Teilen über


Referenz für Microsoft Defender for IoT-Warnungen

Dieser Artikel enthält eine Referenz für die von Microsoft Defender for IoT-Netzwerksensoren generierten Warnungen, einschließlich einer Liste mit allen Warnungstypen und mit Beschreibungen. In der Referenz wird auch gezeigt, welche Warnungen als lernbar oder nicht triageiert werden können, weitere Informationen zum lernbaren Status finden Sie unter Warnungsstatus und Triagingoptionen. Sie können diese Referenz verwenden, um Warnungen in Playbooks zuzuordnen, Weiterleitungsregeln für einen OT-Netzwerksensor (Operational Technology) oder andere benutzerdefinierte Aktivitäten zu definieren.

OT-Warnungen standardmäßig deaktiviert

Verschiedene Warnungen sind standardmäßig deaktiviert, wie durch Sternchen (*) in den folgenden Tabellen angegeben. Admin-Benutzer von OT-Sensoren können auf der Seite Support Warnungen für einen bestimmten OT-Netzwerksensor aktivieren oder deaktivieren.

Wenn Sie Warnungen deaktivieren, auf die an anderen Stellen verwiesen wird, z. B. in Warnungsweiterleitungsregeln, müssen Sie diese Verweise ggf. aktualisieren.

Warnungsschweregrade

Defender for IoT-Warnungen verwenden die folgenden Schweregrade:

Azure-Portal OT-Sensor BESCHREIBUNG
Hoch Critical (Kritisch) Gibt einen böswilligen Angriff an, der sofort behandelt werden muss.
Mittel Major Gibt eine Sicherheitsbedrohung an, deren Behandlung wichtig ist.
Niedrig Geringfügig, Warnung Weist auf eine Abweichung vom normalen Verhalten hin, die eine Sicherheitsbedrohung darstellen könnte, oder enthält keine Sicherheitsbedrohungen.

Warnungsschweregrade auf dieser Seite listen den Schweregrad auf, wie im Azure-Portal dargestellt.

Unterstützte Warnungstypen

Warnungstyp BESCHREIBUNG
Warnungen zu Richtlinienverstößen Diese Warnungen werden ausgelöst, wenn das Richtlinienverstoßmodul eine Abweichung vom zuvor erlernten Datenverkehr erkennt. Beispiel:
- Ein neues Gerät wird erkannt.
- Auf einem Gerät wird eine neue Konfiguration erkannt.
- Ein nicht als Programmiergerät definiertes Gerät führt eine Programmieränderung aus.
- Eine Firmwareversion wurde geändert.
Warnungen zu Protokollverletzungen Diese Warnungen werden ausgelöst, wenn das Protokollverletzungsmodul Paketstrukturen oder Feldwerte erkennt, die nicht mit der Protokollspezifikation übereinstimmen.
Vorgangswarnungen Diese Warnungen werden ausgelöst, wenn das Vorgangsmodul Netzwerkbetriebsvorfälle erkennt oder ein Gerät nicht ordnungsgemäß funktioniert. Beispiele: Ein Netzwerkgerät wurde über einen Befehl zum Beenden der SPS beendet, oder eine Schnittstelle eines Sensors hat die Überwachung des Datenverkehrs beendet.
Malwarewarnungen Diese Warnungen werden ausgelöst, wenn das Malwaremodul schädliche Netzwerkaktivitäten erkennt. Beispiel: Das Modul erkennt einen bekannten Angriff, z. B. Conficker.
Anomaliewarnungen Diese Warnungen werden ausgelöst, wenn das Anomaliemodul eine Abweichung erkennt. Beispiel: Ein nicht als Scangerät definiertes Gerät führt Netzwerkscans aus.

Die Warnungserkennungsrichtlinie von Defender für IoT steuert die verschiedenen Warnungsmodule, um Warnungen basierend auf geschäftlichen Auswirkungen und Netzwerkkontext auszulösen und it-bezogene Warnungen mit geringem Wert zu reduzieren. Weitere Informationen finden Sie unter Gezielte Warnungen in OT-/IT-Umgebungen.

Unterstützte Warnungskategorien

Jede Warnung weist eine der folgenden Kategorien auf:

  • Ungewöhnliches Kommunikationsverhalten
  • Ungewöhnliches Verhalten bei der HTTP-Kommunikation
  • Authentifizierung
  • Backup
  • Bandbreitenauffälligkeiten
  • Pufferüberlauf
  • Befehlsfehler
  • Konfigurationsänderungen
  • Benutzerdefinierte Warnungen
  • Ermittlung
  • Firmware-Änderung
  • Unzulässige Befehle
  • Zugriff auf das Internet
  • Vorgangsfehler
  • Betriebsprobleme
  • Programmieren
  • Remotezugriff
  • Befehle zum Neustarten/Beenden
  • Überprüfen
  • Sensordatenverkehr
  • Verdacht auf schädliche Aktivität
  • Verdacht auf Schadsoftware
  • Unautorisiertes Kommunikationsverhalten
  • Keine Reaktion

Warnungen der Richtlinien-Engine

Die Warnungen der Richtlinien-Engine beschreiben erkannte Abweichungen vom gelernten normalen Verhalten.

Titel BESCHREIBUNG severity Kategorie MITRE ATT&CK
Taktiken und Techniken
Erlernbar
Beckhoff-Software geändert Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren. Medium Firmwareänderung Taktiken:
- Hemmung der Reaktionsfunktion
-Ausdauer

Techniken:
- T0857: System Firmware
Erlernbar
Datenbankanmeldung fehlgeschlagen Es wurde ein fehlerhafter Anmeldeversuch über ein Quellgerät bei einem Zielserver erkannt. Dies ist möglicherweise auf einen menschlichen Fehler zurückzuführen, kann jedoch auch auf einen böswilligen Versuch hinweisen, den Server oder die darauf befindlichen Daten zu kompromittieren.

Schwellenwert: 2 Anmeldefehler in 5 Minuten
Medium Authentifizierung Taktiken:
-Lateralverschiebung
-Sammlung

Techniken:
- T0812: Standardanmeldeinformationen
- T0811: Daten aus Informationsrepositorys
Nicht lernend
Emerson ROC-Firmwareversion geändert Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren. Medium Firmwareänderung Taktiken:
- Hemmung der Reaktionsfunktion
-Ausdauer

Techniken:
- T0857: System Firmware
Erlernbar
Kommunikation einer externen Adresse im Netzwerk mit dem Internet Ein Quellgerät, das als Teil Ihres Netzwerks definiert ist, kommuniziert mit Internetadressen. Die Quelle ist nicht für die Kommunikation mit Internetadressen autorisiert. High Zugriff auf das Internet Taktiken:
- Erstzugriff

Techniken:
- T0883: Internetfähiges Gerät
Erlernbar
Feldgerät unerwartet ermittelt Ein neues Quellgerät wurde im Netzwerk erkannt, ist aber nicht autorisiert. Medium Ermittlung Taktiken:
-Entdeckung

Techniken:
- T0842: Netzwerkermittlung
Nicht lernend
Firmwareänderung erkannt Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren. Medium Firmwareänderung Taktiken:
- Hemmung der Reaktionsfunktion
-Ausdauer

Techniken:
- T0857: System Firmware
Nicht lernend
Firmwareversion geändert Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren. Medium Firmwareänderung Taktiken:
- Hemmung der Reaktionsfunktion
-Ausdauer

Techniken:
- T0857: System Firmware
Erlernbar
Nicht autorisierter Foxboro-E/A-Vorgang Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0836: Parameter ändern
Erlernbar
Fehler bei FTP-Anmeldung Es wurde ein fehlerhafter Anmeldeversuch über ein Quellgerät bei einem Zielserver erkannt. Diese Warnung ist möglicherweise auf einen menschlichen Fehler zurückzuführen, könnte aber auch auf einen böswilligen Versuch hindeuten, den Server oder die darauf gespeicherten Daten zu kompromittieren. Medium Authentifizierung Taktiken:
-Lateralverschiebung
- Befehl und Steuerung

Techniken:
- T0812: Standardanmeldeinformationen
- T0869: Standardmäßiges Anwendungsebenenprotokoll
Nicht lernend
Funktionscode hat eine Ausnahme „Nicht autorisiert“ ausgelöst* Ein Quellgerät (sekundär) hat eine Ausnahme an ein Zielgerät (primär) zurückgegeben. Medium Befehlsfehler Taktiken:
- Hemmung der Reaktionsfunktion

Techniken:
- T0835: E/A-Image bearbeiten
Erlernbar
Einstellungen für GOOSE-Nachrichtentyp Die Einstellungen einer Nachricht (identifiziert durch Protokoll-ID) wurden auf einem Quellgerät geändert. Niedrig Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0836: Parameter ändern
Erlernbar
Honeywell-Firmwareversion geändert Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren. Medium Firmwareänderung Taktiken:
- Hemmung der Reaktionsfunktion
-Ausdauer

Techniken:
- T0857: System Firmware
Erlernbar
Unzulässige HTTP-Kommunikation * Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Ungewöhnliches Verhalten bei der HTTP-Kommunikation Taktiken:
-Entdeckung

Techniken:
- T0846: Remotesystemermittlung
Erlernbar
Internetzugriff erkannt Ein Quellgerät, das als Teil Ihres Netzwerks definiert ist, kommuniziert mit Internetadressen. Die Quelle ist nicht für die Kommunikation mit Internetadressen autorisiert. Medium Zugriff auf das Internet Taktiken:
- Erstzugriff

Techniken:
- T0883: Internetfähiges Gerät
Erlernbar
Mitsubishi-Firmwareversion geändert Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren. Medium Firmwareänderung Taktiken:
- Hemmung der Reaktionsfunktion
-Ausdauer

Techniken:
- T0857: System Firmware
Erlernbar
Verstoß gegen Modbus-Adressbereich Ein primäres Gerät hat Zugriff auf eine neue Speicheradresse auf dem sekundären Gerät angefordert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
-Entdeckung

Techniken:
- T0842: Netzwerkermittlung
Erlernbar
Modbus-Firmwareversion geändert Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren. Medium Firmwareänderung Taktiken:
- Hemmung der Reaktionsfunktion
-Ausdauer

Techniken:
- T0857: System Firmware
Erlernbar
Neue Aktivität erkannt: CIP-Klasse Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
-Entdeckung

Techniken:
- T0888: Ermittlung von Remotesysteminformationen
Erlernbar
Neue Aktivität erkannt: CIP-Klassendienst Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Hemmung der Reaktionsfunktion

Techniken:
- T0836: Parameter ändern
Erlernbar
Neue Aktivität erkannt: CIP-PCCC-Befehl Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Hemmung der Reaktionsfunktion

Techniken:
- T0836: Parameter ändern
Erlernbar
Neue Aktivität erkannt: CIP-Symbol Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle
- Hemmung der Reaktionsfunktion

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0836: Parameter ändern
Erlernbar
Neue Aktivität erkannt: Ethernet/IP-E/A-Verbindung Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
-Entdeckung
- Hemmung der Reaktionsfunktion

Techniken:
- T0846: Remote System Discovery
- T0835: E/A-Image bearbeiten
Erlernbar
Neue Aktivität erkannt: Ethernet/IP-Protokollbefehl Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Hemmung der Reaktionsfunktion

Techniken:
- T0836: Parameter ändern
Erlernbar
Neue Aktivität erkannt: GSM-Nachrichtencode Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- CommandAndControl

Techniken:
- T0869: Standardmäßiges Anwendungsebenenprotokoll
Erlernbar
Neue Aktivität erkannt: LonTalk-Befehlscodes Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
-Sammlung
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0861 - Point & Tag Identification
- T0855: Meldung zu nicht autorisierten Befehlen
Erlernbar
Neuer Port erkannt Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Niedrig Ermittlung Taktiken:
-Lateralverschiebung

Techniken:
- T0867: Lateral Tool-Übertragung
Erlernbar
Neue Aktivität erkannt: LonTalk-Netzwerkvariable Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Meldung zu nicht autorisierten Befehlen
Erlernbar
Neue Aktivität erkannt: Ovation-Datenanforderung Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
-Sammlung
-Entdeckung

Techniken:
- T0801: Überwachen des Prozesszustands
- T0888: Ermittlung von Remotesysteminformationen
Erlernbar
Neue Aktivität erkannt: Befehl zum Lesen/Schreiben (AMS-Indexgruppe) Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Konfigurationsänderungen Taktiken:
- Beeinträchtigung der Prozesskontrolle
- Hemmung der Reaktionsfunktion

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0836: Parameter ändern
Erlernbar
Neue Aktivität erkannt: Befehl zum Lesen/Schreiben (AMS-Indexoffset) Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Konfigurationsänderungen Taktiken:
- Beeinträchtigung der Prozesskontrolle
- Hemmung der Reaktionsfunktion

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0836: Parameter ändern
Erlernbar
Neue Aktivität erkannt: Nicht autorisierter DeltaV-Nachrichtentyp Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle
-Ausführung

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0821: Controllertasking ändern
Erlernbar
Neue Aktivität erkannt: Nicht autorisierter DeltaV-ROC-Vorgang Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle
-Ausführung

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0821: Controllertasking ändern
Erlernbar
Neue Aktivität erkannt: Nicht autorisierter RPC-Nachrichtentyp Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Meldung zu nicht autorisierten Befehlen
Erlernbar
Neue Aktivität erkannt: Verwendung des AMS-Protokollbefehls Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle
- Hemmung der Reaktionsfunktion
-Ausführung

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0836: Parameter ändern
- T0821: Controllertasking ändern
Erlernbar
Neue Aktivität erkannt: Verwendung des Siemens SICAM-Befehls Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle
- Hemmung der Reaktionsfunktion

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0836: Parameter ändern
Erlernbar
Neue Aktivität erkannt: Verwendung des Suitelink-Protokollbefehls Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle
- Hemmung der Reaktionsfunktion

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0836: Parameter ändern
Erlernbar
Neue Aktivität erkannt: Verwendung von Suitelink-Protokollsitzungen Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0836: Parameter ändern
Erlernbar
Neue Aktivität erkannt: Verwendung des Yokogawa-VNetIP-Befehls Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle
-Ausführung

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0821: Controllertasking ändern
Erlernbar
Neue Ressource erkannt Ein neues Quellgerät wurde im Netzwerk erkannt, ist aber nicht autorisiert.

Diese Warnung gilt für Geräte, die in OT-Subnetzen entdeckt wurden. Neue Geräte, die in IT-Subnetzen entdeckt werden, lösen keine Warnung aus.
Mittel Ermittlung Taktiken:
-Entdeckung

Techniken:
- T0842: Netzwerkermittlung
Erlernbar
Neue LLDP-Gerätekonfiguration Ein neues Quellgerät wurde im Netzwerk erkannt, ist aber nicht autorisiert. Medium Konfigurationsänderungen Taktiken:
-Entdeckung

Techniken:
- T0842: Netzwerkermittlung
Erlernbar
Nicht autorisierter Omron-FINS-Befehl Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0836: Parameter ändern
Erlernbar
S7 Plus SPS-Firmware geändert Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren. Medium Firmwareänderung Taktiken:
- Hemmung der Reaktionsfunktion
-Ausdauer

Techniken:
- T0857: System Firmware
Erlernbar
Einstellungen für Nachrichtentyp mit Stichprobenwerten Die Einstellungen einer Nachricht (identifiziert durch Protokoll-ID) wurden auf einem Quellgerät geändert. Niedrig Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0836: Parameter ändern
Nicht lernend
Verdacht auf unzulässige Integritätsüberprüfung* Es wurde eine Überprüfung auf einem DNP3-Quellgerät (Outstation) erkannt. Diese Überprüfung war nicht als erlernter Datenverkehr in Ihrem Netzwerk autorisiert. Medium Überprüfen Taktiken:
-Entdeckung

Techniken:
- T0842: Netzwerkermittlung
Erlernbar
Nicht autorisierter Befehl für Verknüpfung von Toshiba-Computer Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Niedrig Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle
-Ausführung

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0821: Controllertasking ändern
Erlernbar
Nicht autorisierter ABB Totalflow-Dateivorgang Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle
-Ausführung

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0821: Controllertasking ändern
Nicht lernend
Nicht autorisierter ABB Totalflow-Registrierungsvorgang Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle
-Ausführung

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0821: Controllertasking ändern
Nicht lernend
Nicht autorisierter Zugriff auf Siemens S7-Datenblock Ein Quellgerät hat versucht, auf eine Ressource auf einem anderen Gerät zuzugreifen. Ein Zugriffsversuch auf diese Ressource zwischen diesen beiden Geräten ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Niedrig Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle
- Erstzugriff

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0811: Daten aus Informationsrepositorys
Erlernbar
Nicht autorisierter Zugriff auf Siemens S7 Plus-Objekt Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle
-Ausführung
- Hemmung der Reaktionsfunktion

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0821: Controlleraufgaben ändern
- T0809: Datenvernichtung
Erlernbar
Nicht autorisierter Zugriff auf ein Wonderware-Tag Ein Quellgerät hat versucht, auf eine Ressource auf einem anderen Gerät zuzugreifen. Ein Zugriffsversuch auf diese Ressource zwischen diesen beiden Geräten ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
-Sammlung
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0861: Point & Tag Identification
- T0855: Meldung zu nicht autorisierten Befehlen
Erlernbar
Nicht autorisierter BACNet-Objektzugriff Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle
-Ausführung

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0821: Controllertasking ändern
Erlernbar
Nicht autorisierte BACNet-Route Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle
-Ausführung

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0821: Controllertasking ändern
Erlernbar
Nicht autorisierte Datenbankanmeldung* Es wurde ein Anmeldeversuch zwischen einem Quellclient und einem Zielserver erkannt. Die Kommunikation zwischen diesen Geräten ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Medium Authentifizierung Taktiken:
-Lateralverschiebung
-Ausdauer
-Sammlung

Techniken:
- T0859: Gültige Konten
- T0811: Daten aus Informationsrepositorys
Erlernbar
Nicht autorisierter Datenbankvorgang Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Ungewöhnliches Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle
- Erstzugriff

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0811: Daten aus Informationsrepositorys
Erlernbar
Nicht autorisierter Emerson ROC-Vorgang Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle
-Ausführung

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0821: Controllertasking ändern
Erlernbar
Nicht autorisierter GE SRTP-Dateizugriff Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
-Sammlung
- LateralMovement
-Ausdauer

Techniken:
- T0801: Überwachen des Prozesszustands
- T0859: Gültige Konten
Erlernbar
Nicht autorisierter GE SRTP-Protokollbefehl Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0821: Controllertasking ändern
Erlernbar
Nicht autorisierter GE SRTP-Systemspeichervorgang Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
-Entdeckung
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0846: Remote System Discovery
- T0855: Meldung zu nicht autorisierten Befehlen
Erlernbar
Nicht autorisierte HTTP-Aktivität Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Ungewöhnliches Verhalten bei der HTTP-Kommunikation Taktiken:
- Erstzugriff
- Befehl und Steuerung

Techniken:
- T0822: Externe Remotedienste
- T0869: Standardmäßiges Anwendungsebenenprotokoll
Erlernbar
Nicht autorisierte HTTP-SOAP-Aktion * Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Ungewöhnliches Verhalten bei der HTTP-Kommunikation Taktiken:
- Befehl und Steuerung
-Ausführung

Techniken:
- T0869: Standard Application Layer Protocol
- T0871: Ausführung über die API
Erlernbar
Nicht autorisierter HTTP-Benutzer-Agent * Auf einem Quellgerät wurde eine nicht autorisierte Anwendung erkannt. Die Anwendung ist nicht als gelernte Anwendung in Ihrem Netzwerk autorisiert. Medium Ungewöhnliches Verhalten bei der HTTP-Kommunikation Taktiken:
- Befehl und Steuerung

Techniken:
- T0869: Standardmäßiges Anwendungsebenenprotokoll
Erlernbar
Nicht autorisierte Internetverbindung erkannt Ein Quellgerät, das als Teil Ihres Netzwerks definiert ist, kommuniziert mit Internetadressen. Die Quelle ist nicht für die Kommunikation mit Internetadressen autorisiert. High Zugriff auf das Internet Taktiken:
- Erstzugriff

Techniken:
- T0883: Internetfähiges Gerät
Erlernbar
Nicht autorisierter Mitsubishi MELSEC-Befehl Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle
-Ausführung

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0821: Controllertasking ändern
Erlernbar
Nicht autorisierter Zugriff auf MMS-Programm Ein Quellgerät hat versucht, auf eine Ressource auf einem anderen Gerät zuzugreifen. Ein Zugriffsversuch auf diese Ressource zwischen diesen beiden Geräten ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Medium Programmieren Taktiken:
- Beeinträchtigung der Prozesskontrolle
-Ausführung

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0821: Controllertasking ändern
Erlernbar
Nicht autorisierter MMS-Dienst Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle
-Ausführung

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0821: Controllertasking ändern
Erlernbar
Nicht autorisierte Multicast-/Übertragungsverbindung Zwischen einem Quellgerät und anderen Geräten wurde eine Multicast-/Übertragungsverbindung erkannt. Die Multicast-/Übertragungskommunikation ist nicht autorisiert. High Ungewöhnliches Kommunikationsverhalten Taktiken:
-Entdeckung

Techniken:
- T0842: Netzwerkermittlung
Erlernbar
Nicht autorisierte Namensabfrage Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Ungewöhnliches Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0836: Parameter ändern
Nicht lernend
Nicht autorisierte OPC UA-Aktivität Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0836: Parameter ändern
Erlernbar
Nicht autorisierte OPC UA-Anforderung/-Antwort Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0836: Parameter ändern
Erlernbar
Nicht autorisierter Vorgang durch benutzerdefinierte Regel erkannt Datenverkehr zwischen zwei Geräten wurde erkannt. Diese Aktivität ist aufgrund einer benutzerdefinierten Warnungsregel nicht autorisiert. Medium Benutzerdefinierte Warnungen Taktiken:
-Entdeckung

Techniken:
- T0842: Netzwerkermittlung
Nicht lernend
Nicht autorisierter Lesevorgang für SPS-Konfiguration Das Quellgerät ist nicht als Programmiergerät definiert, sondern hat einen Lese-/Schreibvorgang auf einem Zielcontroller ausgeführt. Programmieränderungen sollten nur von Programmiergeräten durchgeführt werden. Auf diesem Gerät wurde möglicherweise eine Programmieranwendung installiert. Niedrig Konfigurationsänderungen Taktiken:
-Sammlung

Techniken:
- T0801: Überwachen des Prozessstatus
Erlernbar
Nicht autorisierter Schreibvorgang für SPS-Konfiguration Das Quellgerät hat einen Befehl zum Lesen/Schreiben des Programms eines Zielcontrollers gesendet. Diese Aktivität wurde zuvor nicht beobachtet. Medium Konfigurationsänderungen Taktiken:
- Beeinträchtigung der Prozesskontrolle
-Ausdauer
-Aufprall

Techniken:
- T0839: Modulfirmware
- T0831: Manipulation der Steuerung
- T0889: Programm ändern
Erlernbar
Nicht autorisierter Upload von SPS-Programm Das Quellgerät hat einen Befehl zum Lesen/Schreiben des Programms eines Zielcontrollers gesendet. Diese Aktivität wurde zuvor nicht beobachtet. Medium Programmieren Taktiken:
- Beeinträchtigung der Prozesskontrolle
-Ausdauer
-Sammlung

Techniken:
- T0839: Modulfirmware
- T0845: Programmupload
Erlernbar
Nicht autorisierte SPS-Programmierung Das Quellgerät ist nicht als Programmiergerät definiert, sondern hat einen Lese-/Schreibvorgang auf einem Zielcontroller ausgeführt. Programmieränderungen sollten nur von Programmiergeräten durchgeführt werden. Auf diesem Gerät wurde möglicherweise eine Programmieranwendung installiert. Hoch Programmieren Taktiken:
- Beeinträchtigung der Prozesskontrolle
-Ausdauer
-Lateralverschiebung

Techniken:
- T0839: Modulfirmware
- T0889: Programm ändern
- T0843: Programmdownload
Erlernbar
Nicht autorisierter Profinet-Frametyp Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0836: Parameter ändern
Erlernbar
Nicht autorisierter SAIA S-Bus-Befehl Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Meldung zu nicht autorisierten Befehlen
Erlernbar
Nicht autorisierte Ausführung der Steuerungsfunktion von Siemens S7 Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle
- Hemmung der Reaktionsfunktion

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0809: Datenvernichtung
Erlernbar
Nicht autorisierte Siemens S7-Ausführung von benutzerdefinierter Funktion Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle
-Ausführung

Techniken:
- T0836: Parameter ändern
- T0863: Benutzerausführung
Erlernbar
Nicht autorisierter Siemens S7 Plus-Blockzugriff Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Hemmung der Reaktionsfunktion
-Ausdauer
-Ausführung

Techniken:
- T0803 – Befehlsmeldung blockieren
- T0889: Programm ändern
- T0821: Controllertasking ändern
Erlernbar
Nicht autorisierter Siemens S7 Plus-Vorgang Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle
-Ausführung

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0863: Benutzerausführung
Erlernbar
Nicht autorisierte SMB-Anmeldung Es wurde ein Anmeldeversuch zwischen einem Quellclient und einem Zielserver erkannt. Die Kommunikation zwischen diesen Geräten ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Medium Authentifizierung Taktiken:
- Erstzugriff
-Lateralverschiebung
-Ausdauer

Techniken:
- T0886: Remotedienste
- T0859: Gültige Konten
Erlernbar
Nicht autorisierter SNMP-Vorgang Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Ungewöhnliches Kommunikationsverhalten Taktiken:
-Entdeckung
- Befehl und Steuerung

Techniken:
- T0842: Netzwerk-Sniffing
- T0885: Häufig verwendeter Port
Erlernbar
Nicht autorisierter SSH-Zugriff Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Remotezugriff Taktiken:
- InitialAccess
-Lateralverschiebung
- Befehl und Steuerung

Techniken:
- T0886: Remotedienste
- T0869: Standardmäßiges Anwendungsebenenprotokoll
Erlernbar
Nicht autorisierter Windows-Prozess Auf einem Quellgerät wurde eine nicht autorisierte Anwendung erkannt. Die Anwendung ist nicht als gelernte Anwendung in Ihrem Netzwerk autorisiert. Medium Ungewöhnliches Kommunikationsverhalten Taktiken:
-Ausführung
- Berechtigungseskalation
- Befehl und Steuerung

Techniken:
- T0841: Hooking
- T0885: Häufig verwendeter Port
Erlernbar
Nicht autorisierter Windows-Dienst Auf einem Quellgerät wurde eine nicht autorisierte Anwendung erkannt. Die Anwendung ist nicht als gelernte Anwendung in Ihrem Netzwerk autorisiert. Medium Ungewöhnliches Kommunikationsverhalten Taktiken:
- Erstzugriff
-Lateralverschiebung

Techniken:
- T0866: Ausnutzung von Remotediensten
Erlernbar
Nicht autorisierter Vorgang durch benutzerdefinierte Regel erkannt Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination verstößt gegen eine benutzerdefinierte Regel. Medium Taktiken:
-Entdeckung

Techniken:
- T0842: Netzwerkermittlung
Nicht lernend
Nicht zugelassene Modbus Schneider Electric-Erweiterung Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Meldung zu nicht autorisierten Befehlen
Erlernbar
Nicht zugelassene Verwendung von ASDU-Typen Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Meldung zu nicht autorisierten Befehlen
Erlernbar
Unzulässige Verwendung von DNP3-Funktionscode Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0836: Parameter ändern
Erlernbar
Unzulässige Verwendung von internem Hinweis* Ein DNP3-Quellgerät (Outstation) hat einen internen Hinweis gemeldet, der nicht als erlernter Datenverkehr in Ihrem Netzwerk autorisiert wurde. Medium Unzulässige Befehle Taktiken:
-Entdeckung

Techniken:
- T0842: Netzwerkermittlung
Erlernbar
Unzulässige Verwendung von Modbus-Funktionscode Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. Medium Unautorisiertes Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0836: Parameter ändern
Erlernbar

Engine-Warnungen zu Anomalien

Hinweis

Dieser Artikel enthält Verweise auf den Begriff Slave, einen Begriff, den Microsoft nicht mehr verwendet. Sobald der Begriff aus der Software entfernt wird, wird er auch aus diesem Artikel entfernt.

Warnungen der Anomalie-Engine beschreiben erkannte Anomalien in der Netzwerkaktivität.

Titel BESCHREIBUNG severity Kategorie MITRE ATT&CK
Taktiken und Techniken
Erlernbar
Ungewöhnliches Ausnahmemuster auf untergeordnetem Gerät* Auf einem Quellgerät wurde eine übermäßige Anzahl von Fehlern erkannt. Diese Warnung kann das Ergebnis eines operativen Problems sein.

Schwellenwert: 20 Ausnahmen in 1 Stunde
Niedrig Ungewöhnliches Kommunikationsverhalten Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0806: Brute Force-E/A
Nicht lernend
Ungewöhnliche Länge des HTTP-Headers * Das Quellgerät hat eine ungewöhnliche Nachricht gesendet. Diese Warnung weist möglicherweise auf einen Versuch hin, das Zielgerät anzugreifen. Hoch Ungewöhnliches Verhalten bei der HTTP-Kommunikation Taktiken:
- Erstzugriff
-Lateralverschiebung
- Befehl und Steuerung

Techniken:
- T0866: Nutzung von Remotediensten
- T0869: Standardmäßiges Anwendungsebenenprotokoll
Erlernbar
Ungewöhnliche Anzahl von Parametern im HTTP-Header * Das Quellgerät hat eine ungewöhnliche Nachricht gesendet. Diese Warnung weist möglicherweise auf einen Versuch hin, das Zielgerät anzugreifen. Hoch Ungewöhnliches Verhalten bei der HTTP-Kommunikation Taktiken:
- Erstzugriff
-Lateralverschiebung
- Befehl und Steuerung

Techniken:
- T0866: Nutzung von Remotediensten
- T0869: Standardmäßiges Anwendungsebenenprotokoll
Erlernbar
Ungewöhnliches regelmäßiges Verhalten im Kommunikationskanal Eine Änderung der Kommunikationshäufigkeit zwischen dem Quell- und dem Zielgerät wurde erkannt. Niedrig Ungewöhnliches Kommunikationsverhalten Taktiken:
-Entdeckung

Techniken:
- T0842: Netzwerkermittlung
Erlernbar
Ungewöhnliche Beendung von Anwendungen* Auf einem Quellgerät wurde eine übermäßige Anzahl von Stoppbefehlen erkannt. Diese Warnung kann das Ergebnis eines betriebstechnischen Problems oder ein Versuch sein, das Gerät zu bearbeiten.

Schwellenwert: 20 Befehle zum Beenden in 3 Stunden
Medium Ungewöhnliches Kommunikationsverhalten Taktiken:
-Ausdauer
-Aufprall

Techniken:
- T0889: Programm ändern
- T0831: Manipulation der Steuerung
Erlernbar
Ungewöhnliche Datenverkehrsbandbreite* Auf einem Kanal wurde eine ungewöhnliche Bandbreite erkannt. Die Bandbreite scheint niedriger oder höher als zuvor erkannt zu sein. Weitere Informationen erhalten Sie, wenn Sie mit dem Widget für die Gesamtbandbreite arbeiten. Niedrig Bandbreitenauffälligkeiten Taktiken:
-Entdeckung

Techniken:
- T0842: Netzwerkermittlung
Erlernbar
Ungewöhnliche Datenverkehrsbandbreite zwischen Geräten* Auf einem Kanal wurde eine ungewöhnliche Bandbreite erkannt. Die Bandbreite scheint niedriger oder höher als zuvor erkannt zu sein. Weitere Informationen erhalten Sie, wenn Sie mit dem Widget für die Gesamtbandbreite arbeiten. Niedrig Bandbreitenauffälligkeiten Taktiken:
-Entdeckung

Techniken:
- T0842: Netzwerkermittlung
Nicht lernend
Adressüberprüfung erkannt Es wurde erkannt, dass ein Quellgerät Netzwerkgeräte überprüft. Dieses Gerät ist nicht als Netzwerkscangerät autorisiert.

Schwellenwert: 50 Verbindungen mit dem gleichen B-Klassensubnetz in 2 Minuten
High Überprüfen Taktiken:
-Entdeckung

Techniken:
- T0842: Netzwerkermittlung
Erlernbar
ARP-Adressenüberprüfung erkannt* Es wurde erkannt, dass ein Quellgerät Netzwerkgeräte mithilfe des Address Resolution-Protokolls (ARP) überprüft. Diese Geräteadresse ist nicht als gültige ARP-Scanadresse autorisiert.

Schwellenwert: 40 Scans in 6 Minuten
High Überprüfen Taktiken:
-Entdeckung
-Sammlung

Techniken:
- T0842: Netzwerk-Sniffing
- T0830: Man-in-the-Middle
Erlernbar
ARP-Spoofing* Im Netzwerk wurde eine ungewöhnliche Menge von Paketen erkannt. Diese Warnung könnte auf einen Angriff hindeuten, z. B. auf ARP-Spoofing oder einen ICMP-Floodingangriff.

Schwellenwert: 60 Pakete in 1 Minute
Niedrig Ungewöhnliches Kommunikationsverhalten Taktiken:
-Sammlung

Techniken:
- T0830: Man-in-the-Middle
Nicht lernend
Übermäßige Anzahl von Anmeldeversuchen Ein Quellgerät hat eine übermäßige Anzahl von Anmeldeversuchen auf einem Zielserver erkannt. Diese Warnung kann auf einen Brute-Force-Angriff hinweisen. Der Server kann von einem böswilligen Akteur kompromittiert werden.

Schwellenwert: 20 Anmeldeversuche in 1 Minute
High Authentifizierung Taktiken:
- LateralMovement
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0812: Standardanmeldeinformationen
- T0806: Brute Force-E/A
Nicht lernend
Übermäßige Anzahl von Sitzungen Ein Quellgerät hat eine übermäßige Anzahl von Anmeldeversuchen auf einem Zielserver erkannt. Dies kann auf einen Brute-Force-Angriff hinweisen. Der Server kann von einem böswilligen Akteur kompromittiert werden.

Schwellenwert: 50 Sitzungen in 1 Minute
High Ungewöhnliches Kommunikationsverhalten Taktiken:
-Lateralverschiebung
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0812: Standardanmeldeinformationen
- T0806: Brute Force-E/A
Nicht lernend
Übermäßige Neustartrate einer Outstation* Auf einem Quellgerät wurde eine übermäßige Anzahl von Neustartbefehlen erkannt. Diese Warnungen können das Ergebnis eines betriebstechnischen Problems oder ein Versuch sein, das Gerät zu bearbeiten.

Schwellenwert: 10 Neustarts in 1 Stunde
Medium Befehle zum Neustarten/Beenden Taktiken:
- Hemmung der Reaktionsfunktion
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0814: Denial of Service
- T0806: Brute Force-E/A
Nicht lernend
Übermäßige Anzahl von SMB-Anmeldeversuchen Ein Quellgerät hat eine übermäßige Anzahl von Anmeldeversuchen auf einem Zielserver erkannt. Dies kann auf einen Brute-Force-Angriff hinweisen. Der Server kann von einem böswilligen Akteur kompromittiert werden.

Schwellenwert: 10 Anmeldeversuche in 10 Minuten
High Authentifizierung Taktiken:
-Ausdauer
-Ausführung
- LateralMovement

Techniken:
- T0812: Standardanmeldeinformationen
- T0853: Skripting
- T0859: Gültige Konten
Nicht lernend
ICMP-Flooding* Im Netzwerk wurde eine ungewöhnliche Menge von Paketen erkannt. Diese Warnung könnte auf einen Angriff hindeuten, z. B. auf ARP-Spoofing oder einen ICMP-Floodingangriff.

Schwellenwert: 60 Pakete in 1 Minute
Niedrig Ungewöhnliches Kommunikationsverhalten Taktiken:
-Entdeckung
-Sammlung

Techniken:
- T0842: Netzwerk-Sniffing
- T0830: Man-in-the-Middle
Nicht lernend
Unzulässiger Inhalt von HTTP-Header * Das Quellgerät hat eine ungültige Anforderung initiiert. High Ungewöhnliches Verhalten bei der HTTP-Kommunikation Taktiken:
- Erstzugriff
- LateralMovement

Techniken:
- T0866: Ausnutzung von Remotediensten
Nicht lernend
Inaktiver Kommunikationskanal* Ein Kommunikationskanal zwischen zwei Geräten war während eines Zeitraums inaktiv, in dem die Aktivität normalerweise beobachtet wird. Dies deutet möglicherweise darauf hin, dass das Programm, das diesen Datenverkehr erzeugt, geändert wurde oder nicht verfügbar ist. Es wird empfohlen, die ordnungsgemäße Konfiguration des installierten Programms zu überprüfen.

Schwellenwert: 1 Minute
Niedrig Keine Reaktion Taktiken:
- Hemmung der Reaktionsfunktion

Techniken:
- T0881: Dienstende
Nicht lernbar
Zeitintensive Adressüberprüfung erkannt* Es wurde erkannt, dass ein Quellgerät Netzwerkgeräte überprüft. Dieses Gerät ist nicht als Netzwerkscangerät autorisiert.

Schwellenwert: 50 Verbindungen mit dem gleichen B-Klassensubnetz in 10 Minuten
High Überprüfen Taktiken:
-Entdeckung

Techniken:
- T0842: Netzwerkermittlung
Erlernbar
Versuch zum Erraten des Kennworts erkannt Ein Quellgerät hat eine übermäßige Anzahl von Anmeldeversuchen auf einem Zielserver erkannt. Dies kann auf einen Brute-Force-Angriff hinweisen. Der Server kann von einem böswilligen Akteur kompromittiert werden.

Schwellenwert: 100 Versuche in 1 Minute
High Authentifizierung Taktiken:
-Lateralverschiebung

Techniken:
- T0812: Standardanmeldeinformationen
- T0806: Brute Force-E/A
Nicht lernend
SPS-Überprüfung erkannt Es wurde erkannt, dass ein Quellgerät Netzwerkgeräte überprüft. Dieses Gerät ist nicht als Netzwerkscangerät autorisiert.

Schwellenwert: 10 Scans in 2 Minuten
High Überprüfen Taktiken:
-Entdeckung

Techniken:
- T0842: Netzwerkermittlung
Erlernbar
Portüberprüfung erkannt Es wurde erkannt, dass ein Quellgerät Netzwerkgeräte überprüft. Dieses Gerät ist nicht als Netzwerkscangerät autorisiert.

Schwellenwert: 25 Scans in 2 Minuten
High Überprüfen Taktiken:
-Entdeckung

Techniken:
- T0842: Netzwerkermittlung
Erlernbar
Unerwartete Nachrichtenlänge Das Quellgerät hat eine ungewöhnliche Nachricht gesendet. Diese Warnung weist möglicherweise auf einen Versuch hin, das Zielgerät anzugreifen.

Schwellenwert: Textlänge - 32768
High Ungewöhnliches Kommunikationsverhalten Taktiken:
- InitialAccess
- LateralMovement

Techniken:
- T0869: Ausnutzung von Remotediensten
Nicht lernend
Unerwarteter Datenverkehr für Standardport* Auf einem Gerät wurde Datenverkehr über einen Port erkannt, der für ein anderes Protokoll reserviert ist. Medium Ungewöhnliches Kommunikationsverhalten Taktiken:
- Befehl und Steuerung
-Entdeckung

Techniken:
- T0869: Standard Application Layer Protocol
- T0842: Netzwerkermittlung
Nicht lernend

Warnungen der Protokollverstoß-Engine

Warnungen der Protokoll-Engine beschreiben erkannte Abweichungen in der Paketstruktur oder in Feldwerten im Vergleich zu Protokollspezifikationen.

Titel BESCHREIBUNG severity Kategorie MITRE ATT&CK
Taktiken und Techniken
Erlernbar
Übermäßige Anzahl falsch formatierter Pakete in einer einzelnen Sitzung* Eine ungewöhnliche Anzahl falsch formatierter Pakete, die vom Quellgerät an das Zielgerät gesendet werden. Diese Warnung könnte auf eine fehlerhafte Kommunikation oder einen Versuch hindeuten, das Zielgerät zu manipulieren.

Schwellenwert: 2 falsch formatierte Pakete in 10 Minuten
Medium Unzulässige Befehle Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0806: Brute Force-E/A
Nicht lernend
Firmwareupdate Ein Quellgerät hat einen Befehl zum Aktualisieren der Firmware auf einem Zielgerät gesendet. Vergewissern Sie sich, dass die aktuellen, auf dem Zielgerät durchgeführten Programmierungs-, Konfigurations- und Firmwareupgrades gültig sind. Niedrig Firmwareänderung Taktiken:
- Hemmung der Reaktionsfunktion
-Ausdauer

Techniken:
- T0857: System Firmware
Erlernbar
Funktionscode von Outstation nicht unterstützt Das Zielgerät hat eine ungültige Anforderung empfangen. Medium Unzulässige Befehle Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Meldung zu nicht autorisierten Befehlen
Nicht lernend
Unzulässige BACNet-Nachricht Das Quellgerät hat eine ungültige Anforderung initiiert. Medium Unzulässige Befehle Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0836: Parameter ändern
Nicht lernend
Unzulässiger Verbindungsversuch an Port 0 Ein Quellgerät hat versucht, über die Portnummer 0 eine Verbindung mit dem Zielgerät herzustellen. Für das TCP ist Port 0 reserviert und kann nicht verwendet werden. Für UDP ist der Port optional, und der Wert 0 bedeutet, dass es keinen Port gibt. In der Regel gibt es auf Systemen keinen Dienst, der Port 0 überwacht. Dieses Ereignis kann auf einen Versuch hinweisen, das Zielgerät anzugreifen, oder darauf hinweisen, dass eine Anwendung falsch programmiert wurde. Niedrig Unzulässige Befehle Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0836: Parameter ändern
Nicht lernend
Unzulässiger DNP3-Vorgang Das Quellgerät hat eine ungültige Anforderung initiiert. Medium Unzulässige Befehle Taktiken:
- Erstzugriff
-Lateralverschiebung

Techniken:
- T0866: Ausnutzung von Remotediensten
Nicht lernend
Unzulässiger Modbus-Vorgang (Ausnahme durch Master ausgelöst) Das Quellgerät hat eine ungültige Anforderung initiiert. Medium Unzulässige Befehle Taktiken:
- Erstzugriff
-Lateralverschiebung

Techniken:
- T0866: Ausnutzung von Remotediensten
Nicht lernend
Unzulässiger Modbus-Vorgang (Funktionscode null)* Das Quellgerät hat eine ungültige Anforderung initiiert. Medium Unzulässige Befehle Taktiken:
- Erstzugriff
-Lateralverschiebung

Techniken:
- T0866: Ausnutzung von Remotediensten
Nicht lernend
Unzulässige Protokollversion* Das Quellgerät hat eine ungültige Anforderung initiiert. Medium Unzulässige Befehle Taktiken:
- Erstzugriff
- LateralMovement
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0820: Remotedienste
- T0836: Parameter ändern
Nicht lernend
Falscher Parameter an Outstation gesendet Das Zielgerät hat eine ungültige Anforderung empfangen. Medium Unzulässige Befehle Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0836: Parameter ändern
Nicht lernend
Initiierung eines veralteten Funktionscodes (Daten initialisieren) Das Quellgerät hat eine ungültige Anforderung initiiert. Niedrig Unzulässige Befehle Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Meldung zu nicht autorisierten Befehlen
Nicht lernend
Initiierung eines veralteten Funktionscodes (Konfiguration speichern) Das Quellgerät hat eine ungültige Anforderung initiiert. Niedrig Unzulässige Befehle Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Meldung zu nicht autorisierten Befehlen
Nicht lernend
Das übergeordnete Gerät hat die Bestätigung einer Anwendungsebene angefordert. Das Quellgerät hat eine ungültige Anforderung initiiert. Niedrig Unzulässige Befehle Taktiken:
- Befehl und Steuerung

Techniken:
- T0869: Standardmäßiges Anwendungsebenenprotokoll
Nicht lernend
Modbus-Ausnahme Ein Quellgerät (sekundär) hat eine Ausnahme an ein Zielgerät (primär) zurückgegeben. Medium Unzulässige Befehle Taktiken:
- Hemmung der Reaktionsfunktion

Techniken:
- T0814: Denial-of-Service
Nicht lernend
Unzulässiger ASDU-Typ von untergeordnetem Gerät empfangen Das Zielgerät hat eine ungültige Anforderung empfangen. Medium Unzulässige Befehle Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0836: Parameter ändern
Nicht lernend
Unzulässige Befehlsursache für die Übertragung von untergeordnetem Gerät empfangen Das Zielgerät hat eine ungültige Anforderung empfangen. Medium Unzulässige Befehle Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0836: Parameter ändern
Nicht lernend
Unzulässige allgemeine Adresse von untergeordnetem Gerät empfangen Das Zielgerät hat eine ungültige Anforderung empfangen. Medium Unzulässige Befehle Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0836: Parameter ändern
Nicht lernend
Unzulässiger Datenadressparameter von untergeordnetem Gerät empfangen* Das Zielgerät hat eine ungültige Anforderung empfangen. Medium Unzulässige Befehle Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0836: Parameter ändern
Nicht lernend
Unzulässiger Datenwertparameter von untergeordnetem Gerät empfangen* Das Zielgerät hat eine ungültige Anforderung empfangen. Medium Unzulässige Befehle Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0836: Parameter ändern
Nicht lernend
Unzulässiger Funktionscode von untergeordnetem Gerät empfangen* Das Zielgerät hat eine ungültige Anforderung empfangen. Medium Unzulässige Befehle Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0836: Parameter ändern
Nicht lernend
Unzulässige Informationsobjektadresse von untergeordnetem Gerät empfangen Das Zielgerät hat eine ungültige Anforderung empfangen. Medium Unzulässige Befehle Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Nicht autorisierte Befehlsnachricht
- T0836: Parameter ändern
Nicht lernend
Unbekanntes Objekt an Outstation gesendet Das Zielgerät hat eine ungültige Anforderung empfangen. Medium Unzulässige Befehle Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Meldung zu nicht autorisierten Befehlen
Nicht lernend
Verwendung eines reservierten Funktionscodes Das Quellgerät hat eine ungültige Anforderung initiiert. Medium Unzulässige Befehle Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0836: Parameter ändern
Nicht lernend
Verwendung einer unsachgemäßen Formatierung durch Outstation* Das Quellgerät hat eine ungültige Anforderung initiiert. Niedrig Unzulässige Befehle Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Meldung zu nicht autorisierten Befehlen
Nicht lernend
Verwendung reservierter Statuskennzeichnungen (IIN) Ein DNP3-Quellgerät (Outstation) hat den reservierten internen Indikator 2.6 verwendet. Es wird empfohlen, die Konfiguration des Geräts zu überprüfen. Niedrig Unzulässige Befehle Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0836: Parameter ändern
Nicht lernend

Warnungen der Malware-Engine

Warnungen der Schadsoftware-Engine beschreiben erkannte schädliche Netzwerkaktivitäten.

Titel BESCHREIBUNG severity Kategorie MITRE ATT&CK
Taktiken und Techniken
Erlernbar
Verbindungsversuch mit bekannter böswilliger IP-Adresse Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird.

Ausgelöst durch OT- und Enterprise IoT-Netzwerksensoren.
High Verdacht auf schädliche Aktivität Taktiken:
- Erstzugriff
- Befehl und Steuerung

Techniken:
- T0883: Internet Accessible Device
- T0884: Verbindungsproxy
Nicht lernend
Ungültige SMB-Nachricht (Hintertürinstallation von DoublePulsar) Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Hoch Verdacht auf Schadsoftware Taktiken:
- Erstzugriff
- LateralMovement

Techniken:
- T0866: Ausnutzung von Remotediensten
Nicht lernend
Schädliche Domänennamenanforderung Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird.

Ausgelöst durch OT- und Enterprise IoT-Netzwerksensoren.
High Verdacht auf schädliche Aktivität Taktiken:
- Erstzugriff
- Befehl und Steuerung

Techniken:
- T0883: Internet Accessible Device
- T0884: Verbindungsproxy
Erlernbar
Bösartiger URL-Pfad Eine Anforderung wurde an einen bekannten bösartigen URL-Pfad gestellt. Anforderungen für diesen URL-Pfad können darauf hinweisen, dass die Quelle, die die Anforderung stellt, kompromittiert ist. Hoch Verdacht auf schädliche Aktivität Taktiken:
- Erstzugriff
- Befehl und Steuerung

Techniken:
- T0883: Internet Accessible Device
- T0884: Verbindungsproxy
Nicht lernend
Malwaretestdatei erkannt: EICAR AV erfolgreich Im Datenverkehr zwischen zwei Geräten (über jeden beliebigen Transport – TCP oder UDP) wurde eine EICAR AV-Testdatei erkannt. Die Datei ist keine Schadsoftware. Sie wird zur Bestätigung verwendet, dass die Antivirensoftware ordnungsgemäß installiert wurde. Veranschaulichen Sie, was geschieht, wenn ein Virus gefunden wurde, und überprüfen Sie interne Prozeduren und Reaktionen, wenn das zutrifft. Antivirussoftware sollte EICAR wie einen echten Virus erkennen. High Verdacht auf schädliche Aktivität Taktiken:
-Entdeckung

Techniken:
- T0842: Netzwerkermittlung
Nicht lernend
Verdacht auf Conficker-Malware Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Medium Verdacht auf Schadsoftware Taktiken:
- Erstzugriff
-Aufprall

Techniken:
- T0826: Verfügbarkeitsverlust
- T0828: Verlust der Produktivität und des Umsatzes
- T0847: Replikation über Wechselmedien
Nicht lernend
Verdacht auf Denial-of-Service-Angriff Ein Quellgerät hat versucht, eine übermäßige Anzahl neuer Verbindungen mit einem Zielgerät zu initiieren. Dies kann auf einen DoS-Angriff (Denial Of Service) auf das Zielgerät hinweisen und die Gerätefunktionalität unterbrechen, die Leistung und die Dienstverfügbarkeit beeinträchtigen oder nicht behebbare Fehler verursachen.

Schwellenwert: 3000 Versuche in 1 Minute
High Verdacht auf schädliche Aktivität Taktiken:
- Hemmung der Reaktionsfunktion

Techniken:
- T0814: Denial-of-Service
Erlernbar
Verdacht auf schädliche Aktivität Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der bekannte "Indicators of Compromise" (IOCs) ausgelöst hat. Das Sicherheitsteam muss die Metadaten der Warnung überprüfen. High Verdacht auf schädliche Aktivität Taktiken:
-Lateralverschiebung

Techniken:
- T0867: Lateral Tool-Übertragung
Nicht lernend
Verdacht auf schädliche Aktivität (BlackEnergy) Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Hoch Verdacht auf Schadsoftware Taktiken:
- Befehl und Steuerung

Techniken:
- T0869: Standardmäßiges Anwendungsebenenprotokoll
Nicht lernend
Verdacht auf schädliche Aktivität (DarkComet) Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Hoch Verdacht auf Schadsoftware Taktiken:
-Aufprall

Techniken:
- T0882: Diebstahl von Betriebsinformationen
Nicht lernend
Verdacht auf schädliche Aktivität (Duqu) Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Hoch Verdacht auf Schadsoftware Taktiken:
-Aufprall

Techniken:
- T0882: Diebstahl von Betriebsinformationen
Nicht lernend
Verdacht auf schädliche Aktivität (Flame) Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Hoch Verdacht auf Schadsoftware Taktiken:
-Sammlung
-Aufprall

Techniken:
- T0882: Diebstahl operativer Informationen
- T0811: Daten aus Informationsrepositorys
Nicht lernend
Verdacht auf schädliche Aktivität (Havex) Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Hoch Verdacht auf Schadsoftware Taktiken:
-Sammlung
-Entdeckung
- Hemmung der Reaktionsfunktion

Techniken:
- T0861: Point & Tag Identification
- T0846: Remote System Discovery
- T0814: Denial-of-Service
Nicht lernend
Verdacht auf schädlich Aktivität (Karagany) Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Hoch Verdacht auf Schadsoftware Taktiken:
-Aufprall

Techniken:
- T0882: Diebstahl von Betriebsinformationen
Nicht lernend
Verdacht auf schädliche Aktivität (LightsOut) Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Hoch Verdacht auf Schadsoftware Taktiken:
-Umgehung

Techniken:
- T0849: Maskierung
Nicht lernend
Verdacht auf schädliche Aktivität (Namensabfragen) Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird.

Schwellenwert: 25 Namensabfragen in 1 Minute
High Verdacht auf schädliche Aktivität Taktiken:
- Befehl und Steuerung

Techniken:
- T0884: Verbindungsproxy
Nicht lernend
Verdacht auf schädliche Aktivität (Poison Ivy) Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Hoch Verdacht auf Schadsoftware Taktiken:
- Erstzugriff
-Lateralverschiebung

Techniken:
- T0866: Ausnutzung von Remotediensten
Nicht lernend
Verdacht auf schädliche Aktivität (Regin) Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Hoch Verdacht auf Schadsoftware Taktiken:
- Erstzugriff
-Lateralverschiebung
-Aufprall

Techniken:
- T0866: Nutzung von Remotediensten
- T0882: Diebstahl von Betriebsinformationen
Nicht lernend
Verdacht auf schädliche Aktivität (Stuxnet) Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Hoch Verdacht auf Schadsoftware Taktiken:
- Erstzugriff
-Lateralverschiebung
-Aufprall

Techniken:
- T0818: Engineering Workstation Compromise
- T0866: Nutzung von Remotediensten
- T0831: Manipulation der Steuerung
Nicht lernend
Verdacht auf schädliche Aktivität (WannaCry)* Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Medium Verdacht auf Schadsoftware Taktiken:
- Erstzugriff
-Lateralverschiebung

Techniken:
- T0866: Nutzung von Remotediensten
- T0867: Lateral Tool-Übertragung
Nicht lernend
Verdacht auf NotPetya-Malware: Unzulässige SMB-Parameter erkannt Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Hoch Verdacht auf Schadsoftware Taktiken:
- Erstzugriff
-Lateralverschiebung

Techniken:
- T0866: Ausnutzung von Remotediensten
Nicht lernend
Verdacht auf NotPetya-Malware: Unzulässige SMB-Transaktion erkannt Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Hoch Verdacht auf Schadsoftware Taktiken:
-Lateralverschiebung

Techniken:
- T0867: Lateral Tool-Übertragung
Nicht lernend
Verdacht auf Remotecodeausführung mit PsExec Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Hoch Verdacht auf schädliche Aktivität Taktiken:
-Lateralverschiebung
- Erstzugriff

Techniken:
- T0866: Ausnutzung von Remotediensten
Nicht lernend
Verdacht auf Remoteverwaltung von Windows-Diensten* Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Hoch Verdacht auf schädliche Aktivität Taktiken:
- Erstzugriff

Techniken:
- T0822: Netzwerkexterne Remotedienste
Nicht lernend
Verdächtige ausführbare Datei am Endpunkt erkannt Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Hoch Verdacht auf schädliche Aktivität Taktiken:
-Umgehung
- Hemmung der Reaktionsfunktion

Techniken:
- T0851: Rootkit
Erlernbar
Verdächtiger Datenverkehr erkannt* Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der bekannte "Indicators of Compromise" (IOCs) ausgelöst hat. Das Sicherheitsteam muss die Metadaten der Warnung überprüfen. High Verdacht auf schädliche Aktivität Taktiken:
-Entdeckung

Techniken:
- T0842: Netzwerkermittlung
Nicht lernend
Sicherungsaktivität mit Antivirussignaturen Der zwischen dem Quellgerät und dem Zielsicherungsserver erkannte Datenverkehr hat diese Warnung ausgelöst. Der Datenverkehr umfasst die Sicherung von Antivirensoftware, die möglicherweise Schadsoftwaresignaturen enthält. Dies ist höchstwahrscheinlich eine legitime Sicherungsaktivität. Niedrig Backup Taktiken:
-Aufprall

Techniken:
- T0882: Diebstahl von Betriebsinformationen
Nicht lernend

Warnungen der Betriebs-Engine

Warnungen der Betriebs-Engine beschreiben erkannte Betriebsvorfälle oder Entitäten mit Funktionsfehlern.

Titel BESCHREIBUNG severity Kategorie MITRE ATT&CK
Taktiken und Techniken
Erlernbar
S7-Befehl zum Beenden der SPS gesendet Das Quellgerät hat einen Stoppbefehl an einen Zielcontroller gesendet. Der Controller wird nicht mehr ausgeführt, bis ein Startbefehl gesendet wird. Niedrig Befehle zum Neustarten/Beenden Taktiken:
-Lateralverschiebung
- Verteidigungshinterziehung
-Ausführung
- Hemmung der Reaktionsfunktion

Techniken:
- T0843: Programmdownload
- T0858: Betriebsmodus ändern
- T0814: Denial-of-Service
Nicht lernend
BACNet-Vorgang fehlgeschlagen Ein Server hat einen Fehlercode zurückgegeben. Diese Warnung deutet auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin. Medium Befehlsfehler Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Meldung zu nicht autorisierten Befehlen
Nicht lernend
Fehlerhafter MMS-Gerätestatus Von einem MMS-VMD (Virtual Manufacturing Device) wurde eine Statusmeldung gesendet. Die Meldung gibt an, dass der Server möglicherweise nicht ordnungsgemäß, teilweise betriebsbereit oder gar nicht betriebsbereit ist. Medium Betriebsprobleme Taktiken:
- Hemmung der Reaktionsfunktion

Techniken:
- T0814: Denial-of-Service
Nicht lernend
Änderung der Gerätekonfiguration* Auf einem Quellgerät wurde eine Konfigurationsänderung erkannt. Niedrig Konfigurationsänderungen Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0836: Parameter ändern
Nicht lernend
Ständiger Ereignispufferüberlauf in Outstation* Ein Pufferüberlaufereignis wurde auf einem Quellgerät erkannt. Das Ereignis kann zu Datenbeschädigungen, Programmabstürzen oder Ausführung von bösartigem Code führen.

Schwellenwert: 3 Vorkommen in 10 Minuten
Medium Pufferüberlauf Taktiken:
- Hemmung der Reaktionsfunktion
- Beeinträchtigung der Prozesskontrolle
-Ausdauer

Techniken:
- T0814: Denial of Service
- T0806: Brute Force E/A
- T0839: Modulfirmware
Nicht lernend
Controllerzurücksetzung Ein Quellgerät hat einen Befehl zum Zurücksetzen an einen Zielcontroller gesendet. Der Controller wurde beendet und automatisch neu gestartet. Niedrig Befehle zum Neustarten/Beenden Taktiken:
- Verteidigungshinterziehung
-Ausführung
- Hemmung der Reaktionsfunktion

Techniken:
- T0858: Betriebsmodus ändern
- T0814: Denial-of-Service
Nicht lernend
Controllerbeendung Das Quellgerät hat einen Stoppbefehl an einen Zielcontroller gesendet. Der Controller wird nicht mehr ausgeführt, bis ein Startbefehl gesendet wird. Niedrig Befehle zum Neustarten/Beenden Taktiken:
-Lateralverschiebung
- Verteidigungshinterziehung
-Ausführung
- Hemmung der Reaktionsfunktion

Techniken:
- T0843: Programmdownload
- T0858: Betriebsmodus ändern
- T0814: Denial-of-Service
Nicht lernend
Gerät konnte keine dynamische IP-Adresse empfangen Das Quellgerät ist so konfiguriert, dass es eine dynamische IP-Adresse von einem DHCP-Server empfängt, aber keine Adresse empfangen hat. Dies weist auf einen Konfigurationsfehler auf dem Gerät oder auf einen Betriebsfehler auf dem DHCP-Server hin. Es wird empfohlen, den Netzwerkadministrator über den Incident zu benachrichtigen. Medium Befehlsfehler Taktiken:
-Entdeckung

Techniken:
- T0842: Netzwerkermittlung
Nicht lernend
Verbindung des Geräts möglicherweise getrennt (keine Reaktion) Ein Quellgerät hat nicht auf einen an dieses gesendeten Befehl geantwortet. Möglicherweise wurde die Verbindung getrennt, wenn der Befehl gesendet wurde.

Schwellenwert: 8 Versuche in 5 Minuten
Medium Keine Reaktion Taktiken:
- Hemmung der Reaktionsfunktion

Techniken:
- T0881: Dienstende
Nicht lernend
Fehler bei Ethernet/IP-CIP-Dienstanforderung Ein Server hat einen Fehlercode zurückgegeben. Dies weist auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin. Medium Befehlsfehler Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Meldung zu nicht autorisierten Befehlen
Nicht lernend
Fehler bei Befehl von Ethernet/IP-Kapselungsprotokoll Ein Server hat einen Fehlercode zurückgegeben. Dies weist auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin. Medium Befehlsfehler Taktiken:
-Sammlung

Techniken:
- T0801: Überwachen des Prozessstatus
Nicht lernend
Ereignispufferüberlauf in Outstation Ein Pufferüberlaufereignis wurde auf einem Quellgerät erkannt. Das Ereignis kann zu Datenbeschädigungen, Programmabstürzen oder Ausführung von bösartigem Code führen. Medium Pufferüberlauf Taktiken:
- Hemmung der Reaktionsfunktion
- Beeinträchtigung der Prozesskontrolle
-Ausdauer

Techniken:
- T0814: Denial of Service
- T0839: Modulfirmware
Nicht lernend
Erwarteter Sicherungsvorgang fand nicht statt Die erwartete Sicherungs-/Dateiübertragungsaktivität zwischen zwei Geräten hat nicht stattgefunden. Diese Warnung kann auf Fehler im Sicherungs-/Dateiübertragungsprozess hinweisen.

Schwellenwert: 100 Sekunden
Medium Backup Taktiken:
- Hemmung der Reaktionsfunktion

Techniken:
- T0809: Datenvernichtung
Erlernbar
Fehler bei GE SRTP-Befehl Ein Server hat einen Fehlercode zurückgegeben. Diese Warnung deutet auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin. Medium Befehlsfehler Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Meldung zu nicht autorisierten Befehlen
Nicht lernend
GE SRTP-Befehl zum Beenden der SPS gesendet Das Quellgerät hat einen Stoppbefehl an einen Zielcontroller gesendet. Der Controller wird nicht mehr ausgeführt, bis ein Startbefehl gesendet wird. Niedrig Befehle zum Neustarten/Beenden Taktiken:
-Lateralverschiebung
- Verteidigungshinterziehung
-Ausführung
- Hemmung der Reaktionsfunktion

Techniken:
- T0843: Programmdownload
- T0858: Betriebsmodus ändern
- T0814: Denial-of-Service
Nicht lernend
Weitere Konfiguration für GOOSE-Kontrollblock erforderlich Ein Quellgerät hat eine GOOSE-Meldung gesendet, in der darauf hingewiesen wird, dass das Gerät in Betrieb genommen werden muss. Dies bedeutet, dass der GOOSE-Kontrollblock weitere Konfiguration erfordert und die GOOSE-Meldungen teilweise oder überhaupt nicht funktionsfähig sind. Medium Konfigurationsänderungen Taktiken:
- Beeinträchtigung der Prozesskontrolle
- Hemmung der Reaktionsfunktion

Techniken:
- T0803: Blockbefehlsnachricht
- T0821: Controllertasking ändern
Nicht lernend
GOOSE-Datasetkonfiguration geändert* Ein Nachrichtendataset (identifiziert durch die Protokoll-ID) wurde auf einem Quellgerät geändert. Dies bedeutet, dass das Gerät ein anderes Dataset für diese Nachricht meldet. Niedrig Konfigurationsänderungen Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0836: Parameter ändern
Nicht lernend
Unerwarteter Status von Honeywell-Controller Ein Honeywell-Controller hat eine unerwartete Diagnosemeldung gesendet, die auf eine Statusänderung hinweist. Niedrig Betriebsprobleme Taktiken:
-Umgehung
-Ausführung

Techniken:
- T0858: Betriebsmodus ändern
Nicht lernend
HTTP-Clientfehler * Das Quellgerät hat eine ungültige Anforderung initiiert. Niedrig Ungewöhnliches Verhalten bei der HTTP-Kommunikation Taktiken:
- Befehl und Steuerung

Techniken:
- T0869: Standardmäßiges Anwendungsebenenprotokoll
Nicht lernend
Unzulässige IP-Adresse Vom System wurde Datenverkehr zwischen einem Quellgerät und einer IP-Adresse erkannt, die eine ungültige Adresse darstellt. Dies kann auf eine falsche Konfiguration oder auf einen Versuch zum Generieren eines illegalen Datenverkehrs hinweisen. Niedrig Ungewöhnliches Kommunikationsverhalten Taktiken:
-Entdeckung
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0842: Netzwerk-Sniffing
- T0836: Parameter ändern
Nicht lernend
Authentifizierungsfehler zwischen übergeordnetem und untergeordnetem Gerät Fehler beim Authentifizierungsprozess zwischen einem DNP3-Quellgerät (primär) und einem Zielgerät (Outstation). Niedrig Authentifizierung Taktiken:
-Lateralverschiebung
-Ausdauer

Techniken:
- T0859: Gültige Konten
Nicht lernend
Fehler bei MMS-Dienstanforderung Ein Server hat einen Fehlercode zurückgegeben. Dies weist auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin. Medium Befehlsfehler Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Meldung zu nicht autorisierten Befehlen
Nicht lernend
Kein Datenverkehr an Sensorschnittstelle erkannt Ein Sensor hat die Erkennung von Netzwerkdatenverkehr an einer Netzwerkschnittstelle beendet. High Sensordatenverkehr Taktiken:
- Hemmung der Reaktionsfunktion

Techniken:
- T0881: Dienstende
Nicht lernend
OPC UA-Server hat ein Ereignis ausgelöst, das einen Benutzereingriff erfordert Ein OPC UA-Server hat eine Ereignisbenachrichtigung an einen Client gesendet. Dieser Ereignistyp erfordert einen Benutzereingriff. Medium Betriebsprobleme Taktiken:
- Hemmung der Reaktionsfunktion

Techniken:
- T0838: Alarmeinstellungen ändern
Nicht lernend
Fehler bei OPC UA-Dienstanforderung Ein Server hat einen Fehlercode zurückgegeben. Dies weist auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin. Medium Befehlsfehler Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Meldung zu nicht autorisierten Befehlen
Nicht lernend
Outstation neu gestartet Auf einem Quellgerät wurde ein kalter Neustart erkannt. Das bedeutet, dass das Gerät physisch aus- und wieder eingeschaltet wurde. Niedrig Befehle zum Neustarten/Beenden Taktiken:
- Hemmung der Reaktionsfunktion

Techniken:
- T0816: Neustarten/Herunterfahren des Geräts
Nicht lernend
Häufige Neustarts der Outstation Auf einem Quellgerät wurde eine übermäßige Anzahl von kalten Neustarts erkannt. Das bedeutet, dass das Gerät übermäßig häufig physisch aus- und wieder eingeschaltet wurde.

Schwellenwert: 2 Neustarts in 10 Minuten
Niedrig Befehle zum Neustarten/Beenden Taktiken:
- Hemmung der Reaktionsfunktion

Techniken:
- T0814: Denial of Service
- T0816: Neustarten/Herunterfahren des Geräts
Nicht lernend
Konfiguration der Outstation geändert Auf einem Quellgerät wurde eine Konfigurationsänderung erkannt. Medium Konfigurationsänderungen Taktiken:
- Hemmung der Reaktionsfunktion
-Ausdauer

Techniken:
- T0857: System Firmware
Nicht lernend
Beschädigte Konfiguration der Outstation erkannt Dieses DNP3-Quellgerät (Outstation) hat eine beschädigte Konfiguration gemeldet. Medium Konfigurationsänderungen Taktiken:
- Hemmung der Reaktionsfunktion

Techniken:
- T0809: Datenvernichtung
Nicht lernend
Fehler bei Profinet-DCP-Befehl Ein Server hat einen Fehlercode zurückgegeben. Dies weist auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin. Medium Befehlsfehler Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Meldung zu nicht autorisierten Befehlen
Nicht lernend
Zurücksetzung von Profinet-Gerät auf Werkseinstellungen Ein Quellgerät hat einen Befehl zum Zurücksetzen auf die Werkseinstellungen an ein Profinet-Zielgerät gesendet. Mit dem Befehl zum Zurücksetzen werden Gerätekonfigurationen von Profinet gelöscht, und der Vorgang wird beendet. Niedrig Befehle zum Neustarten/Beenden Taktiken:
- Verteidigungshinterziehung
-Ausführung
- Hemmung der Reaktionsfunktion

Techniken:
- T0858: Betriebsmodus ändern
- T0814: Denial-of-Service
Nicht lernend
Fehler bei RPC-Vorgang * Ein Server hat einen Fehlercode zurückgegeben. Diese Warnung deutet auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin. Medium Befehlsfehler Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0855: Meldung zu nicht autorisierten Befehlen
Nicht lernend
Konfiguration für Nachrichtendataset mit Stichprobenwerten geändert* Ein Nachrichtendataset (identifiziert durch die Protokoll-ID) wurde auf einem Quellgerät geändert. Dies bedeutet, dass das Gerät ein anderes Dataset für diese Nachricht meldet. Niedrig Konfigurationsänderungen Taktiken:
- Beeinträchtigung der Prozesskontrolle

Techniken:
- T0836: Parameter ändern
Nicht lernend
Nicht behebbarer Fehler auf untergeordnetem Gerät* Ein nicht behebbarer Bedingungsfehler wurde auf einem Quellgerät erkannt. Diese Art von Fehler deutet in der Regel auf einen Hardwarefehler oder einen Fehler bei der Ausführung eines bestimmten Befehls hin. Medium Befehlsfehler Taktiken:
- Hemmung der Reaktionsfunktion

Techniken:
- T0814: Denial-of-Service
Nicht lernend
Verdacht auf Hardwareprobleme an der Outstation Ein nicht behebbarer Bedingungsfehler wurde auf einem Quellgerät erkannt. Diese Art von Fehler deutet in der Regel auf einen Hardwarefehler oder einen Fehler bei der Ausführung eines bestimmten Befehls hin. Medium Betriebsprobleme Taktiken:
- Hemmung der Reaktionsfunktion

Techniken:
- T0814: Denial of Service
- T0881: Dienstende
Nicht lernend
Verdacht auf nicht reagierendes Modbus-Gerät Ein Quellgerät hat nicht auf einen an dieses gesendeten Befehl geantwortet. Möglicherweise wurde die Verbindung getrennt, wenn der Befehl gesendet wurde.

Schwellenwert: Mindestens 1 gültige Antwort für mindestens 3 Anforderungen innerhalb von 5 Minuten
Niedrig Keine Reaktion Taktiken:
- Hemmung der Reaktionsfunktion

Techniken:
- T0881: Dienstende
Nicht lernend
Datenverkehr an Sensorschnittstelle erkannt Ein Sensor hat die Erkennung von Netzwerkdatenverkehr an einer Netzwerkschnittstelle fortgesetzt. Niedrig Sensordatenverkehr Taktiken:
-Entdeckung

Techniken:
- T0842: Netzwerkermittlung
Nicht lernend
SPS-Betriebsmodus geändert Der Betriebsmodus auf dieser SPS wurde geändert. Der neue Modus kann darauf hinweisen, dass die SPS nicht sicher ist. Wenn die PLG in einem unsicheren Betriebsmodus bleibt, können Angreifer böswillige Aktivitäten daran ausführen, z. B. einen Programmdownload. Wenn die SPS kompromittiert ist, können Geräte und Prozesse, die mit ihr interagieren, beeinträchtigt werden. Dies kann sich auf die Gesamtsystemsicherheit und -sicherheit auswirken. Niedrig Konfigurationsänderungen Taktiken:
-Ausführung
-Umgehung

Techniken:
- T0858: Betriebsmodus ändern
Nicht lernend

Nächste Schritte

Weitere Informationen finden Sie unter