Referenční informace k upozornění Microsoft Defenderu pro IoT
Tento článek obsahuje referenční informace o výstrahách generovaných síťovými senzory Microsoft Defenderu pro IoT, včetně seznamu všech typů a popisů výstrah. Referenční informace také ukazují, které výstrahy je možné určit jako poučitelné nebo ne, a další informace o stavu, kde najdete informace o stavech výstrah a možnostech třídění. Tento odkaz můžete použít k mapování výstrah na playbooky, definování pravidel předávání na síťovém senzoru OT (Operational Technology) nebo jiné vlastní aktivity.
Upozornění OT jsou ve výchozím nastavení vypnutá.
Ve výchozím nastavení je vypnuto několik upozornění, jak je uvedeno hvězdičkami (*) v následujících tabulkách. Uživatelé správce snímačů OT můžou povolit nebo zakázat upozornění na stránce Podpory na konkrétním síťovém senzoru OT.
Pokud vypnete upozornění, na která se odkazuje na jiná místa, jako jsou pravidla pro předávání výstrah, nezapomeňte tyto odkazy podle potřeby aktualizovat.
Závažnosti výstrah
Výstrahy Defenderu pro IoT používají následující úrovně závažnosti:
| portál Azure | Senzor OT | Popis |
|---|---|---|
| Vysoko | Kritická | Označuje škodlivý útok, který by se měl zpracovat okamžitě. |
| Medium | Major | Označuje bezpečnostní hrozbu, která je důležitá k vyřešení. |
| Nízký | Podverze, upozornění | Označuje určitou odchylku od chování směrného plánu, které může obsahovat bezpečnostní hrozbu nebo neobsahuje žádné bezpečnostní hrozby. |
Závažnosti upozornění na této stránce jsou uvedeny závažnosti, jak je znázorněno na webu Azure Portal.
Podporované typy upozornění
| Typ upozornění | Popis |
|---|---|
| Upozornění na porušení zásad | Aktivuje se, když modul porušení zásad zjistí odchylku od dříve naučeného provozu. Příklad: – Zjistí se nové zařízení. – Na zařízení se detekuje nová konfigurace. - Zařízení, které není definováno jako programovací zařízení, provádí změnu programování. – Změnila se verze firmwaru. |
| Upozornění na porušení protokolu | Aktivuje se, když modul porušení protokolu zjistí struktury paketů nebo hodnoty polí, které nevyhovují specifikaci protokolu. |
| Provozní upozornění | Aktivuje se, když provozní modul zjistí provozní incidenty sítě nebo selhání zařízení. Například síťové zařízení bylo zastaveno příkazem Stop PLC nebo rozhraním senzoru zastavilo monitorování provozu. |
| Upozornění na malware | Aktivuje se, když malware modul detekuje škodlivou síťovou aktivitu. Například modul zjistí známý útok, jako je Conficker. |
| Upozornění na anomálie | Aktivuje se, když modul anomálií zjistí odchylku. Například zařízení provádí prohledávání sítě, ale není definováno jako skenovací zařízení. |
Defender pro zásady detekce výstrah IoT používá různé moduly výstrah, které aktivují výstrahy na základě obchodního dopadu a kontextu sítě a snižují výstrahy související s IT nízkou hodnotou. Další informace najdete v tématu Prioritní výstrahy v prostředích OT/IT.
Podporované kategorie upozornění
Každá výstraha má jednu z následujících kategorií:
- Neobvyklé chování komunikace
- Neobvyklé chování komunikace HTTP
- Ověřování
- Backup
- Anomálie šířky pásma
- Přetečení vyrovnávací paměti
- Selhání příkazů
- Změny konfigurace
- Vlastní upozornění
- Zjišťování
- Změna firmwaru
- Neplatné příkazy
- Přístup k internetu
- Selhání operací
- Provozní problémy
- Programování
- Vzdálený přístup
- Příkazy pro restartování/zastavení
- Naskenovat
- Přenosy ze senzorů
- Podezření na škodlivou aktivitu
- Podezření na malware
- Chování neoprávněné komunikace
- Bez reakce
Upozornění modulu zásad
Výstrahy modulu zásad popisují zjištěné odchylky od zjištěného chování směrného plánu.
| Titulek | Popis | Závažnost | Kategorie | MITRE ATT&CK Taktika a techniky |
Naučitelný |
|---|---|---|---|---|---|
| Beckhoff Software Changed | Firmware se aktualizoval na zdrojovém zařízení. Může to být autorizovaná aktivita, například postup plánované údržby. | Střední | Změna firmwaru | Taktika: - Inhibice funkce odpovědi -Perzistence Techniky: - T0857: Systémový firmware |
Naučitelný |
| Přihlášení k databázi se nezdařilo. | Byl zjištěn neúspěšný pokus o přihlášení ze zdrojového zařízení na cílový server. Může se jednat o výsledek lidské chyby, ale může to také znamenat škodlivý pokus o ohrožení serveru nebo dat v něm. Prahová hodnota: 2 selhání přihlášení za 5 minut |
Střední | Ověřování | Taktika: - Laterální pohyb -Sbírka Techniky: - T0812: Výchozí přihlašovací údaje - T0811: Data z úložišť informací |
Nepoučitelné |
| Změna verze firmwaru Emerson ROC | Firmware se aktualizoval na zdrojovém zařízení. Může to být autorizovaná aktivita, například postup plánované údržby. | Střední | Změna firmwaru | Taktika: - Inhibice funkce odpovědi -Perzistence Techniky: - T0857: Systémový firmware |
Naučitelný |
| Externí adresa v síti komunikovaná s internetem | Zdrojové zařízení definované jako součást vaší sítě komunikuje s internetovými adresami. Zdroj nemá oprávnění ke komunikaci s internetovými adresami. | Vysoká | Přístup k internetu | Taktika: - Počáteční přístup Techniky: - T0883: Zařízení přístupné z internetu |
Naučitelný |
| Zařízení pole bylo neočekávaně zjištěno | V síti se zjistilo nové zdrojové zařízení, ale není autorizované. | Střední | Zjišťování | Taktika: -Objev Techniky: - T0842: Network Sniffing |
Nepoučitelné |
| Zjištěná změna firmwaru | Firmware se aktualizoval na zdrojovém zařízení. Může to být autorizovaná aktivita, například postup plánované údržby. | Střední | Změna firmwaru | Taktika: - Inhibice funkce odpovědi -Perzistence Techniky: - T0857: Systémový firmware |
Nepoučitelné |
| Změna verze firmwaru | Firmware se aktualizoval na zdrojovém zařízení. Může to být autorizovaná aktivita, například postup plánované údržby. | Střední | Změna firmwaru | Taktika: - Inhibice funkce odpovědi -Perzistence Techniky: - T0857: Systémový firmware |
Naučitelný |
| Foxboro I/A – neautorizovaná operace | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu - T0836: Úprava parametru |
Naučitelný |
| Přihlášení FTP se nezdařilo. | Byl zjištěn neúspěšný pokus o přihlášení ze zdrojového zařízení na cílový server. Tato výstraha může být výsledkem lidské chyby, ale může také naznačovat škodlivý pokus o ohrožení serveru nebo dat v něm. | Střední | Ověřování | Taktika: - Laterální pohyb - Command And Control Techniky: - T0812: Výchozí přihlašovací údaje - T0869: Standardní protokol aplikační vrstvy |
Nepoučitelné |
| Kód funkce vyvolal neautorizovanou výjimku * | Zdrojové zařízení (sekundární) vrátilo výjimku cílovému zařízení (primárnímu). | Střední | Selhání příkazů | Taktika: - Inhibice funkce odpovědi Techniky: - T0835: Manipulace s I/V imagí |
Naučitelný |
| Nastavení typu zprávy GOOSE | Nastavení zprávy (identifikované podle ID protokolu) se změnilo na zdrojovém zařízení. | Nízká | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu Techniky: - T0836: Úprava parametru |
Naučitelný |
| Změna verze firmwaru Honeywell | Firmware se aktualizoval na zdrojovém zařízení. Může to být autorizovaná aktivita, například postup plánované údržby. | Střední | Změna firmwaru | Taktika: - Inhibice funkce odpovědi -Perzistence Techniky: - T0857: Systémový firmware |
Naučitelný |
| Neplatná komunikace HTTP * | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Neobvyklé chování komunikace HTTP | Taktika: -Objev Techniky: - T0846: Vzdálené zjišťování systému |
Naučitelný |
| Zjištěn přístup k internetu | Zdrojové zařízení definované jako součást vaší sítě komunikuje s internetovými adresami. Zdroj nemá oprávnění ke komunikaci s internetovými adresami. | Střední | Přístup k internetu | Taktika: - Počáteční přístup Techniky: - T0883: Zařízení přístupné z internetu |
Naučitelný |
| Změna verze firmwaru Firmware | Firmware se aktualizoval na zdrojovém zařízení. Může to být autorizovaná aktivita, například postup plánované údržby. | Střední | Změna firmwaru | Taktika: - Inhibice funkce odpovědi -Perzistence Techniky: - T0857: Systémový firmware |
Naučitelný |
| Porušení rozsahu adres Modbus | Primární zařízení požadovalo přístup k nové sekundární adrese paměti. | Střední | Chování neoprávněné komunikace | Taktika: -Objev Techniky: - T0842: Network Sniffing |
Naučitelný |
| Změna verze firmwaru Modbus | Firmware se aktualizoval na zdrojovém zařízení. Může to být autorizovaná aktivita, například postup plánované údržby. | Střední | Změna firmwaru | Taktika: - Inhibice funkce odpovědi -Perzistence Techniky: - T0857: Systémový firmware |
Naučitelný |
| Zjištěna nová aktivita – třída CIP | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: -Objev Techniky: - T0888: Vzdálené zjišťování Informace o systému |
Naučitelný |
| Zjištěna nová aktivita – služba třídy CIP | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Inhibice funkce odpovědi Techniky: - T0836: Úprava parametru |
Naučitelný |
| Zjištěna nová aktivita – příkaz CIP PCCC | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Inhibice funkce odpovědi Techniky: - T0836: Úprava parametru |
Naučitelný |
| Zjištěna nová aktivita – symbol CIP | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu - Inhibice funkce odpovědi Techniky: - T0855: Neautorizovaná zpráva příkazu - T0836: Úprava parametru |
Naučitelný |
| Zjištěná nová aktivita – Připojení EtherNet/IP/V | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: -Objev - Inhibice funkce odpovědi Techniky: - T0846: Vzdálené zjišťování systému - T0835: Manipulace s I/V imagí |
Naučitelný |
| Zjištěna nová aktivita – příkaz protokolu EtherNet/IP | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Inhibice funkce odpovědi Techniky: - T0836: Úprava parametru |
Naučitelný |
| Zjištěna nová aktivita – kód zprávy GSM | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: – CommandAndControl Techniky: - T0869: Standardní protokol aplikační vrstvy |
Naučitelný |
| Zjištěna nová aktivita – kódy příkazů LonTalk | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: -Sbírka - Narušit kontrolu procesu Techniky: - T0861 - Identifikace bodu a značky - T0855: Neautorizovaná zpráva příkazu |
Naučitelný |
| Nové zjišťování portů | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Nízká | Zjišťování | Taktika: - Laterální pohyb Techniky: - T0867: Přenos bočních nástrojů |
Naučitelný |
| Zjištěná nová aktivita – proměnná sítě LonTalk | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu |
Naučitelný |
| Zjištěná nová aktivita – žádost o data Ovation | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: -Sbírka -Objev Techniky: - T0801: Monitorování stavu procesu - T0888: Vzdálené zjišťování Informace o systému |
Naučitelný |
| Zjištěná nová aktivita – příkaz pro čtení a zápis (skupina indexů AMS) | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Změny konfigurace | Taktika: - Narušit kontrolu procesu - Inhibice funkce odpovědi Techniky: - T0855: Neautorizovaná zpráva příkazu - T0836: Úprava parametru |
Naučitelný |
| Zjištěná nová aktivita – příkaz pro čtení a zápis (posun indexu AMS) | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Změny konfigurace | Taktika: - Narušit kontrolu procesu - Inhibice funkce odpovědi Techniky: - T0855: Neautorizovaná zpráva příkazu - T0836: Úprava parametru |
Naučitelný |
| Zjištěná nová aktivita – Typ zprávy DeltaV neautorizováno | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu -Poprava Techniky: - T0855: Neautorizovaná zpráva příkazu - T0821: Úprava úloh kontroleru |
Naučitelný |
| Zjištěna nová aktivita – Neautorizováno operace DeltaV ROC | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu -Poprava Techniky: - T0855: Neautorizovaná zpráva příkazu - T0821: Úprava úloh kontroleru |
Naučitelný |
| Zjištěna nová aktivita – Neautorizovaný typ zprávy RPC | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu |
Naučitelný |
| Zjištěná nová aktivita – použití příkazu protokolu AMS | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu - Inhibice funkce odpovědi -Poprava Techniky: - T0855: Neautorizovaná zpráva příkazu - T0836: Úprava parametru - T0821: Úprava úloh kontroleru |
Naučitelný |
| Zjištěna nová aktivita – použití příkazu Siemens SICAM | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu - Inhibice funkce odpovědi Techniky: - T0855: Neautorizovaná zpráva příkazu - T0836: Úprava parametru |
Naučitelný |
| Zjištěná nová aktivita – použití příkazu Suitelink Protocol | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu - Inhibice funkce odpovědi Techniky: - T0855: Neautorizovaná zpráva příkazu - T0836: Úprava parametru |
Naučitelný |
| Zjištěná nová aktivita – použití relací protokolu Suitelink | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu Techniky: - T0836: Úprava parametru |
Naučitelný |
| Zjištěná nová aktivita – použití příkazu Yokogawa VNetIP | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu -Poprava Techniky: - T0855: Neautorizovaná zpráva příkazu - T0821: Úprava úloh kontroleru |
Naučitelný |
| Zjištěn nový prostředek | V síti se zjistilo nové zdrojové zařízení, ale není autorizované. Tato výstraha platí pro zařízení zjištěná v podsítích OT. Nová zařízení zjištěná v podsítích IT neaktivují upozornění. |
Střední | Zjišťování | Taktika: -Objev Techniky: - T0842: Network Sniffing |
Naučitelný |
| Nová konfigurace zařízení LLDP | V síti se zjistilo nové zdrojové zařízení, ale není autorizované. | Střední | Změny konfigurace | Taktika: -Objev Techniky: - T0842: Network Sniffing |
Naučitelný |
| Neoprávněný příkaz Omron FINS | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu - T0836: Úprava parametru |
Naučitelný |
| Změna firmwaru S7 Plus PLC | Firmware se aktualizoval na zdrojovém zařízení. Může to být autorizovaná aktivita, například postup plánované údržby. | Střední | Změna firmwaru | Taktika: - Inhibice funkce odpovědi -Perzistence Techniky: - T0857: Systémový firmware |
Naučitelný |
| Nastavení typu zprávy s ukázkovými hodnotami | Nastavení zprávy (identifikované podle ID protokolu) se změnilo na zdrojovém zařízení. | Nízká | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu Techniky: - T0836: Úprava parametru |
Nepoučitelné |
| Podezření na nelegální kontrolu integrity * | Na zdrojovém zařízení DNP3 (outstation) byla zjištěna kontrola. Tato kontrola nebyla autorizovaná, protože se naučil provoz ve vaší síti. | Střední | Naskenovat | Taktika: -Objev Techniky: - T0842: Network Sniffing |
Naučitelný |
| Toshiba Computer Link Neautorizovaný příkaz | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Nízká | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu -Poprava Techniky: - T0855: Neautorizovaná zpráva příkazu - T0821: Úprava úloh kontroleru |
Naučitelný |
| Neautorizováno operace souboru ABB Totalflow | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu -Poprava Techniky: - T0855: Neautorizovaná zpráva příkazu - T0821: Úprava úloh kontroleru |
Nepoučitelné |
| Neautorizovaná operace registrace ABB Totalflow | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu -Poprava Techniky: - T0855: Neautorizovaná zpráva příkazu - T0821: Úprava úloh kontroleru |
Nepoučitelné |
| Neoprávněný přístup k datovému bloku Siemens S7 | Zdrojové zařízení se pokusilo o přístup k prostředku na jiném zařízení. Pokus o přístup k tomuto prostředku mezi těmito dvěma zařízeními není autorizovaný jako naučený provoz ve vaší síti. | Nízká | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu - Počáteční přístup Techniky: - T0855: Neautorizovaná zpráva příkazu - T0811: Data z úložišť informací |
Naučitelný |
| Neoprávněný přístup k objektu Siemens S7 Plus | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu -Poprava - Inhibice funkce odpovědi Techniky: - T0855: Neautorizovaná zpráva příkazu - T0821: Úprava úloh kontroleru - T0809: Zničení dat |
Naučitelný |
| Neoprávněný přístup ke značce Wonderware | Zdrojové zařízení se pokusilo o přístup k prostředku na jiném zařízení. Pokus o přístup k tomuto prostředku mezi těmito dvěma zařízeními není autorizovaný jako naučený provoz ve vaší síti. | Střední | Chování neoprávněné komunikace | Taktika: -Sbírka - Narušit kontrolu procesu Techniky: - T0861: Identifikace bodu a značky - T0855: Neautorizovaná zpráva příkazu |
Naučitelný |
| Neoprávněný přístup k objektům BACNet | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu -Poprava Techniky: - T0855: Neautorizovaná zpráva příkazu - T0821: Úprava úloh kontroleru |
Naučitelný |
| Neautorizovaná trasa BACNet | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu -Poprava Techniky: - T0855: Neautorizovaná zpráva příkazu - T0821: Úprava úloh kontroleru |
Naučitelný |
| Neoprávněné přihlášení k databázi * | Zjistil se pokus o přihlášení mezi zdrojovým a cílovým serverem. Komunikace mezi těmito zařízeními není autorizovaná jako naučený provoz ve vaší síti. | Střední | Ověřování | Taktika: - Laterální pohyb -Perzistence -Sbírka Techniky: - T0859: Platné účty - T0811: Data z úložišť informací |
Naučitelný |
| Neautorizovaná operace databáze | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Neobvyklé chování komunikace | Taktika: - Narušit kontrolu procesu - Počáteční přístup Techniky: - T0855: Neautorizovaná zpráva příkazu - T0811: Data z úložišť informací |
Naučitelný |
| Neoprávněná operace Emerson ROC | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu -Poprava Techniky: - T0855: Neautorizovaná zpráva příkazu - T0821: Úprava úloh kontroleru |
Naučitelný |
| Neoprávněný přístup k souborům GE SRTP | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: -Sbírka - LateralMovement -Perzistence Techniky: - T0801: Monitorování stavu procesu - T0859: Platné účty |
Naučitelný |
| Příkaz neautorizovaného protokolu GE SRTP | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu - T0821: Úprava úloh kontroleru |
Naučitelný |
| Neautorizováno operace systémové paměti GE SRTP | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: -Objev - Narušit kontrolu procesu Techniky: - T0846: Vzdálené zjišťování systému - T0855: Neautorizovaná zpráva příkazu |
Naučitelný |
| Neautorizovaná aktivita HTTP | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Neobvyklé chování komunikace HTTP | Taktika: - Počáteční přístup - Command And Control Techniky: - T0822: Externí vzdálené služby - T0869: Standardní protokol aplikační vrstvy |
Naučitelný |
| Neautorizovaná akce PROTOKOLU HTTP SOAP * | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Neobvyklé chování komunikace HTTP | Taktika: - Command And Control -Poprava Techniky: - T0869: Standardní protokol aplikační vrstvy – T0871: Spouštění prostřednictvím rozhraní API |
Naučitelný |
| Neautorizovaný uživatelský agent HTTP * | Na zdrojovém zařízení byla zjištěna neautorizovaná aplikace. Aplikace není autorizovaná jako naučená aplikace ve vaší síti. | Střední | Neobvyklé chování komunikace HTTP | Taktika: - Command And Control Techniky: - T0869: Standardní protokol aplikační vrstvy |
Naučitelný |
| Zjistilo se neautorizované připojení k internetu | Zdrojové zařízení definované jako součást vaší sítě komunikuje s internetovými adresami. Zdroj nemá oprávnění ke komunikaci s internetovými adresami. | Vysoká | Přístup k internetu | Taktika: - Počáteční přístup Techniky: - T0883: Zařízení přístupné z internetu |
Naučitelný |
| Neautorizovaný příkaz Apple MelSEC | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu -Poprava Techniky: - T0855: Neautorizovaná zpráva příkazu - T0821: Úprava úloh kontroleru |
Naučitelný |
| Neoprávněný přístup k programu MMS | Zdrojové zařízení se pokusilo o přístup k prostředku na jiném zařízení. Pokus o přístup k tomuto prostředku mezi těmito dvěma zařízeními není autorizovaný jako naučený provoz ve vaší síti. | Střední | Programování | Taktika: - Narušit kontrolu procesu -Poprava Techniky: - T0855: Neautorizovaná zpráva příkazu - T0821: Úprava úloh kontroleru |
Naučitelný |
| Neautorizovaná služba MMS | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu -Poprava Techniky: - T0855: Neautorizovaná zpráva příkazu - T0821: Úprava úloh kontroleru |
Naučitelný |
| Neautorizované vícesměrové nebo všesměrové připojení | Bylo zjištěno připojení vícesměrového vysílání nebo vysílání mezi zdrojovým zařízením a dalšími zařízeními. Komunikace vícesměrového/všesměrového vysílání není autorizovaná. | Vysoká | Neobvyklé chování komunikace | Taktika: -Objev Techniky: - T0842: Network Sniffing |
Naučitelný |
| Neautorizovaný dotaz na název | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Neobvyklé chování komunikace | Taktika: - Narušit kontrolu procesu Techniky: - T0836: Úprava parametru |
Nepoučitelné |
| Neoprávněná aktivita OPC UA | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu Techniky: - T0836: Úprava parametru |
Naučitelný |
| Neautorizovaný požadavek nebo odpověď OPC UA | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu Techniky: - T0836: Úprava parametru |
Naučitelný |
| Neoprávněná operace byla zjištěna uživatelem definovaným pravidlem. | Provoz se zjistil mezi dvěma zařízeními. Tato aktivita není neoprávněná na základě vlastního pravidla upozornění definovaného uživatelem. | Střední | Vlastní upozornění | Taktika: -Objev Techniky: - T0842: Network Sniffing |
Nepoučitelné |
| Čtení neoprávněné konfigurace PLC | Zdrojové zařízení není definováno jako programovací zařízení, ale provedlo operaci čtení a zápisu na cílovém kontroleru. Změny programování by měly provádět pouze programovacími zařízeními. Na tomto zařízení je možná nainstalovaná programovací aplikace. | Nízká | Změny konfigurace | Taktika: -Sbírka Techniky: - T0801: Monitorování stavu procesu |
Naučitelný |
| Neoprávněný zápis konfigurace PLC | Zdrojové zařízení odeslalo příkaz ke čtení a zápisu programu cílového kontroleru. Tato aktivita nebyla dříve zobrazena. | Střední | Změny konfigurace | Taktika: - Narušit kontrolu procesu -Perzistence -Dopad Techniky: - T0839: Firmware modulu - T0831: Manipulace s kontrolou - T0889: Změnit program |
Naučitelný |
| Nahrání neautorizovaného programu PLC | Zdrojové zařízení odeslalo příkaz ke čtení a zápisu programu cílového kontroleru. Tato aktivita nebyla dříve zobrazena. | Střední | Programování | Taktika: - Narušit kontrolu procesu -Perzistence -Sbírka Techniky: - T0839: Firmware modulu - T0845: Nahrávání programu |
Naučitelný |
| Neautorizované programování PLC | Zdrojové zařízení není definováno jako programovací zařízení, ale provedlo operaci čtení a zápisu na cílovém kontroleru. Změny programování by měly provádět pouze programovacími zařízeními. Na tomto zařízení je možná nainstalovaná programovací aplikace. | Vysoká | Programování | Taktika: - Narušit kontrolu procesu -Perzistence - Laterální pohyb Techniky: - T0839: Firmware modulu - T0889: Změnit program - T0843: Stažení programu |
Naučitelný |
| Neautorizovaný typ rámu Profinet | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu Techniky: - T0836: Úprava parametru |
Naučitelný |
| Neoprávněný příkaz SAIA S-Bus | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu |
Naučitelný |
| Neautorizováno Siemens S7 Provádění kontrolní funkce | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu - Inhibice funkce odpovědi Techniky: - T0855: Neautorizovaná zpráva příkazu - T0809: Zničení dat |
Naučitelný |
| Neoprávněné spuštění uživatelem definované funkce Společnosti Siemens S7 | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu -Poprava Techniky: - T0836: Úprava parametru - T0863: Spuštění uživatele |
Naučitelný |
| Neoprávněný přístup Společnosti Siemens S7 Plus | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Inhibice funkce odpovědi -Perzistence -Poprava Techniky: - T0803 - Blokovat zprávu příkazu - T0889: Změnit program - T0821: Úprava úloh kontroleru |
Naučitelný |
| Neoprávněný provoz Siemens S7 Plus | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu -Poprava Techniky: - T0855: Neautorizovaná zpráva příkazu - T0863: Spuštění uživatele |
Naučitelný |
| Neautorizované přihlášení SMB | Zjistil se pokus o přihlášení mezi zdrojovým a cílovým serverem. Komunikace mezi těmito zařízeními není autorizovaná jako naučený provoz ve vaší síti. | Střední | Ověřování | Taktika: - Počáteční přístup - Laterální pohyb -Perzistence Techniky: - T0886: Vzdálené služby - T0859: Platné účty |
Naučitelný |
| Neautorizovaná operace SNMP | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Neobvyklé chování komunikace | Taktika: -Objev - Command And Control Techniky: - T0842: Network Sniffing - T0885: Běžně používaný port |
Naučitelný |
| Neoprávněný přístup SSH | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Vzdálený přístup | Taktika: - InitialAccess - Laterální pohyb - Command And Control Techniky: - T0886: Vzdálené služby - T0869: Standardní protokol aplikační vrstvy |
Naučitelný |
| Neautorizovaný proces Windows | Na zdrojovém zařízení byla zjištěna neautorizovaná aplikace. Aplikace není autorizovaná jako naučená aplikace ve vaší síti. | Střední | Neobvyklé chování komunikace | Taktika: -Poprava - Eskalace oprávnění - Command And Control Techniky: - T0841: Háky - T0885: Běžně používaný port |
Naučitelný |
| Neautorizovaná služba systému Windows | Na zdrojovém zařízení byla zjištěna neautorizovaná aplikace. Aplikace není autorizovaná jako naučená aplikace ve vaší síti. | Střední | Neobvyklé chování komunikace | Taktika: - Počáteční přístup - Laterální pohyb Techniky: - T0866: Využívání vzdálených služeb |
Naučitelný |
| Neoprávněná operace byla zjištěna uživatelem definovaným pravidlem. | Byly zjištěny nové parametry provozu. Tato kombinace parametrů porušuje uživatelem definované pravidlo. | Střední | Taktika: -Objev Techniky: - T0842: Network Sniffing |
Nepoučitelné | |
| Nepovolené rozšíření Modbus Schneider Electric | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu |
Naučitelný |
| Nepotvrzené použití typů ASDU | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu |
Naučitelný |
| Nepotvrzené použití kódu funkce DNP3 | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu Techniky: - T0836: Úprava parametru |
Naučitelný |
| Nepotvrzené použití interní indikace (IIN) * | Zdrojové zařízení DNP3 (outstation) nahlásilo interní indikaci (IIN), která nemá oprávnění jako naučený provoz ve vaší síti. | Střední | Neplatné příkazy | Taktika: -Objev Techniky: - T0842: Network Sniffing |
Naučitelný |
| Nepotvrzené použití kódu funkce Modbus | Byly zjištěny nové parametry provozu. Tato kombinace parametrů není autorizovaná jako naučený provoz ve vaší síti. Následující kombinace není neoprávněná. | Střední | Chování neoprávněné komunikace | Taktika: - Narušit kontrolu procesu Techniky: - T0836: Úprava parametru |
Naučitelný |
Upozornění modulu anomálií
Poznámka:
Tento článek obsahuje odkazy na termín slave (podřízený) , což je termín, který už Microsoft nepoužívá. Až bude tento termín ze softwaru odstraněn, odstraníme ho i z tohoto článku.
Výstrahy modulu anomálií popisují zjištěné anomálie v síťové aktivitě.
| Titulek | Popis | Závažnost | Kategorie | MITRE ATT&CK Taktika a techniky |
Naučitelný |
|---|---|---|---|---|---|
| Neobvyklý vzor výjimek v otroku * | Na zdrojovém zařízení byl zjištěn nadměrný počet chyb. Tato výstraha může být výsledkem provozního problému. Prahová hodnota: 20 výjimek za 1 hodinu |
Nízká | Neobvyklé chování komunikace | Taktika: - Narušit kontrolu procesu Techniky: - T0806: Hrubá síla vstupně-výstupní operace |
Nepoučitelné |
| Neobvyklá délka hlavičky HTTP * | Zdrojové zařízení odeslalo neobvyklou zprávu. Tato výstraha může naznačovat pokus o útok na cílové zařízení. | Vysoká | Neobvyklé chování komunikace HTTP | Taktika: - Počáteční přístup - Laterální pohyb - Command And Control Techniky: - T0866: Využívání vzdálených služeb - T0869: Standardní protokol aplikační vrstvy |
Naučitelný |
| Neobvyklý počet parametrů v hlavičce HTTP * | Zdrojové zařízení odeslalo neobvyklou zprávu. Tato výstraha může naznačovat pokus o útok na cílové zařízení. | Vysoká | Neobvyklé chování komunikace HTTP | Taktika: - Počáteční přístup - Laterální pohyb - Command And Control Techniky: - T0866: Využívání vzdálených služeb - T0869: Standardní protokol aplikační vrstvy |
Naučitelný |
| Neobvyklé pravidelné chování v komunikačním kanálu | Byla zjištěna změna četnosti komunikace mezi zdrojovým a cílovým zařízením. | Nízká | Neobvyklé chování komunikace | Taktika: -Objev Techniky: - T0842: Network Sniffing |
Naučitelný |
| Neobvyklé ukončení aplikací * | Na zdrojovém zařízení byl zjištěn nadměrný počet příkazů zastavení. Toto upozornění může být výsledkem provozního problému nebo pokusu o manipulaci se zařízením. Prahová hodnota: 20 příkazů zastavení za 3 hodiny |
Střední | Neobvyklé chování komunikace | Taktika: -Perzistence -Dopad Techniky: - T0889: Změnit program - T0831: Manipulace s kontrolou |
Naučitelný |
| Neobvyklá šířka pásma provozu * | V kanálu byla zjištěna neobvyklá šířka pásma. Šířka pásma se zdá být nižší nebo vyšší, než byla zjištěna dříve. Podrobnosti najdete ve widgetu Celková šířka pásma. | Nízká | Anomálie šířky pásma | Taktika: -Objev Techniky: - T0842: Network Sniffing |
Naučitelný |
| Neobvyklá šířka pásma přenosu mezi zařízeními * | V kanálu byla zjištěna neobvyklá šířka pásma. Šířka pásma se zdá být nižší nebo vyšší, než byla zjištěna dříve. Podrobnosti najdete ve widgetu Celková šířka pásma. | Nízká | Anomálie šířky pásma | Taktika: -Objev Techniky: - T0842: Network Sniffing |
Nepoučitelné |
| Zjištěná kontrola adresy | Zjistilo se zdrojové zařízení, které prohledávala síťová zařízení. Toto zařízení není autorizované jako zařízení pro prohledávání sítě. Prahová hodnota: 50 připojení ke stejné podsíti třídy B za 2 minuty |
Vysoká | Naskenovat | Taktika: -Objev Techniky: - T0842: Network Sniffing |
Naučitelný |
| Zjištěná kontrola adresy protokolu ARP * | Bylo zjištěno, že zdrojové zařízení prohledává síťová zařízení pomocí protokolu ARP (Address Resolution Protocol). Tato adresa zařízení není autorizovaná jako platná adresa kontroly protokolu ARP. Prahová hodnota: 40 kontrol za 6 minut |
Vysoká | Naskenovat | Taktika: -Objev -Sbírka Techniky: - T0842: Network Sniffing - T0830: Muž uprostřed |
Naučitelný |
| Falšování identity protokolu ARP * | V síti bylo zjištěno neobvyklé množství paketů. Tato výstraha může naznačovat útok, například falšování identity protokolu ARP nebo útok povodňového útoku PROTOKOLU ICMP. Prahová hodnota: 60 paketů za 1 minutu |
Nízká | Neobvyklé chování komunikace | Taktika: -Sbírka Techniky: - T0830: Muž uprostřed |
Nepoučitelné |
| Nadměrné pokusy o přihlášení | U zdrojového zařízení došlo k nadměrnému pokusu o přihlášení k cílovému serveru. Tato výstraha může naznačovat útok hrubou silou. Server může ohrozit škodlivý aktér. Prahová hodnota: 20 pokusů o přihlášení za 1 minutu |
Vysoká | Ověřování | Taktika: - LateralMovement - Narušit kontrolu procesu Techniky: - T0812: Výchozí přihlašovací údaje - T0806: Hrubá síla vstupně-výstupní operace |
Nepoučitelné |
| Nadměrný počet relací | U zdrojového zařízení došlo k nadměrnému pokusu o přihlášení k cílovému serveru. To může značit útok hrubou silou. Server může ohrozit škodlivý aktér. Prahová hodnota: 50 relací za 1 minutu |
Vysoká | Neobvyklé chování komunikace | Taktika: - Laterální pohyb - Narušit kontrolu procesu Techniky: - T0812: Výchozí přihlašovací údaje - T0806: Hrubá síla vstupně-výstupní operace |
Nepoučitelné |
| Nadměrná rychlost restartování zařízení * | Na zdrojovém zařízení byl zjištěn nadměrný počet příkazů restartování. Tyto výstrahy můžou být výsledkem provozního problému nebo pokusu o manipulaci se zařízením. Prahová hodnota: 10 restartování za 1 hodinu |
Střední | Restartovat nebo zastavit příkazy | Taktika: - Inhibice funkce odpovědi - Narušit kontrolu procesu Techniky: - T0814: Odepření služby - T0806: Hrubá síla vstupně-výstupní operace |
Nepoučitelné |
| Nadměrné pokusy o přihlášení smb | U zdrojového zařízení došlo k nadměrnému pokusu o přihlášení k cílovému serveru. To může značit útok hrubou silou. Server může ohrozit škodlivý aktér. Prahová hodnota: 10 pokusů o přihlášení za 10 minut |
Vysoká | Ověřování | Taktika: -Perzistence -Poprava - LateralMovement Techniky: - T0812: Výchozí přihlašovací údaje - T0853: Skriptování - T0859: Platné účty |
Nepoučitelné |
| Zahlcené protokoly ICMP * | V síti bylo zjištěno neobvyklé množství paketů. Tato výstraha může naznačovat útok, například falšování identity protokolu ARP nebo útok povodňového útoku PROTOKOLU ICMP. Prahová hodnota: 60 paketů za 1 minutu |
Nízká | Neobvyklé chování komunikace | Taktika: -Objev -Sbírka Techniky: - T0842: Network Sniffing - T0830: Muž uprostřed |
Nepoučitelné |
| Neplatný obsah hlavičky HTTP * | Zdrojové zařízení iniciovalo neplatný požadavek. | Vysoká | Neobvyklé chování komunikace HTTP | Taktika: - Počáteční přístup - LateralMovement Techniky: - T0866: Využívání vzdálených služeb |
Nepoučitelné |
| Neaktivní komunikační kanál * | Komunikační kanál mezi dvěma zařízeními byl během období, během kterého se obvykle sleduje aktivita, neaktivní. To může znamenat, že program, který generuje tento provoz, byl změněn nebo může být nedostupný. Doporučujeme zkontrolovat konfiguraci nainstalovaného programu a ověřit, jestli je správně nakonfigurovaná. Prahová hodnota: 1 minuta |
Nízká | Bez reakce | Taktika: - Inhibice funkce odpovědi Techniky: - T0881: Service Stop |
Nepovolitelné |
| Zjištěná kontrola adresy dlouhé doby trvání * | Zjistilo se zdrojové zařízení, které prohledávala síťová zařízení. Toto zařízení není autorizované jako zařízení pro prohledávání sítě. Prahová hodnota: 50 připojení ke stejné podsíti třídy B za 10 minut |
Vysoká | Naskenovat | Taktika: -Objev Techniky: - T0842: Network Sniffing |
Naučitelný |
| Byl zjištěn pokus o hádání hesla. | U zdrojového zařízení došlo k nadměrnému pokusu o přihlášení k cílovému serveru. To může značit útok hrubou silou. Server může ohrozit škodlivý aktér. Prahová hodnota: 100 pokusů za 1 minutu |
Vysoká | Ověřování | Taktika: - Laterální pohyb Techniky: - T0812: Výchozí přihlašovací údaje - T0806: Hrubá síla vstupně-výstupní operace |
Nepoučitelné |
| Zjištěná kontrola PLC | Zjistilo se zdrojové zařízení, které prohledávala síťová zařízení. Toto zařízení není autorizované jako zařízení pro prohledávání sítě. Prahová hodnota: 10 kontrol za 2 minuty |
Vysoká | Naskenovat | Taktika: -Objev Techniky: - T0842: Network Sniffing |
Naučitelný |
| Zjištěná kontrola portů | Zjistilo se zdrojové zařízení, které prohledávala síťová zařízení. Toto zařízení není autorizované jako zařízení pro prohledávání sítě. Prahová hodnota: 25 kontrol za 2 minuty |
Vysoká | Naskenovat | Taktika: -Objev Techniky: - T0842: Network Sniffing |
Naučitelný |
| Neočekávaná délka zprávy | Zdrojové zařízení odeslalo neobvyklou zprávu. Tato výstraha může naznačovat pokus o útok na cílové zařízení. Prahová hodnota: délka textu – 32768 |
Vysoká | Neobvyklé chování komunikace | Taktika: - InitialAccess - LateralMovement Techniky: - T0869: Využívání vzdálených služeb |
Nepoučitelné |
| Neočekávaný provoz pro standardní port * | Provoz byl zjištěn na zařízení pomocí portu vyhrazeného pro jiný protokol. | Střední | Neobvyklé chování komunikace | Taktika: - Command And Control -Objev Techniky: - T0869: Standardní protokol aplikační vrstvy - T0842: Network Sniffing |
Nepoučitelné |
Upozornění modulu porušení protokolu
Výstrahy modulu protokolu popisují zjištěné odchylky ve struktuře paketů nebo hodnoty polí v porovnání se specifikacemi protokolu.
| Titulek | Popis | Závažnost | Kategorie | MITRE ATT&CK Taktika a techniky |
Naučitelný |
|---|---|---|---|---|---|
| Nadměrné poškozené pakety v jedné relaci * | Neobvyklý počet poškozených paketů odesílaných ze zdrojového zařízení do cílového zařízení. Tato výstraha může naznačovat chybnou komunikaci nebo pokus o manipulaci s cílovým zařízením. Prahová hodnota: 2 poškozené pakety za 10 minut |
Střední | Neplatné příkazy | Taktika: - Narušit kontrolu procesu Techniky: - T0806: Hrubá síla vstupně-výstupní operace |
Nepoučitelné |
| Aktualizace firmwaru | Zdrojové zařízení odeslalo příkaz pro aktualizaci firmwaru na cílovém zařízení. Ověřte, že jsou platné nejnovější aktualizace programování, konfigurace a firmwaru provedené na cílovém zařízení. | Nízká | Změna firmwaru | Taktika: - Inhibice funkce odpovědi -Perzistence Techniky: - T0857: Systémový firmware |
Naučitelný |
| Kód funkce nepodporován službou Outstation | Cílové zařízení obdrželo neplatnou žádost. | Střední | Neplatné příkazy | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu |
Nepoučitelné |
| Neplatná zpráva BACNet | Zdrojové zařízení iniciovalo neplatný požadavek. | Střední | Neplatné příkazy | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu - T0836: Úprava parametru |
Nepoučitelné |
| Neplatný pokus o připojení na portu 0 | Zdrojové zařízení se pokusilo připojit k cílovému zařízení na čísle portu nula (0). Pro tcp je port 0 rezervovaný a nejde ho použít. U udp je port volitelný a hodnota 0 znamená, že žádný port není. V systému, který naslouchá na portu 0, obvykle neexistuje žádná služba. Tato událost může znamenat pokus o útok na cílové zařízení nebo naznačovat, že aplikace byla naprogramována nesprávně. | Nízká | Neplatné příkazy | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu - T0836: Úprava parametru |
Nepoučitelné |
| Neplatná operace DNP3 | Zdrojové zařízení iniciovalo neplatný požadavek. | Střední | Neplatné příkazy | Taktika: - Počáteční přístup - Laterální pohyb Techniky: - T0866: Využívání vzdálených služeb |
Nepoučitelné |
| Neplatná operace MODBUS (výjimka vyvolaná hlavním serverem) | Zdrojové zařízení iniciovalo neplatný požadavek. | Střední | Neplatné příkazy | Taktika: - Počáteční přístup - Laterální pohyb Techniky: - T0866: Využívání vzdálených služeb |
Nepoučitelné |
| Neplatná operace MODBUS (kód funkce nula) * | Zdrojové zařízení iniciovalo neplatný požadavek. | Střední | Neplatné příkazy | Taktika: - Počáteční přístup - Laterální pohyb Techniky: - T0866: Využívání vzdálených služeb |
Nepoučitelné |
| Neplatná verze protokolu * | Zdrojové zařízení iniciovalo neplatný požadavek. | Střední | Neplatné příkazy | Taktika: - Počáteční přístup - LateralMovement - Narušit kontrolu procesu Techniky: - T0820: Vzdálené služby - T0836: Úprava parametru |
Nepoučitelné |
| Nesprávný parametr odeslaný do outstation | Cílové zařízení obdrželo neplatnou žádost. | Střední | Neplatné příkazy | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu - T0836: Úprava parametru |
Nepoučitelné |
| Inicializace zastaralého kódu funkce (inicializace dat) | Zdrojové zařízení iniciovalo neplatný požadavek. | Nízká | Neplatné příkazy | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu |
Nepoučitelné |
| Inicializace zastaralého kódu funkce (uložit konfiguraci) | Zdrojové zařízení iniciovalo neplatný požadavek. | Nízká | Neplatné příkazy | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu |
Nepoučitelné |
| Hlavní žádost o potvrzení aplikační vrstvy | Zdrojové zařízení iniciovalo neplatný požadavek. | Nízká | Neplatné příkazy | Taktika: - Command And Control Techniky: - T0869: Standardní protokol aplikační vrstvy |
Nepoučitelné |
| Výjimka Modbus | Zdrojové zařízení (sekundární) vrátilo výjimku cílovému zařízení (primárnímu). | Střední | Neplatné příkazy | Taktika: - Inhibice funkce odpovědi Techniky: - T0814: Odepření služby |
Nepoučitelné |
| Zařízení s otroky obdrželo neplatný typ ASDU | Cílové zařízení obdrželo neplatnou žádost. | Střední | Neplatné příkazy | Taktika: - Narušit kontrolu procesu Techniky: - T0836: Úprava parametru |
Nepoučitelné |
| Podřízené zařízení obdrželo neplatnou příčinu přenosu | Cílové zařízení obdrželo neplatnou žádost. | Střední | Neplatné příkazy | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu - T0836: Úprava parametru |
Nepoučitelné |
| Zařízení s otroky obdrželo neplatnou běžnou adresu | Cílové zařízení obdrželo neplatnou žádost. | Střední | Neplatné příkazy | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu - T0836: Úprava parametru |
Nepoučitelné |
| Zařízení s otroky obdrželo neplatný parametr datové adresy * | Cílové zařízení obdrželo neplatnou žádost. | Střední | Neplatné příkazy | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu - T0836: Úprava parametru |
Nepoučitelné |
| Zařízení s otroky obdrželo neplatný parametr hodnoty dat * | Cílové zařízení obdrželo neplatnou žádost. | Střední | Neplatné příkazy | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu - T0836: Úprava parametru |
Nepoučitelné |
| Zařízení s otroky obdrželo neplatný kód funkce * | Cílové zařízení obdrželo neplatnou žádost. | Střední | Neplatné příkazy | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu - T0836: Úprava parametru |
Nepoučitelné |
| Zařízení s otroky obdrželo neplatnou adresu objektu informací | Cílové zařízení obdrželo neplatnou žádost. | Střední | Neplatné příkazy | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu - T0836: Úprava parametru |
Nepoučitelné |
| Neznámý objekt odeslaný do outstation | Cílové zařízení obdrželo neplatnou žádost. | Střední | Neplatné příkazy | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu |
Nepoučitelné |
| Použití kódu rezervované funkce | Zdrojové zařízení iniciovalo neplatný požadavek. | Střední | Neplatné příkazy | Taktika: - Narušit kontrolu procesu Techniky: - T0836: Úprava parametru |
Nepoučitelné |
| Použití nesprávného formátování ověřením identity * | Zdrojové zařízení iniciovalo neplatný požadavek. | Nízká | Neplatné příkazy | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu |
Nepoučitelné |
| Použití příznaků rezervovaného stavu (IIN) | Zdrojové zařízení DNP3 (outstation) používalo rezervovaný interní indikátor 2.6. Doporučujeme zkontrolovat konfiguraci zařízení. | Nízká | Neplatné příkazy | Taktika: - Narušit kontrolu procesu Techniky: - T0836: Úprava parametru |
Nepoučitelné |
Upozornění modulu malwaru
Výstrahy modulu malwaru popisují zjištěnou škodlivou síťovou aktivitu.
| Titulek | Popis | Závažnost | Kategorie | MITRE ATT&CK Taktika a techniky |
Naučitelný |
|---|---|---|---|---|---|
| Pokus o připojení ke známé škodlivé IP adrese | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojena s útokem, který využívá metodu používanou známým malwarem. Aktivované síťovými senzory OT i Enterprise IoT. |
Vysoká | Podezření na škodlivou aktivitu | Taktika: - Počáteční přístup - Command And Control Techniky: - T0883: Zařízení přístupné z internetu - T0884: Proxy připojení |
Nepoučitelné |
| Neplatná zpráva SMB (dvojitý zadní vrátka) | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojena s útokem, který využívá metodu používanou známým malwarem. | Vysoká | Podezření na malware | Taktika: - Počáteční přístup - LateralMovement Techniky: - T0866: Využívání vzdálených služeb |
Nepoučitelné |
| Žádost o název škodlivé domény | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojena s útokem, který využívá metodu používanou známým malwarem. Aktivované síťovými senzory OT i Enterprise IoT. |
Vysoká | Podezření na škodlivou aktivitu | Taktika: - Počáteční přístup - Command And Control Techniky: - T0883: Zařízení přístupné z internetu - T0884: Proxy připojení |
Naučitelný |
| Cesta k škodlivé adrese URL | Požadavek byl proveden na známou škodlivou cestu URL. Požadavky provedené pro tuto cestu URL můžou znamenat, že zdroj, který požadavek vytváří, je ohrožený. | Vysoká | Podezření na škodlivou aktivitu | Taktika: - Počáteční přístup - Command And Control Techniky: - T0883: Zařízení přístupné z internetu - T0884: Proxy připojení |
Nepoučitelné |
| Zjištěn testovací soubor malwaru – úspěch EICAR AV | Testovací soubor EICAR AV byl zjištěn v provozu mezi dvěma zařízeními (přes jakýkoli přenos – TCP nebo UDP). Soubor není malware. Používá se k potvrzení správné instalace antivirového softwaru. Předveďte, co se stane, když se najde virus, a zkontrolujte vnitřní postupy a reakce, když se najde virus. Antivirový software by měl detekovat EICAR, jako by to byl skutečný virus. | Vysoká | Podezření na škodlivou aktivitu | Taktika: -Objev Techniky: - T0842: Network Sniffing |
Nepoučitelné |
| Podezření na malware Confickeru | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojena s útokem, který využívá metodu používanou známým malwarem. | Střední | Podezření na malware | Taktika: - Počáteční přístup -Dopad Techniky: - T0826: Ztráta dostupnosti - T0828: Ztráta produktivity a výnosů - T0847: Replikace prostřednictvím vyměnitelného média |
Nepoučitelné |
| Podezření na útok DoS (Denial Of Service) | Zdrojové zařízení se pokusilo zahájit nadměrný počet nových připojení k cílovému zařízení. To může znamenat útok DOS (Denial Of Service) na cílové zařízení a může přerušit funkčnost zařízení, ovlivnit výkon a dostupnost služby nebo způsobit neopravitelné chyby. Prahová hodnota: 3000 pokusů za 1 minutu |
Vysoká | Podezření na škodlivou aktivitu | Taktika: - Inhibice funkce odpovědi Techniky: - T0814: Odepření služby |
Naučitelný |
| Podezření na škodlivou aktivitu | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být přidružená k útoku, který aktivoval známé indikátory ohrožení zabezpečení (IOCS). Metadata výstrah by měla zkontrolovat bezpečnostní tým. | Vysoká | Podezření na škodlivou aktivitu | Taktika: - Laterální pohyb Techniky: - T0867: Přenos bočních nástrojů |
Nepoučitelné |
| Podezření na škodlivou aktivitu (BlackEnergy) | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojena s útokem, který využívá metodu používanou známým malwarem. | Vysoká | Podezření na malware | Taktika: - Command And Control Techniky: - T0869: Standardní protokol aplikační vrstvy |
Nepoučitelné |
| Podezření na škodlivou aktivitu (DarkComet) | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojena s útokem, který využívá metodu používanou známým malwarem. | Vysoká | Podezření na malware | Taktika: -Dopad Techniky: - T0882: Krádež provozních informací |
Nepoučitelné |
| Podezření na škodlivou aktivitu (Duqu) | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojena s útokem, který využívá metodu používanou známým malwarem. | Vysoká | Podezření na malware | Taktika: -Dopad Techniky: - T0882: Krádež provozních informací |
Nepoučitelné |
| Podezření na škodlivou aktivitu (plamen) | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojena s útokem, který využívá metodu používanou známým malwarem. | Vysoká | Podezření na malware | Taktika: -Sbírka -Dopad Techniky: - T0882: Krádež provozních informací - T0811: Data z úložišť informací |
Nepoučitelné |
| Podezření na škodlivou aktivitu (Havex) | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojena s útokem, který využívá metodu používanou známým malwarem. | Vysoká | Podezření na malware | Taktika: -Sbírka -Objev - Inhibice funkce odpovědi Techniky: - T0861: Identifikace bodu a značky - T0846: Vzdálené zjišťování systému - T0814: Odepření služby |
Nepoučitelné |
| Podezření na škodlivou aktivitu (Karagany) | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojena s útokem, který využívá metodu používanou známým malwarem. | Vysoká | Podezření na malware | Taktika: -Dopad Techniky: - T0882: Krádež provozních informací |
Nepoučitelné |
| Podezření na škodlivou aktivitu (LightsOut) | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojena s útokem, který využívá metodu používanou známým malwarem. | Vysoká | Podezření na malware | Taktika: -Útěk Techniky: - T0849: Maskování |
Nepoučitelné |
| Podezření na škodlivou aktivitu (dotazy na názvy) | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojena s útokem, který využívá metodu používanou známým malwarem. Prahová hodnota: 25 názvových dotazů za 1 minutu |
Vysoká | Podezření na škodlivou aktivitu | Taktika: - Command And Control Techniky: - T0884: Proxy připojení |
Nepoučitelné |
| Podezření na škodlivou aktivitu (jed ivy) | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojena s útokem, který využívá metodu používanou známým malwarem. | Vysoká | Podezření na malware | Taktika: - Počáteční přístup - Laterální pohyb Techniky: - T0866: Využívání vzdálených služeb |
Nepoučitelné |
| Podezření na škodlivou aktivitu (Regin) | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojena s útokem, který využívá metodu používanou známým malwarem. | Vysoká | Podezření na malware | Taktika: - Počáteční přístup - Laterální pohyb -Dopad Techniky: - T0866: Využívání vzdálených služeb - T0882: Krádež provozních informací |
Nepoučitelné |
| Podezření na škodlivou aktivitu (Stuxnet) | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojena s útokem, který využívá metodu používanou známým malwarem. | Vysoká | Podezření na malware | Taktika: - Počáteční přístup - Laterální pohyb -Dopad Techniky: - T0818: Ohrožení technické pracovní stanice - T0866: Využívání vzdálených služeb - T0831: Manipulace s kontrolou |
Nepoučitelné |
| Podezření na škodlivou aktivitu (WannaCry) * | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojena s útokem, který využívá metodu používanou známým malwarem. | Střední | Podezření na malware | Taktika: - Počáteční přístup - Laterální pohyb Techniky: - T0866: Využívání vzdálených služeb - T0867: Přenos bočních nástrojů |
Nepoučitelné |
| Podezření na malware NotPetya – Zjistily se neplatné parametry SMB | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojena s útokem, který využívá metodu používanou známým malwarem. | Vysoká | Podezření na malware | Taktika: - Počáteční přístup - Laterální pohyb Techniky: - T0866: Využívání vzdálených služeb |
Nepoučitelné |
| Podezření na malware NotPetya - Byla zjištěna neplatná transakce SMB | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojena s útokem, který využívá metodu používanou známým malwarem. | Vysoká | Podezření na malware | Taktika: - Laterální pohyb Techniky: - T0867: Přenos bočních nástrojů |
Nepoučitelné |
| Podezření na vzdálené spuštění kódu pomocí PsExec | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojena s útokem, který využívá metodu používanou známým malwarem. | Vysoká | Podezření na škodlivou aktivitu | Taktika: - Laterální pohyb - Počáteční přístup Techniky: - T0866: Využívání vzdálených služeb |
Nepoučitelné |
| Podezření na vzdálenou správu služeb systému Windows * | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojena s útokem, který využívá metodu používanou známým malwarem. | Vysoká | Podezření na škodlivou aktivitu | Taktika: - Počáteční přístup Techniky: - T0822: NetworkExternal Remote Services |
Nepoučitelné |
| Podezřelý spustitelný soubor zjištěný v koncovém bodu | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být spojena s útokem, který využívá metodu používanou známým malwarem. | Vysoká | Podezření na škodlivou aktivitu | Taktika: -Útěk - Inhibice funkce odpovědi Techniky: - T0851: Rootkit |
Naučitelný |
| Zjištěn podezřelý provoz * | Byla zjištěna podezřelá síťová aktivita. Tato aktivita může být přidružená k útoku, který aktivoval známé indikátory ohrožení zabezpečení (IOCS). Metadata výstrah by měla zkontrolovat bezpečnostní tým. | Vysoká | Podezření na škodlivou aktivitu | Taktika: -Objev Techniky: - T0842: Network Sniffing |
Nepoučitelné |
| Aktivita zálohování s antivirovými podpisy | Tato výstraha aktivovala provoz zjištěný mezi zdrojovým zařízením a cílovým zálohovaným serverem. Provoz zahrnuje zálohování antivirového softwaru, který může obsahovat podpisy malwaru. Pravděpodobně se jedná o legitimní aktivitu zálohování. | Nízká | Backup | Taktika: -Dopad Techniky: - T0882: Krádež provozních informací |
Nepoučitelné |
Výstrahy operačního modulu
Výstrahy operačního modulu popisují zjištěné provozní incidenty nebo chybné entity.
| Titulek | Popis | Závažnost | Kategorie | MITRE ATT&CK Taktika a techniky |
Naučitelný |
|---|---|---|---|---|---|
| Byl odeslán příkaz S7 Stop PLC | Zdrojové zařízení odeslalo do cílového kontroleru příkaz stop. Kontroler přestane fungovat, dokud se odešle spouštěcí příkaz. | Nízká | Restartovat nebo zastavit příkazy | Taktika: - Laterální pohyb - Obrana před únikem -Poprava - Inhibice funkce odpovědi Techniky: - T0843: Stažení programu - T0858: Změna provozního režimu - T0814: Odepření služby |
Nepoučitelné |
| Operace BACNet selhala | Server vrátil kód chyby. Tato výstraha označuje chybu serveru nebo neplatný požadavek klienta. | Střední | Selhání příkazů | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu |
Nepoučitelné |
| Chybný stav zařízení MMS | Virtuální výrobní zařízení (VMD) MMS odeslalo stavovou zprávu. Zpráva značí, že server nemusí být správně nakonfigurovaný, částečně funkční nebo vůbec funkční. | Střední | Provozní problémy | Taktika: - Inhibice funkce odpovědi Techniky: - T0814: Odepření služby |
Nepoučitelné |
| Změna konfigurace zařízení * | Na zdrojovém zařízení byla zjištěna změna konfigurace. | Nízká | Změny konfigurace | Taktika: - Narušit kontrolu procesu Techniky: - T0836: Úprava parametru |
Nepoučitelné |
| Průběžný přetečení vyrovnávací paměti událostí při outstation * | Na zdrojovém zařízení byla zjištěna událost přetečení vyrovnávací paměti. Událost může způsobit poškození dat, chybové ukončení programu nebo spuštění škodlivého kódu. Prahová hodnota: 3 výskyty za 10 minut |
Střední | Přetečení vyrovnávací paměti | Taktika: - Inhibice funkce odpovědi - Narušit kontrolu procesu -Perzistence Techniky: - T0814: Odepření služby - T0806: Hrubá síla vstupně-výstupní operace - T0839: Firmware modulu |
Nepoučitelné |
| Resetování kontroleru | Zdrojové zařízení odeslalo do cílového kontroleru příkaz pro resetování. Kontroler dočasně přestal fungovat a znovu se spustil automaticky. | Nízká | Restartovat nebo zastavit příkazy | Taktika: - Obrana před únikem -Poprava - Inhibice funkce odpovědi Techniky: - T0858: Změna provozního režimu - T0814: Odepření služby |
Nepoučitelné |
| Zastavení kontroleru | Zdrojové zařízení odeslalo do cílového kontroleru příkaz stop. Kontroler přestane fungovat, dokud se odešle spouštěcí příkaz. | Nízká | Restartovat nebo zastavit příkazy | Taktika: - Laterální pohyb - Obrana před únikem -Poprava - Inhibice funkce odpovědi Techniky: - T0843: Stažení programu - T0858: Změna provozního režimu - T0814: Odepření služby |
Nepoučitelné |
| Zařízení nepřijalo dynamickou IP adresu | Zdrojové zařízení je nakonfigurované tak, aby přijímalo dynamickou IP adresu ze serveru DHCP, ale neobdrželo adresu. To značí chybu konfigurace na zařízení nebo provozní chybu na serveru DHCP. Doporučuje se informovat správce sítě o incidentu. | Střední | Selhání příkazů | Taktika: -Objev Techniky: - T0842: Network Sniffing |
Nepoučitelné |
| Zařízení je podezřelé, že je odpojené (nereagující) | Zdrojové zařízení neodpovědělo na příkaz odeslaný do něj. Při odeslání příkazu mohlo dojít k odpojení. Prahová hodnota: 8 pokusů za 5 minut |
Střední | Bez reakce | Taktika: - Inhibice funkce odpovědi Techniky: - T0881: Service Stop |
Nepoučitelné |
| Žádost o službu CIP protokolu EtherNet/IP se nezdařila. | Server vrátil kód chyby. To značí chybu serveru nebo neplatný požadavek klienta. | Střední | Selhání příkazů | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu |
Nepoučitelné |
| Příkaz protokolu EtherNet/IP zapouzdření selhal | Server vrátil kód chyby. To značí chybu serveru nebo neplatný požadavek klienta. | Střední | Selhání příkazů | Taktika: -Sbírka Techniky: - T0801: Monitorování stavu procesu |
Nepoučitelné |
| Přetečení vyrovnávací paměti událostí ve službě Outstation | Na zdrojovém zařízení byla zjištěna událost přetečení vyrovnávací paměti. Událost může způsobit poškození dat, chybové ukončení programu nebo spuštění škodlivého kódu. | Střední | Přetečení vyrovnávací paměti | Taktika: - Inhibice funkce odpovědi - Narušit kontrolu procesu -Perzistence Techniky: - T0814: Odepření služby - T0839: Firmware modulu |
Nepoučitelné |
| Očekávaná operace zálohování se nevytvořila. | Mezi dvěma zařízeními nedošlo k očekávané aktivitě zálohování a přenosu souborů. Tato výstraha může naznačovat chyby v procesu zálohování nebo přenosu souborů. Prahová hodnota: 100 sekund |
Střední | Backup | Taktika: - Inhibice funkce odpovědi Techniky: - T0809: Zničení dat |
Naučitelný |
| Selhání příkazu GE SRTP | Server vrátil kód chyby. Tato výstraha označuje chybu serveru nebo neplatný požadavek klienta. | Střední | Selhání příkazů | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu |
Nepoučitelné |
| Příkaz GE SRTP Stop PLC byl odeslán. | Zdrojové zařízení odeslalo do cílového kontroleru příkaz stop. Kontroler přestane fungovat, dokud se odešle spouštěcí příkaz. | Nízká | Restartovat nebo zastavit příkazy | Taktika: - Laterální pohyb - Obrana před únikem -Poprava - Inhibice funkce odpovědi Techniky: - T0843: Stažení programu - T0858: Změna provozního režimu - T0814: Odepření služby |
Nepoučitelné |
| GoOSE Control Block vyžaduje další konfiguraci | Zdrojové zařízení odeslalo zprávu GOOSE, která značí, že zařízení potřebuje zprovoznění. To znamená, že řídicí blok GOOSE vyžaduje další konfiguraci a zprávy GOOSE jsou částečně nebo zcela nefunkční. | Střední | Změny konfigurace | Taktika: - Narušit kontrolu procesu - Inhibice funkce odpovědi Techniky: - T0803: Blokovat zprávu příkazu - T0821: Úprava úloh kontroleru |
Nepoučitelné |
| Změna konfigurace datové sady GOOSE * | Ve zdrojovém zařízení se změnila datová sada zpráv (identifikovaná podle ID protokolu). To znamená, že zařízení hlásí pro tuto zprávu jinou datovou sadu. | Nízká | Změny konfigurace | Taktika: - Narušit kontrolu procesu Techniky: - T0836: Úprava parametru |
Nepoučitelné |
| Neočekávaný stav kontroleru Honeywell | Kontroler Honeywell odeslal neočekávanou diagnostickou zprávu označující změnu stavu. | Nízká | Provozní problémy | Taktika: -Útěk -Poprava Techniky: - T0858: Změna provozního režimu |
Nepoučitelné |
| Chyba klienta HTTP * | Zdrojové zařízení iniciovalo neplatný požadavek. | Nízká | Neobvyklé chování komunikace HTTP | Taktika: - Command And Control Techniky: - T0869: Standardní protokol aplikační vrstvy |
Nepoučitelné |
| Neplatná IP adresa | Systém zjistil provoz mezi zdrojovým zařízením a IP adresou, která je neplatná. Může to značit nesprávnou konfiguraci nebo pokus o vygenerování nelegálního provozu. | Nízká | Neobvyklé chování komunikace | Taktika: -Objev - Narušit kontrolu procesu Techniky: - T0842: Network Sniffing - T0836: Úprava parametru |
Nepoučitelné |
| Chyba ověřování master-slave | Proces ověřování mezi zdrojovým zařízením DNP3 (primárním) a cílovým zařízením (outstation) selhal. | Nízká | Ověřování | Taktika: - Laterální pohyb -Perzistence Techniky: - T0859: Platné účty |
Nepoučitelné |
| Žádost o službu MMS se nezdařila. | Server vrátil kód chyby. To značí chybu serveru nebo neplatný požadavek klienta. | Střední | Selhání příkazů | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu |
Nepoučitelné |
| V rozhraní senzoru nebyl zjištěn žádný provoz | Senzor přestal zjišťovat síťový provoz v síťovém rozhraní. | Vysoká | Přenosy ze senzorů | Taktika: - Inhibice funkce odpovědi Techniky: - T0881: Service Stop |
Nepoučitelné |
| Server OPC UA vyvolal událost, která vyžaduje pozornost uživatele | Server OPC UA odeslal klientovi oznámení o události. Tento typ události vyžaduje pozornost uživatele. | Střední | Provozní problémy | Taktika: - Inhibice funkce odpovědi Techniky: - T0838: Úprava nastavení alarmu |
Nepoučitelné |
| Žádost o službu OPC UA se nezdařila. | Server vrátil kód chyby. To značí chybu serveru nebo neplatný požadavek klienta. | Střední | Selhání příkazů | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu |
Nepoučitelné |
| Ověření identity restartováno | Na zdrojovém zařízení se zjistilo studené restartování. To znamená, že zařízení bylo fyzicky vypnuté a znovu zapnuté. | Nízká | Restartovat nebo zastavit příkazy | Taktika: - Inhibice funkce odpovědi Techniky: - T0816: Restartování/vypnutí zařízení |
Nepoučitelné |
| Ověření identity se často restartuje | Na zdrojovém zařízení bylo zjištěno nadměrné množství studených restartování. To znamená, že zařízení bylo fyzicky vypnuté a znovu se znovu zapnulo příliš často. Prahová hodnota: 2 restartování za 10 minut |
Nízká | Restartovat nebo zastavit příkazy | Taktika: - Inhibice funkce odpovědi Techniky: - T0814: Odepření služby - T0816: Restartování/vypnutí zařízení |
Nepoučitelné |
| Změna konfigurace outstationu | Na zdrojovém zařízení byla zjištěna změna konfigurace. | Střední | Změny konfigurace | Taktika: - Inhibice funkce odpovědi -Perzistence Techniky: - T0857: Systémový firmware |
Nepoučitelné |
| Byla zjištěna poškozená konfigurace ověření identity. | Toto zdrojové zařízení DNP3 oznámilo poškozenou konfiguraci. | Střední | Změny konfigurace | Taktika: - Inhibice funkce odpovědi Techniky: - T0809: Zničení dat |
Nepoučitelné |
| Příkaz Profinet DCP selhal | Server vrátil kód chyby. To značí chybu serveru nebo neplatný požadavek klienta. | Střední | Selhání příkazů | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu |
Nepoučitelné |
| Obnovení továrního nastavení zařízení Profinet | Zdrojové zařízení odeslalo příkaz pro obnovení továrního nastavení do cílového zařízení Profinet. Příkaz reset vymaže konfigurace zařízení Profinet a zastaví jeho provoz. | Nízká | Restartovat nebo zastavit příkazy | Taktika: - Obrana před únikem -Poprava - Inhibice funkce odpovědi Techniky: - T0858: Změna provozního režimu - T0814: Odepření služby |
Nepoučitelné |
| Operace RPC selhala. * | Server vrátil kód chyby. Tato výstraha označuje chybu serveru nebo neplatný požadavek klienta. | Střední | Selhání příkazů | Taktika: - Narušit kontrolu procesu Techniky: - T0855: Neautorizovaná zpráva příkazu |
Nepoučitelné |
| Konfigurace datové sady zpráv s ukázkovými hodnotami byla změněna. * | Ve zdrojovém zařízení se změnila datová sada zpráv (identifikovaná podle ID protokolu). To znamená, že zařízení hlásí pro tuto zprávu jinou datovou sadu. | Nízká | Změny konfigurace | Taktika: - Narušit kontrolu procesu Techniky: - T0836: Úprava parametru |
Nepoučitelné |
| Nepravitelné selhání zařízení otroků * | Na zdrojovém zařízení byla zjištěna chyba neopravitelného stavu. Tento druh chyby obvykle značí selhání hardwaru nebo selhání provedení konkrétního příkazu. | Střední | Selhání příkazů | Taktika: - Inhibice funkce odpovědi Techniky: - T0814: Odepření služby |
Nepoučitelné |
| Podezření na problémy s hardwarem ve outstationu | Na zdrojovém zařízení byla zjištěna chyba neopravitelného stavu. Tento druh chyby obvykle značí selhání hardwaru nebo selhání provedení konkrétního příkazu. | Střední | Provozní problémy | Taktika: - Inhibice funkce odpovědi Techniky: - T0814: Odepření služby - T0881: Service Stop |
Nepoučitelné |
| Podezření na nereagující zařízení MODBUS | Zdrojové zařízení neodpovědělo na příkaz odeslaný do něj. Při odeslání příkazu mohlo dojít k odpojení. Prahová hodnota: Minimálně 1 platná odpověď na minimálně 3 požadavky do 5 minut |
Nízká | Bez reakce | Taktika: - Inhibice funkce odpovědi Techniky: - T0881: Service Stop |
Nepoučitelné |
| Provoz zjištěný v rozhraní senzoru | Senzor obnovil detekci síťového provozu v síťovém rozhraní. | Nízká | Přenosy ze senzorů | Taktika: -Objev Techniky: - T0842: Network Sniffing |
Nepoučitelné |
| Změna provozního režimu PLC | Provozní režim v tomto PLC se změnil. Nový režim může znamenat, že PLC není zabezpečený. Opuštění PLC v nezabezpečeném provozním režimu může nežádoucím uživatelům umožnit provádět škodlivé aktivity, jako je například stažení programu. Pokud dojde k ohrožení zabezpečení PLC, mohou to mít vliv na zařízení a procesy, které s ním komunikují. To může mít vliv na celkové zabezpečení a bezpečnost systému. | Nízká | Změny konfigurace | Taktika: -Poprava -Útěk Techniky: - T0858: Změna provozního režimu |
Nepoučitelné |
Další kroky
Další informace naleznete v tématu:
- Zobrazení a správa upozornění na portálu Defender for IoT
- Zobrazení upozornění na senzor
- Zrychlení pracovních postupů upozornění
- Předávání informací o výstrahách
- Práce s upozorněními v místní konzole pro správu
- Referenční informace k rozhraní API pro správu výstrah pro místní konzoly pro správu
- Referenční informace k rozhraní API pro správu výstrah pro senzory monitorování OT
- Předávání informací o výstrahách