مرجع تنبيه Microsoft Defender ل IoT
توفر هذه المقالة مرجعا للتنبيهات التي تم إنشاؤها بواسطة Microsoft Defender لمستشعرات شبكة IoT، بما في ذلك قائمة بجميع أنواع التنبيهات والأوصاف. يوضح المرجع أيضا التنبيهات التي يمكن فرزها على أنها قابلة للتعلم أم لا، لمزيد من المعلومات حول الحالة القابلة للتعلم، راجع حالات التنبيه وخيارات الفرز. يمكنك استخدام هذا المرجع لتعيين التنبيهات إلى أدلة المبادئ، أو تحديد قواعد إعادة التوجيه على مستشعر شبكة تكنولوجيا التشغيل (OT)، أو أي نشاط مخصص آخر.
إيقاف تشغيل تنبيهات OT بشكل افتراضي
يتم إيقاف تشغيل عدة تنبيهات بشكل افتراضي، كما هو موضح في العلامات النجمية (*) في الجداول أدناه. يمكن لمستخدمي أداة استشعار OT تمكين التنبيهات أو تعطيلها من صفحة الدعم على مستشعر شبكة OT معين.
إذا أوقفت تشغيل التنبيهات المشار إليها في أماكن أخرى، مثل قواعد إعادة توجيه التنبيه، فتأكد من تحديث هذه المراجع حسب الحاجة.
خطورة التنبيه
تستخدم تنبيهات Defender ل IoT مستويات الخطورة التالية:
| مدخل Azure | أداة استشعار OT | الوصف |
|---|---|---|
| عال | هام | يشير إلى هجوم ضار يجب التعامل معه على الفور. |
| متوسط | رئيسي | يشير إلى تهديد أمني مهم لمعالجته. |
| منخفض | قاصر، تحذير | يشير إلى بعض الانحراف عن السلوك الأساسي الذي قد يحتوي على تهديد أمان، أو لا يحتوي على تهديدات أمان. |
تسرد خطورة التنبيه في هذه الصفحة الخطورة كما هو موضح في مدخل Microsoft Azure.
أنواع التنبيهات المدعومة
| نوع التنبيه | الوصف |
|---|---|
| تنبيهات انتهاك النهج | يتم تشغيلها عندما يكتشف محرك «انتهاك النُهج» انحرافًا عن نسبة استخدام الشبكة المحددة مسبقًا. على سبيل المثال: - تم الكشف عن جهاز جديد. - تم الكشف عن تكوين جديد على جهاز. - جهاز غير معرف بأنه جهاز برمجة يقوم بتغيير برمجي. - تم تغيير إصدار البرنامج الثابت. |
| تنبيهات انتهاك البروتوكول | يتم تشغيلها عندما يكتشف محرك «انتهاك النهج» بُنى حزم بيانات أو قيم حقول لا تتوافق مع مواصفات البروتوكول. |
| التنبيهات التشغيلية | يتم تشغيلها عندما يكتشف محرك «العمليات التشغيلية» أحداث تشغيلية تتعلق بالشبكة أو تعطل الجهاز. على سبيل المثال، توقف جهاز شبكة بسبب أمر Stop PLC، أو توقف واجهة على أداة استشعار عن مراقبة نسبة استخدام الشبكة. |
| تنبيهات البرامج الضارة | يتم تشغيله عندما يكتشف محرك البرامج الضارة نشاط شبكة ضار. على سبيل المثال، يكتشف المحرك هجومًا معروفًا مثل Conficker. |
| تنبيهات الحالات الشاذة | يتم تشغيلها عندما يكتشف محرك الخلل قصور أو انحراف ما. على سبيل المثال، يجري جهاز فحص للشبكة ولكن لا يتم تعريفه كجهاز فحص. |
توجه سياسة الكشف عن التنبيهات في Defender for IoT محركات التنبيه المختلفة لتشغيل التنبيهات استنادا إلى تأثير الأعمال وسياق الشبكة، وتقليل التنبيهات ذات الصلة ب تكنولوجيا المعلومات منخفضة القيمة. لمزيد من المعلومات، راجع التنبيهات المركز عليها في بيئات OT/IT.
فئات التنبيه المدعومة
يحتوي كل تنبيه على إحدى الفئات التالية:
- سلوك الاتصال غير الطبيعي
- سلوك الاتصال المتعلق بـ HTTP غير طبيعي
- المصادقة
- نسخة احتياطية
- شذوذ عرض النطاق الترددي
- تجاوز المخزن المؤقت
- فشل الأمر
- تغييرات التكوين
- التنبيهات المخصصة
- اكتشاف
- تغيير البرامج الثابتة
- الأوامر غير القانونية
- خدمة الإنترنت
- حالة فشل العملية
- المشكلات التشغيلية
- البرمجة
- الوصول عن بُعد
- أوامر إعادة التشغيل/ الإيقاف
- مسح ضوئي
- نسبة استخدام شبكة أداة الاستشعار
- الاشتباه في النشاط الضار
- الاشتباه في وجود برامج ضارة
- سلوك الاتصال غير المصرح به
- لا تستجيب
تنبيهات خاصة بمحرك النهج
تصف تنبيهات مشغل النهج الانحرافات المكتشفة عن سلوك الأساس المتعلم.
| المسمى الوظيفي | الوصف | خطورة | فئة | MITRE ATT CK التكتيكات والتقنيات |
قابل للتعلم |
|---|---|---|---|---|---|
| تم تغيير برنامج Beckhoff | تم تحديث البرنامج الثابت على جهاز المصدر. قد يكون هذا النشاط معتمدا، على سبيل المثال إجراء صيانة مخطط له. | متوسط | تغيير البرنامج الثابت | التكتيكات: - منع وظيفة الاستجابة -استمرار التقنيات: - T0857: البرنامج الثابت للنظام |
قابل للتعلم |
| فشل تسجيل الدخول إلى قاعدة البيانات | تم الكشف عن محاولة تسجيل دخول فاشلة من جهاز المصدر إلى خادم الوجهة. قد يكون هذا نتيجة لخطأ بشري، ولكنه قد يشير أيضًا إلى محاولة ضارة لخرق الخادم أو البيانات الموجودة عليه. الحد: فشلان في تسجيل الدخول في 5 دقائق |
متوسط | المصادقة | التكتيكات: - الحركة الجانبية -مجموعة التقنيات: - T0812: بيانات الاعتماد الافتراضية - T0811: بيانات من مستودعات المعلومات |
غير قابل للتعلم |
| تم تغيير إصدار البرنامج الثابت Emerson ROC | تم تحديث البرنامج الثابت على جهاز المصدر. قد يكون هذا النشاط معتمدا، على سبيل المثال إجراء صيانة مخطط له. | متوسط | تغيير البرنامج الثابت | التكتيكات: - منع وظيفة الاستجابة -استمرار التقنيات: - T0857: البرنامج الثابت للنظام |
قابل للتعلم |
| عنوان خارجي داخل الشبكة متصل بالإنترنت | يتصل جهاز مصدر تم تعريفه كجزء من شبكتك بعناوين الإنترنت. المصدر غير مصرح له بالاتصال بعناوين الإنترنت. | درجة عالية | خدمة الإنترنت | التكتيكات: - الوصول الأولي التقنيات: - T0883: جهاز يمكن الوصول إليه عبر الإنترنت |
قابل للتعلم |
| تم اكتشاف جهاز الحقل بشكل غير متوقع | تم الكشف عن جهاز مصدر جديد على الشبكة ولكنه غير مصرح به. | متوسط | اكتشاف | التكتيكات: -اكتشاف التقنيات: - T0842: شم الشبكة |
غير قابل للتعلم |
| تم الكشف عن تغيير البرنامج الثابت | تم تحديث البرنامج الثابت على جهاز المصدر. قد يكون هذا النشاط معتمدا، على سبيل المثال إجراء صيانة مخطط له. | متوسط | تغيير البرنامج الثابت | التكتيكات: - منع وظيفة الاستجابة -استمرار التقنيات: - T0857: البرنامج الثابت للنظام |
غير قابل للتعلم |
| تم تغيير إصدار البرنامج الثابت | تم تحديث البرنامج الثابت على جهاز المصدر. قد يكون هذا النشاط معتمدا، على سبيل المثال إجراء صيانة مخطط له. | متوسط | تغيير البرنامج الثابت | التكتيكات: - منع وظيفة الاستجابة -استمرار التقنيات: - T0857: البرنامج الثابت للنظام |
قابل للتعلم |
| عملية Foxboro I/A غير مصرح بها | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0836: تعديل المعلمة |
قابل للتعلم |
| فشل تسجيل الدخول إلى FTP | تم الكشف عن محاولة تسجيل دخول فاشلة من جهاز المصدر إلى خادم الوجهة. قد يكون هذا التنبيه ناتجًا عن خطأ بشري، ولكنه قد يشير أيضًا إلى محاولة خبيثة لخرق الخادم أو البيانات الموجودة عليه. | متوسط | المصادقة | التكتيكات: - الحركة الجانبية - الأمر والتحكم التقنيات: - T0812: بيانات الاعتماد الافتراضية - T0869: بروتوكول طبقة التطبيق القياسي |
غير قابل للتعلم |
| رمز الدالة الذي تم رفعه استثناء غير مصرح به * | أرجع جهاز مصدر (ثانوي) استثناء إلى جهاز وجهة (أساسي). | متوسط | فشل الأمر | التكتيكات: - منع وظيفة الاستجابة التقنيات: - T0835: معالجة صورة الإدخال/إخراج |
قابل للتعلم |
| إعدادات نوع رسالة GOOSE | تم تغيير إعدادات الرسالة (التي تم تعريفها بواسطة معرف البروتوكول) على جهاز المصدر. | منخفض | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0836: تعديل المعلمة |
قابل للتعلم |
| تم تغيير إصدار برنامج Honeywell الثابت | تم تحديث البرنامج الثابت على جهاز المصدر. قد يكون هذا النشاط معتمدا، على سبيل المثال إجراء صيانة مخطط له. | متوسط | تغيير البرنامج الثابت | التكتيكات: - منع وظيفة الاستجابة -استمرار التقنيات: - T0857: البرنامج الثابت للنظام |
قابل للتعلم |
| اتصال HTTP غير قانوني * | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال المتعلق بـ HTTP غير طبيعي | التكتيكات: -اكتشاف التقنيات: - T0846: Remote System Discovery |
قابل للتعلم |
| تم الكشف عن الوصول إلى الإنترنت | يتصل جهاز مصدر تم تعريفه كجزء من شبكتك بعناوين الإنترنت. المصدر غير مصرح له بالاتصال بعناوين الإنترنت. | متوسط | خدمة الإنترنت | التكتيكات: - الوصول الأولي التقنيات: - T0883: جهاز يمكن الوصول إليه عبر الإنترنت |
قابل للتعلم |
| تم تغيير إصدار Mitsubishi Firmware | تم تحديث البرنامج الثابت على جهاز المصدر. قد يكون هذا النشاط معتمدا، على سبيل المثال إجراء صيانة مخطط له. | متوسط | تغيير البرنامج الثابت | التكتيكات: - منع وظيفة الاستجابة -استمرار التقنيات: - T0857: البرنامج الثابت للنظام |
قابل للتعلم |
| انتهاك نطاق عنوان Modbus | طلب جهاز أساسي الوصول إلى عنوان ذاكرة ثانوي جديد. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: -اكتشاف التقنيات: - T0842: شم الشبكة |
قابل للتعلم |
| تم تغيير إصدار Modbus Firmware | تم تحديث البرنامج الثابت على جهاز المصدر. قد يكون هذا النشاط معتمدا، على سبيل المثال إجراء صيانة مخطط له. | متوسط | تغيير البرنامج الثابت | التكتيكات: - منع وظيفة الاستجابة -استمرار التقنيات: - T0857: البرنامج الثابت للنظام |
قابل للتعلم |
| تم الكشف عن نشاط جديد - فئة CIP | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: -اكتشاف التقنيات: - T0888: Remote معلومات حول النظام Discovery |
قابل للتعلم |
| تم الكشف عن نشاط جديد - خدمة فئة CIP | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - منع وظيفة الاستجابة التقنيات: - T0836: تعديل المعلمة |
قابل للتعلم |
| تم الكشف عن نشاط جديد - أمر CIP PCCC | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - منع وظيفة الاستجابة التقنيات: - T0836: تعديل المعلمة |
قابل للتعلم |
| تم الكشف عن نشاط جديد - رمز CIP | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية - منع وظيفة الاستجابة التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0836: تعديل المعلمة |
قابل للتعلم |
| تم الكشف عن نشاط جديد - اتصال EtherNet/IP I/O | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: -اكتشاف - منع وظيفة الاستجابة التقنيات: - T0846: Remote System Discovery - T0835: معالجة صورة الإدخال/إخراج |
قابل للتعلم |
| تم الكشف عن نشاط جديد - أمر بروتوكول EtherNet/IP | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - منع وظيفة الاستجابة التقنيات: - T0836: تعديل المعلمة |
قابل للتعلم |
| تم الكشف عن نشاط جديد - رمز رسالة GSM | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - CommandAndControl التقنيات: - T0869: بروتوكول طبقة التطبيق القياسي |
قابل للتعلم |
| تم الكشف عن نشاط جديد - رموز أوامر LonTalk | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: -مجموعة - إعاقة التحكم في العملية التقنيات: - T0861 - تعريف النقطة والعلامة - T0855: رسالة أوامر غير مصرح بها |
قابل للتعلم |
| اكتشاف منفذ جديد | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | منخفض | اكتشاف | التكتيكات: - الحركة الجانبية التقنيات: - T0867: نقل الأدوات الجانبية |
قابل للتعلم |
| تم الكشف عن نشاط جديد - متغير شبكة LonTalk | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها |
قابل للتعلم |
| تم الكشف عن نشاط جديد - طلب بيانات الإباضة | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: -مجموعة -اكتشاف التقنيات: - T0801: مراقبة حالة العملية - T0888: Remote معلومات حول النظام Discovery |
قابل للتعلم |
| تم الكشف عن نشاط جديد - أمر القراءة/الكتابة (مجموعة فهرس AMS) | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | تغييرات التكوين | التكتيكات: - إعاقة التحكم في العملية - منع وظيفة الاستجابة التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0836: تعديل المعلمة |
قابل للتعلم |
| تم الكشف عن نشاط جديد - أمر القراءة/الكتابة (إزاحة فهرس AMS) | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | تغييرات التكوين | التكتيكات: - إعاقة التحكم في العملية - منع وظيفة الاستجابة التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0836: تعديل المعلمة |
قابل للتعلم |
| تم الكشف عن نشاط جديد - نوع رسالة DeltaV غير مصرح به | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية -تنفيذ التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0821: تعديل مهمة وحدة التحكم |
قابل للتعلم |
| تم الكشف عن نشاط جديد - عملية DeltaV ROC غير مصرح بها | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية -تنفيذ التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0821: تعديل مهمة وحدة التحكم |
قابل للتعلم |
| تم الكشف عن نشاط جديد - نوع رسالة RPC غير مصرح به | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها |
قابل للتعلم |
| تم الكشف عن نشاط جديد - استخدام أمر بروتوكول AMS | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية - منع وظيفة الاستجابة -تنفيذ التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0836: تعديل المعلمة - T0821: تعديل مهمة وحدة التحكم |
قابل للتعلم |
| تم الكشف عن نشاط جديد - باستخدام أمر Siemens SICAM | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية - منع وظيفة الاستجابة التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0836: تعديل المعلمة |
قابل للتعلم |
| تم الكشف عن نشاط جديد - استخدام أمر بروتوكول Suitelink | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية - منع وظيفة الاستجابة التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0836: تعديل المعلمة |
قابل للتعلم |
| تم الكشف عن نشاط جديد - استخدام جلسات عمل بروتوكول Suitelink | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0836: تعديل المعلمة |
قابل للتعلم |
| تم الكشف عن نشاط جديد - باستخدام الأمر Yokogawa VNetIP | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية -تنفيذ التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0821: تعديل مهمة وحدة التحكم |
قابل للتعلم |
| تم الكشف عن أصل جديد | تم الكشف عن جهاز مصدر جديد على الشبكة ولكنه غير مصرح به. ينطبق هذا التنبيه على الأجهزة المكتشفة في شبكات OT الفرعية. الأجهزة الجديدة المكتشفة في الشبكات الفرعية لتكنولوجيا المعلومات لا تطلق أي تنبيه. |
متوسط | اكتشاف | التكتيكات: -اكتشاف التقنيات: - T0842: شم الشبكة |
قابل للتعلم |
| تكوين جهاز LLDP جديد | تم الكشف عن جهاز مصدر جديد على الشبكة ولكنه غير مصرح به. | متوسط | تغييرات التكوين | التكتيكات: -اكتشاف التقنيات: - T0842: شم الشبكة |
قابل للتعلم |
| أمر Omron FINS غير مصرح به | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0836: تعديل المعلمة |
قابل للتعلم |
| S7 Plus PLC Firmware Changed | تم تحديث البرنامج الثابت على جهاز المصدر. قد يكون هذا النشاط معتمدا، على سبيل المثال إجراء صيانة مخطط له. | متوسط | تغيير البرنامج الثابت | التكتيكات: - منع وظيفة الاستجابة -استمرار التقنيات: - T0857: البرنامج الثابت للنظام |
قابل للتعلم |
| إعدادات نوع رسالة القيم التي تم أخذ عينات لها | تم تغيير إعدادات الرسالة (التي تم تعريفها بواسطة معرف البروتوكول) على جهاز المصدر. | منخفض | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0836: تعديل المعلمة |
غير قابل للتعلم |
| اشتباه في فحص النزاهة غير القانونية * | تم الكشف عن مسح على جهاز مصدر DNP3 (محطة خارجية). لم يتم تفويض هذا الفحص كحركة مرور معلومة على شبكتك. | متوسط | مسح ضوئي | التكتيكات: -اكتشاف التقنيات: - T0842: شم الشبكة |
قابل للتعلم |
| أمر ارتباط كمبيوتر Toshiba غير مصرح به | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | منخفض | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية -تنفيذ التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0821: تعديل مهمة وحدة التحكم |
قابل للتعلم |
| عملية ملف إجمالي ABB غير مصرح بها | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية -تنفيذ التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0821: تعديل مهمة وحدة التحكم |
غير قابل للتعلم |
| عملية تسجيل إجمالي تدفق ABB غير مصرح بها | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية -تنفيذ التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0821: تعديل مهمة وحدة التحكم |
غير قابل للتعلم |
| الوصول غير المصرح به إلى كتلة بيانات Siemens S7 | حاول جهاز المصدر الوصول إلى مورد على جهاز آخر. محاولة الوصول إلى هذا المورد بين هذين الجهازين غير مصرح بها كما تعلمت حركة المرور على شبكتك. | منخفض | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية - الوصول الأولي التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0811: بيانات من مستودعات المعلومات |
قابل للتعلم |
| الوصول غير المصرح به إلى Siemens S7 Plus Object | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية -تنفيذ - منع وظيفة الاستجابة التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0821: تعديل مهمة وحدة التحكم - T0809: تدمير البيانات |
قابل للتعلم |
| الوصول غير المصرح به إلى علامة Wonderware | حاول جهاز المصدر الوصول إلى مورد على جهاز آخر. محاولة الوصول إلى هذا المورد بين هذين الجهازين غير مصرح بها كما تعلمت حركة المرور على شبكتك. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: -مجموعة - إعاقة التحكم في العملية التقنيات: - T0861: تعريف النقطة والعلامة - T0855: رسالة أوامر غير مصرح بها |
قابل للتعلم |
| الوصول غير المصرح به إلى كائن BACNet | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية -تنفيذ التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0821: تعديل مهمة وحدة التحكم |
قابل للتعلم |
| مسار BACNet غير مصرح به | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية -تنفيذ التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0821: تعديل مهمة وحدة التحكم |
قابل للتعلم |
| تسجيل الدخول غير المصرح به لقاعدة البيانات * | تم الكشف عن محاولة تسجيل الدخول بين عميل المصدر وخادم الوجهة. الاتصال بين هذه الأجهزة غير مصرح به كحركة مرور متعلمة على شبكتك. | متوسط | المصادقة | التكتيكات: - الحركة الجانبية -استمرار -مجموعة التقنيات: - T0859: حسابات صالحة - T0811: بيانات من مستودعات المعلومات |
قابل للتعلم |
| عملية قاعدة بيانات غير مصرح بها | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير الطبيعي | التكتيكات: - إعاقة التحكم في العملية - الوصول الأولي التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0811: بيانات من مستودعات المعلومات |
قابل للتعلم |
| عملية Emerson ROC غير المصرح بها | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية -تنفيذ التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0821: تعديل مهمة وحدة التحكم |
قابل للتعلم |
| الوصول غير المصرح به إلى ملف GE SRTP | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: -مجموعة - الحركة الجانبية -استمرار التقنيات: - T0801: مراقبة حالة العملية - T0859: حسابات صالحة |
قابل للتعلم |
| أمر بروتوكول GE SRTP غير مصرح به | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0821: تعديل مهمة وحدة التحكم |
قابل للتعلم |
| عملية ذاكرة نظام GE SRTP غير المصرح بها | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: -اكتشاف - إعاقة التحكم في العملية التقنيات: - T0846: Remote System Discovery - T0855: رسالة أوامر غير مصرح بها |
قابل للتعلم |
| نشاط HTTP غير مصرح به | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال المتعلق بـ HTTP غير طبيعي | التكتيكات: - الوصول الأولي - الأمر والتحكم التقنيات: - T0822: الخدمات البعيدة الخارجية - T0869: بروتوكول طبقة التطبيق القياسي |
قابل للتعلم |
| إجراء HTTP SOAP غير مصرح به * | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال المتعلق بـ HTTP غير طبيعي | التكتيكات: - الأمر والتحكم -تنفيذ التقنيات: - T0869: بروتوكول طبقة التطبيق القياسي - T0871: التنفيذ من خلال واجهة برمجة التطبيقات |
قابل للتعلم |
| عامل مستخدم HTTP غير مصرح به * | تم الكشف عن تطبيق غير مصرح به على جهاز المصدر. التطبيق غير مصرح به كتطبيق متعلم على شبكتك. | متوسط | سلوك الاتصال المتعلق بـ HTTP غير طبيعي | التكتيكات: - الأمر والتحكم التقنيات: - T0869: بروتوكول طبقة التطبيق القياسي |
قابل للتعلم |
| تم الكشف عن اتصال إنترنت غير مصرح به | يتصل جهاز مصدر تم تعريفه كجزء من شبكتك بعناوين الإنترنت. المصدر غير مصرح له بالاتصال بعناوين الإنترنت. | درجة عالية | خدمة الإنترنت | التكتيكات: - الوصول الأولي التقنيات: - T0883: جهاز يمكن الوصول إليه عبر الإنترنت |
قابل للتعلم |
| أمر Mitsubishi MELSEC غير مصرح به | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية -تنفيذ التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0821: تعديل مهمة وحدة التحكم |
قابل للتعلم |
| الوصول غير المصرح به إلى برنامج MMS | حاول جهاز المصدر الوصول إلى مورد على جهاز آخر. محاولة الوصول إلى هذا المورد بين هذين الجهازين غير مصرح بها كما تعلمت حركة المرور على شبكتك. | متوسط | البرمجة | التكتيكات: - إعاقة التحكم في العملية -تنفيذ التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0821: تعديل مهمة وحدة التحكم |
قابل للتعلم |
| خدمة MMS غير المصرح بها | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية -تنفيذ التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0821: تعديل مهمة وحدة التحكم |
قابل للتعلم |
| اتصال الإرسال المتعدد/البث غير المصرح به | تم الكشف عن اتصال بث/بث متعدد بين جهاز المصدر وأجهزة أخرى. الاتصالات بث/بث متعددة غير مصرح بها. | درجة عالية | سلوك الاتصال غير الطبيعي | التكتيكات: -اكتشاف التقنيات: - T0842: شم الشبكة |
قابل للتعلم |
| استعلام الاسم غير المصرح به | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير الطبيعي | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0836: تعديل المعلمة |
غير قابل للتعلم |
| نشاط OPC UA غير المصرح به | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0836: تعديل المعلمة |
قابل للتعلم |
| طلب/استجابة OPC UA غير مصرح بها | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0836: تعديل المعلمة |
قابل للتعلم |
| تم الكشف عن عملية غير مصرح بها بواسطة قاعدة معرفة من قبل المستخدم | تم الكشف عن نسبة استخدام الشبكة بين جهازين. هذا النشاط غير مصرح به، استنادا إلى قاعدة تنبيه مخصصة يحددها المستخدم. | متوسط | التنبيهات المخصصة | التكتيكات: -اكتشاف التقنيات: - T0842: شم الشبكة |
غير قابل للتعلم |
| قراءة تكوين PLC غير المصرح به | لم يتم تعريف الجهاز المصدر كجهاز برمجة ولكنه أجرى عملية قراءة / كتابة على وحدة تحكم الوجهة. يجب إجراء تغييرات البرمجة فقط عن طريق أجهزة البرمجة. ربما تم تثبيت تطبيق برمجة على هذا الجهاز. | منخفض | تغييرات التكوين | التكتيكات: -مجموعة التقنيات: - T0801: مراقبة حالة العملية |
قابل للتعلم |
| كتابة تكوين PLC غير مصرح به | أرسل الجهاز المصدر أمرا لقراءة/كتابة برنامج وحدة تحكم الوجهة. لم يتم رؤية هذا النشاط مسبقًا. | متوسط | تغييرات التكوين | التكتيكات: - إعاقة التحكم في العملية -استمرار -تأثير التقنيات: - T0839: البرنامج الثابت للوحدة النمطية - T0831: التلاعب بالسيطرة - T0889: تعديل البرنامج |
قابل للتعلم |
| تحميل برنامج PLC غير مصرح به | أرسل الجهاز المصدر أمرا لقراءة/كتابة برنامج وحدة تحكم الوجهة. لم يتم رؤية هذا النشاط مسبقًا. | متوسط | البرمجة | التكتيكات: - إعاقة التحكم في العملية -استمرار -مجموعة التقنيات: - T0839: البرنامج الثابت للوحدة النمطية - T0845: تحميل البرنامج |
قابل للتعلم |
| برمجة PLC غير المصرح بها | لم يتم تعريف الجهاز المصدر كجهاز برمجة ولكنه أجرى عملية قراءة / كتابة على وحدة تحكم الوجهة. يجب إجراء تغييرات البرمجة فقط عن طريق أجهزة البرمجة. ربما تم تثبيت تطبيق برمجة على هذا الجهاز. | درجة عالية | البرمجة | التكتيكات: - إعاقة التحكم في العملية -استمرار - الحركة الجانبية التقنيات: - T0839: البرنامج الثابت للوحدة النمطية - T0889: تعديل البرنامج - T0843: تنزيل البرنامج |
قابل للتعلم |
| نوع إطار Profinet غير مصرح به | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0836: تعديل المعلمة |
قابل للتعلم |
| أمر SAIA S-Bus غير مصرح به | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها |
قابل للتعلم |
| تنفيذ Siemens S7 غير المصرح به لدالة التحكم | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية - منع وظيفة الاستجابة التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0809: تدمير البيانات |
قابل للتعلم |
| تنفيذ Siemens S7 غير المصرح به للدالة المعرفة من قبل المستخدم | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية -تنفيذ التقنيات: - T0836: تعديل المعلمة - T0863: تنفيذ المستخدم |
قابل للتعلم |
| Siemens S7 Plus Block Access غير المصرح به | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - منع وظيفة الاستجابة -استمرار -تنفيذ التقنيات: - T0803 - حظر رسالة الأمر - T0889: تعديل البرنامج - T0821: تعديل مهمة وحدة التحكم |
قابل للتعلم |
| عملية Siemens S7 Plus غير المصرح بها | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية -تنفيذ التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0863: تنفيذ المستخدم |
قابل للتعلم |
| تسجيل الدخول غير المصرح به ل SMB | تم الكشف عن محاولة تسجيل الدخول بين عميل المصدر وخادم الوجهة. الاتصال بين هذه الأجهزة غير مصرح به كحركة مرور متعلمة على شبكتك. | متوسط | المصادقة | التكتيكات: - الوصول الأولي - الحركة الجانبية -استمرار التقنيات: - T0886: الخدمات عن بعد - T0859: حسابات صالحة |
قابل للتعلم |
| عملية SNMP غير مصرح بها | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير الطبيعي | التكتيكات: -اكتشاف - الأمر والتحكم التقنيات: - T0842: شم الشبكة - T0885: المنفذ شائع الاستخدام |
قابل للتعلم |
| وصول SSH غير مصرح به | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | الوصول عن بُعد | التكتيكات: - InitialAccess - الحركة الجانبية - الأمر والتحكم التقنيات: - T0886: الخدمات عن بعد - T0869: بروتوكول طبقة التطبيق القياسي |
قابل للتعلم |
| عملية Windows غير مصرح بها | تم الكشف عن تطبيق غير مصرح به على جهاز المصدر. التطبيق غير مصرح به كتطبيق متعلم على شبكتك. | متوسط | سلوك الاتصال غير الطبيعي | التكتيكات: -تنفيذ - تصعيد الامتياز - الأمر والتحكم التقنيات: - T0841: Hooking - T0885: المنفذ شائع الاستخدام |
قابل للتعلم |
| خدمة Windows غير مصرح بها | تم الكشف عن تطبيق غير مصرح به على جهاز المصدر. التطبيق غير مصرح به كتطبيق متعلم على شبكتك. | متوسط | سلوك الاتصال غير الطبيعي | التكتيكات: - الوصول الأولي - الحركة الجانبية التقنيات: - T0866: استغلال الخدمات عن بعد |
قابل للتعلم |
| تم الكشف عن عملية غير مصرح بها بواسطة قاعدة معرفة من قبل المستخدم | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. مجموعة المعلمات هذه تنتهك قاعدة يحددها المستخدم | متوسط | التكتيكات: -اكتشاف التقنيات: - T0842: شم الشبكة |
غير قابل للتعلم | |
| ملحق Modbus Schneider الكهربائية غير المنقطع | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها |
قابل للتعلم |
| الاستخدام غير المنقطع لأنواع ASDU | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها |
قابل للتعلم |
| الاستخدام غير المنقطع للتعليمة البرمجية لدالة DNP3 | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0836: تعديل المعلمة |
قابل للتعلم |
| الاستخدام غير المنقطع للإشارة الداخلية (IIN) * | أبلغ جهاز مصدر DNP3 (محطة خارجية) عن مؤشر داخلي (IIN) لم يصرح به كنسبة استخدام الشبكة معروفة على شبكتك. | متوسط | أوامر غير قانونية | التكتيكات: -اكتشاف التقنيات: - T0842: شم الشبكة |
قابل للتعلم |
| الاستخدام غير المنقطع للتعليمة البرمجية لدالة Modbus | تم الكشف عن معلمات نسبة استخدام الشبكة الجديدة. تركيبة المعلمات هذه غير مصرح بها كحركة مرور متعلمة على شبكتك. التركيبة التالية غير مصرح بها. | متوسط | سلوك الاتصال غير المصرح به | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0836: تعديل المعلمة |
قابل للتعلم |
تنبيهات المحرك غير الطبيعية
إشعار
تحتوي هذه المقالة على مراجع لمصطلح slave، وهو مصطلح لم تعد Microsoft تستخدمه. عند إزالة المصطلح من البرنامج، سنزيله من هذه المقالة.
تصف تنبيهات محرك غير الطبيعية الحالات الشاذة التي تم اكتشافها في نشاط الشبكة.
| المسمى الوظيفي | الوصف | خطورة | فئة | MITRE ATT CK التكتيكات والتقنيات |
قابل للتعلم |
|---|---|---|---|---|---|
| نمط استثناء غير طبيعي في الرقيق * | تم الكشف عن عدد كبير من الأخطاء على جهاز المصدر. قد يكون هذا التنبيه نتيجة مشكلة تشغيلية. الحد: 20 استثناء في ساعة واحدة |
منخفض | سلوك الاتصال غير الطبيعي | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0806: إدخال/إخراج القوة الغاشمة |
غير قابل للتعلم |
| طول رأس HTTP غير طبيعي * | أرسل الجهاز المصدر رسالة غير طبيعية. قد يشير هذا التنبيه إلى محاولة مهاجمة الجهاز الوجهة. | درجة عالية | سلوك الاتصال المتعلق بـ HTTP غير طبيعي | التكتيكات: - الوصول الأولي - الحركة الجانبية - الأمر والتحكم التقنيات: - T0866: استغلال الخدمات عن بعد - T0869: بروتوكول طبقة التطبيق القياسي |
قابل للتعلم |
| عدد غير طبيعي من المعلمات في رأس HTTP * | أرسل الجهاز المصدر رسالة غير طبيعية. قد يشير هذا التنبيه إلى محاولة مهاجمة الجهاز الوجهة. | درجة عالية | سلوك الاتصال المتعلق بـ HTTP غير طبيعي | التكتيكات: - الوصول الأولي - الحركة الجانبية - الأمر والتحكم التقنيات: - T0866: استغلال الخدمات عن بعد - T0869: بروتوكول طبقة التطبيق القياسي |
قابل للتعلم |
| سلوك دوري غير طبيعي في قناة الاتصال | تم الكشف عن تغيير في تكرار الاتصال بين أجهزة المصدر والوجهة. | منخفض | سلوك الاتصال غير الطبيعي | التكتيكات: -اكتشاف التقنيات: - T0842: شم الشبكة |
قابل للتعلم |
| إنهاء غير طبيعي للتطبيقات * | تم الكشف عن عدد كبير من أوامر الإيقاف على جهاز المصدر. قد يكون هذا التنبيه نتيجة مشكلة تشغيلية أو محاولة لمعالجة الجهاز. الحد: 20 أمر إيقاف في 3 ساعات |
متوسط | سلوك الاتصال غير الطبيعي | التكتيكات: -استمرار -تأثير التقنيات: - T0889: تعديل البرنامج - T0831: التلاعب بالسيطرة |
قابل للتعلم |
| عرض النطاق الترددي غير الطبيعي لنسبة استخدام الشبكة * | تم اكتشاف عرض نطاق ترددي غير طبيعي على القناة. يبدو أن النطاق الترددي أقل/أعلى من الذي تم اكتشافه مسبقًا. للحصول على التفاصيل، اعمل مع عنصر واجهة مستخدم إجمالي النطاق الترددي. | منخفض | شذوذ عرض النطاق الترددي | التكتيكات: -اكتشاف التقنيات: - T0842: شم الشبكة |
قابل للتعلم |
| عرض النطاق الترددي غير الطبيعي لنسبة استخدام الشبكة بين الأجهزة * | تم اكتشاف عرض نطاق ترددي غير طبيعي على القناة. يبدو أن النطاق الترددي أقل/أعلى من الذي تم اكتشافه مسبقًا. للحصول على التفاصيل، اعمل مع عنصر واجهة مستخدم إجمالي النطاق الترددي. | منخفض | شذوذ عرض النطاق الترددي | التكتيكات: -اكتشاف التقنيات: - T0842: شم الشبكة |
غير قابل للتعلم |
| تم الكشف عن فحص العنوان | تم الكشف عن جهاز مصدر يقوم بفحص أجهزة الشبكة. هذا الجهاز غير مصرح به كجهاز لفحص الشبكة. الحد: 50 اتصالا بنفس الشبكة الفرعية لفئة B في دقيقتين |
درجة عالية | مسح ضوئي | التكتيكات: -اكتشاف التقنيات: - T0842: شم الشبكة |
قابل للتعلم |
| تم الكشف عن فحص عنوان ARP * | تم الكشف عن جهاز مصدر يقوم بفحص أجهزة الشبكة باستخدام بروتوكول تحليل العنوان (ARP). عنوان الجهاز هذا غير مصرح به كعنوان فحص ARP صالح. الحد: 40 عملية فحص في 6 دقائق |
درجة عالية | مسح ضوئي | التكتيكات: -اكتشاف -مجموعة التقنيات: - T0842: شم الشبكة - T0830: رجل في الوسط |
قابل للتعلم |
| تزييف هوية ARP * | تم الكشف عن كمية غير طبيعية من الحزم في الشبكة. قد يشير هذا التنبيه إلى هجوم، على سبيل المثال، هجوم تزييف ARP أو هجوم فيضانات ICMP. الحد: 60 حزمة في دقيقة واحدة |
منخفض | سلوك الاتصال غير الطبيعي | التكتيكات: -مجموعة التقنيات: - T0830: رجل في الوسط |
غير قابل للتعلم |
| محاولات تسجيل الدخول المفرطة | شوهد جهاز مصدر يقوم بمحاولات تسجيل دخول زائدة إلى خادم الوجهة. قد يشير هذا التنبيه إلى هجوم بقوة غاشمة. قد يتم اختراق الخادم من قبل ممثل ضار. الحد: 20 محاولة تسجيل دخول في دقيقة واحدة |
درجة عالية | المصادقة | التكتيكات: - الحركة الجانبية - إعاقة التحكم في العملية التقنيات: - T0812: بيانات الاعتماد الافتراضية - T0806: إدخال/إخراج القوة الغاشمة |
غير قابل للتعلم |
| عدد الجلسات الزائد | شوهد جهاز مصدر يقوم بمحاولات تسجيل دخول زائدة إلى خادم الوجهة. قد يشير هذا إلى هجوم بقوة غاشمة. قد يتم اختراق الخادم من قبل ممثل ضار. الحد: 50 جلسة في دقيقة واحدة |
درجة عالية | سلوك الاتصال غير الطبيعي | التكتيكات: - الحركة الجانبية - إعاقة التحكم في العملية التقنيات: - T0812: بيانات الاعتماد الافتراضية - T0806: إدخال/إخراج القوة الغاشمة |
غير قابل للتعلم |
| معدل إعادة التشغيل الزائد للمحطة الصادرة * | تم الكشف عن عدد كبير من أوامر إعادة التشغيل على جهاز المصدر. قد تكون هذه التنبيهات نتيجة مشكلة تشغيلية أو محاولة لمعالجة الجهاز. الحد: 10 عمليات إعادة تشغيل في ساعة واحدة |
متوسط | أوامر إعادة التشغيل/ الإيقاف | التكتيكات: - منع وظيفة الاستجابة - إعاقة التحكم في العملية التقنيات: - T0814: رفض الخدمة - T0806: إدخال/إخراج القوة الغاشمة |
غير قابل للتعلم |
| محاولات تسجيل الدخول المفرطة ل SMB | شوهد جهاز مصدر يقوم بمحاولات تسجيل دخول زائدة إلى خادم الوجهة. قد يشير هذا إلى هجوم بقوة غاشمة. قد يتم اختراق الخادم من قبل ممثل ضار. الحد: 10 محاولات تسجيل الدخول في 10 دقائق |
درجة عالية | المصادقة | التكتيكات: -استمرار -تنفيذ - الحركة الجانبية التقنيات: - T0812: بيانات الاعتماد الافتراضية - T0853: البرمجة النصية - T0859: حسابات صالحة |
غير قابل للتعلم |
| فيضانات ICMP * | تم الكشف عن كمية غير طبيعية من الحزم في الشبكة. قد يشير هذا التنبيه إلى هجوم، على سبيل المثال، هجوم تزييف ARP أو هجوم فيضانات ICMP. الحد: 60 حزمة في دقيقة واحدة |
منخفض | سلوك الاتصال غير الطبيعي | التكتيكات: -اكتشاف -مجموعة التقنيات: - T0842: شم الشبكة - T0830: رجل في الوسط |
غير قابل للتعلم |
| محتوى رأس HTTP غير قانوني * | بدأ الجهاز المصدر طلبًا غير صالح. | درجة عالية | سلوك الاتصال المتعلق بـ HTTP غير طبيعي | التكتيكات: - الوصول الأولي - الحركة الجانبية التقنيات: - T0866: استغلال الخدمات عن بعد |
غير قابل للتعلم |
| قناة اتصال غير نشطة * | كانت قناة الاتصال بين جهازين غير نشطة خلال فترة يتم فيها عادةً ملاحظة النشاط. قد يشير هذا إلى أنه تم تغيير البرنامج الذي ينشئ حركة المرور هذه، أو قد يكون البرنامج غير متوفر. يوصى بمراجعة تكوين البرنامج المثبت والتحقق من تكوينه بشكل صحيح. الحد: دقيقة واحدة |
منخفض | لا تستجيب | التكتيكات: - منع وظيفة الاستجابة التقنيات: - T0881: توقف الخدمة |
غير قابل للتساهل |
| تم الكشف عن فحص عنوان المدة الطويلة * | تم الكشف عن جهاز مصدر يقوم بفحص أجهزة الشبكة. هذا الجهاز غير مصرح به كجهاز لفحص الشبكة. الحد: 50 اتصالا بنفس الشبكة الفرعية لفئة B في 10 دقائق |
درجة عالية | مسح ضوئي | التكتيكات: -اكتشاف التقنيات: - T0842: شم الشبكة |
قابل للتعلم |
| تم الكشف عن محاولة تخمين كلمة المرور | شوهد جهاز مصدر يقوم بمحاولات تسجيل دخول زائدة إلى خادم الوجهة. قد يشير هذا إلى هجوم بقوة غاشمة. قد يتم اختراق الخادم من قبل ممثل ضار. الحد: 100 محاولة في دقيقة واحدة |
درجة عالية | المصادقة | التكتيكات: - الحركة الجانبية التقنيات: - T0812: بيانات الاعتماد الافتراضية - T0806: إدخال/إخراج القوة الغاشمة |
غير قابل للتعلم |
| تم الكشف عن فحص PLC | تم الكشف عن جهاز مصدر يقوم بفحص أجهزة الشبكة. هذا الجهاز غير مصرح به كجهاز لفحص الشبكة. الحد: 10 عمليات فحص في دقيقتين |
درجة عالية | مسح ضوئي | التكتيكات: -اكتشاف التقنيات: - T0842: شم الشبكة |
قابل للتعلم |
| تم الكشف عن فحص المنفذ | تم الكشف عن جهاز مصدر يقوم بفحص أجهزة الشبكة. هذا الجهاز غير مصرح به كجهاز لفحص الشبكة. الحد: 25 عملية فحص في دقيقتين |
درجة عالية | مسح ضوئي | التكتيكات: -اكتشاف التقنيات: - T0842: شم الشبكة |
قابل للتعلم |
| طول رسالة غير متوقع | أرسل الجهاز المصدر رسالة غير طبيعية. قد يشير هذا التنبيه إلى محاولة مهاجمة الجهاز الوجهة. الحد: طول النص - 32768 |
درجة عالية | سلوك الاتصال غير الطبيعي | التكتيكات: - InitialAccess - الحركة الجانبية التقنيات: - T0869: استغلال الخدمات عن بعد |
غير قابل للتعلم |
| حركة مرور غير متوقعة للمنفذ القياسي * | تم الكشف عن نسبة استخدام الشبكة على جهاز باستخدام منفذ محجوز لبروتوكول آخر. | متوسط | سلوك الاتصال غير الطبيعي | التكتيكات: - الأمر والتحكم -اكتشاف التقنيات: - T0869: بروتوكول طبقة التطبيق القياسي - T0842: شم الشبكة |
غير قابل للتعلم |
تنبيهات محرك انتهاك البروتوكول
تصف تنبيهات مشغل البروتوكول الانحرافات المكتشفة في بنية الحزمة، أو قيم الحقول مقارنة بمواصفات البروتوكول.
| المسمى الوظيفي | الوصف | خطورة | فئة | MITRE ATT CK التكتيكات والتقنيات |
قابل للتعلم |
|---|---|---|---|---|---|
| الحزم المفرطة التي تم تكوينها بشكل غير متناسق في جلسة عمل واحدة * | عدد غير طبيعي من الحزم التي تم تكوينها بشكل غير مألوف والمرسلة من جهاز المصدر إلى جهاز الوجهة. قد يشير هذا التنبيه إلى اتصالات خاطئة، أو محاولة معالجة الجهاز المستهدف. الحد: حزمتان مشوهتان في 10 دقائق |
متوسط | أوامر غير قانونية | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0806: إدخال/إخراج القوة الغاشمة |
غير قابل للتعلم |
| تحديث البرنامج الثابت | أرسل جهاز مصدر أمرًا لتحديث البرنامج الثابت على جهاز الوجهة. تحقق من أن ترقيات البرمجة والتكوين والبرامج الثابتة الأخيرة التي تم إجراؤها على جهاز الوجهة صالحة. | منخفض | تغيير البرنامج الثابت | التكتيكات: - منع وظيفة الاستجابة -استمرار التقنيات: - T0857: البرنامج الثابت للنظام |
قابل للتعلم |
| التعليمات البرمجية للدالة غير معتمدة من قبل Outstation | تلقى جهاز الوجهة طلبًا غير صالح. | متوسط | أوامر غير قانونية | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها |
غير قابل للتعلم |
| رسالة BACNet غير قانونية | بدأ الجهاز المصدر طلبًا غير صالح. | متوسط | أوامر غير قانونية | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0836: تعديل المعلمة |
غير قابل للتعلم |
| محاولة اتصال غير قانونية على المنفذ 0 | حاول جهاز مصدر الاتصال بجهاز الوجهة على رقم المنفذ صفر (0). بالنسبة إلى TCP، المنفذ 0 محجوز ولا يمكن استخدامه. بالنسبة إلى UDP، المنفذ اختياري وقيمة 0 تعني عدم وجود منفذ. عادةً ما لا توجد خدمة على نظام يستمع إلى المنفذ 0. قد يشير هذا الحدث إلى محاولة مهاجمة الجهاز الوجهة، أو يشير إلى أن تطبيقا تمت برمجته بشكل غير صحيح. | منخفض | أوامر غير قانونية | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0836: تعديل المعلمة |
غير قابل للتعلم |
| عملية DNP3 غير قانونية | بدأ الجهاز المصدر طلبًا غير صالح. | متوسط | أوامر غير قانونية | التكتيكات: - الوصول الأولي - الحركة الجانبية التقنيات: - T0866: استغلال الخدمات عن بعد |
غير قابل للتعلم |
| عملية MODBUS غير قانونية (الاستثناء الذي تم رفعه بواسطة Master) | بدأ الجهاز المصدر طلبًا غير صالح. | متوسط | أوامر غير قانونية | التكتيكات: - الوصول الأولي - الحركة الجانبية التقنيات: - T0866: استغلال الخدمات عن بعد |
غير قابل للتعلم |
| عملية MODBUS غير قانونية (رمز الدالة صفر) * | بدأ الجهاز المصدر طلبًا غير صالح. | متوسط | أوامر غير قانونية | التكتيكات: - الوصول الأولي - الحركة الجانبية التقنيات: - T0866: استغلال الخدمات عن بعد |
غير قابل للتعلم |
| إصدار بروتوكول غير قانوني * | بدأ الجهاز المصدر طلبًا غير صالح. | متوسط | أوامر غير قانونية | التكتيكات: - الوصول الأولي - الحركة الجانبية - إعاقة التحكم في العملية التقنيات: - T0820: Remote Services - T0836: تعديل المعلمة |
غير قابل للتعلم |
| تم إرسال معلمة غير صحيحة إلى Outstation | تلقى جهاز الوجهة طلبًا غير صالح. | متوسط | أوامر غير قانونية | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0836: تعديل المعلمة |
غير قابل للتعلم |
| بدء التعليمة البرمجية للدالة القديمة (تهيئة البيانات) | بدأ الجهاز المصدر طلبًا غير صالح. | منخفض | أوامر غير قانونية | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها |
غير قابل للتعلم |
| بدء التعليمة البرمجية للدالة القديمة (حفظ التكوين) | بدأ الجهاز المصدر طلبًا غير صالح. | منخفض | أوامر غير قانونية | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها |
غير قابل للتعلم |
| طلب الشكل الرئيسي تأكيد طبقة التطبيق | بدأ الجهاز المصدر طلبًا غير صالح. | منخفض | أوامر غير قانونية | التكتيكات: - الأمر والتحكم التقنيات: - T0869: بروتوكول طبقة التطبيق القياسي |
غير قابل للتعلم |
| استثناء Modbus | أرجع جهاز مصدر (ثانوي) استثناء إلى جهاز وجهة (أساسي). | متوسط | أوامر غير قانونية | التكتيكات: - منع وظيفة الاستجابة التقنيات: - T0814: رفض الخدمة |
غير قابل للتعلم |
| تلقى جهاز الرقيق نوع ASDU غير قانوني | تلقى جهاز الوجهة طلبًا غير صالح. | متوسط | أوامر غير قانونية | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0836: تعديل المعلمة |
غير قابل للتعلم |
| تلقى جهاز الرقيق سبب أمر غير قانوني لنقل | تلقى جهاز الوجهة طلبًا غير صالح. | متوسط | أوامر غير قانونية | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0836: تعديل المعلمة |
غير قابل للتعلم |
| تلقى جهاز الرقيق عنوانا مشتركا غير قانوني | تلقى جهاز الوجهة طلبًا غير صالح. | متوسط | أوامر غير قانونية | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0836: تعديل المعلمة |
غير قابل للتعلم |
| تلقى جهاز الرقيق معلمة عنوان بيانات غير قانونية * | تلقى جهاز الوجهة طلبًا غير صالح. | متوسط | أوامر غير قانونية | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0836: تعديل المعلمة |
غير قابل للتعلم |
| تلقى جهاز الرقيق معلمة قيمة بيانات غير قانونية * | تلقى جهاز الوجهة طلبًا غير صالح. | متوسط | أوامر غير قانونية | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0836: تعديل المعلمة |
غير قابل للتعلم |
| تلقى جهاز الرقيق رمز وظيفة غير قانوني * | تلقى جهاز الوجهة طلبًا غير صالح. | متوسط | أوامر غير قانونية | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0836: تعديل المعلمة |
غير قابل للتعلم |
| تلقى جهاز الرقيق عنوان كائن معلومات غير قانوني | تلقى جهاز الوجهة طلبًا غير صالح. | متوسط | أوامر غير قانونية | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها - T0836: تعديل المعلمة |
غير قابل للتعلم |
| كائن غير معروف تم إرساله إلى Outstation | تلقى جهاز الوجهة طلبًا غير صالح. | متوسط | أوامر غير قانونية | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها |
غير قابل للتعلم |
| استخدام رمز دالة محجوز | بدأ الجهاز المصدر طلبًا غير صالح. | متوسط | أوامر غير قانونية | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0836: تعديل المعلمة |
غير قابل للتعلم |
| استخدام التنسيق غير المناسب بواسطة Outstation * | بدأ الجهاز المصدر طلبًا غير صالح. | منخفض | أوامر غير قانونية | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها |
غير قابل للتعلم |
| استخدام علامات الحالة المحجوزة (IIN) | استخدم جهاز مصدر DNP3 (محطة خارجية) المؤشر الداخلي المحجوز 2.6. يوصى بالتحقق من تكوين الجهاز. | منخفض | أوامر غير قانونية | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0836: تعديل المعلمة |
غير قابل للتعلم |
تنبيهات محرك البرامج الضارة
تصف تنبيهات محرك البرامج الضارة نشاط الشبكة الضارة المكتشف.
| المسمى الوظيفي | الوصف | خطورة | فئة | MITRE ATT CK التكتيكات والتقنيات |
قابل للتعلم |
|---|---|---|---|---|---|
| محاولة الاتصال ب IP الضار المعروف | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم يستغل أسلوبا تستخدمه البرامج الضارة المعروفة. يتم تشغيله بواسطة كل من مستشعرات شبكة OT وEnterprise IoT. |
درجة عالية | الاشتباه في النشاط الضار | التكتيكات: - الوصول الأولي - الأمر والتحكم التقنيات: - T0883: جهاز يمكن الوصول إليه عبر الإنترنت - T0884: وكيل الاتصال |
غير قابل للتعلم |
| رسالة SMB غير صحيحة (زراعة باب مزدوج للخلف) | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم يستغل أسلوبا تستخدمه البرامج الضارة المعروفة. | درجة عالية | الاشتباه في وجود برامج ضارة | التكتيكات: - الوصول الأولي - الحركة الجانبية التقنيات: - T0866: استغلال الخدمات عن بعد |
غير قابل للتعلم |
| طلب اسم المجال الضار | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم يستغل أسلوبا تستخدمه البرامج الضارة المعروفة. يتم تشغيله بواسطة كل من مستشعرات شبكة OT وEnterprise IoT. |
درجة عالية | الاشتباه في النشاط الضار | التكتيكات: - الوصول الأولي - الأمر والتحكم التقنيات: - T0883: جهاز يمكن الوصول إليه عبر الإنترنت - T0884: وكيل الاتصال |
قابل للتعلم |
| مسار URL ضار | تم تقديم طلب إلى مسار URL ضار معروف. قد تشير الطلبات التي تم إجراؤها لمسار URL هذا إلى أن المصدر الذي يقوم بالطلب قد تم اختراقه. | درجة عالية | الاشتباه في النشاط الضار | التكتيكات: - الوصول الأولي - الأمر والتحكم التقنيات: - T0883: جهاز يمكن الوصول إليه عبر الإنترنت - T0884: وكيل الاتصال |
غير قابل للتعلم |
| تم الكشف عن ملف اختبار البرامج الضارة - نجاح EICAR AV | تم الكشف عن ملف اختبار EICAR AV في نسبة استخدام الشبكة بين جهازين (عبر أي نقل - TCP أو UDP). الملف ليس برنامجًا ضارًا. يُستخدم للتأكد من تثبيت برنامج مكافحة الفيروسات بشكل صحيح. إظهار ما يحدث عند العثور على فيروس، والتحقق من الإجراءات الداخلية وردود الفعل عند العثور على فيروس. يجب أن يكتشف برنامج مكافحة الفيروسات EICAR كما لو كان فيروسًا حقيقيًا. | درجة عالية | الاشتباه في النشاط الضار | التكتيكات: -اكتشاف التقنيات: - T0842: شم الشبكة |
غير قابل للتعلم |
| اشتباه بالبرامج الضارة للمكون | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم يستغل أسلوبا تستخدمه البرامج الضارة المعروفة. | متوسط | الاشتباه في وجود برامج ضارة | التكتيكات: - الوصول الأولي -تأثير التقنيات: - T0826: فقدان التوفر - T0828: فقدان الإنتاجية والإيرادات - T0847: النسخ المتماثل من خلال الوسائط القابلة للإزالة |
غير قابل للتعلم |
| الشك في هجوم رفض الخدمة | حاول جهاز المصدر بدء عدد كبير من الاتصالات الجديدة بجهاز الوجهة. قد يشير هذا إلى هجوم رفض الخدمة (DOS) على الجهاز الوجهة، وقد يقطع وظائف الجهاز، أو يؤثر على الأداء وتوفر الخدمة، أو يتسبب في أخطاء لا يمكن استردادها. الحد: 3000 محاولة في دقيقة واحدة |
درجة عالية | الاشتباه في النشاط الضار | التكتيكات: - منع وظيفة الاستجابة التقنيات: - T0814: رفض الخدمة |
قابل للتعلم |
| الشك في النشاط الضار | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم أدى إلى تشغيل "مؤشرات التسوية" المعروفة (IOCs). يجب مراجعة بيانات التعريف للتنبيه من خلال فريق الأمان. | درجة عالية | الاشتباه في النشاط الضار | التكتيكات: - الحركة الجانبية التقنيات: - T0867: نقل الأدوات الجانبية |
غير قابل للتعلم |
| الشك في النشاط الضار (BlackEnergy) | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم يستغل أسلوبا تستخدمه البرامج الضارة المعروفة. | درجة عالية | الاشتباه في وجود برامج ضارة | التكتيكات: - الأمر والتحكم التقنيات: - T0869: بروتوكول طبقة التطبيق القياسي |
غير قابل للتعلم |
| الشك في النشاط الضار (DarkComet) | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم يستغل أسلوبا تستخدمه البرامج الضارة المعروفة. | درجة عالية | الاشتباه في وجود برامج ضارة | التكتيكات: -تأثير التقنيات: - T0882: سرقة المعلومات التشغيلية |
غير قابل للتعلم |
| الشك في النشاط الضار (Duqu) | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم يستغل أسلوبا تستخدمه البرامج الضارة المعروفة. | درجة عالية | الاشتباه في وجود برامج ضارة | التكتيكات: -تأثير التقنيات: - T0882: سرقة المعلومات التشغيلية |
غير قابل للتعلم |
| الشك في النشاط الضار (لهب) | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم يستغل أسلوبا تستخدمه البرامج الضارة المعروفة. | درجة عالية | الاشتباه في وجود برامج ضارة | التكتيكات: -مجموعة -تأثير التقنيات: - T0882: سرقة المعلومات التشغيلية - T0811: بيانات من مستودعات المعلومات |
غير قابل للتعلم |
| الشك في النشاط الضار (Havex) | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم يستغل أسلوبا تستخدمه البرامج الضارة المعروفة. | درجة عالية | الاشتباه في وجود برامج ضارة | التكتيكات: -مجموعة -اكتشاف - منع وظيفة الاستجابة التقنيات: - T0861: تعريف النقطة والعلامة - T0846: Remote System Discovery - T0814: رفض الخدمة |
غير قابل للتعلم |
| الشك في النشاط الضار (كاراغاني) | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم يستغل أسلوبا تستخدمه البرامج الضارة المعروفة. | درجة عالية | الاشتباه في وجود برامج ضارة | التكتيكات: -تأثير التقنيات: - T0882: سرقة المعلومات التشغيلية |
غير قابل للتعلم |
| الشك في النشاط الضار (LightsOut) | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم يستغل أسلوبا تستخدمه البرامج الضارة المعروفة. | درجة عالية | الاشتباه في وجود برامج ضارة | التكتيكات: -التهرب التقنيات: - T0849: Masquerading |
غير قابل للتعلم |
| الشك في النشاط الضار (استعلامات الاسم) | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم يستغل أسلوبا تستخدمه البرامج الضارة المعروفة. الحد: 25 استعلارا للاسم في دقيقة واحدة |
درجة عالية | الاشتباه في النشاط الضار | التكتيكات: - الأمر والتحكم التقنيات: - T0884: وكيل الاتصال |
غير قابل للتعلم |
| الشك في النشاط الضار (اللبلاب السمي) | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم يستغل أسلوبا تستخدمه البرامج الضارة المعروفة. | درجة عالية | الاشتباه في وجود برامج ضارة | التكتيكات: - الوصول الأولي - الحركة الجانبية التقنيات: - T0866: استغلال الخدمات عن بعد |
غير قابل للتعلم |
| الشك في النشاط الضار (Regin) | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم يستغل أسلوبا تستخدمه البرامج الضارة المعروفة. | درجة عالية | الاشتباه في وجود برامج ضارة | التكتيكات: - الوصول الأولي - الحركة الجانبية -تأثير التقنيات: - T0866: استغلال الخدمات عن بعد - T0882: سرقة المعلومات التشغيلية |
غير قابل للتعلم |
| الشك في النشاط الضار (Stuxnet) | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم يستغل أسلوبا تستخدمه البرامج الضارة المعروفة. | درجة عالية | الاشتباه في وجود برامج ضارة | التكتيكات: - الوصول الأولي - الحركة الجانبية -تأثير التقنيات: - T0818: اختراق محطة العمل الهندسية - T0866: استغلال الخدمات عن بعد - T0831: التلاعب بالسيطرة |
غير قابل للتعلم |
| الشك في النشاط الضار (WannaCry) * | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم يستغل أسلوبا تستخدمه البرامج الضارة المعروفة. | متوسط | الاشتباه في وجود برامج ضارة | التكتيكات: - الوصول الأولي - الحركة الجانبية التقنيات: - T0866: استغلال الخدمات عن بعد - T0867: نقل الأدوات الجانبية |
غير قابل للتعلم |
| اشتباه بالبرامج الضارة NotPetya - تم الكشف عن معلمات SMB غير قانونية | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم يستغل أسلوبا تستخدمه البرامج الضارة المعروفة. | درجة عالية | الاشتباه في وجود برامج ضارة | التكتيكات: - الوصول الأولي - الحركة الجانبية التقنيات: - T0866: استغلال الخدمات عن بعد |
غير قابل للتعلم |
| اشتباه بالبرامج الضارة NotPetya - تم الكشف عن معاملة SMB غير قانونية | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم يستغل أسلوبا تستخدمه البرامج الضارة المعروفة. | درجة عالية | الاشتباه في وجود برامج ضارة | التكتيكات: - الحركة الجانبية التقنيات: - T0867: نقل الأدوات الجانبية |
غير قابل للتعلم |
| الشك في تنفيذ التعليمات البرمجية عن بعد باستخدام PsExec | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم يستغل أسلوبا تستخدمه البرامج الضارة المعروفة. | درجة عالية | الاشتباه في النشاط الضار | التكتيكات: - الحركة الجانبية - الوصول الأولي التقنيات: - T0866: استغلال الخدمات عن بعد |
غير قابل للتعلم |
| الشك في إدارة خدمة Windows عن بعد * | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم يستغل أسلوبا تستخدمه البرامج الضارة المعروفة. | درجة عالية | الاشتباه في النشاط الضار | التكتيكات: - الوصول الأولي التقنيات: - T0822: NetworkExternal Remote Services |
غير قابل للتعلم |
| تم الكشف عن ملف مريب قابل للتنفيذ على نقطة النهاية | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم يستغل أسلوبا تستخدمه البرامج الضارة المعروفة. | درجة عالية | الاشتباه في النشاط الضار | التكتيكات: -التهرب - منع وظيفة الاستجابة التقنيات: - T0851: Rootkit |
قابل للتعلم |
| تم الكشف عن نسبة استخدام الشبكة المشبوهة * | تم الكشف عن نشاط شبكة مشبوه. قد يكون هذا النشاط مقترنا بهجوم أدى إلى تشغيل "مؤشرات التسوية" المعروفة (IOCs). يجب مراجعة بيانات التعريف للتنبيه من خلال فريق الأمان | درجة عالية | الاشتباه في النشاط الضار | التكتيكات: -اكتشاف التقنيات: - T0842: شم الشبكة |
غير قابل للتعلم |
| نشاط النسخ الاحتياطي مع تواقيع مكافحة الفيروسات | أدت نسبة استخدام الشبكة التي تم اكتشافها بين الجهاز المصدر وخادم النسخ الاحتياطي الوجهة إلى تشغيل هذا التنبيه. تتضمن نسبة استخدام الشبكة نسخة احتياطية من برنامج الحماية من الفيروسات الذي قد يحتوي على توقيعات برامج ضارة. هذا هو نشاط النسخ الاحتياطي المشروع على الأرجح. | منخفض | نسخة احتياطية | التكتيكات: -تأثير التقنيات: - T0882: سرقة المعلومات التشغيلية |
غير قابل للتعلم |
تنبيهات المحرك التشغيلي
تصف تنبيهات المحرك التشغيلي الحوادث التشغيلية المكتشفة، أو الكيانات التي تعمل بشكل غير جيد.
| المسمى الوظيفي | الوصف | خطورة | فئة | MITRE ATT CK التكتيكات والتقنيات |
قابل للتعلم |
|---|---|---|---|---|---|
| تم إرسال أمر إيقاف PLC S7 | أرسل جهاز المصدر أمر إيقاف إلى وحدة تحكم الوجهة. تتوقف وحدة التحكم عن العمل حتى يتم إرسال أمر بدء. | منخفض | أوامر إعادة التشغيل/ الإيقاف | التكتيكات: - الحركة الجانبية - التهرب الدفاعي -تنفيذ - منع وظيفة الاستجابة التقنيات: - T0843: تنزيل البرنامج - T0858: تغيير وضع التشغيل - T0814: رفض الخدمة |
غير قابل للتعلم |
| فشلت عملية BACNet | أرجع الخادم رمز خطأ. يشير هذا التنبيه إلى خطأ خادم أو طلب غير صالح من قبل عميل. | متوسط | فشل الأمر | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها |
غير قابل للتعلم |
| حالة جهاز MMS غير صحيحة | أرسل جهاز تصنيع ظاهري MMS (VMD) رسالة حالة. تشير الرسالة إلى أنه قد لا يتم تكوين الخادم بشكل صحيح أو تشغيلي جزئيا أو غير تشغيلي على الإطلاق. | متوسط | المشاكل التشغيلية | التكتيكات: - منع وظيفة الاستجابة التقنيات: - T0814: رفض الخدمة |
غير قابل للتعلم |
| تغيير تكوين الجهاز * | تم الكشف عن تغيير التكوين على جهاز المصدر. | منخفض | تغييرات التكوين | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0836: تعديل المعلمة |
غير قابل للتعلم |
| تجاوز الحد الأقصى لمخزن الأحداث المؤقت المستمر في المحطة الخارجية * | تم الكشف عن حدث تجاوز المخزن المؤقت على جهاز المصدر. قد يتسبب الحدث في تلف البيانات أو تعطل البرنامج أو تنفيذ تعليمات برمجية ضارة. الحد: 3 مرات في 10 دقائق |
متوسط | تجاوز المخزن المؤقت | التكتيكات: - منع وظيفة الاستجابة - إعاقة التحكم في العملية -استمرار التقنيات: - T0814: رفض الخدمة - T0806: إدخال/إخراج القوة الغاشمة - T0839: البرنامج الثابت للوحدة النمطية |
غير قابل للتعلم |
| إعادة تعيين وحدة التحكم | أرسل جهاز المصدر أمر إعادة ضبط إلى وحدة تحكم الوجهة. توقفت وحدة التحكم عن العمل مؤقتًا وبدأت مرة أخرى تلقائيًا. | منخفض | أوامر إعادة التشغيل/ الإيقاف | التكتيكات: - التهرب الدفاعي -تنفيذ - منع وظيفة الاستجابة التقنيات: - T0858: تغيير وضع التشغيل - T0814: رفض الخدمة |
غير قابل للتعلم |
| إيقاف وحدة التحكم | أرسل جهاز المصدر أمر إيقاف إلى وحدة تحكم الوجهة. تتوقف وحدة التحكم عن العمل حتى يتم إرسال أمر بدء. | منخفض | أوامر إعادة التشغيل/ الإيقاف | التكتيكات: - الحركة الجانبية - التهرب الدفاعي -تنفيذ - منع وظيفة الاستجابة التقنيات: - T0843: تنزيل البرنامج - T0858: تغيير وضع التشغيل - T0814: رفض الخدمة |
غير قابل للتعلم |
| فشل الجهاز في تلقي عنوان IP ديناميكي | تم تكوين الجهاز المصدر لتلقي عنوان IP ديناميكي من خادم DHCP ولكنه لم يتلق عنوانا. يشير هذا إلى خطأ في التكوين على الجهاز، أو خطأ تشغيلي في خادم DHCP. يوصى بإعلام مسؤول الشبكة بالحادث | متوسط | فشل الأمر | التكتيكات: -اكتشاف التقنيات: - T0842: شم الشبكة |
غير قابل للتعلم |
| يشتبه في أن الجهاز غير متصل (غير مستجيب) | لم يستجب جهاز المصدر لأمر تم إرساله إليه. ربما تم قطع الاتصال عند إرسال الأمر. الحد: 8 محاولات في 5 دقائق |
متوسط | لا تستجيب | التكتيكات: - منع وظيفة الاستجابة التقنيات: - T0881: توقف الخدمة |
غير قابل للتعلم |
| فشل طلب خدمة EtherNet/IP CIP | أرجع الخادم رمز خطأ. يشير هذا التنبيه إلى خطأ خادم أو طلب غير صالح من قبل عميل. | متوسط | فشل الأمر | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها |
غير قابل للتعلم |
| فشل أمر بروتوكول تغليف EtherNet/IP | أرجع الخادم رمز خطأ. يشير هذا التنبيه إلى خطأ خادم أو طلب غير صالح من قبل عميل. | متوسط | فشل الأمر | التكتيكات: -مجموعة التقنيات: - T0801: مراقبة حالة العملية |
غير قابل للتعلم |
| تجاوز الحد الأقصى لمخزن الأحداث المؤقت في المحطة الخارجية | تم الكشف عن حدث تجاوز المخزن المؤقت على جهاز المصدر. قد يتسبب الحدث في تلف البيانات أو تعطل البرنامج أو تنفيذ تعليمات برمجية ضارة. | متوسط | تجاوز المخزن المؤقت | التكتيكات: - منع وظيفة الاستجابة - إعاقة التحكم في العملية -استمرار التقنيات: - T0814: رفض الخدمة - T0839: البرنامج الثابت للوحدة النمطية |
غير قابل للتعلم |
| لم تحدث عملية النسخ الاحتياطي المتوقعة | لم يحدث نشاط النسخ الاحتياطي/نقل الملفات المتوقع بين جهازين. قد يشير هذا التنبيه إلى أخطاء في عملية النسخ الاحتياطي / نقل الملفات. الحد: 100 ثانية |
متوسط | نسخة احتياطية | التكتيكات: - منع وظيفة الاستجابة التقنيات: - T0809: تدمير البيانات |
قابل للتعلم |
| فشل أمر GE SRTP | أرجع الخادم رمز خطأ. يشير هذا التنبيه إلى خطأ خادم أو طلب غير صالح من قبل عميل. | متوسط | فشل الأمر | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها |
غير قابل للتعلم |
| تم إرسال أمر GE SRTP Stop PLC | أرسل جهاز المصدر أمر إيقاف إلى وحدة تحكم الوجهة. تتوقف وحدة التحكم عن العمل حتى يتم إرسال أمر بدء. | منخفض | أوامر إعادة التشغيل/ الإيقاف | التكتيكات: - الحركة الجانبية - التهرب الدفاعي -تنفيذ - منع وظيفة الاستجابة التقنيات: - T0843: تنزيل البرنامج - T0858: تغيير وضع التشغيل - T0814: رفض الخدمة |
غير قابل للتعلم |
| تتطلب كتلة التحكم في GOOSE تكوينا إضافيا | أرسل جهاز مصدر رسالة GOOSE تشير إلى أن الجهاز يحتاج إلى التشغيل. وهذا يعني أن كتلة التحكم GOOSE تتطلب المزيد من التكوين ورسائل GOOSE غير تشغيلية جزئيًا أو كليًا. | متوسط | تغييرات التكوين | التكتيكات: - إعاقة التحكم في العملية - منع وظيفة الاستجابة التقنيات: - T0803: حظر رسالة الأمر - T0821: تعديل مهمة وحدة التحكم |
غير قابل للتعلم |
| تم تغيير تكوين مجموعة بيانات GOOSE * | تم تغيير مجموعة بيانات الرسائل (التي تم تعريفها بواسطة معرف البروتوكول) على جهاز المصدر. وهذا يعني أن الجهاز يبلغ عن مجموعة بيانات مختلفة لهذه الرسالة. | منخفض | تغييرات التكوين | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0836: تعديل المعلمة |
غير قابل للتعلم |
| حالة غير متوقعة لوحدة تحكم Honeywell | أرسلت وحدة تحكم Honeywell رسالة تشخيص غير متوقعة تشير إلى تغيير الحالة. | منخفض | المشاكل التشغيلية | التكتيكات: -التهرب -تنفيذ التقنيات: - T0858: تغيير وضع التشغيل |
غير قابل للتعلم |
| خطأ عميل HTTP * | بدأ الجهاز المصدر طلبًا غير صالح. | منخفض | سلوك الاتصال المتعلق بـ HTTP غير طبيعي | التكتيكات: - الأمر والتحكم التقنيات: - T0869: بروتوكول طبقة التطبيق القياسي |
غير قابل للتعلم |
| عنوان IP غير قانوني | كشف النظام عن نسبة استخدام الشبكة بين جهاز مصدر وعنوان IP عنوان غير صالح. قد يشير هذا إلى تكوين خاطئ أو محاولة إنشاء حركة مرور غير قانونية. | منخفض | سلوك الاتصال غير الطبيعي | التكتيكات: -اكتشاف - إعاقة التحكم في العملية التقنيات: - T0842: شم الشبكة - T0836: تعديل المعلمة |
غير قابل للتعلم |
| خطأ في مصادقة العبد الرئيسي | فشلت عملية المصادقة بين جهاز مصدر DNP3 (أساسي) وجهاز وجهة (محطة خارجية). | منخفض | المصادقة | التكتيكات: - الحركة الجانبية -استمرار التقنيات: - T0859: حسابات صالحة |
غير قابل للتعلم |
| فشل طلب خدمة MMS | أرجع الخادم رمز خطأ. يشير هذا التنبيه إلى خطأ خادم أو طلب غير صالح من قبل عميل. | متوسط | فشل الأمر | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها |
غير قابل للتعلم |
| لم يتم الكشف عن نسبة استخدام الشبكة على واجهة الاستشعار | توقف جهاز استشعار عن الكشف عن نسبة استخدام الشبكة على واجهة شبكة. | درجة عالية | أداة استشعار حركة المرور | التكتيكات: - منع وظيفة الاستجابة التقنيات: - T0881: توقف الخدمة |
غير قابل للتعلم |
| رفع خادم OPC UA حدثا يتطلب انتباه المستخدم | أرسل خادم OPC UA إشعار حدث إلى عميل. يتطلب هذا النوع من الأحداث انتباه المستخدم | متوسط | المشاكل التشغيلية | التكتيكات: - منع وظيفة الاستجابة التقنيات: - T0838: تعديل إعدادات المنبه |
غير قابل للتعلم |
| فشل طلب خدمة OPC UA | أرجع الخادم رمز خطأ. يشير هذا التنبيه إلى خطأ خادم أو طلب غير صالح من قبل عميل. | متوسط | فشل الأمر | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها |
غير قابل للتعلم |
| تمت إعادة تشغيل المحطة الصادرة | تم الكشف عن إعادة تشغيل باردة على جهاز مصدر. وهذا يعني أنه تم إيقاف تشغيل الجهاز فعليًا وإعادة تشغيله مرة أخرى. | منخفض | أوامر إعادة التشغيل/ الإيقاف | التكتيكات: - منع وظيفة الاستجابة التقنيات: - T0816: إعادة تشغيل/إيقاف تشغيل الجهاز |
غير قابل للتعلم |
| إعادة تشغيل المحطة الخارجية بشكل متكرر | تم اكتشاف عدد كبير من عمليات إعادة التشغيل الضعيفة على جهاز المصدر. وهذا يعني أنه تم إيقاف تشغيل الجهاز فعليًا وإعادة تشغيله مرة أخرى لعدد كبير من المرات. الحد: إعادة تشغيل 2 في 10 دقائق |
منخفض | أوامر إعادة التشغيل/ الإيقاف | التكتيكات: - منع وظيفة الاستجابة التقنيات: - T0814: رفض الخدمة - T0816: إعادة تشغيل/إيقاف تشغيل الجهاز |
غير قابل للتعلم |
| تم تغيير تكوين Outstation | تم الكشف عن تغيير التكوين على جهاز المصدر. | متوسط | تغييرات التكوين | التكتيكات: - منع وظيفة الاستجابة -استمرار التقنيات: - T0857: البرنامج الثابت للنظام |
غير قابل للتعلم |
| تم الكشف عن التكوين التالفة للمحطة الخارجية | أبلغ هذا الجهاز المصدر DNP3 (outstation) عن تكوين تالف. | متوسط | تغييرات التكوين | التكتيكات: - منع وظيفة الاستجابة التقنيات: - T0809: تدمير البيانات |
غير قابل للتعلم |
| فشل أمر Profinet DCP | أرجع الخادم رمز خطأ. يشير هذا التنبيه إلى خطأ خادم أو طلب غير صالح من قبل عميل. | متوسط | فشل الأمر | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها |
غير قابل للتعلم |
| إعادة تعيين مصنع أجهزة Profinet | أرسل جهاز مصدر أمر إعادة تعيين المصنع إلى جهاز وجهة Profinet. يقوم أمر إعادة الضبط بمسح تكوينات جهاز Profinet وإيقاف تشغيله. | منخفض | أوامر إعادة التشغيل/ الإيقاف | التكتيكات: - التهرب الدفاعي -تنفيذ - منع وظيفة الاستجابة التقنيات: - T0858: تغيير وضع التشغيل - T0814: رفض الخدمة |
غير قابل للتعلم |
| فشلت عملية RPC * | أرجع الخادم رمز خطأ. يشير هذا التنبيه إلى خطأ خادم أو طلب غير صالح من قبل عميل. | متوسط | فشل الأمر | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0855: رسالة أوامر غير مصرح بها |
غير قابل للتعلم |
| تم تغيير تكوين مجموعة بيانات رسالة القيم النموذجية * | تم تغيير مجموعة بيانات الرسائل (التي تم تعريفها بواسطة معرف البروتوكول) على جهاز المصدر. وهذا يعني أن الجهاز يبلغ عن مجموعة بيانات مختلفة لهذه الرسالة. | منخفض | تغييرات التكوين | التكتيكات: - إعاقة التحكم في العملية التقنيات: - T0836: تعديل المعلمة |
غير قابل للتعلم |
| فشل جهاز الرقيق غير قابل للاسترداد * | تم الكشف عن خطأ شرط غير قابل للاسترداد على جهاز المصدر. يشير هذا النوع من الخطأ عادةً إلى فشل في الأجهزة أو فشل في تنفيذ أمر معين. | متوسط | فشل الأمر | التكتيكات: - منع وظيفة الاستجابة التقنيات: - T0814: رفض الخدمة |
غير قابل للتعلم |
| اشتباه في مشاكل الأجهزة في المحطة الخارجية | تم الكشف عن خطأ شرط غير قابل للاسترداد على جهاز المصدر. يشير هذا النوع من الخطأ عادةً إلى فشل في الأجهزة أو فشل في تنفيذ أمر معين. | متوسط | المشاكل التشغيلية | التكتيكات: - منع وظيفة الاستجابة التقنيات: - T0814: رفض الخدمة - T0881: توقف الخدمة |
غير قابل للتعلم |
| الشك في عدم استجابة جهاز MODBUS | لم يستجب جهاز المصدر لأمر تم إرساله إليه. ربما تم قطع الاتصال عند إرسال الأمر. الحد الأدنى: استجابة صالحة 1 كحد أدنى لمدة لا تقل عن 3 طلبات في غضون 5 دقائق |
منخفض | لا تستجيب | التكتيكات: - منع وظيفة الاستجابة التقنيات: - T0881: توقف الخدمة |
غير قابل للتعلم |
| نسبة استخدام الشبكة التي تم اكتشافها على واجهة الاستشعار | استئناف جهاز استشعار عن الكشف عن نسبة استخدام الشبكة على واجهة شبكة. | منخفض | أداة استشعار حركة المرور | التكتيكات: -اكتشاف التقنيات: - T0842: شم الشبكة |
غير قابل للتعلم |
| تم تغيير وضع تشغيل PLC | تم تغيير وضع التشغيل على PLC هذا. قد يشير الوضع الجديد إلى أن PLC غير آمن. قد يسمح ترك PLC في وضع تشغيل غير آمن للخصوم بتنفيذ أنشطة ضارة عليه، مثل تنزيل البرنامج. إذا تم اختراق PLC، فقد تتأثر الأجهزة والعمليات التي تتفاعل معها. قد يؤثر هذا على أمان النظام وسلامته بشكل عام. | منخفض | تغييرات التكوين | التكتيكات: -تنفيذ -التهرب التقنيات: - T0858: تغيير وضع التشغيل |
غير قابل للتعلم |
الخطوات التالية
لمزيد من المعلومات، راجع:
- عرض وإدارة التنبيهات على بوابة Defender for IoT
- عرض التنبيهات على جهاز الاستشعار خاصتك
- تسريع مهام سير عمل التنبيه
- إعادة توجيه معلومات التنبيه
- العمل مع التنبيهات على وحدة تحكم الإدارة المحلية
- مرجع واجهة برمجة تطبيقات إدارة التنبيهات لوحدات التحكم بالإدارة المحلية
- مرجع واجهة برمجة تطبيقات إدارة التنبيهات لأجهزة استشعار مراقبة OT
- إعادة توجيه معلومات التنبيه