Referenz für Microsoft Defender for IoT-Warnungen
Dieser Artikel enthält eine Referenz für die von Microsoft Defender for IoT-Netzwerksensoren generierten Warnungen, einschließlich einer Liste mit allen Warnungstypen und mit Beschreibungen. In der Referenz wird auch gezeigt, welche Warnungen als lernbar oder nicht triageiert werden können, weitere Informationen zum lernbaren Status finden Sie unter Warnungsstatus und Triagingoptionen. Sie können diese Referenz verwenden, um Warnungen in Playbooks zuzuordnen, Weiterleitungsregeln für einen OT-Netzwerksensor (Operational Technology) oder andere benutzerdefinierte Aktivitäten zu definieren.
OT-Warnungen standardmäßig deaktiviert
Verschiedene Warnungen sind standardmäßig deaktiviert, wie durch Sternchen (*) in den folgenden Tabellen angegeben. Admin-Benutzer von OT-Sensoren können auf der Seite Support Warnungen für einen bestimmten OT-Netzwerksensor aktivieren oder deaktivieren.
Wenn Sie Warnungen deaktivieren, auf die an anderen Stellen verwiesen wird, z. B. in Warnungsweiterleitungsregeln, müssen Sie diese Verweise ggf. aktualisieren.
Warnungsschweregrade
Defender for IoT-Warnungen verwenden die folgenden Schweregrade:
| Azure-Portal | OT-Sensor | BESCHREIBUNG |
|---|---|---|
| Hoch | Critical (Kritisch) | Gibt einen böswilligen Angriff an, der sofort behandelt werden muss. |
| Mittel | Major | Gibt eine Sicherheitsbedrohung an, deren Behandlung wichtig ist. |
| Niedrig | Geringfügig, Warnung | Weist auf eine Abweichung vom normalen Verhalten hin, die eine Sicherheitsbedrohung darstellen könnte, oder enthält keine Sicherheitsbedrohungen. |
Warnungsschweregrade auf dieser Seite listen den Schweregrad auf, wie im Azure-Portal dargestellt.
Unterstützte Warnungstypen
| Warnungstyp | BESCHREIBUNG |
|---|---|
| Warnungen zu Richtlinienverstößen | Diese Warnungen werden ausgelöst, wenn das Richtlinienverstoßmodul eine Abweichung vom zuvor erlernten Datenverkehr erkennt. Beispiel: - Ein neues Gerät wird erkannt. - Auf einem Gerät wird eine neue Konfiguration erkannt. - Ein nicht als Programmiergerät definiertes Gerät führt eine Programmieränderung aus. - Eine Firmwareversion wurde geändert. |
| Warnungen zu Protokollverletzungen | Diese Warnungen werden ausgelöst, wenn das Protokollverletzungsmodul Paketstrukturen oder Feldwerte erkennt, die nicht mit der Protokollspezifikation übereinstimmen. |
| Vorgangswarnungen | Diese Warnungen werden ausgelöst, wenn das Vorgangsmodul Netzwerkbetriebsvorfälle erkennt oder ein Gerät nicht ordnungsgemäß funktioniert. Beispiele: Ein Netzwerkgerät wurde über einen Befehl zum Beenden der SPS beendet, oder eine Schnittstelle eines Sensors hat die Überwachung des Datenverkehrs beendet. |
| Malwarewarnungen | Diese Warnungen werden ausgelöst, wenn das Malwaremodul schädliche Netzwerkaktivitäten erkennt. Beispiel: Das Modul erkennt einen bekannten Angriff, z. B. Conficker. |
| Anomaliewarnungen | Diese Warnungen werden ausgelöst, wenn das Anomaliemodul eine Abweichung erkennt. Beispiel: Ein nicht als Scangerät definiertes Gerät führt Netzwerkscans aus. |
Die Warnungserkennungsrichtlinie von Defender für IoT steuert die verschiedenen Warnungsmodule, um Warnungen basierend auf geschäftlichen Auswirkungen und Netzwerkkontext auszulösen und it-bezogene Warnungen mit geringem Wert zu reduzieren. Weitere Informationen finden Sie unter Gezielte Warnungen in OT-/IT-Umgebungen.
Unterstützte Warnungskategorien
Jede Warnung weist eine der folgenden Kategorien auf:
- Ungewöhnliches Kommunikationsverhalten
- Ungewöhnliches Verhalten bei der HTTP-Kommunikation
- Authentifizierung
- Backup
- Bandbreitenauffälligkeiten
- Pufferüberlauf
- Befehlsfehler
- Konfigurationsänderungen
- Benutzerdefinierte Warnungen
- Ermittlung
- Firmware-Änderung
- Unzulässige Befehle
- Zugriff auf das Internet
- Vorgangsfehler
- Betriebsprobleme
- Programmieren
- Remotezugriff
- Befehle zum Neustarten/Beenden
- Überprüfen
- Sensordatenverkehr
- Verdacht auf schädliche Aktivität
- Verdacht auf Schadsoftware
- Unautorisiertes Kommunikationsverhalten
- Keine Reaktion
Warnungen der Richtlinien-Engine
Die Warnungen der Richtlinien-Engine beschreiben erkannte Abweichungen vom gelernten normalen Verhalten.
| Titel | BESCHREIBUNG | severity | Kategorie | MITRE ATT&CK Taktiken und Techniken |
Lernfähige |
|---|---|---|---|---|---|
| Beckhoff-Software geändert | Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Standard Tenance-Verfahren. | Medium | Firmwareänderung | Taktiken: - Hemmung der Reaktionsfunktion -Persistenz Techniken: - T0857: System Firmware |
Lernfähige |
| Datenbankanmeldung fehlgeschlagen | Es wurde ein fehlerhafter Anmeldeversuch über ein Quellgerät bei einem Zielserver erkannt. Dies ist möglicherweise auf einen menschlichen Fehler zurückzuführen, kann jedoch auch auf einen böswilligen Versuch hinweisen, den Server oder die darauf befindlichen Daten zu kompromittieren. Schwellenwert: 2 Anmeldefehler in 5 Minuten |
Medium | Authentifizierung | Taktiken: -Lateralverschiebung -Auflistung Techniken: - T0812: Standardanmeldeinformationen - T0811: Daten aus Informationsrepositorys |
Nicht lernend |
| Emerson ROC-Firmwareversion geändert | Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Standard Tenance-Verfahren. | Medium | Firmwareänderung | Taktiken: - Hemmung der Reaktionsfunktion -Persistenz Techniken: - T0857: System Firmware |
Lernfähige |
| Kommunikation einer externen Adresse im Netzwerk mit dem Internet | Ein Quellgerät, das als Teil Ihres Netzwerks definiert ist, kommuniziert mit Internetadressen. Die Quelle ist nicht für die Kommunikation mit Internetadressen autorisiert. | High | Zugriff auf das Internet | Taktiken: - Erstzugriff Techniken: - T0883: Internetfähiges Gerät |
Lernfähige |
| Feldgerät unerwartet ermittelt | Ein neues Quellgerät wurde im Netzwerk erkannt, ist aber nicht autorisiert. | Medium | Ermittlung | Taktiken: -Entdeckung Techniken: - T0842: Netzwerkermittlung |
Nicht lernend |
| Firmwareänderung erkannt | Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Standard Tenance-Verfahren. | Medium | Firmwareänderung | Taktiken: - Hemmung der Reaktionsfunktion -Persistenz Techniken: - T0857: System Firmware |
Nicht lernend |
| Firmwareversion geändert | Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Standard Tenance-Verfahren. | Medium | Firmwareänderung | Taktiken: - Hemmung der Reaktionsfunktion -Persistenz Techniken: - T0857: System Firmware |
Lernfähige |
| Nicht autorisierter Foxboro-E/A-Vorgang | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern |
Lernfähige |
| Fehler bei FTP-Anmeldung | Es wurde ein fehlerhafter Anmeldeversuch über ein Quellgerät bei einem Zielserver erkannt. Diese Warnung ist möglicherweise auf einen menschlichen Fehler zurückzuführen, könnte aber auch auf einen böswilligen Versuch hindeuten, den Server oder die darauf gespeicherten Daten zu kompromittieren. | Medium | Authentifizierung | Taktiken: -Lateralverschiebung - Befehl und Steuerung Techniken: - T0812: Standardanmeldeinformationen - T0869: Standardmäßiges Anwendungsebenenprotokoll |
Nicht lernend |
| Funktionscode hat eine Ausnahme „Nicht autorisiert“ ausgelöst* | Ein Quellgerät (sekundär) hat eine Ausnahme an ein Zielgerät (primär) zurückgegeben. | Medium | Befehlsfehler | Taktiken: - Hemmung der Reaktionsfunktion Techniken: - T0835: E/A-Image bearbeiten |
Lernfähige |
| Einstellungen für GOOSE-Nachrichtentyp | Die Einstellungen einer Nachricht (identifiziert durch Protokoll-ID) wurden auf einem Quellgerät geändert. | Niedrig | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0836: Parameter ändern |
Lernfähige |
| Honeywell-Firmwareversion geändert | Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Standard Tenance-Verfahren. | Medium | Firmwareänderung | Taktiken: - Hemmung der Reaktionsfunktion -Persistenz Techniken: - T0857: System Firmware |
Lernfähige |
| Unzulässige HTTP-Kommunikation * | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Ungewöhnliches Verhalten bei der HTTP-Kommunikation | Taktiken: -Entdeckung Techniken: - T0846: Remotesystemermittlung |
Lernfähige |
| Internetzugriff erkannt | Ein Quellgerät, das als Teil Ihres Netzwerks definiert ist, kommuniziert mit Internetadressen. Die Quelle ist nicht für die Kommunikation mit Internetadressen autorisiert. | Medium | Zugriff auf das Internet | Taktiken: - Erstzugriff Techniken: - T0883: Internetfähiges Gerät |
Lernfähige |
| Mitsubishi-Firmwareversion geändert | Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Standard Tenance-Verfahren. | Medium | Firmwareänderung | Taktiken: - Hemmung der Reaktionsfunktion -Persistenz Techniken: - T0857: System Firmware |
Lernfähige |
| Verstoß gegen Modbus-Adressbereich | Ein primäres Gerät hat Zugriff auf eine neue Speicheradresse auf dem sekundären Gerät angefordert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: -Entdeckung Techniken: - T0842: Netzwerkermittlung |
Lernfähige |
| Modbus-Firmwareversion geändert | Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Standard Tenance-Verfahren. | Medium | Firmwareänderung | Taktiken: - Hemmung der Reaktionsfunktion -Persistenz Techniken: - T0857: System Firmware |
Lernfähige |
| Neue Aktivität erkannt: CIP-Klasse | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: -Entdeckung Techniken: - T0888: Ermittlung von Remotesysteminformationen |
Lernfähige |
| Neue Aktivität erkannt: CIP-Klassendienst | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Hemmung der Reaktionsfunktion Techniken: - T0836: Parameter ändern |
Lernfähige |
| Neue Aktivität erkannt: CIP-PCCC-Befehl | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Hemmung der Reaktionsfunktion Techniken: - T0836: Parameter ändern |
Lernfähige |
| Neue Aktivität erkannt: CIP-Symbol | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle - Hemmung der Reaktionsfunktion Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern |
Lernfähige |
| Neue Aktivität erkannt: Ethernet/IP-E/A-Verbindung | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: -Entdeckung - Hemmung der Reaktionsfunktion Techniken: - T0846: Remote System Discovery - T0835: E/A-Image bearbeiten |
Lernfähige |
| Neue Aktivität erkannt: Ethernet/IP-Protokollbefehl | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Hemmung der Reaktionsfunktion Techniken: - T0836: Parameter ändern |
Lernfähige |
| Neue Aktivität erkannt: GSM-Nachrichtencode | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - CommandAndControl Techniken: - T0869: Standardmäßiges Anwendungsebenenprotokoll |
Lernfähige |
| Neue Aktivität erkannt: LonTalk-Befehlscodes | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: -Auflistung - Beeinträchtigung der Prozesskontrolle Techniken: - T0861 - Point & Tag Identification - T0855: Meldung zu nicht autorisierten Befehlen |
Lernfähige |
| Neuer Port erkannt | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Niedrig | Ermittlung | Taktiken: -Lateralverschiebung Techniken: - T0867: Lateral Tool-Übertragung |
Lernfähige |
| Neue Aktivität erkannt: LonTalk-Netzwerkvariable | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Meldung zu nicht autorisierten Befehlen |
Lernfähige |
| Neue Aktivität erkannt: Ovation-Datenanforderung | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: -Auflistung -Entdeckung Techniken: - T0801: Überwachen des Prozesszustands - T0888: Ermittlung von Remotesysteminformationen |
Lernfähige |
| Neue Aktivität erkannt: Befehl zum Lesen/Schreiben (AMS-Indexgruppe) | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Konfigurationsänderungen | Taktiken: - Beeinträchtigung der Prozesskontrolle - Hemmung der Reaktionsfunktion Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern |
Lernfähige |
| Neue Aktivität erkannt: Befehl zum Lesen/Schreiben (AMS-Indexoffset) | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Konfigurationsänderungen | Taktiken: - Beeinträchtigung der Prozesskontrolle - Hemmung der Reaktionsfunktion Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern |
Lernfähige |
| Neue Aktivität erkannt: Nicht autorisierter DeltaV-Nachrichtentyp | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern |
Lernfähige |
| Neue Aktivität erkannt: Nicht autorisierter DeltaV-ROC-Vorgang | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern |
Lernfähige |
| Neue Aktivität erkannt: Nicht autorisierter RPC-Nachrichtentyp | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Meldung zu nicht autorisierten Befehlen |
Lernfähige |
| Neue Aktivität erkannt: Verwendung des AMS-Protokollbefehls | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle - Hemmung der Reaktionsfunktion -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern - T0821: Controllertasking ändern |
Lernfähige |
| Neue Aktivität erkannt: Verwendung des Siemens SICAM-Befehls | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle - Hemmung der Reaktionsfunktion Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern |
Lernfähige |
| Neue Aktivität erkannt: Verwendung des Suitelink-Protokollbefehls | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle - Hemmung der Reaktionsfunktion Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern |
Lernfähige |
| Neue Aktivität erkannt: Verwendung von Suitelink-Protokollsitzungen | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0836: Parameter ändern |
Lernfähige |
| Neue Aktivität erkannt: Verwendung des Yokogawa-VNetIP-Befehls | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern |
Lernfähige |
| Neue Ressource erkannt | Ein neues Quellgerät wurde im Netzwerk erkannt, ist aber nicht autorisiert. Diese Warnung gilt für Geräte, die in OT-Subnetzen entdeckt wurden. Neue Geräte, die in IT-Subnetzen entdeckt werden, lösen keine Warnung aus. |
Mittel | Ermittlung | Taktiken: -Entdeckung Techniken: - T0842: Netzwerkermittlung |
Lernfähige |
| Neue LLDP-Gerätekonfiguration | Ein neues Quellgerät wurde im Netzwerk erkannt, ist aber nicht autorisiert. | Medium | Konfigurationsänderungen | Taktiken: -Entdeckung Techniken: - T0842: Netzwerkermittlung |
Lernfähige |
| Nicht autorisierter Omron-FINS-Befehl | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern |
Lernfähige |
| S7 Plus SPS-Firmware geändert | Die Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Standard Tenance-Verfahren. | Medium | Firmwareänderung | Taktiken: - Hemmung der Reaktionsfunktion -Persistenz Techniken: - T0857: System Firmware |
Lernfähige |
| Einstellungen für Nachrichtentyp mit Stichprobenwerten | Die Einstellungen einer Nachricht (identifiziert durch Protokoll-ID) wurden auf einem Quellgerät geändert. | Niedrig | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0836: Parameter ändern |
Nicht lernend |
| Verdacht auf unzulässige Integritätsüberprüfung* | Es wurde eine Überprüfung auf einem DNP3-Quellgerät (Outstation) erkannt. Diese Überprüfung war nicht als erlernter Datenverkehr in Ihrem Netzwerk autorisiert. | Medium | Überprüfen | Taktiken: -Entdeckung Techniken: - T0842: Netzwerkermittlung |
Lernfähige |
| Nicht autorisierter Befehl für Verknüpfung von Toshiba-Computer | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Niedrig | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern |
Lernfähige |
| Nicht autorisierter ABB Totalflow-Dateivorgang | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern |
Nicht lernend |
| Nicht autorisierter ABB Totalflow-Registrierungsvorgang | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern |
Nicht lernend |
| Nicht autorisierter Zugriff auf Siemens S7-Datenblock | Ein Quellgerät hat versucht, auf eine Ressource auf einem anderen Gerät zuzugreifen. Ein Zugriffsversuch auf diese Ressource zwischen diesen beiden Geräten ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. | Niedrig | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle - Erstzugriff Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0811: Daten aus Informationsrepositorys |
Lernfähige |
| Nicht autorisierter Zugriff auf Siemens S7 Plus-Objekt | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle -Ausführung - Hemmung der Reaktionsfunktion Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controlleraufgaben ändern - T0809: Datenvernichtung |
Lernfähige |
| Nicht autorisierter Zugriff auf ein Wonderware-Tag | Ein Quellgerät hat versucht, auf eine Ressource auf einem anderen Gerät zuzugreifen. Ein Zugriffsversuch auf diese Ressource zwischen diesen beiden Geräten ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: -Auflistung - Beeinträchtigung der Prozesskontrolle Techniken: - T0861: Point & Tag Identification - T0855: Meldung zu nicht autorisierten Befehlen |
Lernfähige |
| Nicht autorisierter BACNet-Objektzugriff | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern |
Lernfähige |
| Nicht autorisierte BACNet-Route | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern |
Lernfähige |
| Nicht autorisierte Datenbankanmeldung* | Es wurde ein Anmeldeversuch zwischen einem Quellclient und einem Zielserver erkannt. Die Kommunikation zwischen diesen Geräten ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. | Medium | Authentifizierung | Taktiken: -Lateralverschiebung -Persistenz -Auflistung Techniken: - T0859: Gültige Konten - T0811: Daten aus Informationsrepositorys |
Lernfähige |
| Nicht autorisierter Datenbankvorgang | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Ungewöhnliches Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle - Erstzugriff Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0811: Daten aus Informationsrepositorys |
Lernfähige |
| Nicht autorisierter Emerson ROC-Vorgang | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern |
Lernfähige |
| Nicht autorisierter GE SRTP-Dateizugriff | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: -Auflistung - LateralMovement -Persistenz Techniken: - T0801: Überwachen des Prozesszustands - T0859: Gültige Konten |
Lernfähige |
| Nicht autorisierter GE SRTP-Protokollbefehl | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern |
Lernfähige |
| Nicht autorisierter GE SRTP-Systemspeichervorgang | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: -Entdeckung - Beeinträchtigung der Prozesskontrolle Techniken: - T0846: Remote System Discovery - T0855: Meldung zu nicht autorisierten Befehlen |
Lernfähige |
| Nicht autorisierte HTTP-Aktivität | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Ungewöhnliches Verhalten bei der HTTP-Kommunikation | Taktiken: - Erstzugriff - Befehl und Steuerung Techniken: - T0822: Externe Remotedienste - T0869: Standardmäßiges Anwendungsebenenprotokoll |
Lernfähige |
| Nicht autorisierte HTTP-SOAP-Aktion * | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Ungewöhnliches Verhalten bei der HTTP-Kommunikation | Taktiken: - Befehl und Steuerung -Ausführung Techniken: - T0869: Standard Application Layer Protocol - T0871: Ausführung über die API |
Lernfähige |
| Nicht autorisierter HTTP-Benutzer-Agent * | Auf einem Quellgerät wurde eine nicht autorisierte Anwendung erkannt. Die Anwendung ist nicht als gelernte Anwendung in Ihrem Netzwerk autorisiert. | Medium | Ungewöhnliches Verhalten bei der HTTP-Kommunikation | Taktiken: - Befehl und Steuerung Techniken: - T0869: Standardmäßiges Anwendungsebenenprotokoll |
Lernfähige |
| Nicht autorisierte Internetverbindung erkannt | Ein Quellgerät, das als Teil Ihres Netzwerks definiert ist, kommuniziert mit Internetadressen. Die Quelle ist nicht für die Kommunikation mit Internetadressen autorisiert. | High | Zugriff auf das Internet | Taktiken: - Erstzugriff Techniken: - T0883: Internetfähiges Gerät |
Lernfähige |
| Nicht autorisierter Mitsubishi MELSEC-Befehl | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern |
Lernfähige |
| Nicht autorisierter Zugriff auf MMS-Programm | Ein Quellgerät hat versucht, auf eine Ressource auf einem anderen Gerät zuzugreifen. Ein Zugriffsversuch auf diese Ressource zwischen diesen beiden Geräten ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. | Medium | Programmieren | Taktiken: - Beeinträchtigung der Prozesskontrolle -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern |
Lernfähige |
| Nicht autorisierter MMS-Dienst | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertasking ändern |
Lernfähige |
| Nicht autorisierte Multicast-/Übertragungsverbindung | Zwischen einem Quellgerät und anderen Geräten wurde eine Multicast-/Übertragungsverbindung erkannt. Die Multicast-/Übertragungskommunikation ist nicht autorisiert. | High | Ungewöhnliches Kommunikationsverhalten | Taktiken: -Entdeckung Techniken: - T0842: Netzwerkermittlung |
Lernfähige |
| Nicht autorisierte Namensabfrage | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Ungewöhnliches Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0836: Parameter ändern |
Nicht lernend |
| Nicht autorisierte OPC UA-Aktivität | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0836: Parameter ändern |
Lernfähige |
| Nicht autorisierte OPC UA-Anforderung/-Antwort | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0836: Parameter ändern |
Lernfähige |
| Nicht autorisierter Vorgang durch benutzerdefinierte Regel erkannt | Datenverkehr zwischen zwei Geräten wurde erkannt. Diese Aktivität ist aufgrund einer benutzerdefinierten Warnungsregel nicht autorisiert. | Medium | Benutzerdefinierte Warnungen | Taktiken: -Entdeckung Techniken: - T0842: Netzwerkermittlung |
Nicht lernend |
| Nicht autorisierter Lesevorgang für SPS-Konfiguration | Das Quellgerät ist nicht als Programmiergerät definiert, sondern hat einen Lese-/Schreibvorgang auf einem Zielcontroller ausgeführt. Programmieränderungen sollten nur von Programmiergeräten durchgeführt werden. Auf diesem Gerät wurde möglicherweise eine Programmieranwendung installiert. | Niedrig | Konfigurationsänderungen | Taktiken: -Auflistung Techniken: - T0801: Überwachen des Prozessstatus |
Lernfähige |
| Nicht autorisierter Schreibvorgang für SPS-Konfiguration | Das Quellgerät hat einen Befehl zum Lesen/Schreiben des Programms eines Zielcontrollers gesendet. Diese Aktivität wurde zuvor nicht beobachtet. | Medium | Konfigurationsänderungen | Taktiken: - Beeinträchtigung der Prozesskontrolle -Persistenz -Auswirkungen Techniken: - T0839: Modulfirmware - T0831: Manipulation der Steuerung - T0889: Programm ändern |
Lernfähige |
| Nicht autorisierter Upload von SPS-Programm | Das Quellgerät hat einen Befehl zum Lesen/Schreiben des Programms eines Zielcontrollers gesendet. Diese Aktivität wurde zuvor nicht beobachtet. | Medium | Programmieren | Taktiken: - Beeinträchtigung der Prozesskontrolle -Persistenz -Auflistung Techniken: - T0839: Modulfirmware - T0845: Programmupload |
Lernfähige |
| Nicht autorisierte SPS-Programmierung | Das Quellgerät ist nicht als Programmiergerät definiert, sondern hat einen Lese-/Schreibvorgang auf einem Zielcontroller ausgeführt. Programmieränderungen sollten nur von Programmiergeräten durchgeführt werden. Auf diesem Gerät wurde möglicherweise eine Programmieranwendung installiert. | Hoch | Programmieren | Taktiken: - Beeinträchtigung der Prozesskontrolle -Persistenz -Lateralverschiebung Techniken: - T0839: Modulfirmware - T0889: Programm ändern - T0843: Programmdownload |
Lernfähige |
| Nicht autorisierter Profinet-Frametyp | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0836: Parameter ändern |
Lernfähige |
| Nicht autorisierter SAIA S-Bus-Befehl | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Meldung zu nicht autorisierten Befehlen |
Lernfähige |
| Nicht autorisierte Ausführung der Steuerungsfunktion von Siemens S7 | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle - Hemmung der Reaktionsfunktion Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0809: Datenvernichtung |
Lernfähige |
| Nicht autorisierte Siemens S7-Ausführung von benutzerdefinierter Funktion | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle -Ausführung Techniken: - T0836: Parameter ändern - T0863: Benutzerausführung |
Lernfähige |
| Nicht autorisierter Siemens S7 Plus-Blockzugriff | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Hemmung der Reaktionsfunktion -Persistenz -Ausführung Techniken: - T0803 – Befehlsmeldung blockieren - T0889: Programm ändern - T0821: Controllertasking ändern |
Lernfähige |
| Nicht autorisierter Siemens S7 Plus-Vorgang | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0863: Benutzerausführung |
Lernfähige |
| Nicht autorisierte SMB-Anmeldung | Es wurde ein Anmeldeversuch zwischen einem Quellclient und einem Zielserver erkannt. Die Kommunikation zwischen diesen Geräten ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. | Medium | Authentifizierung | Taktiken: - Erstzugriff -Lateralverschiebung -Persistenz Techniken: - T0886: Remotedienste - T0859: Gültige Konten |
Lernfähige |
| Nicht autorisierter SNMP-Vorgang | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Ungewöhnliches Kommunikationsverhalten | Taktiken: -Entdeckung - Befehl und Steuerung Techniken: - T0842: Netzwerk-Sniffing - T0885: Häufig verwendeter Port |
Lernfähige |
| Nicht autorisierter SSH-Zugriff | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Remotezugriff | Taktiken: - InitialAccess -Lateralverschiebung - Befehl und Steuerung Techniken: - T0886: Remotedienste - T0869: Standardmäßiges Anwendungsebenenprotokoll |
Lernfähige |
| Nicht autorisierter Windows-Prozess | Auf einem Quellgerät wurde eine nicht autorisierte Anwendung erkannt. Die Anwendung ist nicht als gelernte Anwendung in Ihrem Netzwerk autorisiert. | Medium | Ungewöhnliches Kommunikationsverhalten | Taktiken: -Ausführung - Berechtigungseskalation - Befehl und Steuerung Techniken: - T0841: Hooking - T0885: Häufig verwendeter Port |
Lernfähige |
| Nicht autorisierter Windows-Dienst | Auf einem Quellgerät wurde eine nicht autorisierte Anwendung erkannt. Die Anwendung ist nicht als gelernte Anwendung in Ihrem Netzwerk autorisiert. | Medium | Ungewöhnliches Kommunikationsverhalten | Taktiken: - Erstzugriff -Lateralverschiebung Techniken: - T0866: Ausnutzung von Remotediensten |
Lernfähige |
| Nicht autorisierter Vorgang durch benutzerdefinierte Regel erkannt | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination verstößt gegen eine benutzerdefinierte Regel. | Medium | Taktiken: -Entdeckung Techniken: - T0842: Netzwerkermittlung |
Nicht lernend | |
| Nicht zugelassene Modbus Schneider Electric-Erweiterung | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Meldung zu nicht autorisierten Befehlen |
Lernfähige |
| Nicht zugelassene Verwendung von ASDU-Typen | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Meldung zu nicht autorisierten Befehlen |
Lernfähige |
| Unzulässige Verwendung von DNP3-Funktionscode | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0836: Parameter ändern |
Lernfähige |
| Unzulässige Verwendung von internem Hinweis* | Ein DNP3-Quellgerät (Outstation) hat einen internen Hinweis gemeldet, der nicht als erlernter Datenverkehr in Ihrem Netzwerk autorisiert wurde. | Medium | Unzulässige Befehle | Taktiken: -Entdeckung Techniken: - T0842: Netzwerkermittlung |
Lernfähige |
| Unzulässige Verwendung von Modbus-Funktionscode | Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert. | Medium | Unautorisiertes Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0836: Parameter ändern |
Lernfähige |
Engine-Warnungen zu Anomalien
Hinweis
Dieser Artikel enthält Verweise auf den Begriff Slave, einen Begriff, den Microsoft nicht mehr verwendet. Sobald der Begriff aus der Software entfernt wird, wird er auch aus diesem Artikel entfernt.
Warnungen der Anomalie-Engine beschreiben erkannte Anomalien in der Netzwerkaktivität.
| Titel | BESCHREIBUNG | severity | Kategorie | MITRE ATT&CK Taktiken und Techniken |
Lernfähige |
|---|---|---|---|---|---|
| Ungewöhnliches Ausnahmemuster auf untergeordnetem Gerät* | Auf einem Quellgerät wurde eine übermäßige Anzahl von Fehlern erkannt. Diese Warnung kann das Ergebnis eines operativen Problems sein. Schwellenwert: 20 Ausnahmen in 1 Stunde |
Niedrig | Ungewöhnliches Kommunikationsverhalten | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0806: Brute Force-E/A |
Nicht lernend |
| Ungewöhnliche Länge des HTTP-Headers * | Das Quellgerät hat eine ungewöhnliche Nachricht gesendet. Diese Warnung weist möglicherweise auf einen Versuch hin, das Zielgerät anzugreifen. | Hoch | Ungewöhnliches Verhalten bei der HTTP-Kommunikation | Taktiken: - Erstzugriff -Lateralverschiebung - Befehl und Steuerung Techniken: - T0866: Nutzung von Remotediensten - T0869: Standardmäßiges Anwendungsebenenprotokoll |
Lernfähige |
| Ungewöhnliche Anzahl von Parametern im HTTP-Header * | Das Quellgerät hat eine ungewöhnliche Nachricht gesendet. Diese Warnung weist möglicherweise auf einen Versuch hin, das Zielgerät anzugreifen. | Hoch | Ungewöhnliches Verhalten bei der HTTP-Kommunikation | Taktiken: - Erstzugriff -Lateralverschiebung - Befehl und Steuerung Techniken: - T0866: Nutzung von Remotediensten - T0869: Standardmäßiges Anwendungsebenenprotokoll |
Lernfähige |
| Ungewöhnliches regelmäßiges Verhalten im Kommunikationskanal | Eine Änderung der Kommunikationshäufigkeit zwischen dem Quell- und dem Zielgerät wurde erkannt. | Niedrig | Ungewöhnliches Kommunikationsverhalten | Taktiken: -Entdeckung Techniken: - T0842: Netzwerkermittlung |
Lernfähige |
| Ungewöhnliche Beendung von Anwendungen* | Auf einem Quellgerät wurde eine übermäßige Anzahl von Stoppbefehlen erkannt. Diese Warnung kann das Ergebnis eines betriebstechnischen Problems oder ein Versuch sein, das Gerät zu bearbeiten. Schwellenwert: 20 Befehle zum Beenden in 3 Stunden |
Medium | Ungewöhnliches Kommunikationsverhalten | Taktiken: -Persistenz -Auswirkungen Techniken: - T0889: Programm ändern - T0831: Manipulation der Steuerung |
Lernfähige |
| Ungewöhnliche Datenverkehrsbandbreite* | Auf einem Kanal wurde eine ungewöhnliche Bandbreite erkannt. Die Bandbreite scheint niedriger oder höher als zuvor erkannt zu sein. Weitere Informationen erhalten Sie, wenn Sie mit dem Widget für die Gesamtbandbreite arbeiten. | Niedrig | Bandbreitenauffälligkeiten | Taktiken: -Entdeckung Techniken: - T0842: Netzwerkermittlung |
Lernfähige |
| Ungewöhnliche Datenverkehrsbandbreite zwischen Geräten* | Auf einem Kanal wurde eine ungewöhnliche Bandbreite erkannt. Die Bandbreite scheint niedriger oder höher als zuvor erkannt zu sein. Weitere Informationen erhalten Sie, wenn Sie mit dem Widget für die Gesamtbandbreite arbeiten. | Niedrig | Bandbreitenauffälligkeiten | Taktiken: -Entdeckung Techniken: - T0842: Netzwerkermittlung |
Nicht lernend |
| Adressüberprüfung erkannt | Es wurde erkannt, dass ein Quellgerät Netzwerkgeräte überprüft. Dieses Gerät ist nicht als Netzwerkscangerät autorisiert. Schwellenwert: 50 Verbindungen mit dem gleichen B-Klassensubnetz in 2 Minuten |
High | Überprüfen | Taktiken: -Entdeckung Techniken: - T0842: Netzwerkermittlung |
Lernfähige |
| ARP-Adressenüberprüfung erkannt* | Es wurde erkannt, dass ein Quellgerät Netzwerkgeräte mithilfe des Address Resolution-Protokolls (ARP) überprüft. Diese Geräteadresse ist nicht als gültige ARP-Scanadresse autorisiert. Schwellenwert: 40 Scans in 6 Minuten |
High | Überprüfen | Taktiken: -Entdeckung -Auflistung Techniken: - T0842: Netzwerk-Sniffing - T0830: Man-in-the-Middle |
Lernfähige |
| ARP-Spoofing* | Im Netzwerk wurde eine ungewöhnliche Menge von Paketen erkannt. Diese Warnung könnte auf einen Angriff hindeuten, z. B. auf ARP-Spoofing oder einen ICMP-Floodingangriff. Schwellenwert: 60 Pakete in 1 Minute |
Niedrig | Ungewöhnliches Kommunikationsverhalten | Taktiken: -Auflistung Techniken: - T0830: Man-in-the-Middle |
Nicht lernend |
| Übermäßige Anzahl von Anmeldeversuchen | Ein Quellgerät hat eine übermäßige Anzahl von Anmeldeversuchen auf einem Zielserver erkannt. Diese Warnung kann auf einen Brute-Force-Angriff hinweisen. Der Server kann von einem böswilligen Akteur kompromittiert werden. Schwellenwert: 20 Anmeldeversuche in 1 Minute |
High | Authentifizierung | Taktiken: - LateralMovement - Beeinträchtigung der Prozesskontrolle Techniken: - T0812: Standardanmeldeinformationen - T0806: Brute Force-E/A |
Nicht lernend |
| Übermäßige Anzahl von Sitzungen | Ein Quellgerät hat eine übermäßige Anzahl von Anmeldeversuchen auf einem Zielserver erkannt. Dies kann auf einen Brute-Force-Angriff hinweisen. Der Server kann von einem böswilligen Akteur kompromittiert werden. Schwellenwert: 50 Sitzungen in 1 Minute |
High | Ungewöhnliches Kommunikationsverhalten | Taktiken: -Lateralverschiebung - Beeinträchtigung der Prozesskontrolle Techniken: - T0812: Standardanmeldeinformationen - T0806: Brute Force-E/A |
Nicht lernend |
| Übermäßige Neustartrate einer Outstation* | Auf einem Quellgerät wurde eine übermäßige Anzahl von Neustartbefehlen erkannt. Diese Warnungen können das Ergebnis eines betriebstechnischen Problems oder ein Versuch sein, das Gerät zu bearbeiten. Schwellenwert: 10 Neustarts in 1 Stunde |
Medium | Befehle zum Neustarten/Beenden | Taktiken: - Hemmung der Reaktionsfunktion - Beeinträchtigung der Prozesskontrolle Techniken: - T0814: Denial of Service - T0806: Brute Force-E/A |
Nicht lernend |
| Übermäßige Anzahl von SMB-Anmeldeversuchen | Ein Quellgerät hat eine übermäßige Anzahl von Anmeldeversuchen auf einem Zielserver erkannt. Dies kann auf einen Brute-Force-Angriff hinweisen. Der Server kann von einem böswilligen Akteur kompromittiert werden. Schwellenwert: 10 Anmeldeversuche in 10 Minuten |
High | Authentifizierung | Taktiken: -Persistenz -Ausführung - LateralMovement Techniken: - T0812: Standardanmeldeinformationen - T0853: Skripting - T0859: Gültige Konten |
Nicht lernend |
| ICMP-Flooding* | Im Netzwerk wurde eine ungewöhnliche Menge von Paketen erkannt. Diese Warnung könnte auf einen Angriff hindeuten, z. B. auf ARP-Spoofing oder einen ICMP-Floodingangriff. Schwellenwert: 60 Pakete in 1 Minute |
Niedrig | Ungewöhnliches Kommunikationsverhalten | Taktiken: -Entdeckung -Auflistung Techniken: - T0842: Netzwerk-Sniffing - T0830: Man-in-the-Middle |
Nicht lernend |
| Unzulässiger Inhalt von HTTP-Header * | Das Quellgerät hat eine ungültige Anforderung initiiert. | High | Ungewöhnliches Verhalten bei der HTTP-Kommunikation | Taktiken: - Erstzugriff - LateralMovement Techniken: - T0866: Ausnutzung von Remotediensten |
Nicht lernend |
| Inaktiver Kommunikationskanal* | Ein Kommunikationskanal zwischen zwei Geräten war während eines Zeitraums inaktiv, in dem die Aktivität normalerweise beobachtet wird. Dies deutet möglicherweise darauf hin, dass das Programm, das diesen Datenverkehr erzeugt, geändert wurde oder nicht verfügbar ist. Es wird empfohlen, die ordnungsgemäße Konfiguration des installierten Programms zu überprüfen. Schwellenwert: 1 Minute |
Niedrig | Keine Reaktion | Taktiken: - Hemmung der Reaktionsfunktion Techniken: - T0881: Dienstende |
Nicht lernbar |
| Zeitintensive Adressüberprüfung erkannt* | Es wurde erkannt, dass ein Quellgerät Netzwerkgeräte überprüft. Dieses Gerät ist nicht als Netzwerkscangerät autorisiert. Schwellenwert: 50 Verbindungen mit dem gleichen B-Klassensubnetz in 10 Minuten |
High | Überprüfen | Taktiken: -Entdeckung Techniken: - T0842: Netzwerkermittlung |
Lernfähige |
| Versuch zum Erraten des Kennworts erkannt | Ein Quellgerät hat eine übermäßige Anzahl von Anmeldeversuchen auf einem Zielserver erkannt. Dies kann auf einen Brute-Force-Angriff hinweisen. Der Server kann von einem böswilligen Akteur kompromittiert werden. Schwellenwert: 100 Versuche in 1 Minute |
High | Authentifizierung | Taktiken: -Lateralverschiebung Techniken: - T0812: Standardanmeldeinformationen - T0806: Brute Force-E/A |
Nicht lernend |
| SPS-Überprüfung erkannt | Es wurde erkannt, dass ein Quellgerät Netzwerkgeräte überprüft. Dieses Gerät ist nicht als Netzwerkscangerät autorisiert. Schwellenwert: 10 Scans in 2 Minuten |
High | Überprüfen | Taktiken: -Entdeckung Techniken: - T0842: Netzwerkermittlung |
Lernfähige |
| Portüberprüfung erkannt | Es wurde erkannt, dass ein Quellgerät Netzwerkgeräte überprüft. Dieses Gerät ist nicht als Netzwerkscangerät autorisiert. Schwellenwert: 25 Scans in 2 Minuten |
High | Überprüfen | Taktiken: -Entdeckung Techniken: - T0842: Netzwerkermittlung |
Lernfähige |
| Unerwartete Nachrichtenlänge | Das Quellgerät hat eine ungewöhnliche Nachricht gesendet. Diese Warnung weist möglicherweise auf einen Versuch hin, das Zielgerät anzugreifen. Schwellenwert: Textlänge - 32768 |
High | Ungewöhnliches Kommunikationsverhalten | Taktiken: - InitialAccess - LateralMovement Techniken: - T0869: Ausnutzung von Remotediensten |
Nicht lernend |
| Unerwarteter Datenverkehr für Standardport* | Auf einem Gerät wurde Datenverkehr über einen Port erkannt, der für ein anderes Protokoll reserviert ist. | Medium | Ungewöhnliches Kommunikationsverhalten | Taktiken: - Befehl und Steuerung -Entdeckung Techniken: - T0869: Standard Application Layer Protocol - T0842: Netzwerkermittlung |
Nicht lernend |
Warnungen der Protokollverstoß-Engine
Warnungen der Protokoll-Engine beschreiben erkannte Abweichungen in der Paketstruktur oder in Feldwerten im Vergleich zu Protokollspezifikationen.
| Titel | BESCHREIBUNG | severity | Kategorie | MITRE ATT&CK Taktiken und Techniken |
Lernfähige |
|---|---|---|---|---|---|
| Übermäßige Anzahl falsch formatierter Pakete in einer einzelnen Sitzung* | Eine ungewöhnliche Anzahl falsch formatierter Pakete, die vom Quellgerät an das Zielgerät gesendet werden. Diese Warnung könnte auf eine fehlerhafte Kommunikation oder einen Versuch hindeuten, das Zielgerät zu manipulieren. Schwellenwert: 2 falsch formatierte Pakete in 10 Minuten |
Medium | Unzulässige Befehle | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0806: Brute Force-E/A |
Nicht lernend |
| Firmwareupdate | Ein Quellgerät hat einen Befehl zum Aktualisieren der Firmware auf einem Zielgerät gesendet. Vergewissern Sie sich, dass die aktuellen, auf dem Zielgerät durchgeführten Programmierungs-, Konfigurations- und Firmwareupgrades gültig sind. | Niedrig | Firmwareänderung | Taktiken: - Hemmung der Reaktionsfunktion -Persistenz Techniken: - T0857: System Firmware |
Lernfähige |
| Funktionscode von Outstation nicht unterstützt | Das Zielgerät hat eine ungültige Anforderung empfangen. | Medium | Unzulässige Befehle | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Meldung zu nicht autorisierten Befehlen |
Nicht lernend |
| Unzulässige BACNet-Nachricht | Das Quellgerät hat eine ungültige Anforderung initiiert. | Medium | Unzulässige Befehle | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern |
Nicht lernend |
| Unzulässiger Verbindungsversuch an Port 0 | Ein Quellgerät hat versucht, über die Portnummer 0 eine Verbindung mit dem Zielgerät herzustellen. Für das TCP ist Port 0 reserviert und kann nicht verwendet werden. Für UDP ist der Port optional, und der Wert 0 bedeutet, dass es keinen Port gibt. In der Regel gibt es auf Systemen keinen Dienst, der Port 0 überwacht. Dieses Ereignis kann auf einen Versuch hinweisen, das Zielgerät anzugreifen, oder darauf hinweisen, dass eine Anwendung falsch programmiert wurde. | Niedrig | Unzulässige Befehle | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern |
Nicht lernend |
| Unzulässiger DNP3-Vorgang | Das Quellgerät hat eine ungültige Anforderung initiiert. | Medium | Unzulässige Befehle | Taktiken: - Erstzugriff -Lateralverschiebung Techniken: - T0866: Ausnutzung von Remotediensten |
Nicht lernend |
| Unzulässiger Modbus-Vorgang (Ausnahme durch Master ausgelöst) | Das Quellgerät hat eine ungültige Anforderung initiiert. | Medium | Unzulässige Befehle | Taktiken: - Erstzugriff -Lateralverschiebung Techniken: - T0866: Ausnutzung von Remotediensten |
Nicht lernend |
| Unzulässiger Modbus-Vorgang (Funktionscode null)* | Das Quellgerät hat eine ungültige Anforderung initiiert. | Medium | Unzulässige Befehle | Taktiken: - Erstzugriff -Lateralverschiebung Techniken: - T0866: Ausnutzung von Remotediensten |
Nicht lernend |
| Unzulässige Protokollversion* | Das Quellgerät hat eine ungültige Anforderung initiiert. | Medium | Unzulässige Befehle | Taktiken: - Erstzugriff - LateralMovement - Beeinträchtigung der Prozesskontrolle Techniken: - T0820: Remotedienste - T0836: Parameter ändern |
Nicht lernend |
| Falscher Parameter an Outstation gesendet | Das Zielgerät hat eine ungültige Anforderung empfangen. | Medium | Unzulässige Befehle | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern |
Nicht lernend |
| Initiierung eines veralteten Funktionscodes (Daten initialisieren) | Das Quellgerät hat eine ungültige Anforderung initiiert. | Niedrig | Unzulässige Befehle | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Meldung zu nicht autorisierten Befehlen |
Nicht lernend |
| Initiierung eines veralteten Funktionscodes (Konfiguration speichern) | Das Quellgerät hat eine ungültige Anforderung initiiert. | Niedrig | Unzulässige Befehle | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Meldung zu nicht autorisierten Befehlen |
Nicht lernend |
| Das übergeordnete Gerät hat die Bestätigung einer Anwendungsebene angefordert. | Das Quellgerät hat eine ungültige Anforderung initiiert. | Niedrig | Unzulässige Befehle | Taktiken: - Befehl und Steuerung Techniken: - T0869: Standardmäßiges Anwendungsebenenprotokoll |
Nicht lernend |
| Modbus-Ausnahme | Ein Quellgerät (sekundär) hat eine Ausnahme an ein Zielgerät (primär) zurückgegeben. | Medium | Unzulässige Befehle | Taktiken: - Hemmung der Reaktionsfunktion Techniken: - T0814: Denial-of-Service |
Nicht lernend |
| Unzulässiger ASDU-Typ von untergeordnetem Gerät empfangen | Das Zielgerät hat eine ungültige Anforderung empfangen. | Medium | Unzulässige Befehle | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0836: Parameter ändern |
Nicht lernend |
| Unzulässige Befehlsursache für die Übertragung von untergeordnetem Gerät empfangen | Das Zielgerät hat eine ungültige Anforderung empfangen. | Medium | Unzulässige Befehle | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern |
Nicht lernend |
| Unzulässige allgemeine Adresse von untergeordnetem Gerät empfangen | Das Zielgerät hat eine ungültige Anforderung empfangen. | Medium | Unzulässige Befehle | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern |
Nicht lernend |
| Unzulässiger Datenadressparameter von untergeordnetem Gerät empfangen* | Das Zielgerät hat eine ungültige Anforderung empfangen. | Medium | Unzulässige Befehle | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern |
Nicht lernend |
| Unzulässiger Datenwertparameter von untergeordnetem Gerät empfangen* | Das Zielgerät hat eine ungültige Anforderung empfangen. | Medium | Unzulässige Befehle | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern |
Nicht lernend |
| Unzulässiger Funktionscode von untergeordnetem Gerät empfangen* | Das Zielgerät hat eine ungültige Anforderung empfangen. | Medium | Unzulässige Befehle | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern |
Nicht lernend |
| Unzulässige Informationsobjektadresse von untergeordnetem Gerät empfangen | Das Zielgerät hat eine ungültige Anforderung empfangen. | Medium | Unzulässige Befehle | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern |
Nicht lernend |
| Unbekanntes Objekt an Outstation gesendet | Das Zielgerät hat eine ungültige Anforderung empfangen. | Medium | Unzulässige Befehle | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Meldung zu nicht autorisierten Befehlen |
Nicht lernend |
| Verwendung eines reservierten Funktionscodes | Das Quellgerät hat eine ungültige Anforderung initiiert. | Medium | Unzulässige Befehle | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0836: Parameter ändern |
Nicht lernend |
| Verwendung einer unsachgemäßen Formatierung durch Outstation* | Das Quellgerät hat eine ungültige Anforderung initiiert. | Niedrig | Unzulässige Befehle | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Meldung zu nicht autorisierten Befehlen |
Nicht lernend |
| Verwendung reservierter Statuskennzeichnungen (IIN) | Ein DNP3-Quellgerät (Outstation) hat den reservierten internen Indikator 2.6 verwendet. Es wird empfohlen, die Konfiguration des Geräts zu überprüfen. | Niedrig | Unzulässige Befehle | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0836: Parameter ändern |
Nicht lernend |
Warnungen der Malware-Engine
Warnungen der Schadsoftware-Engine beschreiben erkannte schädliche Netzwerkaktivitäten.
| Titel | BESCHREIBUNG | severity | Kategorie | MITRE ATT&CK Taktiken und Techniken |
Lernfähige |
|---|---|---|---|---|---|
| Verbindungsversuch mit bekannter böswilliger IP-Adresse | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Ausgelöst durch OT- und Enterprise IoT-Netzwerksensoren. |
High | Verdacht auf schädliche Aktivität | Taktiken: - Erstzugriff - Befehl und Steuerung Techniken: - T0883: Internet Accessible Device - T0884: Verbindungsproxy |
Nicht lernend |
| Ungültige SMB-Nachricht (Hintertürinstallation von DoublePulsar) | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. | Hoch | Verdacht auf Schadsoftware | Taktiken: - Erstzugriff - LateralMovement Techniken: - T0866: Ausnutzung von Remotediensten |
Nicht lernend |
| Schädliche Domänennamenanforderung | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Ausgelöst durch OT- und Enterprise IoT-Netzwerksensoren. |
High | Verdacht auf schädliche Aktivität | Taktiken: - Erstzugriff - Befehl und Steuerung Techniken: - T0883: Internet Accessible Device - T0884: Verbindungsproxy |
Lernfähige |
| Malwaretestdatei erkannt: EICAR AV erfolgreich | Im Datenverkehr zwischen zwei Geräten (über jeden beliebigen Transport – TCP oder UDP) wurde eine EICAR AV-Testdatei erkannt. Die Datei ist keine Schadsoftware. Sie wird zur Bestätigung verwendet, dass die Antivirensoftware ordnungsgemäß installiert wurde. Veranschaulichen Sie, was geschieht, wenn ein Virus gefunden wurde, und überprüfen Sie interne Prozeduren und Reaktionen, wenn das zutrifft. Antivirussoftware sollte EICAR wie einen echten Virus erkennen. | High | Verdacht auf schädliche Aktivität | Taktiken: -Entdeckung Techniken: - T0842: Netzwerkermittlung |
Nicht lernend |
| Verdacht auf Conficker-Malware | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. | Medium | Verdacht auf Schadsoftware | Taktiken: - Erstzugriff -Auswirkungen Techniken: - T0826: Verfügbarkeitsverlust - T0828: Verlust der Produktivität und des Umsatzes - T0847: Replikation über Wechselmedien |
Nicht lernend |
| Verdacht auf Denial-of-Service-Angriff | Ein Quellgerät hat versucht, eine übermäßige Anzahl neuer Verbindungen mit einem Zielgerät zu initiieren. Dies kann auf einen DoS-Angriff (Denial Of Service) auf das Zielgerät hinweisen und die Gerätefunktionalität unterbrechen, die Leistung und die Dienstverfügbarkeit beeinträchtigen oder nicht behebbare Fehler verursachen. Schwellenwert: 3000 Versuche in 1 Minute |
High | Verdacht auf schädliche Aktivität | Taktiken: - Hemmung der Reaktionsfunktion Techniken: - T0814: Denial-of-Service |
Lernfähige |
| Verdacht auf schädliche Aktivität | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der bekannte "Indicators of Compromise" (IOCs) ausgelöst hat. Das Sicherheitsteam muss die Metadaten der Warnung überprüfen. | High | Verdacht auf schädliche Aktivität | Taktiken: -Lateralverschiebung Techniken: - T0867: Lateral Tool-Übertragung |
Nicht lernend |
| Verdacht auf schädliche Aktivität (BlackEnergy) | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. | Hoch | Verdacht auf Schadsoftware | Taktiken: - Befehl und Steuerung Techniken: - T0869: Standardmäßiges Anwendungsebenenprotokoll |
Nicht lernend |
| Verdacht auf schädliche Aktivität (DarkComet) | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. | Hoch | Verdacht auf Schadsoftware | Taktiken: -Auswirkungen Techniken: - T0882: Diebstahl von Betriebsinformationen |
Nicht lernend |
| Verdacht auf schädliche Aktivität (Duqu) | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. | Hoch | Verdacht auf Schadsoftware | Taktiken: -Auswirkungen Techniken: - T0882: Diebstahl von Betriebsinformationen |
Nicht lernend |
| Verdacht auf schädliche Aktivität (Flame) | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. | Hoch | Verdacht auf Schadsoftware | Taktiken: -Auflistung -Auswirkungen Techniken: - T0882: Diebstahl operativer Informationen - T0811: Daten aus Informationsrepositorys |
Nicht lernend |
| Verdacht auf schädliche Aktivität (Havex) | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. | Hoch | Verdacht auf Schadsoftware | Taktiken: -Auflistung -Entdeckung - Hemmung der Reaktionsfunktion Techniken: - T0861: Point & Tag Identification - T0846: Remote System Discovery - T0814: Denial-of-Service |
Nicht lernend |
| Verdacht auf schädlich Aktivität (Karagany) | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. | Hoch | Verdacht auf Schadsoftware | Taktiken: -Auswirkungen Techniken: - T0882: Diebstahl von Betriebsinformationen |
Nicht lernend |
| Verdacht auf schädliche Aktivität (LightsOut) | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. | Hoch | Verdacht auf Schadsoftware | Taktiken: -Evasion Techniken: - T0849: Maskierung |
Nicht lernend |
| Verdacht auf schädliche Aktivität (Namensabfragen) | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Schwellenwert: 25 Namensabfragen in 1 Minute |
High | Verdacht auf schädliche Aktivität | Taktiken: - Befehl und Steuerung Techniken: - T0884: Verbindungsproxy |
Nicht lernend |
| Verdacht auf schädliche Aktivität (Poison Ivy) | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. | Hoch | Verdacht auf Schadsoftware | Taktiken: - Erstzugriff -Lateralverschiebung Techniken: - T0866: Ausnutzung von Remotediensten |
Nicht lernend |
| Verdacht auf schädliche Aktivität (Regin) | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. | Hoch | Verdacht auf Schadsoftware | Taktiken: - Erstzugriff -Lateralverschiebung -Auswirkungen Techniken: - T0866: Nutzung von Remotediensten - T0882: Diebstahl von Betriebsinformationen |
Nicht lernend |
| Verdacht auf schädliche Aktivität (Stuxnet) | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. | Hoch | Verdacht auf Schadsoftware | Taktiken: - Erstzugriff -Lateralverschiebung -Auswirkungen Techniken: - T0818: Engineering Workstation Compromise - T0866: Nutzung von Remotediensten - T0831: Manipulation der Steuerung |
Nicht lernend |
| Verdacht auf schädliche Aktivität (WannaCry)* | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. | Medium | Verdacht auf Schadsoftware | Taktiken: - Erstzugriff -Lateralverschiebung Techniken: - T0866: Nutzung von Remotediensten - T0867: Lateral Tool-Übertragung |
Nicht lernend |
| Verdacht auf NotPetya-Malware: Unzulässige SMB-Parameter erkannt | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. | Hoch | Verdacht auf Schadsoftware | Taktiken: - Erstzugriff -Lateralverschiebung Techniken: - T0866: Ausnutzung von Remotediensten |
Nicht lernend |
| Verdacht auf NotPetya-Malware: Unzulässige SMB-Transaktion erkannt | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. | Hoch | Verdacht auf Schadsoftware | Taktiken: -Lateralverschiebung Techniken: - T0867: Lateral Tool-Übertragung |
Nicht lernend |
| Verdacht auf Remotecodeausführung mit PsExec | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. | Hoch | Verdacht auf schädliche Aktivität | Taktiken: -Lateralverschiebung - Erstzugriff Techniken: - T0866: Ausnutzung von Remotediensten |
Nicht lernend |
| Verdacht auf Remoteverwaltung von Windows-Diensten* | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. | Hoch | Verdacht auf schädliche Aktivität | Taktiken: - Erstzugriff Techniken: - T0822: Netzwerkexterne Remotedienste |
Nicht lernend |
| Verdächtige ausführbare Datei am Endpunkt erkannt | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine methode ausnutzt, die von bekannter Schadsoftware verwendet wird. | Hoch | Verdacht auf schädliche Aktivität | Taktiken: -Evasion - Hemmung der Reaktionsfunktion Techniken: - T0851: Rootkit |
Lernfähige |
| Verdächtiger Datenverkehr erkannt* | Es wurde eine verdächtige Netzwerkaktivität erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der bekannte "Indicators of Compromise" (IOCs) ausgelöst hat. Das Sicherheitsteam muss die Metadaten der Warnung überprüfen. | High | Verdacht auf schädliche Aktivität | Taktiken: -Entdeckung Techniken: - T0842: Netzwerkermittlung |
Nicht lernend |
| Sicherungsaktivität mit Antivirussignaturen | Der zwischen dem Quellgerät und dem Zielsicherungsserver erkannte Datenverkehr hat diese Warnung ausgelöst. Der Datenverkehr umfasst die Sicherung von Antivirensoftware, die möglicherweise Schadsoftwaresignaturen enthält. Dies ist höchstwahrscheinlich eine legitime Sicherungsaktivität. | Niedrig | Backup | Taktiken: -Auswirkungen Techniken: - T0882: Diebstahl von Betriebsinformationen |
Nicht lernend |
Warnungen der Betriebs-Engine
Warnungen der Betriebs-Engine beschreiben erkannte Betriebsvorfälle oder Entitäten mit Funktionsfehlern.
| Titel | BESCHREIBUNG | severity | Kategorie | MITRE ATT&CK Taktiken und Techniken |
Lernfähige |
|---|---|---|---|---|---|
| S7-Befehl zum Beenden der SPS gesendet | Das Quellgerät hat einen Stoppbefehl an einen Zielcontroller gesendet. Der Controller wird nicht mehr ausgeführt, bis ein Startbefehl gesendet wird. | Niedrig | Befehle zum Neustarten/Beenden | Taktiken: -Lateralverschiebung - Verteidigungshinterziehung -Ausführung - Hemmung der Reaktionsfunktion Techniken: - T0843: Programmdownload - T0858: Betriebsmodus ändern - T0814: Denial-of-Service |
Nicht lernend |
| BACNet-Vorgang fehlgeschlagen | Ein Server hat einen Fehlercode zurückgegeben. Diese Warnung deutet auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin. | Medium | Befehlsfehler | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Meldung zu nicht autorisierten Befehlen |
Nicht lernend |
| Fehlerhafter MMS-Gerätestatus | Von einem MMS-VMD (Virtual Manufacturing Device) wurde eine Statusmeldung gesendet. Die Meldung gibt an, dass der Server möglicherweise nicht ordnungsgemäß, teilweise betriebsbereit oder gar nicht betriebsbereit ist. | Medium | Betriebsprobleme | Taktiken: - Hemmung der Reaktionsfunktion Techniken: - T0814: Denial-of-Service |
Nicht lernend |
| Änderung der Gerätekonfiguration* | Auf einem Quellgerät wurde eine Konfigurationsänderung erkannt. | Niedrig | Konfigurationsänderungen | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0836: Parameter ändern |
Nicht lernend |
| Ständiger Ereignispufferüberlauf in Outstation* | Ein Pufferüberlaufereignis wurde auf einem Quellgerät erkannt. Das Ereignis kann zu Datenbeschädigungen, Programmabstürzen oder Ausführung von bösartigem Code führen. Schwellenwert: 3 Vorkommen in 10 Minuten |
Medium | Pufferüberlauf | Taktiken: - Hemmung der Reaktionsfunktion - Beeinträchtigung der Prozesskontrolle -Persistenz Techniken: - T0814: Denial of Service - T0806: Brute Force E/A - T0839: Modulfirmware |
Nicht lernend |
| Controllerzurücksetzung | Ein Quellgerät hat einen Befehl zum Zurücksetzen an einen Zielcontroller gesendet. Der Controller wurde beendet und automatisch neu gestartet. | Niedrig | Befehle zum Neustarten/Beenden | Taktiken: - Verteidigungshinterziehung -Ausführung - Hemmung der Reaktionsfunktion Techniken: - T0858: Betriebsmodus ändern - T0814: Denial-of-Service |
Nicht lernend |
| Controllerbeendung | Das Quellgerät hat einen Stoppbefehl an einen Zielcontroller gesendet. Der Controller wird nicht mehr ausgeführt, bis ein Startbefehl gesendet wird. | Niedrig | Befehle zum Neustarten/Beenden | Taktiken: -Lateralverschiebung - Verteidigungshinterziehung -Ausführung - Hemmung der Reaktionsfunktion Techniken: - T0843: Programmdownload - T0858: Betriebsmodus ändern - T0814: Denial-of-Service |
Nicht lernend |
| Gerät konnte keine dynamische IP-Adresse empfangen | Das Quellgerät ist so konfiguriert, dass es eine dynamische IP-Adresse von einem DHCP-Server empfängt, aber keine Adresse empfangen hat. Dies weist auf einen Konfigurationsfehler auf dem Gerät oder auf einen Betriebsfehler auf dem DHCP-Server hin. Es wird empfohlen, den Netzwerkadministrator über den Incident zu benachrichtigen. | Medium | Befehlsfehler | Taktiken: -Entdeckung Techniken: - T0842: Netzwerkermittlung |
Nicht lernend |
| Verbindung des Geräts möglicherweise getrennt (keine Reaktion) | Ein Quellgerät hat nicht auf einen an dieses gesendeten Befehl geantwortet. Möglicherweise wurde die Verbindung getrennt, wenn der Befehl gesendet wurde. Schwellenwert: 8 Versuche in 5 Minuten |
Medium | Keine Reaktion | Taktiken: - Hemmung der Reaktionsfunktion Techniken: - T0881: Dienstende |
Nicht lernend |
| Fehler bei Ethernet/IP-CIP-Dienstanforderung | Ein Server hat einen Fehlercode zurückgegeben. Dies weist auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin. | Medium | Befehlsfehler | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Meldung zu nicht autorisierten Befehlen |
Nicht lernend |
| Fehler bei Befehl von Ethernet/IP-Kapselungsprotokoll | Ein Server hat einen Fehlercode zurückgegeben. Dies weist auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin. | Medium | Befehlsfehler | Taktiken: -Auflistung Techniken: - T0801: Überwachen des Prozessstatus |
Nicht lernend |
| Ereignispufferüberlauf in Outstation | Ein Pufferüberlaufereignis wurde auf einem Quellgerät erkannt. Das Ereignis kann zu Datenbeschädigungen, Programmabstürzen oder Ausführung von bösartigem Code führen. | Medium | Pufferüberlauf | Taktiken: - Hemmung der Reaktionsfunktion - Beeinträchtigung der Prozesskontrolle -Persistenz Techniken: - T0814: Denial of Service - T0839: Modulfirmware |
Nicht lernend |
| Erwarteter Sicherungsvorgang fand nicht statt | Die erwartete Sicherungs-/Dateiübertragungsaktivität zwischen zwei Geräten hat nicht stattgefunden. Diese Warnung kann auf Fehler im Sicherungs-/Dateiübertragungsprozess hinweisen. Schwellenwert: 100 Sekunden |
Medium | Backup | Taktiken: - Hemmung der Reaktionsfunktion Techniken: - T0809: Datenvernichtung |
Lernfähige |
| Fehler bei GE SRTP-Befehl | Ein Server hat einen Fehlercode zurückgegeben. Diese Warnung deutet auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin. | Medium | Befehlsfehler | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Meldung zu nicht autorisierten Befehlen |
Nicht lernend |
| GE SRTP-Befehl zum Beenden der SPS gesendet | Das Quellgerät hat einen Stoppbefehl an einen Zielcontroller gesendet. Der Controller wird nicht mehr ausgeführt, bis ein Startbefehl gesendet wird. | Niedrig | Befehle zum Neustarten/Beenden | Taktiken: -Lateralverschiebung - Verteidigungshinterziehung -Ausführung - Hemmung der Reaktionsfunktion Techniken: - T0843: Programmdownload - T0858: Betriebsmodus ändern - T0814: Denial-of-Service |
Nicht lernend |
| Weitere Konfiguration für GOOSE-Kontrollblock erforderlich | Ein Quellgerät hat eine GOOSE-Meldung gesendet, in der darauf hingewiesen wird, dass das Gerät in Betrieb genommen werden muss. Dies bedeutet, dass der GOOSE-Kontrollblock weitere Konfiguration erfordert und die GOOSE-Meldungen teilweise oder überhaupt nicht funktionsfähig sind. | Medium | Konfigurationsänderungen | Taktiken: - Beeinträchtigung der Prozesskontrolle - Hemmung der Reaktionsfunktion Techniken: - T0803: Blockbefehlsnachricht - T0821: Controllertasking ändern |
Nicht lernend |
| GOOSE-Datasetkonfiguration geändert* | Ein Nachrichtendataset (identifiziert durch die Protokoll-ID) wurde auf einem Quellgerät geändert. Dies bedeutet, dass das Gerät ein anderes Dataset für diese Nachricht meldet. | Niedrig | Konfigurationsänderungen | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0836: Parameter ändern |
Nicht lernend |
| Unerwarteter Status von Honeywell-Controller | Ein Honeywell-Controller hat eine unerwartete Diagnosemeldung gesendet, die auf eine Statusänderung hinweist. | Niedrig | Betriebsprobleme | Taktiken: -Evasion -Ausführung Techniken: - T0858: Betriebsmodus ändern |
Nicht lernend |
| HTTP-Clientfehler * | Das Quellgerät hat eine ungültige Anforderung initiiert. | Niedrig | Ungewöhnliches Verhalten bei der HTTP-Kommunikation | Taktiken: - Befehl und Steuerung Techniken: - T0869: Standardmäßiges Anwendungsebenenprotokoll |
Nicht lernend |
| Unzulässige IP-Adresse | Vom System wurde Datenverkehr zwischen einem Quellgerät und einer IP-Adresse erkannt, die eine ungültige Adresse darstellt. Dies kann auf eine falsche Konfiguration oder auf einen Versuch zum Generieren eines illegalen Datenverkehrs hinweisen. | Niedrig | Ungewöhnliches Kommunikationsverhalten | Taktiken: -Entdeckung - Beeinträchtigung der Prozesskontrolle Techniken: - T0842: Netzwerk-Sniffing - T0836: Parameter ändern |
Nicht lernend |
| Authentifizierungsfehler zwischen übergeordnetem und untergeordnetem Gerät | Fehler beim Authentifizierungsprozess zwischen einem DNP3-Quellgerät (primär) und einem Zielgerät (Outstation). | Niedrig | Authentifizierung | Taktiken: -Lateralverschiebung -Persistenz Techniken: - T0859: Gültige Konten |
Nicht lernend |
| Fehler bei MMS-Dienstanforderung | Ein Server hat einen Fehlercode zurückgegeben. Dies weist auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin. | Medium | Befehlsfehler | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Meldung zu nicht autorisierten Befehlen |
Nicht lernend |
| Kein Datenverkehr an Sensorschnittstelle erkannt | Ein Sensor hat die Erkennung von Netzwerkdatenverkehr an einer Netzwerkschnittstelle beendet. | High | Sensordatenverkehr | Taktiken: - Hemmung der Reaktionsfunktion Techniken: - T0881: Dienstende |
Nicht lernend |
| OPC UA-Server hat ein Ereignis ausgelöst, das einen Benutzereingriff erfordert | Ein OPC UA-Server hat eine Ereignisbenachrichtigung an einen Client gesendet. Dieser Ereignistyp erfordert einen Benutzereingriff. | Medium | Betriebsprobleme | Taktiken: - Hemmung der Reaktionsfunktion Techniken: - T0838: Alarmeinstellungen ändern |
Nicht lernend |
| Fehler bei OPC UA-Dienstanforderung | Ein Server hat einen Fehlercode zurückgegeben. Dies weist auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin. | Medium | Befehlsfehler | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Meldung zu nicht autorisierten Befehlen |
Nicht lernend |
| Outstation neu gestartet | Auf einem Quellgerät wurde ein kalter Neustart erkannt. Das bedeutet, dass das Gerät physisch aus- und wieder eingeschaltet wurde. | Niedrig | Befehle zum Neustarten/Beenden | Taktiken: - Hemmung der Reaktionsfunktion Techniken: - T0816: Neustarten/Herunterfahren des Geräts |
Nicht lernend |
| Häufige Neustarts der Outstation | Auf einem Quellgerät wurde eine übermäßige Anzahl von kalten Neustarts erkannt. Das bedeutet, dass das Gerät übermäßig häufig physisch aus- und wieder eingeschaltet wurde. Schwellenwert: 2 Neustarts in 10 Minuten |
Niedrig | Befehle zum Neustarten/Beenden | Taktiken: - Hemmung der Reaktionsfunktion Techniken: - T0814: Denial of Service - T0816: Neustarten/Herunterfahren des Geräts |
Nicht lernend |
| Konfiguration der Outstation geändert | Auf einem Quellgerät wurde eine Konfigurationsänderung erkannt. | Medium | Konfigurationsänderungen | Taktiken: - Hemmung der Reaktionsfunktion -Persistenz Techniken: - T0857: System Firmware |
Nicht lernend |
| Beschädigte Konfiguration der Outstation erkannt | Dieses DNP3-Quellgerät (Outstation) hat eine beschädigte Konfiguration gemeldet. | Medium | Konfigurationsänderungen | Taktiken: - Hemmung der Reaktionsfunktion Techniken: - T0809: Datenvernichtung |
Nicht lernend |
| Fehler bei Profinet-DCP-Befehl | Ein Server hat einen Fehlercode zurückgegeben. Dies weist auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin. | Medium | Befehlsfehler | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Meldung zu nicht autorisierten Befehlen |
Nicht lernend |
| Zurücksetzung von Profinet-Gerät auf Werkseinstellungen | Ein Quellgerät hat einen Befehl zum Zurücksetzen auf die Werkseinstellungen an ein Profinet-Zielgerät gesendet. Mit dem Befehl zum Zurücksetzen werden Gerätekonfigurationen von Profinet gelöscht, und der Vorgang wird beendet. | Niedrig | Befehle zum Neustarten/Beenden | Taktiken: - Verteidigungshinterziehung -Ausführung - Hemmung der Reaktionsfunktion Techniken: - T0858: Betriebsmodus ändern - T0814: Denial-of-Service |
Nicht lernend |
| Fehler bei RPC-Vorgang * | Ein Server hat einen Fehlercode zurückgegeben. Diese Warnung deutet auf einen Serverfehler oder eine ungültige Anforderung von einem Client hin. | Medium | Befehlsfehler | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0855: Meldung zu nicht autorisierten Befehlen |
Nicht lernend |
| Konfiguration für Nachrichtendataset mit Stichprobenwerten geändert* | Ein Nachrichtendataset (identifiziert durch die Protokoll-ID) wurde auf einem Quellgerät geändert. Dies bedeutet, dass das Gerät ein anderes Dataset für diese Nachricht meldet. | Niedrig | Konfigurationsänderungen | Taktiken: - Beeinträchtigung der Prozesskontrolle Techniken: - T0836: Parameter ändern |
Nicht lernend |
| Nicht behebbarer Fehler auf untergeordnetem Gerät* | Ein nicht behebbarer Bedingungsfehler wurde auf einem Quellgerät erkannt. Diese Art von Fehler deutet in der Regel auf einen Hardwarefehler oder einen Fehler bei der Ausführung eines bestimmten Befehls hin. | Medium | Befehlsfehler | Taktiken: - Hemmung der Reaktionsfunktion Techniken: - T0814: Denial-of-Service |
Nicht lernend |
| Verdacht auf Hardwareprobleme an der Outstation | Ein nicht behebbarer Bedingungsfehler wurde auf einem Quellgerät erkannt. Diese Art von Fehler deutet in der Regel auf einen Hardwarefehler oder einen Fehler bei der Ausführung eines bestimmten Befehls hin. | Medium | Betriebsprobleme | Taktiken: - Hemmung der Reaktionsfunktion Techniken: - T0814: Denial of Service - T0881: Dienstende |
Nicht lernend |
| Verdacht auf nicht reagierendes Modbus-Gerät | Ein Quellgerät hat nicht auf einen an dieses gesendeten Befehl geantwortet. Möglicherweise wurde die Verbindung getrennt, wenn der Befehl gesendet wurde. Schwellenwert: Mindestens 1 gültige Antwort für mindestens 3 Anforderungen innerhalb von 5 Minuten |
Niedrig | Keine Reaktion | Taktiken: - Hemmung der Reaktionsfunktion Techniken: - T0881: Dienstende |
Nicht lernend |
| Datenverkehr an Sensorschnittstelle erkannt | Ein Sensor hat die Erkennung von Netzwerkdatenverkehr an einer Netzwerkschnittstelle fortgesetzt. | Niedrig | Sensordatenverkehr | Taktiken: -Entdeckung Techniken: - T0842: Netzwerkermittlung |
Nicht lernend |
| SPS-Betriebsmodus geändert | Der Betriebsmodus auf dieser SPS wurde geändert. Der neue Modus kann darauf hinweisen, dass die SPS nicht sicher ist. Wenn die PLG in einem unsicheren Betriebsmodus bleibt, können Angreifer böswillige Aktivitäten daran ausführen, z. B. einen Programmdownload. Wenn die SPS kompromittiert ist, können Geräte und Prozesse, die mit ihr interagieren, beeinträchtigt werden. Dies kann sich auf die Gesamtsystemsicherheit und -sicherheit auswirken. | Niedrig | Konfigurationsänderungen | Taktiken: -Ausführung -Evasion Techniken: - T0858: Betriebsmodus ändern |
Nicht lernend |
Nächste Schritte
Weitere Informationen finden Sie unter
- Anzeigen und Verwalten von Warnungen im Defender für IoT-Portal
- Anzeigen von Warnungen auf Ihrem Sensor
- Beschleunigen des Warnungsworkflows
- Weiterleiten von Warnungsinformation
- Arbeiten mit Warnungen auf der lokalen Verwaltungskonsole
- API-Referenz zur Warnungsverwaltung für lokale Verwaltungskonsolen
- API-Referenz zur Warnungsverwaltung für OT-Überwachungssensoren
- Weiterleiten von Warnungsinformation