: Yetkisiz Komut İletisi - T0863: Kullanıcı Yürütme |
Öğrenilebilir | Yes |
| Yetkisiz SMB Oturum Açma | Kaynak istemci ile hedef sunucu arasında oturum açma girişimi algılandı. Bu cihazlar arasındaki iletişim, ağınızda öğrenilen trafik olarak yetkilendirilmiyor. | Orta | Kimlik Doğrulaması |
Taktikler: - İlk Erişim - YanAl Hareket -Devamlılık Teknik: - T0886: Uzak Hizmetler - T0859: Geçerli Hesaplar |
Öğrenilebilir | Yes |
| Yetkisiz SNMP İşlemi | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Anormal İletişim Davranışı |
Taktikler: -Keşif - Komut ve Denetim Teknik: - T0842: Ağ Algılama - T0885: Yaygın Kullanılan Bağlantı Noktası |
Öğrenilebilir | Yes |
| Yetkisiz SSH Erişimi | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Uzaktan Erişim |
Taktikler: - InitialAccess - YanAl Hareket - Komut ve Denetim Teknik: - T0886: Uzak Hizmetler - T0869: Standart Uygulama Katmanı Protokolü |
Öğrenilebilir | Hayır |
| Yetkisiz Windows İşlemi | Kaynak cihazda yetkisiz bir uygulama algılandı. Uygulama, ağınızda öğrenilen bir uygulama olarak yetkilendirilmiyor. | Orta | Anormal İletişim Davranışı |
Taktikler: -İdam - Ayrıcalık Yükseltme - Komut ve Denetim Teknik: - T0841: Kancalama - T0885: Yaygın Kullanılan Bağlantı Noktası |
Öğrenilebilir | Yes |
| Yetkisiz Windows Hizmeti | Kaynak cihazda yetkisiz bir uygulama algılandı. Uygulama, ağınızda öğrenilen bir uygulama olarak yetkilendirilmiyor. | Orta | Anormal İletişim Davranışı |
Taktikler: - İlk Erişim - YanAl Hareket Teknik: - T0866: Uzak Hizmetlerden Yararlanma |
Öğrenilebilir | Yes |
| Kullanıcı Tanımlı Kural tarafından Yetkisiz İşlem algılandı | Yeni trafik parametreleri algılandı. Bu parametre bileşimi kullanıcı tanımlı kuralı ihlal ediyor | Orta |
Taktikler: -Keşif Teknik: - T0842: Ağ Algılama |
Öğrenilemez | Hayır | |
| Unpermitted Modbus Schneider Electric Extension | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi |
Öğrenilebilir | Yes |
| ASDU Türlerinin Kaydedilmemiş Kullanımı | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi |
Öğrenilebilir | Yes |
| DNP3 İşlev Kodunun Kaydedilmemiş Kullanımı | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0836: Parametreyi Değiştir |
Öğrenilebilir | Yes |
| İç Göstergenin (IIN) Kaydedilmemiş Kullanımı * | DNP3 kaynak cihazı (çıkış), ağınızda öğrenilen trafik olarak yetkilendirilmemiş bir iç gösterge (IIN) bildirdi. | Orta | Geçersiz Komutlar |
Taktikler: -Keşif Teknik: - T0842: Ağ Algılama |
Öğrenilebilir | Hayır |
| Modbus İşlev Kodunun Kesintisiz Kullanımı | Yeni trafik parametreleri algılandı. Bu parametre bileşimi, ağınızda öğrenilen trafik olarak yetkilendirilmemiş. Aşağıdaki birleşim yetkisizdir. | Orta | Yetkisiz İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0836: Parametreyi Değiştir |
Öğrenilebilir | Yes |
Anomali altyapısı uyarıları
Not
Bu makalede, Microsoft'un artık kullanmadığı köle terimi geçmektedir. Terim yazılımdan kaldırıldığında bu makaleden de kaldırılacak.
Anomali altyapısı uyarıları, ağ etkinliğinde algılanan anomalileri açıklar.
| Ünvan | Açıklama | Önem derecesi | Kategori | MITRE ATT&CK Taktikler ve teknikler |
Öğrenilebilir |
|---|---|---|---|---|---|
| Slave'de Anormal Özel Durum Deseni * | Kaynak cihazda aşırı sayıda hata algılandı. Bu uyarı, işletimsel bir sorunun sonucu olabilir. Eşik: 1 saatte 20 özel durum |
Düşük | Anormal İletişim Davranışı |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0806: Deneme Yanılma G/Ç |
Öğrenilemez |
| Anormal HTTP Üst Bilgi Uzunluğu * | Kaynak cihaz anormal bir ileti gönderdi. Bu uyarı, hedef cihaza saldırma girişimi olduğunu gösterebilir. | Yüksek | Anormal HTTP İletişim Davranışı |
Taktikler: - İlk Erişim - YanAl Hareket - Komut ve Denetim Teknik: - T0866: Uzak Hizmetlerden Yararlanma - T0869: Standart Uygulama Katmanı Protokolü |
Öğrenilebilir |
| HTTP Üst Bilgisindeki Anormal Parametre Sayısı * | Kaynak cihaz anormal bir ileti gönderdi. Bu uyarı, hedef cihaza saldırma girişimi olduğunu gösterebilir. | Yüksek | Anormal HTTP İletişim Davranışı |
Taktikler: - İlk Erişim - YanAl Hareket - Komut ve Denetim Teknik: - T0866: Uzak Hizmetlerden Yararlanma - T0869: Standart Uygulama Katmanı Protokolü |
Öğrenilebilir |
| İletişim kanalında anormal düzenli davranışlar | Kaynak ve hedef cihazlar arasındaki iletişim sıklığında bir değişiklik algılandı. | Düşük | Anormal İletişim Davranışı |
Taktikler: -Keşif Teknik: - T0842: Ağ Algılama |
Öğrenilebilir |
| Uygulamaların Anormal Şekilde Sonlandırılmasına Neden Olan * | Kaynak cihazda aşırı sayıda durdurma komutu algılandı. Bu uyarı, işletimsel bir sorunun veya cihazı işleme girişiminin sonucu olabilir. Eşik: 3 saatte 20 durdurma komutu |
Orta | Anormal İletişim Davranışı |
Taktikler: -Devamlılık -Etki Teknik: - T0889: Programı Değiştir - T0831: Denetimin Manipülasyonu |
Öğrenilebilir |
| Anormal Trafik Bant Genişliği * | Kanalda anormal bant genişliği algılandı. Bant genişliği daha önce algılanandan daha düşük/yüksek görünüyor. Ayrıntılar için Toplam Bant Genişliği pencere öğesiyle çalışın. | Düşük | Bant Genişliği Anomalileri |
Taktikler: -Keşif Teknik: - T0842: Ağ Algılama |
Öğrenilebilir |
| Cihazlar Arasındaki Anormal Trafik Bant Genişliği * | Kanalda anormal bant genişliği algılandı. Bant genişliği daha önce algılanandan daha düşük/yüksek görünüyor. Ayrıntılar için Toplam Bant Genişliği pencere öğesiyle çalışın. | Düşük | Bant Genişliği Anomalileri |
Taktikler: -Keşif Teknik: - T0842: Ağ Algılama |
Öğrenilemez |
| Adres Taraması Algılandı | Ağ cihazları taranan bir kaynak cihaz algılandı. Bu cihaz ağ tarama cihazı olarak yetkilendirilmiyor. Eşik: 2 dakikada aynı B sınıfı alt ağa 50 bağlantı |
Yüksek | Tara |
Taktikler: -Keşif Teknik: - T0842: Ağ Algılama |
Öğrenilebilir |
| ARP Adres Taraması Algılandı * | Adres Çözümleme Protokolü (ARP) kullanılarak ağ cihazları taranan bir kaynak cihaz algılandı. Bu cihaz adresi geçerli ARP tarama adresi olarak yetkilendirilmiyor. Eşik: 6 dakikada 40 tarama |
Yüksek | Tara |
Taktikler: -Keşif -Koleksiyon Teknik: - T0842: Ağ Algılama - T0830: Ortadaki Adam |
Öğrenilebilir |
| ARP Kimlik Sahtekarlık * | Ağda anormal miktarda paket algılandı. Bu uyarı, örneğin bir ARP kimlik sahtekarlığına veya ICMP taşma saldırısına yönelik bir saldırıyı gösterebilir. Eşik: 1 dakikada 60 paket |
Düşük | Anormal İletişim Davranışı |
Taktikler: -Koleksiyon Teknik: - T0830: Ortadaki Adam |
Öğrenilemez |
| Aşırı Oturum Açma Denemeleri | Hedef sunucuda aşırı oturum açma girişimleri gerçekleştiren bir kaynak cihaz görüldü. Bu uyarı deneme yanılma saldırısı olduğunu gösterebilir. Sunucu kötü amaçlı bir aktör tarafından ele geçirilebilir. Eşik: 1 dakikada 20 oturum açma girişimi |
Yüksek | Kimlik Doğrulaması |
Taktikler: - LateralMovement - İşlem Denetimini Bozar Teknik: - T0812: Varsayılan Kimlik Bilgileri - T0806: Deneme Yanılma G/Ç |
Öğrenilemez |
| Aşırı Sayıda Oturum | Hedef sunucuda aşırı oturum açma girişimleri gerçekleştiren bir kaynak cihaz görüldü. Bu bir deneme yanılma saldırısına işaret edebilir. Sunucu kötü amaçlı bir aktör tarafından ele geçirilebilir. Eşik: 1 dakikada 50 oturum |
Yüksek | Anormal İletişim Davranışı |
Taktikler: - YanAl Hareket - İşlem Denetimini Bozar Teknik: - T0812: Varsayılan Kimlik Bilgileri - T0806: Deneme Yanılma G/Ç |
Öğrenilemez |
| Bir Outstation'ın Aşırı Yeniden Başlatma Oranı * | Kaynak cihazda aşırı sayıda yeniden başlatma komutu algılandı. Bu uyarılar, işletimsel bir sorunun veya cihazı işleme girişiminin sonucu olabilir. Eşik: 1 saatte 10 yeniden başlatma |
Orta | Yeniden Başlatma/Durdurma Komutları |
Taktikler: - Yanıt İşlevini Engelle - İşlem Denetimini Bozar Teknik: - T0814: Hizmet Reddi - T0806: Deneme Yanılma G/Ç |
Öğrenilemez |
| Aşırı SMB oturum açma girişimleri | Hedef sunucuda aşırı oturum açma girişimleri gerçekleştiren bir kaynak cihaz görüldü. Bu bir deneme yanılma saldırısına işaret edebilir. Sunucu kötü amaçlı bir aktör tarafından ele geçirilebilir. Eşik: 10 dakikada 10 oturum açma girişimi |
Yüksek | Kimlik Doğrulaması |
Taktikler: -Devamlılık -İdam - LateralMovement Teknik: - T0812: Varsayılan Kimlik Bilgileri - T0853: Betik Oluşturma - T0859: Geçerli Hesaplar |
Öğrenilemez |
| ICMP Taşması * | Ağda anormal miktarda paket algılandı. Bu uyarı, örneğin bir ARP kimlik sahtekarlığına veya ICMP taşma saldırısına yönelik bir saldırıyı gösterebilir. Eşik: 1 dakikada 60 paket |
Düşük | Anormal İletişim Davranışı |
Taktikler: -Keşif -Koleksiyon Teknik: - T0842: Ağ Algılama - T0830: Ortadaki Adam |
Öğrenilemez |
| Geçersiz HTTP Üst Bilgi İçeriği * | Kaynak cihaz geçersiz bir istek başlattı. | Yüksek | Anormal HTTP İletişim Davranışı |
Taktikler: - İlk Erişim - LateralMovement Teknik: - T0866: Uzak Hizmetlerden Yararlanma |
Öğrenilemez |
| Etkin Olmayan İletişim Kanalı * | Genellikle etkinliğin gözlemlendiği bir dönemde iki cihaz arasındaki iletişim kanalı etkin değildi. Bu, bu trafiği oluşturan programın değiştirildiğini veya programın kullanılamadığını gösterebilir. Yüklü programın yapılandırmasını gözden geçirmesi ve düzgün yapılandırıldığını doğrulamanız önerilir. Eşik: 1 dakika |
Düşük | Yanıt vermiyor |
Taktikler: - Yanıt İşlevini Engelle Teknik: - T0881: Hizmet Durdurma |
Öğrenilemez |
| Uzun Süre Adres Taraması Algılandı * | Ağ cihazları taranan bir kaynak cihaz algılandı. Bu cihaz ağ tarama cihazı olarak yetkilendirilmiyor. Eşik: 10 dakikada aynı B sınıfı alt ağa 50 bağlantı |
Yüksek | Tara |
Taktikler: -Keşif Teknik: - T0842: Ağ Algılama |
Öğrenilebilir |
| Parola Tahmin Girişimi Algılandı | Hedef sunucuda aşırı oturum açma girişimleri gerçekleştiren bir kaynak cihaz görüldü. Bu bir deneme yanılma saldırısına işaret edebilir. Sunucu kötü amaçlı bir aktör tarafından ele geçirilebilir. Eşik: 1 dakikada 100 deneme |
Yüksek | Kimlik Doğrulaması |
Taktikler: - YanAl Hareket Teknik: - T0812: Varsayılan Kimlik Bilgileri - T0806: Deneme Yanılma G/Ç |
Öğrenilemez |
| PLC Taraması Algılandı | Ağ cihazları taranan bir kaynak cihaz algılandı. Bu cihaz ağ tarama cihazı olarak yetkilendirilmiyor. Eşik: 2 dakikada 10 tarama |
Yüksek | Tara |
Taktikler: -Keşif Teknik: - T0842: Ağ Algılama |
Öğrenilebilir |
| Bağlantı Noktası Taraması Algılandı | Ağ cihazları taranan bir kaynak cihaz algılandı. Bu cihaz ağ tarama cihazı olarak yetkilendirilmiyor. Eşik: 2 dakikada 25 tarama |
Yüksek | Tara |
Taktikler: -Keşif Teknik: - T0842: Ağ Algılama |
Öğrenilebilir |
| Beklenmeyen ileti uzunluğu | Kaynak cihaz anormal bir ileti gönderdi. Bu uyarı, hedef cihaza saldırma girişimi olduğunu gösterebilir. Eşik: metin uzunluğu - 32768 |
Yüksek | Anormal İletişim Davranışı |
Taktikler: - InitialAccess - LateralMovement Teknik: - T0869: Uzak Hizmetlerden Yararlanma |
Öğrenilemez |
| Standart Bağlantı Noktası için Beklenmeyen Trafik * | Başka bir protokol için ayrılmış bir bağlantı noktası kullanılarak bir cihazda trafik algılandı. | Orta | Anormal İletişim Davranışı |
Taktikler: - Komut ve Denetim -Keşif Teknik: - T0869: Standart Uygulama Katmanı Protokolü - T0842: Ağ Algılama |
Öğrenilemez |
Protokol ihlal altyapısı uyarıları
Protokol altyapısı uyarıları, paket yapısında algılanan sapmaları veya protokol belirtimleriyle karşılaştırıldığında alan değerlerini açıklar.
| Ünvan | Açıklama | Önem derecesi | Kategori | MITRE ATT&CK Taktikler ve teknikler |
Öğrenilebilir |
|---|---|---|---|---|---|
| Tek Bir Oturumda Aşırı Hatalı Biçimlendirilmiş Paketler * | Kaynak cihazdan hedef cihaza gönderilen anormal sayıda hatalı biçimlendirilmiş paket. Bu uyarı hatalı iletişimleri veya hedeflenen cihazı işleme girişimini gösterebilir. Eşik: 10 dakikada 2 yanlış biçimlendirilmiş paket |
Orta | Geçersiz Komutlar |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0806: Deneme Yanılma G/Ç |
Öğrenilemez |
| Üretici Yazılımı Güncelleştirmesi | Kaynak cihaz, hedef cihazdaki üretici yazılımını güncelleştirmek için bir komut gönderdi. Hedef cihaza yapılan son programlama, yapılandırma ve üretici yazılımı yükseltmelerinin geçerli olduğunu doğrulayın. | Düşük | Üretici Yazılımı Değişikliği |
Taktikler: - Yanıt İşlevini Engelle -Devamlılık Teknik: - T0857: Sistem Üretici Yazılımı |
Öğrenilebilir |
| İşlev Kodu Outstation Tarafından Desteklenmiyor | Hedef cihaz geçersiz bir istek aldı. | Orta | Geçersiz Komutlar |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi |
Öğrenilemez |
| Geçersiz BACNet iletisi | Kaynak cihaz geçersiz bir istek başlattı. | Orta | Geçersiz Komutlar |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi - T0836: Parametreyi Değiştir |
Öğrenilemez |
| Bağlantı Noktası 0'da Geçersiz Bağlantı Girişimi | Kaynak cihaz, sıfır (0) numaralı bağlantı noktası üzerinden hedef cihaza bağlanmaya çalıştı. TCP için 0 numaralı bağlantı noktası ayrılmıştır ve kullanılamaz. UDP için bağlantı noktası isteğe bağlıdır ve 0 değeri bağlantı noktası olmadığı anlamına gelir. 0 numaralı bağlantı noktasını dinleyen bir sistemde genellikle hizmet yoktur. Bu olay hedef cihaza saldırma girişimini veya bir uygulamanın yanlış programlandığını gösterebilir. | Düşük | Geçersiz Komutlar |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi - T0836: Parametreyi Değiştir |
Öğrenilemez |
| Geçersiz DNP3 İşlemi | Kaynak cihaz geçersiz bir istek başlattı. | Orta | Geçersiz Komutlar |
Taktikler: - İlk Erişim - YanAl Hareket Teknik: - T0866: Uzak Hizmetlerden Yararlanma |
Öğrenilemez |
| Geçersiz MODBUS İşlemi (Ana Şablon Tarafından Tetiklenen Özel Durum) | Kaynak cihaz geçersiz bir istek başlattı. | Orta | Geçersiz Komutlar |
Taktikler: - İlk Erişim - YanAl Hareket Teknik: - T0866: Uzak Hizmetlerden Yararlanma |
Öğrenilemez |
| Geçersiz MODBUS İşlemi (İşlev Kodu Sıfır) * | Kaynak cihaz geçersiz bir istek başlattı. | Orta | Geçersiz Komutlar |
Taktikler: - İlk Erişim - YanAl Hareket Teknik: - T0866: Uzak Hizmetlerden Yararlanma |
Öğrenilemez |
| Geçersiz Protokol Sürümü * | Kaynak cihaz geçersiz bir istek başlattı. | Orta | Geçersiz Komutlar |
Taktikler: - İlk Erişim - LateralMovement - İşlem Denetimini Bozar Teknik: - T0820: Uzak Hizmetler - T0836: Parametreyi Değiştir |
Öğrenilemez |
| Outstation'a Yanlış Parametre Gönderildi | Hedef cihaz geçersiz bir istek aldı. | Orta | Geçersiz Komutlar |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi - T0836: Parametreyi Değiştir |
Öğrenilemez |
| Eski İşlev Kodu Başlatma (Verileri Başlatma) | Kaynak cihaz geçersiz bir istek başlattı. | Düşük | Geçersiz Komutlar |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi |
Öğrenilemez |
| Eski İşlev Kodu Başlatma (Kaydetme Yapılandırması) | Kaynak cihaz geçersiz bir istek başlattı. | Düşük | Geçersiz Komutlar |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi |
Öğrenilemez |
| Ana Uygulama Katmanı Onayı İstedi | Kaynak cihaz geçersiz bir istek başlattı. | Düşük | Geçersiz Komutlar |
Taktikler: - Komut ve Denetim Teknik: - T0869: Standart Uygulama Katmanı Protokolü |
Öğrenilemez |
| Modbus Özel Durumu | Kaynak cihaz (ikincil), hedef cihaza (birincil) bir özel durum döndürdü. | Orta | Geçersiz Komutlar |
Taktikler: - Yanıt İşlevini Engelle Teknik: - T0814: Hizmet Reddi |
Öğrenilemez |
| Bağımlı Cihaz Geçersiz ASDU Türü Aldı | Hedef cihaz geçersiz bir istek aldı. | Orta | Geçersiz Komutlar |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0836: Parametreyi Değiştir |
Öğrenilemez |
| Bağımlı Cihaz İletimIn Geçersiz Komut Nedeni Aldı | Hedef cihaz geçersiz bir istek aldı. | Orta | Geçersiz Komutlar |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi - T0836: Parametreyi Değiştir |
Öğrenilemez |
| Bağımlı Cihaz Geçersiz Ortak Adres Aldı | Hedef cihaz geçersiz bir istek aldı. | Orta | Geçersiz Komutlar |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi - T0836: Parametreyi Değiştir |
Öğrenilemez |
| Bağımlı Cihaz Geçersiz Veri Adresi Parametresi Aldı * | Hedef cihaz geçersiz bir istek aldı. | Orta | Geçersiz Komutlar |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi - T0836: Parametreyi Değiştir |
Öğrenilemez |
| Bağımlı Cihaz Geçersiz Veri Değeri Parametresi Aldı * | Hedef cihaz geçersiz bir istek aldı. | Orta | Geçersiz Komutlar |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi - T0836: Parametreyi Değiştir |
Öğrenilemez |
| Bağımlı Cihaz Geçersiz İşlev Kodu Aldı * | Hedef cihaz geçersiz bir istek aldı. | Orta | Geçersiz Komutlar |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi - T0836: Parametreyi Değiştir |
Öğrenilemez |
| Bağımlı Cihaz Geçersiz Bilgi Nesne Adresi Aldı | Hedef cihaz geçersiz bir istek aldı. | Orta | Geçersiz Komutlar |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi - T0836: Parametreyi Değiştir |
Öğrenilemez |
| Bilinmeyen Nesne Outstation'a Gönderildi | Hedef cihaz geçersiz bir istek aldı. | Orta | Geçersiz Komutlar |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi |
Öğrenilemez |
| Ayrılmış İşlev Kodunun Kullanımı | Kaynak cihaz geçersiz bir istek başlattı. | Orta | Geçersiz Komutlar |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0836: Parametreyi Değiştir |
Öğrenilemez |
| Hatalı Biçimlendirmenin Çıkışa Göre Kullanımı * | Kaynak cihaz geçersiz bir istek başlattı. | Düşük | Geçersiz Komutlar |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi |
Öğrenilemez |
| Ayrılmış Durum Bayraklarının Kullanımı (IIN) | DNP3 kaynak cihazı (outstation), ayrılmış İç Gösterge 2.6'yi kullandı. Cihazın yapılandırmasını denetlemenizi öneririz. | Düşük | Geçersiz Komutlar |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0836: Parametreyi Değiştir |
Öğrenilemez |
Kötü amaçlı yazılım altyapısı uyarıları
Kötü amaçlı yazılım altyapısı uyarıları, algılanan kötü amaçlı ağ etkinliğini açıklar.
| Ünvan | Açıklama | Önem derecesi | Kategori | MITRE ATT&CK Taktikler ve teknikler |
Öğrenilebilir |
|---|---|---|---|---|---|
| Bilinen Kötü Amaçlı IP'ye Bağlantı Girişimi | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen kötü amaçlı yazılımlar tarafından kullanılan bir yöntemden yararlanan bir saldırıyla ilişkilendirilebilir. Hem OT hem de Enterprise IoT ağ algılayıcıları tarafından tetiklenen. |
Yüksek | Kötü Amaçlı Etkinlik Şüphesi |
Taktikler: - İlk Erişim - Komut ve Denetim Teknik: - T0883: İnternet'e Erişilebilir Cihaz - T0884: Bağlantı Ara Sunucusu |
Öğrenilemez |
| Geçersiz SMB İletisi (DoublePulsar Arka Kapı İmplantı) | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen kötü amaçlı yazılımlar tarafından kullanılan bir yöntemden yararlanan bir saldırıyla ilişkilendirilebilir. | Yüksek | Kötü Amaçlı Yazılım Şüphesi |
Taktikler: - İlk Erişim - LateralMovement Teknik: - T0866: Uzak Hizmetlerden Yararlanma |
Öğrenilemez |
| Kötü Amaçlı Etki Alanı Adı İsteği | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen kötü amaçlı yazılımlar tarafından kullanılan bir yöntemden yararlanan bir saldırıyla ilişkilendirilebilir. Hem OT hem de Enterprise IoT ağ algılayıcıları tarafından tetiklenen. |
Yüksek | Kötü Amaçlı Etkinlik Şüphesi |
Taktikler: - İlk Erişim - Komut ve Denetim Teknik: - T0883: İnternet'e Erişilebilir Cihaz - T0884: Bağlantı Ara Sunucusu |
Öğrenilebilir |
| Kötü Amaçlı URL Yolu | Bilinen bir kötü amaçlı URL yoluna istekte bulunuldu. Bu URL yolu için yapılan istekler, isteği yapan kaynağın güvenliğinin aşıldığını gösterebilir. | Yüksek | Kötü Amaçlı Etkinlik Şüphesi |
Taktikler: - İlk Erişim - Komut ve Denetim Teknik: - T0883: İnternet'e Erişilebilir Cihaz - T0884: Bağlantı Ara Sunucusu |
Öğrenilemez |
| Kötü Amaçlı Yazılım Test Dosyası Algılandı - EICAR AV Başarılı | İki cihaz arasındaki trafikte bir EICAR AV test dosyası algılandı (herhangi bir aktarım üzerinden - TCP veya UDP). Dosya kötü amaçlı yazılım değil. Virüsten koruma yazılımının doğru yüklendiğini onaylamak için kullanılır. Bir virüs bulunduğunda ne olduğunu gösterin ve bir virüs bulunduğunda iç yordamları ve reaksiyonları kontrol edin. Virüsten koruma yazılımı, EICAR'i gerçek bir virüs gibi algılamalıdır. | Yüksek | Kötü Amaçlı Etkinlik Şüphesi |
Taktikler: -Keşif Teknik: - T0842: Ağ Algılama |
Öğrenilemez |
| Conficker Kötü Amaçlı Yazılım Şüphesi | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen kötü amaçlı yazılımlar tarafından kullanılan bir yöntemden yararlanan bir saldırıyla ilişkilendirilebilir. | Orta | Kötü Amaçlı Yazılım Şüphesi |
Taktikler: - İlk Erişim -Etki Teknik: - T0826: Kullanılabilirlik Kaybı - T0828: Üretkenlik ve Gelir Kaybı - T0847: Çıkarılabilir Medya Üzerinden Çoğaltma |
Öğrenilemez |
| Hizmet Reddi Saldırısı Şüphesi | Kaynak cihaz, hedef cihaza aşırı sayıda yeni bağlantı başlatmaya çalıştı. Bu, hedef cihaza yönelik bir Hizmet Reddi (DOS) saldırısı olduğunu gösterebilir ve cihaz işlevselliğini kesintiye uğratabilir, performansı ve hizmet kullanılabilirliğini etkileyebilir veya kurtarılamaz hatalara neden olabilir. Eşik: 1 dakikada 3000 deneme |
Yüksek | Kötü Amaçlı Etkinlik Şüphesi |
Taktikler: - Yanıt İşlevini Engelle Teknik: - T0814: Hizmet Reddi |
Öğrenilebilir |
| Kötü Amaçlı Etkinlik Şüphesi | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen 'Risk Aşılması Göstergeleri' (ICS) tetikleyen bir saldırıyla ilişkilendirilebilir. Uyarı meta verileri güvenlik ekibi tarafından gözden geçirilmelidir. | Yüksek | Kötü Amaçlı Etkinlik Şüphesi |
Taktikler: - YanAl Hareket Teknik: - T0867: YanAl Takım Aktarımı |
Öğrenilemez |
| Kötü Amaçlı Etkinlik Şüphesi (BlackEnergy) | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen kötü amaçlı yazılımlar tarafından kullanılan bir yöntemden yararlanan bir saldırıyla ilişkilendirilebilir. | Yüksek | Kötü Amaçlı Yazılım Şüphesi |
Taktikler: - Komut ve Denetim Teknik: - T0869: Standart Uygulama Katmanı Protokolü |
Öğrenilemez |
| Kötü Amaçlı Etkinlik Şüphesi (DarkComet) | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen kötü amaçlı yazılımlar tarafından kullanılan bir yöntemden yararlanan bir saldırıyla ilişkilendirilebilir. | Yüksek | Kötü Amaçlı Yazılım Şüphesi |
Taktikler: -Etki Teknik: - T0882: Operasyonel Bilgilerin Çalınması |
Öğrenilemez |
| Kötü Amaçlı Etkinlik Şüphesi (Duqu) | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen kötü amaçlı yazılımlar tarafından kullanılan bir yöntemden yararlanan bir saldırıyla ilişkilendirilebilir. | Yüksek | Kötü Amaçlı Yazılım Şüphesi |
Taktikler: -Etki Teknik: - T0882: Operasyonel Bilgilerin Çalınması |
Öğrenilemez |
| Kötü Amaçlı Etkinlik Şüphesi (Alev) | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen kötü amaçlı yazılımlar tarafından kullanılan bir yöntemden yararlanan bir saldırıyla ilişkilendirilebilir. | Yüksek | Kötü Amaçlı Yazılım Şüphesi |
Taktikler: -Koleksiyon -Etki Teknik: - T0882: Operasyonel Bilgilerin Çalınması - T0811: Bilgi Depolarından Alınan Veriler |
Öğrenilemez |
| Kötü Amaçlı Etkinlik Şüphesi (Havex) | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen kötü amaçlı yazılımlar tarafından kullanılan bir yöntemden yararlanan bir saldırıyla ilişkilendirilebilir. | Yüksek | Kötü Amaçlı Yazılım Şüphesi |
Taktikler: -Koleksiyon -Keşif - Yanıt İşlevini Engelle Teknik: - T0861: Nokta ve Etiket Belirleme - T0846: Uzak Sistem Bulma - T0814: Hizmet Reddi |
Öğrenilemez |
| Kötü Amaçlı Etkinlik Şüphesi (Karagany) | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen kötü amaçlı yazılımlar tarafından kullanılan bir yöntemden yararlanan bir saldırıyla ilişkilendirilebilir. | Yüksek | Kötü Amaçlı Yazılım Şüphesi |
Taktikler: -Etki Teknik: - T0882: Operasyonel Bilgilerin Çalınması |
Öğrenilemez |
| Kötü Amaçlı Etkinlik Şüphesi (LightsOut) | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen kötü amaçlı yazılımlar tarafından kullanılan bir yöntemden yararlanan bir saldırıyla ilişkilendirilebilir. | Yüksek | Kötü Amaçlı Yazılım Şüphesi |
Taktikler: -Kaçırma Teknik: - T0849: Maskeleme |
Öğrenilemez |
| Kötü Amaçlı Etkinlik Şüphesi (Ad Sorguları) | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen kötü amaçlı yazılımlar tarafından kullanılan bir yöntemden yararlanan bir saldırıyla ilişkilendirilebilir. Eşik: 1 dakikada 25 ad sorgusu |
Yüksek | Kötü Amaçlı Etkinlik Şüphesi |
Taktikler: - Komut ve Denetim Teknik: - T0884: Bağlantı Ara Sunucusu |
Öğrenilemez |
| Kötü Amaçlı Etkinlik Şüphesi (Zehirli Sarmaşık) | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen kötü amaçlı yazılımlar tarafından kullanılan bir yöntemden yararlanan bir saldırıyla ilişkilendirilebilir. | Yüksek | Kötü Amaçlı Yazılım Şüphesi |
Taktikler: - İlk Erişim - YanAl Hareket Teknik: - T0866: Uzak Hizmetlerden Yararlanma |
Öğrenilemez |
| Kötü Amaçlı Etkinlik Şüphesi (Regin) | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen kötü amaçlı yazılımlar tarafından kullanılan bir yöntemden yararlanan bir saldırıyla ilişkilendirilebilir. | Yüksek | Kötü Amaçlı Yazılım Şüphesi |
Taktikler: - İlk Erişim - YanAl Hareket -Etki Teknik: - T0866: Uzak Hizmetlerden Yararlanma - T0882: Operasyonel Bilgilerin Çalınması |
Öğrenilemez |
| Kötü Amaçlı Etkinlik Şüphesi (Stuxnet) | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen kötü amaçlı yazılımlar tarafından kullanılan bir yöntemden yararlanan bir saldırıyla ilişkilendirilebilir. | Yüksek | Kötü Amaçlı Yazılım Şüphesi |
Taktikler: - İlk Erişim - YanAl Hareket -Etki Teknik: - T0818: Mühendislik İş İstasyonu Güvenliğini Aşma - T0866: Uzak Hizmetlerden Yararlanma - T0831: Denetimin Manipülasyonu |
Öğrenilemez |
| Kötü Amaçlı Etkinlik Şüphesi (WannaCry) * | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen kötü amaçlı yazılımlar tarafından kullanılan bir yöntemden yararlanan bir saldırıyla ilişkilendirilebilir. | Orta | Kötü Amaçlı Yazılım Şüphesi |
Taktikler: - İlk Erişim - YanAl Hareket Teknik: - T0866: Uzak Hizmetlerden Yararlanma - T0867: YanAl Takım Aktarımı |
Öğrenilemez |
| NotPetya Kötü Amaçlı Yazılım Şüphesi - Geçersiz SMB Parametreleri Algılandı | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen kötü amaçlı yazılımlar tarafından kullanılan bir yöntemden yararlanan bir saldırıyla ilişkilendirilebilir. | Yüksek | Kötü Amaçlı Yazılım Şüphesi |
Taktikler: - İlk Erişim - YanAl Hareket Teknik: - T0866: Uzak Hizmetlerden Yararlanma |
Öğrenilemez |
| NotPetya Kötü Amaçlı Yazılım Şüphesi - Geçersiz SMB İşlemi Algılandı | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen kötü amaçlı yazılımlar tarafından kullanılan bir yöntemden yararlanan bir saldırıyla ilişkilendirilebilir. | Yüksek | Kötü Amaçlı Yazılım Şüphesi |
Taktikler: - YanAl Hareket Teknik: - T0867: YanAl Takım Aktarımı |
Öğrenilemez |
| PsExec ile Uzaktan Kod Yürütme Şüphesi | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen kötü amaçlı yazılımlar tarafından kullanılan bir yöntemden yararlanan bir saldırıyla ilişkilendirilebilir. | Yüksek | Kötü Amaçlı Etkinlik Şüphesi |
Taktikler: - YanAl Hareket - İlk Erişim Teknik: - T0866: Uzak Hizmetlerden Yararlanma |
Öğrenilemez |
| Uzak Windows Hizmet Yönetimi Şüphesi * | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen kötü amaçlı yazılımlar tarafından kullanılan bir yöntemden yararlanan bir saldırıyla ilişkilendirilebilir. | Yüksek | Kötü Amaçlı Etkinlik Şüphesi |
Taktikler: - İlk Erişim Teknik: - T0822: NetworkExternal Uzak Hizmetler |
Öğrenilemez |
| Uç Noktada Şüpheli Yürütülebilir Dosya Algılandı | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen kötü amaçlı yazılımlar tarafından kullanılan bir yöntemden yararlanan bir saldırıyla ilişkilendirilebilir. | Yüksek | Kötü Amaçlı Etkinlik Şüphesi |
Taktikler: -Kaçırma - Yanıt İşlevini Engelle Teknik: - T0851: Rootkit |
Öğrenilebilir |
| Şüpheli Trafik Algılandı * | Şüpheli ağ etkinliği algılandı. Bu etkinlik, bilinen 'Risk Aşılması Göstergeleri' (ICS) tetikleyen bir saldırıyla ilişkilendirilebilir. Uyarı meta verileri güvenlik ekibi tarafından gözden geçirilmelidir | Yüksek | Kötü Amaçlı Etkinlik Şüphesi |
Taktikler: -Keşif Teknik: - T0842: Ağ Algılama |
Öğrenilemez |
| Virüsten Koruma İmzalarıyla Yedekleme Etkinliği | Kaynak cihaz ile hedef yedekleme sunucusu arasında algılanan trafik bu uyarıyı tetikledi. Trafik, kötü amaçlı yazılım imzaları içerebilen virüsten koruma yazılımının yedeklerini içerir. Bu büyük olasılıkla meşru yedekleme etkinliğidir. | Düşük | Yedekleme |
Taktikler: -Etki Teknik: - T0882: Operasyonel Bilgilerin Çalınması |
Öğrenilemez |
İşletimsel altyapı uyarıları
İşletim altyapısı uyarıları, algılanan işletimsel olayları veya hatalı çalışan varlıkları açıklar.
| Ünvan | Açıklama | Önem derecesi | Kategori | MITRE ATT&CK Taktikler ve teknikler |
Öğrenilebilir |
|---|---|---|---|---|---|
| S7 Stop PLC Komutu Gönderildi | Kaynak cihaz hedef denetleyiciye bir durdurma komutu gönderdi. Bir başlat komutu gönderilene kadar denetleyici çalışmayı durdurur. | Düşük | Yeniden Başlatma/Durdurma Komutları |
Taktikler: - YanAl Hareket - Savunma Kaçamak -İdam - Yanıt İşlevini Engelle Teknik: - T0843: Program İndirme - T0858: İşletim Modunu Değiştir - T0814: Hizmet Reddi |
Öğrenilemez |
| BACNet İşlemi Başarısız Oldu | Sunucu bir hata kodu döndürdü. Bu uyarı bir sunucu hatası veya istemci tarafından geçersiz bir istek olduğunu gösterir. | Orta | Komut Hataları |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi |
Öğrenilemez |
| Hatalı MMS Cihaz Durumu | BIR MMS Sanal Üretim Cihazı (VMD) bir durum iletisi gönderdi. İleti, sunucunun doğru, kısmen çalışır durumda veya hiç çalışmamış olabileceğini gösterir. | Orta | İşletimSel Sorunlar |
Taktikler: - Yanıt İşlevini Engelle Teknik: - T0814: Hizmet Reddi |
Öğrenilemez |
| Cihaz Yapılandırması değişikliği * | Kaynak cihazda yapılandırma değişikliği algılandı. | Düşük | Yapılandırma Değişiklikleri |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0836: Parametreyi Değiştir |
Öğrenilemez |
| Outstation'da Sürekli Olay Arabellek Taşması * | Kaynak cihazda arabellek taşması olayı algılandı. Olay veri bozulmasına, program kilitlenmelerine veya kötü amaçlı kodun yürütülmesine neden olabilir. Eşik: 10 dakikada 3 oluşum |
Orta | Arabellek Taşması |
Taktikler: - Yanıt İşlevini Engelle - İşlem Denetimini Bozar -Devamlılık Teknik: - T0814: Hizmet Reddi - T0806: Deneme Yanılma G/Ç - T0839: Modül Üretici Yazılımı |
Öğrenilemez |
| Denetleyici Sıfırlama | Kaynak cihaz bir hedef denetleyiciye sıfırlama komutu gönderdi. Denetleyici geçici olarak çalışmayı durdurdu ve otomatik olarak yeniden başlatıldı. | Düşük | Yeniden Başlatma/Durdurma Komutları |
Taktikler: - Savunma Kaçamak -İdam - Yanıt İşlevini Engelle Teknik: - T0858: İşletim Modunu Değiştir - T0814: Hizmet Reddi |
Öğrenilemez |
| Denetleyici Durağı | Kaynak cihaz hedef denetleyiciye bir durdurma komutu gönderdi. Bir başlat komutu gönderilene kadar denetleyici çalışmayı durdurur. | Düşük | Yeniden Başlatma/Durdurma Komutları |
Taktikler: - YanAl Hareket - Savunma Kaçamak -İdam - Yanıt İşlevini Engelle Teknik: - T0843: Program İndirme - T0858: İşletim Modunu Değiştir - T0814: Hizmet Reddi |
Öğrenilemez |
| Cihaz Dinamik IP Adresi Alamadı | Kaynak cihaz, DHCP sunucusundan dinamik IP adresi alacak şekilde yapılandırılmış ancak adres almamış. Bu, cihazdaki bir yapılandırma hatasını veya DHCP sunucusunda bir işlem hatasını gösterir. Olayın ağ yöneticisine bildirilmesi önerilir | Orta | Komut Hataları |
Taktikler: -Keşif Teknik: - T0842: Ağ Algılama |
Öğrenilemez |
| Cihazın Bağlantısı Kesildiğinden Şüpheleniliyor (Yanıt Vermiyor) | Kaynak cihaz, gönderilen bir komuta yanıt vermedi. Komut gönderildiğinde bağlantısı kesilmiş olabilir. Eşik: 5 dakikada 8 deneme |
Orta | Yanıt vermiyor |
Taktikler: - Yanıt İşlevini Engelle Teknik: - T0881: Hizmet Durdurma |
Öğrenilemez |
| EtherNet/IP CIP Hizmeti İsteği Başarısız Oldu | Sunucu bir hata kodu döndürdü. Bu, bir sunucu hata veya istemci tarafından geçersiz bir istek olduğunu gösterir. | Orta | Komut Hataları |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi |
Öğrenilemez |
| EtherNet/IP Kapsülleme Protokolü Komutu Başarısız Oldu | Sunucu bir hata kodu döndürdü. Bu, bir sunucu hata veya istemci tarafından geçersiz bir istek olduğunu gösterir. | Orta | Komut Hataları |
Taktikler: -Koleksiyon Teknik: - T0801: İşlem Durumunu İzleme |
Öğrenilemez |
| Outstation'da Olay Arabellek Taşması | Kaynak cihazda arabellek taşması olayı algılandı. Olay veri bozulmasına, program kilitlenmelerine veya kötü amaçlı kodun yürütülmesine neden olabilir. | Orta | Arabellek Taşması |
Taktikler: - Yanıt İşlevini Engelle - İşlem Denetimini Bozar -Devamlılık Teknik: - T0814: Hizmet Reddi - T0839: Modül Üretici Yazılımı |
Öğrenilemez |
| Beklenen Yedekleme İşlemi Gerçekleşmedi | İki cihaz arasında beklenen yedekleme/dosya aktarımı etkinliği gerçekleşmedi. Bu uyarı, yedekleme /dosya aktarımı işleminde hataları gösterebilir. Eşik: 100 saniye |
Orta | Yedekleme |
Taktikler: - Yanıt İşlevini Engelle Teknik: - T0809: Veri Yok Etme |
Öğrenilebilir |
| GE SRTP Komut Hatası | Sunucu bir hata kodu döndürdü. Bu uyarı bir sunucu hatası veya istemci tarafından geçersiz bir istek olduğunu gösterir. | Orta | Komut Hataları |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi |
Öğrenilemez |
| GE SRTP Stop PLC Komutu Gönderildi | Kaynak cihaz hedef denetleyiciye bir durdurma komutu gönderdi. Bir başlat komutu gönderilene kadar denetleyici çalışmayı durdurur. | Düşük | Yeniden Başlatma/Durdurma Komutları |
Taktikler: - YanAl Hareket - Savunma Kaçamak -İdam - Yanıt İşlevini Engelle Teknik: - T0843: Program İndirme - T0858: İşletim Modunu Değiştir - T0814: Hizmet Reddi |
Öğrenilemez |
| GOOSE Denetim Bloğu Daha Fazla Yapılandırma Gerektirir | Kaynak cihaz, cihazın devreye alınması gerektiğini belirten bir GOOSE iletisi gönderdi. Bu, GOOSE denetim bloğunun daha fazla yapılandırma gerektirdiği ve GOOSE iletilerinin kısmen veya tamamen işlem dışı olduğu anlamına gelir. | Orta | Yapılandırma Değişiklikleri |
Taktikler: - İşlem Denetimini Bozar - Yanıt İşlevini Engelle Teknik: - T0803: Komut İletisi Engelle - T0821: Denetleyici Görevini Değiştirme |
Öğrenilemez |
| GOOSE Veri Kümesi Yapılandırması Değiştirildi * | Kaynak cihazda bir ileti (protokol kimliğiyle tanımlanır) veri kümesi değiştirildi. Bu, cihazın bu ileti için farklı bir veri kümesi bildiriyor olduğu anlamına gelir. | Düşük | Yapılandırma Değişiklikleri |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0836: Parametreyi Değiştir |
Öğrenilemez |
| Honeywell Denetleyicisi Beklenmeyen Durumu | Honeywell Denetleyicisi durum değişikliğini belirten beklenmeyen bir tanılama iletisi gönderdi. | Düşük | İşletimSel Sorunlar |
Taktikler: -Kaçırma -İdam Teknik: - T0858: İşletim Modunu Değiştir |
Öğrenilemez |
| HTTP İstemci Hatası * | Kaynak cihaz geçersiz bir istek başlattı. | Düşük | Anormal HTTP İletişim Davranışı |
Taktikler: - Komut ve Denetim Teknik: - T0869: Standart Uygulama Katmanı Protokolü |
Öğrenilemez |
| Geçersiz IP Adresi | Sistem, bir kaynak cihaz ile geçersiz adres olan bir IP adresi arasında trafik algılandı. Bu, yanlış yapılandırmayı veya geçersiz trafik oluşturma girişimini gösterebilir. | Düşük | Anormal İletişim Davranışı |
Taktikler: -Keşif - İşlem Denetimini Bozar Teknik: - T0842: Ağ Algılama - T0836: Parametreyi Değiştir |
Öğrenilemez |
| Master-Slave Kimlik Doğrulama Hatası | DNP3 kaynak cihazı (birincil) ile hedef cihaz (çıkış) arasındaki kimlik doğrulama işlemi başarısız oldu. | Düşük | Kimlik Doğrulaması |
Taktikler: - YanAl Hareket -Devamlılık Teknik: - T0859: Geçerli Hesaplar |
Öğrenilemez |
| MMS Hizmet İsteği Başarısız Oldu | Sunucu bir hata kodu döndürdü. Bu, bir sunucu hata veya istemci tarafından geçersiz bir istek olduğunu gösterir. | Orta | Komut Hataları |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi |
Öğrenilemez |
| Algılayıcı Arabiriminde Trafik Algılanmadı | Algılayıcı, ağ arabirimindeki ağ trafiğini algılamayı durdurdu. | Yüksek | Algılayıcı Trafiği |
Taktikler: - Yanıt İşlevini Engelle Teknik: - T0881: Hizmet Durdurma |
Öğrenilemez |
| OPC UA Sunucusu Kullanıcının Dikkatini Gerektiren Bir Olay Tetikledi | OPC UA sunucusu bir istemciye olay bildirimi gönderdi. Bu tür bir olay için kullanıcı dikkati gerekir | Orta | İşletimSel Sorunlar |
Taktikler: - Yanıt İşlevini Engelle Teknik: - T0838: Alarm Ayarlarını Değiştirme |
Öğrenilemez |
| OPC UA Hizmet İsteği Başarısız Oldu | Sunucu bir hata kodu döndürdü. Bu, bir sunucu hata veya istemci tarafından geçersiz bir istek olduğunu gösterir. | Orta | Komut Hataları |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi |
Öğrenilemez |
| Outstation Yeniden Başlatıldı | Kaynak cihazda soğuk yeniden başlatma algılandı. Bu, cihazın fiziksel olarak kapatıldığı ve yeniden açıldığı anlamına gelir. | Düşük | Yeniden Başlatma/Durdurma Komutları |
Taktikler: - Yanıt İşlevini Engelle Teknik: - T0816: Cihaz Yeniden Başlatma/Kapatma |
Öğrenilemez |
| Outstation Yeniden Başlatmaları Sık Sık | Kaynak cihazda aşırı sayıda soğuk yeniden başlatma algılandı. Bu, cihazın fiziksel olarak kapatıldığı ve tekrar tekrar aşırı sayıda açıldığı anlamına gelir. Eşik: 10 dakikada 2 yeniden başlatma |
Düşük | Yeniden Başlatma/Durdurma Komutları |
Taktikler: - Yanıt İşlevini Engelle Teknik: - T0814: Hizmet Reddi - T0816: Cihaz Yeniden Başlatma/Kapatma |
Öğrenilemez |
| Outstation Yapılandırması Değiştirildi | Kaynak cihazda yapılandırma değişikliği algılandı. | Orta | Yapılandırma Değişiklikleri |
Taktikler: - Yanıt İşlevini Engelle -Devamlılık Teknik: - T0857: Sistem Üretici Yazılımı |
Öğrenilemez |
| Kesintinin Bozuk Yapılandırması Algılandı | Bu DNP3 kaynak cihazı (çıkış) bozuk bir yapılandırma bildirdi. | Orta | Yapılandırma Değişiklikleri |
Taktikler: - Yanıt İşlevini Engelle Teknik: - T0809: Veri Yok Etme |
Öğrenilemez |
| Profinet DCP Komutu Başarısız Oldu | Sunucu bir hata kodu döndürdü. Bu, bir sunucu hata veya istemci tarafından geçersiz bir istek olduğunu gösterir. | Orta | Komut Hataları |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi |
Öğrenilemez |
| Profinet Device Factory Reset | Kaynak cihaz, Profinet hedef cihazına fabrika sıfırlama komutu gönderdi. Reset komutu, Profinet cihaz yapılandırmalarını temizler ve çalışmasını durdurur. | Düşük | Yeniden Başlatma/Durdurma Komutları |
Taktikler: - Savunma Kaçamak -İdam - Yanıt İşlevini Engelle Teknik: - T0858: İşletim Modunu Değiştir - T0814: Hizmet Reddi |
Öğrenilemez |
| RPC İşlemi Başarısız Oldu * | Sunucu bir hata kodu döndürdü. Bu uyarı bir sunucu hatası veya istemci tarafından geçersiz bir istek olduğunu gösterir. | Orta | Komut Hataları |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0855: Yetkisiz Komut İletisi |
Öğrenilemez |
| Örneklenen Değerler İleti Veri Kümesi Yapılandırması Değiştirildi * | Kaynak cihazda bir ileti (protokol kimliğiyle tanımlanır) veri kümesi değiştirildi. Bu, cihazın bu ileti için farklı bir veri kümesi bildiriyor olduğu anlamına gelir. | Düşük | Yapılandırma Değişiklikleri |
Taktikler: - İşlem Denetimini Bozar Teknik: - T0836: Parametreyi Değiştir |
Öğrenilemez |
| Bağımlı Cihaz Kurtarılamaz Hatası * | Kaynak cihazda kurtarılamaz bir koşul hatası algılandı. Bu tür bir hata genellikle belirli bir komutun gerçekleştirilememesine veya donanım hatasına işaret eder. | Orta | Komut Hataları |
Taktikler: - Yanıt İşlevini Engelle Teknik: - T0814: Hizmet Reddi |
Öğrenilemez |
| Outstation'da Donanım Sorunları Şüphesi | Kaynak cihazda kurtarılamaz bir koşul hatası algılandı. Bu tür bir hata genellikle belirli bir komutun gerçekleştirilememesine veya donanım hatasına işaret eder. | Orta | İşletimSel Sorunlar |
Taktikler: - Yanıt İşlevini Engelle Teknik: - T0814: Hizmet Reddi - T0881: Hizmet Durdurma |
Öğrenilemez |
| Yanıt Vermeyen MODBUS Cihazı Şüphesi | Kaynak cihaz, gönderilen bir komuta yanıt vermedi. Komut gönderildiğinde bağlantısı kesilmiş olabilir. Eşik: 5 dakika içinde en az 3 istek için en az 1 geçerli yanıt |
Düşük | Yanıt vermiyor |
Taktikler: - Yanıt İşlevini Engelle Teknik: - T0881: Hizmet Durdurma |
Öğrenilemez |
| Algılayıcı Arabiriminde Trafik Algılandı | Bir algılayıcı, ağ arabiriminde ağ trafiğini algılamaya devam etti. | Düşük | Algılayıcı Trafiği |
Taktikler: -Keşif Teknik: - T0842: Ağ Algılama |
Öğrenilemez |
| PLC çalışma modu değiştirildi | Bu PLC'de çalışma modu değişti. Yeni mod PLC'nin güvenli olmadığını gösterebilir. PLC'nin güvenli olmayan bir çalışma modunda bırakılması, saldırganların program indirme gibi kötü amaçlı etkinlikler gerçekleştirmesine izin verebilir. PLC'nin güvenliği aşılırsa, onunla etkileşim kuran cihazlar ve işlemler etkilenebilir. Bu, genel sistem güvenliğini ve güvenliğini etkileyebilir. | Düşük | Yapılandırma değişiklikleri |
Taktikler: -İdam -Kaçırma Teknik: - T0858: İşletim Modunu Değiştir |
Öğrenilemez |
Sonraki adımlar
Daha fazla bilgi için bkz.
- IoT için Defender portalında uyarıları görüntüleme ve yönetme
- Algılayıcınızdaki uyarıları görüntüleme
- Uyarı iş akışlarını hızlandırma
- Uyarı bilgilerini iletme
- Şirket içi yönetim konsolunda uyarılarla çalışma
- Şirket içi yönetim konsolları için uyarı yönetimi API'si başvurusu
- OT izleme algılayıcıları için uyarı yönetimi API'si başvurusu