Referensi pemberitahuan Pertahanan Microsoft untuk IoT
Artikel ini menyediakan referensi pemberitahuan yang dihasilkan oleh sensor jaringan Pertahanan Microsoft untuk IoT, termasuk daftar semua jenis dan deskripsi pemberitahuan. Referensi juga menunjukkan pemberitahuan mana yang dapat dipangkas sebagai dapat dipelajari atau tidak, untuk informasi selengkapnya tentang status yang dapat dipelajari, lihat Status pemberitahuan dan opsi triase. Anda dapat menggunakan referensi ini untuk memetakan pemberitahuan ke playbook, menentukan aturan penerusan pada sensor jaringan Teknologi Operasional (OT), atau aktivitas kustom lainnya.
Pemberitahuan OT dinonaktifkan secara default
Beberapa pemberitahuan dinonaktifkan secara default, seperti yang ditunjukkan oleh tanda bintang (*) dalam tabel di bawah ini. Pengguna Admin sensor OT dapat mengaktifkan atau menonaktifkan pemberitahuan dari halaman Dukungan pada sensor jaringan OT tertentu.
Jika Anda menonaktifkan pemberitahuan yang dirujuk di tempat lain, seperti aturan penerusan pemberitahuan, pastikan untuk memperbarui referensi tersebut sesuai kebutuhan.
Tingkat keparahan pemberitahuan
Pemberitahuan Defender for IoT menggunakan tingkat keparahan berikut:
| Portal Azure | Sensor OT | Deskripsi |
|---|---|---|
| Tinggi | Kritis | Menunjukkan serangan berbahaya yang harus segera ditangani. |
| Sedang | Mayor | Menunjukkan ancaman keamanan yang penting untuk ditangani. |
| Rendah | Minor, Peringatan | Menunjukkan beberapa penyimpangan dari perilaku garis besar yang mungkin berisi ancaman keamanan, atau tidak berisi ancaman keamanan. |
Tingkat keparahan pemberitahuan di halaman ini mencantumkan tingkat keparahan seperti yang ditunjukkan dalam portal Azure.
Jenis peringatan yang didukung
| Jenis pemberitahuan | Deskripsi |
|---|---|
| Pemberitahuan pelanggaran kebijakan | Dipicu saat mesin Pelanggaran Kebijakan mendeteksi penyimpangan dari lalu lintas yang dipelajari sebelumnya. Misalnya: - Perangkat baru terdeteksi. - Konfigurasi baru terdeteksi pada perangkat. - Perangkat yang tidak didefinisikan sebagai perangkat pemrograman melakukan perubahan pemrograman. - Versi firmware berubah. |
| Peringatan pelanggaran protokol | Dipicu saat mesin Protokol Pelanggaran mendeteksi struktur paket atau nilai bidang yang tidak sesuai dengan spesifikasi protokol. |
| Peringatan operasional | Dipicu ketika mesin Operasional mendeteksi insiden operasional jaringan atau perangkat tidak berfungsi. Misalnya, perangkat jaringan dihentikan melalui perintah Stop PLC, atau antarmuka pada sensor berhenti memantau lalu lintas. |
| Peringatan malware | Dipicu saat mesin Program Jahat mendeteksi aktivitas jaringan berbahaya. Misalnya, mesin mendeteksi serangan yang diketahui seperti Conficker. |
| Pemberitahuan anomali | Dipicu ketika mesin Anomali mendeteksi penyimpangan. Misalnya, perangkat melakukan pemindaian jaringan tetapi tidak didefinisikan sebagai perangkat pemindaian. |
Kebijakan deteksi pemberitahuan Defender for IoT mengarahkan mesin pemberitahuan yang berbeda untuk memicu pemberitahuan berdasarkan dampak bisnis dan konteks jaringan, dan mengurangi pemberitahuan terkait TI bernilai rendah. Untuk informasi selengkapnya, lihat Pemberitahuan terfokus di lingkungan OT/IT.
Kategori pemberitahuan yang didukung
Setiap pemberitahuan memiliki salah satu kategori berikut:
- Perilaku Komunikasi Abnormal
- Perilaku Komunikasi HTTP Abnormal
- Autentikasi
- Cadangan
- Anomali Bandwidth
- Luapan buffer
- Kegagalan Perintah
- Perubahan konfigurasi
- Peringatan Kustom
- Penemuan
- Perubahan firmware
- Perintah ilegal
- Akses Internet
- Kegagalan Operasi
- Masalah operasional
- Pemrograman
- Akses jarak jauh
- Perintah Restart/Stop
- Pemindaian
- Lalu lintas sensor
- Kecurigaan akan aktivitas berbahaya
- Kecurigaan Akan Malware
- Perilaku Komunikasi yang Tidak Sah
- Merespons
Pemberitahuan mesin kebijakan
Pemberitahuan mesin kebijakan menjelaskan penyimpangan yang terdeteksi dari perilaku garis besar yang dipelajari.
| Judul | Deskripsi | Tingkat keparahan | Kategori | MITRE ATT&CK Taktik dan teknik |
Dapat dipelajari |
|---|---|---|---|---|---|
| Perangkat Lunak Beckhoff Diubah | Firmware diperbarui pada perangkat sumber. Ini mungkin aktivitas resmi, misalnya prosedur pemeliharaan terencana. | Medium | Perubahan Firmware | Taktik: - Menghambat Fungsi Respons -Ketekunan Teknik: - T0857: Firmware Sistem |
Dapat dipelajari |
| Log Masuk Database Gagal | Upaya kredensial masuk yang gagal terdeteksi dari perangkat sumber ke server tujuan. Ini mungkin akibat kesalahan manusia, tetapi juga dapat menunjukkan upaya jahat untuk membahayakan server atau data di atasnya. Ambang batas: 2 kegagalan masuk dalam 5 menit |
Medium | Autentikasi | Taktik: - Gerakan Lateral -Koleksi Teknik: - T0812: Kredensial Default - T0811: Data dari Repositori Informasi |
Tidak dapat dipelajari |
| Versi Firmware Emerson ROC Diubah | Firmware diperbarui pada perangkat sumber. Ini mungkin aktivitas resmi, misalnya prosedur pemeliharaan terencana. | Medium | Perubahan Firmware | Taktik: - Menghambat Fungsi Respons -Ketekunan Teknik: - T0857: Firmware Sistem |
Dapat dipelajari |
| Alamat eksternal dalam jaringan yang dikomunikasikan dengan Internet | Perangkat sumber yang didefinisikan sebagai bagian dari jaringan Anda sedang berkomunikasi dengan alamat Internet. Sumber tidak diizinkan untuk berkomunikasi dengan Alamat internet. | Sangat Penting | Akses Internet | Taktik: - Akses Awal Teknik: - T0883: Perangkat yang Dapat Diakses Internet |
Dapat dipelajari |
| Perangkat Bidang Ditemukan Secara Tak Terduga | Perangkat sumber baru terdeteksi pada jaringan tetapi tidak diotorisasi. | Medium | Penemuan | Taktik: -Penemuan Teknik: - T0842: Sniffing Jaringan |
Tidak dapat dipelajari |
| Perubahan Firmware Terdeteksi | Firmware diperbarui pada perangkat sumber. Ini mungkin aktivitas resmi, misalnya prosedur pemeliharaan terencana. | Medium | Perubahan Firmware | Taktik: - Menghambat Fungsi Respons -Ketekunan Teknik: - T0857: Firmware Sistem |
Tidak dapat dipelajari |
| Versi Firmware Diubah | Firmware diperbarui pada perangkat sumber. Ini mungkin aktivitas resmi, misalnya prosedur pemeliharaan terencana. | Medium | Perubahan Firmware | Taktik: - Menghambat Fungsi Respons -Ketekunan Teknik: - T0857: Firmware Sistem |
Dapat dipelajari |
| Operasi Tidak Sah Foxboro I/A | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah - T0836: Ubah Parameter |
Dapat dipelajari |
| Gagal Masuk FTP | Upaya kredensial masuk yang gagal terdeteksi dari perangkat sumber ke server tujuan. Peringatan ini mungkin akibat kesalahan manusia, tetapi juga dapat menunjukkan upaya jahat untuk membahayakan server atau data di atasnya. | Medium | Autentikasi | Taktik: - Gerakan Lateral - Perintah dan Kontrol Teknik: - T0812: Kredensial Default - T0869: Protokol Lapisan Aplikasi Standar |
Tidak dapat dipelajari |
| Kode Fungsi Memunculkan Pengecualian Tidak Sah * | Perangkat sumber (sekunder) menampilkan pengecualian ke perangkat tujuan (utama). | Medium | Kegagalan Perintah | Taktik: - Menghambat Fungsi Respons Teknik: - T0835: Memanipulasi Gambar I/O |
Dapat dipelajari |
| Pengaturan Jenis Pesan GOOSE | Pengaturan Pesan (diidentifikasi oleh ID protokol) diubah pada perangkat sumber. | Kurang Penting | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan Teknik: - T0836: Ubah Parameter |
Dapat dipelajari |
| Versi Firmware Honeywell Diubah | Firmware diperbarui pada perangkat sumber. Ini mungkin aktivitas resmi, misalnya prosedur pemeliharaan terencana. | Medium | Perubahan Firmware | Taktik: - Menghambat Fungsi Respons -Ketekunan Teknik: - T0857: Firmware Sistem |
Dapat dipelajari |
| Komunikasi HTTP Ilegal * | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi HTTP Abnormal | Taktik: -Penemuan Teknik: - T0846: Penemuan Sistem Jarak Jauh |
Dapat dipelajari |
| Akses Internet Terdeteksi | Perangkat sumber yang didefinisikan sebagai bagian dari jaringan Anda sedang berkomunikasi dengan alamat Internet. Sumber tidak diizinkan untuk berkomunikasi dengan Alamat internet. | Medium | Akses Internet | Taktik: - Akses Awal Teknik: - T0883: Perangkat yang Dapat Diakses Internet |
Dapat dipelajari |
| Versi Firmware Mitsubishi Diubah | Firmware diperbarui pada perangkat sumber. Ini mungkin aktivitas resmi, misalnya prosedur pemeliharaan terencana. | Medium | Perubahan Firmware | Taktik: - Menghambat Fungsi Respons -Ketekunan Teknik: - T0857: Firmware Sistem |
Dapat dipelajari |
| Pelanggaran Rentang Alamat Modbus | Perangkat utama meminta akses ke alamat memori sekunder baru. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: -Penemuan Teknik: - T0842: Sniffing Jaringan |
Dapat dipelajari |
| Versi Firmware Modbus Diubah | Firmware diperbarui pada perangkat sumber. Ini mungkin aktivitas resmi, misalnya prosedur pemeliharaan terencana. | Medium | Perubahan Firmware | Taktik: - Menghambat Fungsi Respons -Ketekunan Teknik: - T0857: Firmware Sistem |
Dapat dipelajari |
| Aktivitas Baru Terdeteksi - Kelas CIP | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: -Penemuan Teknik: - T0888: Penemuan Informasi Sistem Jarak Jauh |
Dapat dipelajari |
| Aktivitas Baru Terdeteksi - Layanan Kelas CIP | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Menghambat Fungsi Respons Teknik: - T0836: Ubah Parameter |
Dapat dipelajari |
| Aktivitas Baru Terdeteksi - Perintah CIP PCCC | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Menghambat Fungsi Respons Teknik: - T0836: Ubah Parameter |
Dapat dipelajari |
| Aktivitas Baru Terdeteksi - Simbol CIP | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan - Menghambat Fungsi Respons Teknik: - T0855: Pesan Perintah Tidak Sah - T0836: Ubah Parameter |
Dapat dipelajari |
| Aktivitas Baru Terdeteksi - Koneksi I/O EtherNet/IP | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: -Penemuan - Menghambat Fungsi Respons Teknik: - T0846: Penemuan Sistem Jarak Jauh - T0835: Memanipulasi Gambar I/O |
Dapat dipelajari |
| Aktivitas Baru Terdeteksi - Perintah Protokol EtherNet/IP | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Menghambat Fungsi Respons Teknik: - T0836: Ubah Parameter |
Dapat dipelajari |
| Aktivitas Baru Terdeteksi - Kode Pesan GSM | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - CommandAndControl Teknik: - T0869: Protokol Lapisan Aplikasi Standar |
Dapat dipelajari |
| Aktivitas Baru Terdeteksi - Kode Perintah LonTalk | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: -Koleksi - Kontrol Proses Gangguan Teknik: - T0861 - Titik & Identifikasi Tag - T0855: Pesan Perintah Tidak Sah |
Dapat dipelajari |
| Penemuan Port Baru | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Kurang Penting | Penemuan | Taktik: - Gerakan Lateral Teknik: - T0867: Transfer Alat Lateral |
Dapat dipelajari |
| Aktivitas Baru Terdeteksi - Variabel Jaringan LonTalk | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah |
Dapat dipelajari |
| Aktivitas Baru Terdeteksi - Permintaan Data Ovasi | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: -Koleksi -Penemuan Teknik: - T0801: Status Proses Monitor - T0888: Penemuan Informasi Sistem Jarak Jauh |
Dapat dipelajari |
| Aktivitas Baru Terdeteksi - Perintah Baca/Tulis (Grup Indeks AMS) | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perubahan Konfigurasi | Taktik: - Kontrol Proses Gangguan - Menghambat Fungsi Respons Teknik: - T0855: Pesan Perintah Tidak Sah - T0836: Ubah Parameter |
Dapat dipelajari |
| Aktivitas Baru Terdeteksi - Perintah Baca/Tulis (Offset Indeks AMS) | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perubahan Konfigurasi | Taktik: - Kontrol Proses Gangguan - Menghambat Fungsi Respons Teknik: - T0855: Pesan Perintah Tidak Sah - T0836: Ubah Parameter |
Dapat dipelajari |
| Aktivitas Baru Terdeteksi - Jenis Pesan DeltaV Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan -Eksekusi Teknik: - T0855: Pesan Perintah Tidak Sah - T0821: Mengubah Tugas Pengontrol |
Dapat dipelajari |
| Aktivitas Baru Terdeteksi - Operasi DELTAV ROC Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan -Eksekusi Teknik: - T0855: Pesan Perintah Tidak Sah - T0821: Mengubah Tugas Pengontrol |
Dapat dipelajari |
| Aktivitas Baru Terdeteksi - Jenis Pesan RPC Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah |
Dapat dipelajari |
| Aktivitas Baru Terdeteksi - Menggunakan perintah protokol AMS | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan - Menghambat Fungsi Respons -Eksekusi Teknik: - T0855: Pesan Perintah Tidak Sah - T0836: Ubah Parameter - T0821: Mengubah Tugas Pengontrol |
Dapat dipelajari |
| Aktivitas Baru Terdeteksi - Menggunakan Perintah Siemens SICAM | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan - Menghambat Fungsi Respons Teknik: - T0855: Pesan Perintah Tidak Sah - T0836: Ubah Parameter |
Dapat dipelajari |
| Aktivitas Baru Terdeteksi - Menggunakan perintah Protokol Suitelink | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan - Menghambat Fungsi Respons Teknik: - T0855: Pesan Perintah Tidak Sah - T0836: Ubah Parameter |
Dapat dipelajari |
| Aktivitas Baru Terdeteksi - Menggunakan sesi Protokol Suitelink | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan Teknik: - T0836: Ubah Parameter |
Dapat dipelajari |
| Aktivitas Baru Terdeteksi - Menggunakan Perintah VNetIP Yokogawa | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan -Eksekusi Teknik: - T0855: Pesan Perintah Tidak Sah - T0821: Mengubah Tugas Pengontrol |
Dapat dipelajari |
| Aset Baru Terdeteksi | Perangkat sumber baru terdeteksi pada jaringan tetapi tidak diotorisasi. Peringatan ini berlaku untuk perangkat yang ditemukan di subnet OT. Perangkat baru yang ditemukan di subnet TI tidak memicu peringatan. |
Medium | Penemuan | Taktik: -Penemuan Teknik: - T0842: Sniffing Jaringan |
Dapat dipelajari |
| Konfigurasi Perangkat LLDP Baru | Perangkat sumber baru terdeteksi pada jaringan tetapi tidak diotorisasi. | Medium | Perubahan Konfigurasi | Taktik: -Penemuan Teknik: - T0842: Sniffing Jaringan |
Dapat dipelajari |
| Perintah Omron FINS Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah - T0836: Ubah Parameter |
Dapat dipelajari |
| Firmware S7 Plus PLC Diubah | Firmware diperbarui pada perangkat sumber. Ini mungkin aktivitas resmi, misalnya prosedur pemeliharaan terencana. | Medium | Perubahan Firmware | Taktik: - Menghambat Fungsi Respons -Ketekunan Teknik: - T0857: Firmware Sistem |
Dapat dipelajari |
| Pengaturan Tipe Pesan Nilai Sampel | Pengaturan Pesan (diidentifikasi oleh ID protokol) diubah pada perangkat sumber. | Kurang Penting | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan Teknik: - T0836: Ubah Parameter |
Tidak dapat dipelajari |
| Kecurigaan Pemindaian Integritas Ilegal * | Pemindaian terdeteksi pada perangkat sumber (outstation) DNP3. Pemindaian ini tidak diotorisasi sebagai lalu lintas yang diketahui di jaringan Anda. | Medium | Pemindaian | Taktik: -Penemuan Teknik: - T0842: Sniffing Jaringan |
Dapat dipelajari |
| Perintah Tidak Sah Tautan Komputer Toshiba | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Kurang Penting | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan -Eksekusi Teknik: - T0855: Pesan Perintah Tidak Sah - T0821: Mengubah Tugas Pengontrol |
Dapat dipelajari |
| Operasi File Totalflow ABB Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan -Eksekusi Teknik: - T0855: Pesan Perintah Tidak Sah - T0821: Mengubah Tugas Pengontrol |
Tidak dapat dipelajari |
| Operasi Pendaftaran Totalflow ABB Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan -Eksekusi Teknik: - T0855: Pesan Perintah Tidak Sah - T0821: Mengubah Tugas Pengontrol |
Tidak dapat dipelajari |
| Akses Tidak Sah ke Blok Data Siemens S7 | Perangkat sumber mencoba mengakses sumber daya pada perangkat lain. Upaya akses ke sumber daya ini antara kedua perangkat ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. | Kurang Penting | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan - Akses Awal Teknik: - T0855: Pesan Perintah Tidak Sah - T0811: Data dari Repositori Informasi |
Dapat dipelajari |
| Akses Tidak Sah ke Objek Siemens S7 Plus | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan -Eksekusi - Menghambat Fungsi Respons Teknik: - T0855: Pesan Perintah Tidak Sah - T0821: Mengubah Tugas Pengontrol - T0809: Penghancuran Data |
Dapat dipelajari |
| Akses Tidak Sah ke Tag Wonderware | Perangkat sumber mencoba mengakses sumber daya pada perangkat lain. Upaya akses ke sumber daya ini antara kedua perangkat ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: -Koleksi - Kontrol Proses Gangguan Teknik: - T0861: Titik & Identifikasi Tag - T0855: Pesan Perintah Tidak Sah |
Dapat dipelajari |
| Akses Objek BACNet Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan -Eksekusi Teknik: - T0855: Pesan Perintah Tidak Sah - T0821: Mengubah Tugas Pengontrol |
Dapat dipelajari |
| Rute BACNet Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan -Eksekusi Teknik: - T0855: Pesan Perintah Tidak Sah - T0821: Mengubah Tugas Pengontrol |
Dapat dipelajari |
| Masuk Database Tidak Sah * | Upaya kredensial masuk antara klien sumber dan server tujuan terdeteksi. Komunikasi antara perangkat ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. | Medium | Autentikasi | Taktik: - Gerakan Lateral -Ketekunan -Koleksi Teknik: - T0859: Akun yang Valid - T0811: Data dari Repositori Informasi |
Dapat dipelajari |
| Operasi Database Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi Abnormal | Taktik: - Kontrol Proses Gangguan - Akses Awal Teknik: - T0855: Pesan Perintah Tidak Sah - T0811: Data dari Repositori Informasi |
Dapat dipelajari |
| Operasi ROC Emerson Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan -Eksekusi Teknik: - T0855: Pesan Perintah Tidak Sah - T0821: Mengubah Tugas Pengontrol |
Dapat dipelajari |
| Akses File GE SRTP Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: -Koleksi - LateralMovement -Ketekunan Teknik: - T0801: Status Proses Monitor - T0859: Akun yang Valid |
Dapat dipelajari |
| Perintah Protokol GE SRTP Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah - T0821: Mengubah Tugas Pengontrol |
Dapat dipelajari |
| Operasi Memori Sistem GE SRTP Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: -Penemuan - Kontrol Proses Gangguan Teknik: - T0846: Penemuan Sistem Jarak Jauh - T0855: Pesan Perintah Tidak Sah |
Dapat dipelajari |
| Aktivitas HTTP Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi HTTP Abnormal | Taktik: - Akses Awal - Perintah dan Kontrol Teknik: - T0822: Layanan Jarak Jauh Eksternal - T0869: Protokol Lapisan Aplikasi Standar |
Dapat dipelajari |
| Tindakan SOAP HTTP tidak sah * | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi HTTP Abnormal | Taktik: - Perintah dan Kontrol -Eksekusi Teknik: - T0869: Protokol Lapisan Aplikasi Standar - T0871: Eksekusi melalui API |
Dapat dipelajari |
| Agen Pengguna HTTP Tidak Sah * | Aplikasi yang tidak sah terdeteksi pada perangkat sumber. Aplikasi ini tidak diotorisasi sebagai aplikasi yang dipelajari di jaringan Anda. | Medium | Perilaku Komunikasi HTTP Abnormal | Taktik: - Perintah dan Kontrol Teknik: - T0869: Protokol Lapisan Aplikasi Standar |
Dapat dipelajari |
| Konektivitas Internet Tidak Sah Terdeteksi | Perangkat sumber yang didefinisikan sebagai bagian dari jaringan Anda sedang berkomunikasi dengan alamat Internet. Sumber tidak diizinkan untuk berkomunikasi dengan Alamat internet. | Sangat Penting | Akses Internet | Taktik: - Akses Awal Teknik: - T0883: Perangkat yang Dapat Diakses Internet |
Dapat dipelajari |
| Perintah Mitsubishi MELSEC Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan -Eksekusi Teknik: - T0855: Pesan Perintah Tidak Sah - T0821: Mengubah Tugas Pengontrol |
Dapat dipelajari |
| Akses Program MMS Tidak Sah | Perangkat sumber mencoba mengakses sumber daya pada perangkat lain. Upaya akses ke sumber daya ini antara kedua perangkat ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. | Medium | Pemrograman | Taktik: - Kontrol Proses Gangguan -Eksekusi Teknik: - T0855: Pesan Perintah Tidak Sah - T0821: Mengubah Tugas Pengontrol |
Dapat dipelajari |
| Layanan MMS Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan -Eksekusi Teknik: - T0855: Pesan Perintah Tidak Sah - T0821: Mengubah Tugas Pengontrol |
Dapat dipelajari |
| Koneksi Multicast/Siaran Tidak Sah | Koneksi Multicast/Broadcast terdeteksi antara perangkat sumber dan perangkat lainnya. Komunikasi Multicast/Broadcast tidak diizinkan. | Sangat Penting | Perilaku Komunikasi Abnormal | Taktik: -Penemuan Teknik: - T0842: Sniffing Jaringan |
Dapat dipelajari |
| Kueri Nama Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi Abnormal | Taktik: - Kontrol Proses Gangguan Teknik: - T0836: Ubah Parameter |
Tidak dapat dipelajari |
| Aktivitas OPC UA Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan Teknik: - T0836: Ubah Parameter |
Dapat dipelajari |
| Permintaan/Respons OPC UA Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan Teknik: - T0836: Ubah Parameter |
Dapat dipelajari |
| Operasi Tidak Sah terdeteksi oleh Aturan yang Ditentukan Pengguna | Lalu lintas terdeteksi di antara dua perangkat. Aktivitas ini tidak sah, berdasarkan Aturan Pemberitahuan Kustom yang ditentukan oleh pengguna. | Medium | Peringatan Kustom | Taktik: -Penemuan Teknik: - T0842: Sniffing Jaringan |
Tidak dapat dipelajari |
| Baca Konfigurasi PLC Tidak Sah | Perangkat sumber tidak ditentukan sebagai perangkat pemrograman tetapi melakukan operasi baca/tulis di pengendali tujuan. Perubahan pemrograman hanya boleh dilakukan oleh perangkat pemrograman. Aplikasi pemrograman mungkin telah diinstal pada perangkat ini. | Kurang Penting | Perubahan Konfigurasi | Taktik: -Koleksi Teknik: - T0801: Status Proses Monitor |
Dapat dipelajari |
| Penulisan Konfigurasi PLC Tidak Sah | Perangkat sumber mengirimkan perintah untuk membaca/menulis program pengontrol tujuan. Aktivitas ini sebelumnya tidak terlihat. | Medium | Perubahan Konfigurasi | Taktik: - Kontrol Proses Gangguan -Ketekunan -Dampak Teknik: - T0839: Modul Firmware - T0831: Manipulasi Kontrol - T0889: Mengubah Program |
Dapat dipelajari |
| Unggahan Program PLC Tidak Sah | Perangkat sumber mengirimkan perintah untuk membaca/menulis program pengontrol tujuan. Aktivitas ini sebelumnya tidak terlihat. | Medium | Pemrograman | Taktik: - Kontrol Proses Gangguan -Ketekunan -Koleksi Teknik: - T0839: Modul Firmware - T0845: Unggahan Program |
Dapat dipelajari |
| Pemrograman PLC Tidak Sah | Perangkat sumber tidak ditentukan sebagai perangkat pemrograman tetapi melakukan operasi baca/tulis di pengendali tujuan. Perubahan pemrograman hanya boleh dilakukan oleh perangkat pemrograman. Aplikasi pemrograman mungkin telah diinstal pada perangkat ini. | Sangat Penting | Pemrograman | Taktik: - Kontrol Proses Gangguan -Ketekunan - Gerakan Lateral Teknik: - T0839: Modul Firmware - T0889: Mengubah Program - T0843: Unduhan Program |
Dapat dipelajari |
| Tipe Bingkai Profinet Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan Teknik: - T0836: Ubah Parameter |
Dapat dipelajari |
| Perintah SAIA S-Bus Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah |
Dapat dipelajari |
| Eksekusi Fungsi Kontrol Siemens S7 Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan - Menghambat Fungsi Respons Teknik: - T0855: Pesan Perintah Tidak Sah - T0809: Penghancuran Data |
Dapat dipelajari |
| Eksekusi Siemens S7 Tidak Sah dari Fungsi yang Ditentukan Pengguna | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan -Eksekusi Teknik: - T0836: Ubah Parameter - T0863: Eksekusi Pengguna |
Dapat dipelajari |
| Akses Blok Siemens S7 Plus Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Menghambat Fungsi Respons -Ketekunan -Eksekusi Teknik: - T0803 - Blokir Pesan Perintah - T0889: Mengubah Program - T0821: Mengubah Tugas Pengontrol |
Dapat dipelajari |
| Operasi Siemens S7 Plus Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan -Eksekusi Teknik: - T0855: Pesan Perintah Tidak Sah - T0863: Eksekusi Pengguna |
Dapat dipelajari |
| Masuk SMB Tidak Sah | Upaya kredensial masuk antara klien sumber dan server tujuan terdeteksi. Komunikasi antara perangkat ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. | Medium | Autentikasi | Taktik: - Akses Awal - Gerakan Lateral -Ketekunan Teknik: - T0886: Layanan Jarak Jauh - T0859: Akun yang Valid |
Dapat dipelajari |
| Operasi SNMP Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi Abnormal | Taktik: -Penemuan - Perintah dan Kontrol Teknik: - T0842: Sniffing Jaringan - T0885: Port yang Umum Digunakan |
Dapat dipelajari |
| Akses SSH Tidak Sah | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Akses Jarak Jauh | Taktik: - InitialAccess - Gerakan Lateral - Perintah dan Kontrol Teknik: - T0886: Layanan Jarak Jauh - T0869: Protokol Lapisan Aplikasi Standar |
Dapat dipelajari |
| Proses Windows Tidak Sah | Aplikasi yang tidak sah terdeteksi pada perangkat sumber. Aplikasi ini tidak diotorisasi sebagai aplikasi yang dipelajari di jaringan Anda. | Medium | Perilaku Komunikasi Abnormal | Taktik: -Eksekusi - Eskalasi Hak Istimewa - Perintah dan Kontrol Teknik: - T0841: Kait - T0885: Port yang Umum Digunakan |
Dapat dipelajari |
| Layanan Windows Tidak Sah | Aplikasi yang tidak sah terdeteksi pada perangkat sumber. Aplikasi ini tidak diotorisasi sebagai aplikasi yang dipelajari di jaringan Anda. | Medium | Perilaku Komunikasi Abnormal | Taktik: - Akses Awal - Gerakan Lateral Teknik: - T0866: Eksploitasi Layanan Jarak Jauh |
Dapat dipelajari |
| Operasi Tidak Sah terdeteksi oleh Aturan yang Ditentukan Pengguna | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini melanggar aturan yang ditentukan pengguna | Medium | Taktik: -Penemuan Teknik: - T0842: Sniffing Jaringan |
Tidak dapat dipelajari | |
| Ekstensi Listrik Modbus Schneider yang Tidak Diizinkan | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah |
Dapat dipelajari |
| Penggunaan Jenis ASDU yang Tidak Dibatasi | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah |
Dapat dipelajari |
| Penggunaan Kode Fungsi DNP3 Yang Tidak Diizinkan | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan Teknik: - T0836: Ubah Parameter |
Dapat dipelajari |
| Penggunaan Indikasi Internal (IIN) yang Tidak Dipancarkan * | Perangkat sumber DNP3 (outstation) melaporkan indikasi internal (IIN) yang belum diotorisasi sebagai lalu lintas yang diketahui di jaringan Anda. | Medium | Perintah Ilegal | Taktik: -Penemuan Teknik: - T0842: Sniffing Jaringan |
Dapat dipelajari |
| Penggunaan Kode Fungsi Modbus yang Tidak Diizinkan | Parameter lalu lintas baru terdeteksi. Kombinasi parameter ini tidak diotorisasi sebagai lalu lintas yang dipelajari di jaringan Anda. Kombinasi berikut tidak sah. | Medium | Perilaku Komunikasi yang Tidak Sah | Taktik: - Kontrol Proses Gangguan Teknik: - T0836: Ubah Parameter |
Dapat dipelajari |
Pemberitahuan mesin anomali
Catatan
Artikel ini berisi referensi ke istilah slave, istilah yang tidak lagi digunakan Microsoft. Ketika istilah ini dihapus dari perangkat lunak, kami akan menghapusnya dari artikel ini.
Pemberitahuan mesin anomali menggambarkan anomali yang terdeteksi dalam aktivitas jaringan.
| Judul | Deskripsi | Tingkat keparahan | Kategori | MITRE ATT&CK Taktik dan teknik |
Dapat dipelajari |
|---|---|---|---|---|---|
| Pola Pengecualian Abnormal di Budak * | Jumlah kesalahan yang berlebihan terdeteksi pada perangkat sumber. Pemberitahuan ini mungkin akibat dari masalah operasional. Ambang batas: 20 pengecualian dalam 1 jam |
Kurang Penting | Perilaku Komunikasi Abnormal | Taktik: - Kontrol Proses Gangguan Teknik: - T0806: Brute Force I/O |
Tidak dapat dipelajari |
| Panjang Header HTTP Abnormal * | Perangkat sumber mengirimkan pesan abnormal. Pemberitahuan ini mungkin menunjukkan upaya untuk menyerang perangkat tujuan. | Sangat Penting | Perilaku Komunikasi HTTP Abnormal | Taktik: - Akses Awal - Gerakan Lateral - Perintah dan Kontrol Teknik: - T0866: Eksploitasi Layanan Jarak Jauh - T0869: Protokol Lapisan Aplikasi Standar |
Dapat dipelajari |
| Jumlah Parameter Abnormal di Header HTTP * | Perangkat sumber mengirimkan pesan abnormal. Pemberitahuan ini mungkin menunjukkan upaya untuk menyerang perangkat tujuan. | Sangat Penting | Perilaku Komunikasi HTTP Abnormal | Taktik: - Akses Awal - Gerakan Lateral - Perintah dan Kontrol Teknik: - T0866: Eksploitasi Layanan Jarak Jauh - T0869: Protokol Lapisan Aplikasi Standar |
Dapat dipelajari |
| Perilaku Berkala Abnormal Dalam Saluran Komunikasi | Perubahan frekuensi komunikasi antara perangkat sumber dan perangkat tujuan terdeteksi. | Kurang Penting | Perilaku Komunikasi Abnormal | Taktik: -Penemuan Teknik: - T0842: Sniffing Jaringan |
Dapat dipelajari |
| Penghentian Aplikasi Abnormal * | Jumlah perintah penghentian yang berlebihan terdeteksi pada perangkat sumber. Pemberitahuan ini mungkin akibat dari masalah operasional atau upaya untuk memanipulasi perangkat. Ambang batas: 20 perintah berhenti dalam 3 jam |
Medium | Perilaku Komunikasi Abnormal | Taktik: -Ketekunan -Dampak Teknik: - T0889: Mengubah Program - T0831: Manipulasi Kontrol |
Dapat dipelajari |
| Bandwidth Lalu Lintas Abnormal * | Bandwidth abnormal terdeteksi pada saluran. Bandwidth terlihat lebih rendah/lebih tinggi dari yang terdeteksi sebelumnya. Untuk detailnya, bekerja dengan widget Total Bandwidth. | Kurang Penting | Anomali Bandwidth | Taktik: -Penemuan Teknik: - T0842: Sniffing Jaringan |
Dapat dipelajari |
| Bandwidth Lalu Lintas Abnormal Antar Perangkat * | Bandwidth abnormal terdeteksi pada saluran. Bandwidth terlihat lebih rendah/lebih tinggi dari yang terdeteksi sebelumnya. Untuk detailnya, bekerja dengan widget Total Bandwidth. | Kurang Penting | Anomali Bandwidth | Taktik: -Penemuan Teknik: - T0842: Sniffing Jaringan |
Tidak dapat dipelajari |
| Pemindaian Alamat Terdeteksi | Perangkat sumber terdeteksi memindai perangkat jaringan. Perangkat ini tidak diotorisasi sebagai perangkat pemindaian jaringan. Ambang batas: 50 koneksi ke subnet kelas B yang sama dalam 2 menit |
Sangat Penting | Pemindaian | Taktik: -Penemuan Teknik: - T0842: Sniffing Jaringan |
Dapat dipelajari |
| Pemindaian Alamat ARP Terdeteksi * | Perangkat sumber terdeteksi memindai perangkat jaringan menggunakan Protokol Resolusi Alamat (ARP). Alamat perangkat ini tidak diotorisasi sebagai alamat pemindaian ARP yang valid. Ambang batas: 40 pemindaian dalam 6 menit |
Sangat Penting | Pemindaian | Taktik: -Penemuan -Koleksi Teknik: - T0842: Sniffing Jaringan - T0830: Manusia di Tengah |
Dapat dipelajari |
| ARP Spoofing * | Jumlah paket abnormal yang terdeteksi dalam jaringan. Peringatan ini bisa mengindikasikan serangan, misalnya, serangan spoofing ARP atau banjir ICMP. Ambang batas: 60 paket dalam 1 menit |
Kurang Penting | Perilaku Komunikasi Abnormal | Taktik: -Koleksi Teknik: - T0830: Manusia di Tengah |
Tidak dapat dipelajari |
| Upaya Masuk Yang Berlebihan | Perangkat sumber terlihat melakukan upaya kredensial masuk yang berlebihan ke server tujuan. Pemberitahuan ini mungkin menunjukkan serangan brute force. Server mungkin disusupi oleh aktor jahat. Ambang batas: 20 upaya masuk dalam 1 menit |
Sangat Penting | Autentikasi | Taktik: - LateralMovement - Kontrol Proses Gangguan Teknik: - T0812: Kredensial Default - T0806: Brute Force I/O |
Tidak dapat dipelajari |
| Jumlah Sesi yang Berlebihan | Perangkat sumber terlihat melakukan upaya kredensial masuk yang berlebihan ke server tujuan. Ini mungkin menunjukkan serangan brute force. Server mungkin disusupi oleh aktor jahat. Ambang batas: 50 sesi dalam 1 menit |
Sangat Penting | Perilaku Komunikasi Abnormal | Taktik: - Gerakan Lateral - Kontrol Proses Gangguan Teknik: - T0812: Kredensial Default - T0806: Brute Force I/O |
Tidak dapat dipelajari |
| Tingkat Hidupkan Ulang Yang Berlebihan dari Outstation * | Sejumlah besar perintah hidupkan ulang terdeteksi pada perangkat sumber. Pemberitahuan ini mungkin akibat dari masalah operasional atau upaya untuk memanipulasi perangkat. Ambang batas: 10 mulai ulang dalam 1 jam |
Medium | Mulai Ulang/Hentikan Perintah | Taktik: - Menghambat Fungsi Respons - Kontrol Proses Gangguan Teknik: - T0814: Penolakan Layanan - T0806: Brute Force I/O |
Tidak dapat dipelajari |
| Upaya masuk SMB yang berlebihan | Perangkat sumber terlihat melakukan upaya kredensial masuk yang berlebihan ke server tujuan. Ini mungkin menunjukkan serangan brute force. Server mungkin disusupi oleh aktor jahat. Ambang batas: 10 upaya masuk dalam 10 menit |
Sangat Penting | Autentikasi | Taktik: -Ketekunan -Eksekusi - LateralMovement Teknik: - T0812: Kredensial Default - T0853: Pembuatan Skrip - T0859: Akun yang Valid |
Tidak dapat dipelajari |
| ICMP Flooding * | Jumlah paket abnormal yang terdeteksi dalam jaringan. Peringatan ini bisa mengindikasikan serangan, misalnya, serangan spoofing ARP atau banjir ICMP. Ambang batas: 60 paket dalam 1 menit |
Kurang Penting | Perilaku Komunikasi Abnormal | Taktik: -Penemuan -Koleksi Teknik: - T0842: Sniffing Jaringan - T0830: Manusia di Tengah |
Tidak dapat dipelajari |
| Isi Header HTTP Ilegal * | Perangkat sumber menginisiasi permintaan yang tidak valid. | Sangat Penting | Perilaku Komunikasi HTTP Abnormal | Taktik: - Akses Awal - LateralMovement Teknik: - T0866: Eksploitasi Layanan Jarak Jauh |
Tidak dapat dipelajari |
| Saluran Komunikasi Tidak Aktif * | Saluran komunikasi antara dua perangkat tidak aktif selama periode di mana aktivitas biasanya teramati. Hal ini mungkin mengindikasikan bahwa program yang menghasilkan lalu lintas ini telah diubah, atau program mungkin tidak tersedia. Disarankan untuk meninjau konfigurasi program yang diinstal dan memverifikasi bahwa program tersebut dikonfigurasi dengan benar. Ambang batas: 1 menit |
Kurang Penting | Merespons | Taktik: - Menghambat Fungsi Respons Teknik: - T0881: Layanan Berhenti |
Tidak dapat dilepaskan |
| Pemindaian Alamat Durasi Panjang Terdeteksi * | Perangkat sumber terdeteksi memindai perangkat jaringan. Perangkat ini tidak diotorisasi sebagai perangkat pemindaian jaringan. Ambang batas: 50 koneksi ke subnet kelas B yang sama dalam 10 menit |
Sangat Penting | Pemindaian | Taktik: -Penemuan Teknik: - T0842: Sniffing Jaringan |
Dapat dipelajari |
| Upaya Tebakan Kata Sandi Terdeteksi | Perangkat sumber terlihat melakukan upaya kredensial masuk yang berlebihan ke server tujuan. Ini mungkin menunjukkan serangan brute force. Server mungkin disusupi oleh aktor jahat. Ambang batas: 100 upaya dalam 1 menit |
Sangat Penting | Autentikasi | Taktik: - Gerakan Lateral Teknik: - T0812: Kredensial Default - T0806: Brute Force I/O |
Tidak dapat dipelajari |
| Pemindaian PLC Terdeteksi | Perangkat sumber terdeteksi memindai perangkat jaringan. Perangkat ini tidak diotorisasi sebagai perangkat pemindaian jaringan. Ambang batas: 10 pemindaian dalam 2 menit |
Sangat Penting | Pemindaian | Taktik: -Penemuan Teknik: - T0842: Sniffing Jaringan |
Dapat dipelajari |
| Pemindaian Port Terdeteksi | Perangkat sumber terdeteksi memindai perangkat jaringan. Perangkat ini tidak diotorisasi sebagai perangkat pemindaian jaringan. Ambang batas: 25 pemindaian dalam 2 menit |
Sangat Penting | Pemindaian | Taktik: -Penemuan Teknik: - T0842: Sniffing Jaringan |
Dapat dipelajari |
| Panjang pesan yang tidak terduga | Perangkat sumber mengirimkan pesan abnormal. Pemberitahuan ini mungkin menunjukkan upaya untuk menyerang perangkat tujuan. Ambang batas: panjang teks - 32768 |
Sangat Penting | Perilaku Komunikasi Abnormal | Taktik: - InitialAccess - LateralMovement Teknik: - T0869: Eksploitasi Layanan Jarak Jauh |
Tidak dapat dipelajari |
| Lalu Lintas Tak Terduga untuk Port Standar * | Lalu lintas terdeteksi pada perangkat menggunakan port yang disediakan untuk protokol lain. | Medium | Perilaku Komunikasi Abnormal | Taktik: - Perintah dan Kontrol -Penemuan Teknik: - T0869: Protokol Lapisan Aplikasi Standar - T0842: Sniffing Jaringan |
Tidak dapat dipelajari |
Pemberitahuan mesin pelanggaran protokol
Pemberitahuan mesin protokol menjelaskan penyimpangan terdeteksi dalam struktur paket, atau nilai bidang dibandingkan dengan spesifikasi protokol.
| Judul | Deskripsi | Tingkat keparahan | Kategori | MITRE ATT&CK Taktik dan teknik |
Dapat dipelajari |
|---|---|---|---|---|---|
| Paket Cacat Berlebihan Dalam Satu Sesi * | Jumlah abnormal paket cacat yang dikirim dari perangkat sumber ke perangkat tujuan. Peringatan ini mungkin mengindikasikan komunikasi yang salah, atau upaya untuk memanipulasi perangkat yang ditargetkan. Ambang batas: 2 paket cacat dalam 10 menit |
Medium | Perintah Ilegal | Taktik: - Kontrol Proses Gangguan Teknik: - T0806: Brute Force I/O |
Tidak dapat dipelajari |
| Pembaruan Firmware | Perangkat sumber mengirimkan perintah untuk memperbarui firmware di perangkat tujuan. Verifikasi bahwa pemrograman, konfigurasi, dan peningkatan firmware terbaru yang dilakukan ke perangkat tujuan adalah valid. | Kurang Penting | Perubahan Firmware | Taktik: - Menghambat Fungsi Respons -Ketekunan Teknik: - T0857: Firmware Sistem |
Dapat dipelajari |
| Kode Fungsi Tidak Didukung oleh Outstation | Perangkat tujuan menerima permintaan yang tidak valid. | Medium | Perintah Ilegal | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah |
Tidak dapat dipelajari |
| Pesan BACNet ilegal | Perangkat sumber menginisiasi permintaan yang tidak valid. | Medium | Perintah Ilegal | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah - T0836: Ubah Parameter |
Tidak dapat dipelajari |
| Upaya Koneksi Ilegal pada Port 0 | Perangkat sumber yang berupaya tersambung ke perangkat tujuan pada nomor port nol (0). Untuk TCP, port 0 dicadangkan dan tidak dapat digunakan. Untuk UDP, port bersifat opsional dan nilai 0 berarti tidak ada port. Biasanya tidak ada layanan pada sistem yang mendengarkan pada port 0. Kejadian ini mungkin menunjukkan upaya untuk menyerang perangkat tujuan, atau menunjukkan bahwa aplikasi salah diprogram. | Kurang Penting | Perintah Ilegal | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah - T0836: Ubah Parameter |
Tidak dapat dipelajari |
| Operasi DNP3 Ilegal | Perangkat sumber menginisiasi permintaan yang tidak valid. | Medium | Perintah Ilegal | Taktik: - Akses Awal - Gerakan Lateral Teknik: - T0866: Eksploitasi Layanan Jarak Jauh |
Tidak dapat dipelajari |
| Operasi MODBUS Ilegal (Pengecualian Dibesarkan oleh Master) | Perangkat sumber menginisiasi permintaan yang tidak valid. | Medium | Perintah Ilegal | Taktik: - Akses Awal - Gerakan Lateral Teknik: - T0866: Eksploitasi Layanan Jarak Jauh |
Tidak dapat dipelajari |
| Operasi MODBUS Ilegal (Kode Fungsi Nol) * | Perangkat sumber menginisiasi permintaan yang tidak valid. | Medium | Perintah Ilegal | Taktik: - Akses Awal - Gerakan Lateral Teknik: - T0866: Eksploitasi Layanan Jarak Jauh |
Tidak dapat dipelajari |
| Versi Protokol Ilegal * | Perangkat sumber menginisiasi permintaan yang tidak valid. | Medium | Perintah Ilegal | Taktik: - Akses Awal - LateralMovement - Kontrol Proses Gangguan Teknik: - T0820: Layanan Jarak Jauh - T0836: Ubah Parameter |
Tidak dapat dipelajari |
| Parameter Salah Dikirim ke Outstation | Perangkat tujuan menerima permintaan yang tidak valid. | Medium | Perintah Ilegal | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah - T0836: Ubah Parameter |
Tidak dapat dipelajari |
| Inisiasi Kode Fungsi Usang (Inisialisasi Data) | Perangkat sumber menginisiasi permintaan yang tidak valid. | Kurang Penting | Perintah Ilegal | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah |
Tidak dapat dipelajari |
| Inisiasi Kode Fungsi Usang (Simpan Konfigurasi) | Perangkat sumber menginisiasi permintaan yang tidak valid. | Kurang Penting | Perintah Ilegal | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah |
Tidak dapat dipelajari |
| Master Meminta Konfirmasi Lapisan Aplikasi | Perangkat sumber menginisiasi permintaan yang tidak valid. | Kurang Penting | Perintah Ilegal | Taktik: - Perintah dan Kontrol Teknik: - T0869: Protokol Lapisan Aplikasi Standar |
Tidak dapat dipelajari |
| Pengecualian Modbus | Perangkat sumber (sekunder) menampilkan pengecualian ke perangkat tujuan (utama). | Medium | Perintah Ilegal | Taktik: - Menghambat Fungsi Respons Teknik: - T0814: Penolakan Layanan |
Tidak dapat dipelajari |
| Perangkat Budak Menerima Jenis ASDU Ilegal | Perangkat tujuan menerima permintaan yang tidak valid. | Medium | Perintah Ilegal | Taktik: - Kontrol Proses Gangguan Teknik: - T0836: Ubah Parameter |
Tidak dapat dipelajari |
| Perangkat Budak Menerima Perintah Ilegal Penyebab Transmisi | Perangkat tujuan menerima permintaan yang tidak valid. | Medium | Perintah Ilegal | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah - T0836: Ubah Parameter |
Tidak dapat dipelajari |
| Perangkat Budak Menerima Alamat Umum Ilegal | Perangkat tujuan menerima permintaan yang tidak valid. | Medium | Perintah Ilegal | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah - T0836: Ubah Parameter |
Tidak dapat dipelajari |
| Perangkat Budak Menerima Parameter Alamat Data Ilegal * | Perangkat tujuan menerima permintaan yang tidak valid. | Medium | Perintah Ilegal | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah - T0836: Ubah Parameter |
Tidak dapat dipelajari |
| Perangkat Budak Menerima Parameter Nilai Data Ilegal * | Perangkat tujuan menerima permintaan yang tidak valid. | Medium | Perintah Ilegal | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah - T0836: Ubah Parameter |
Tidak dapat dipelajari |
| Perangkat Budak Menerima Kode Fungsi Ilegal * | Perangkat tujuan menerima permintaan yang tidak valid. | Medium | Perintah Ilegal | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah - T0836: Ubah Parameter |
Tidak dapat dipelajari |
| Perangkat Budak Menerima Alamat Objek Informasi Ilegal | Perangkat tujuan menerima permintaan yang tidak valid. | Medium | Perintah Ilegal | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah - T0836: Ubah Parameter |
Tidak dapat dipelajari |
| Objek Tidak Diketahui Dikirim ke Outstation | Perangkat tujuan menerima permintaan yang tidak valid. | Medium | Perintah Ilegal | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah |
Tidak dapat dipelajari |
| Penggunaan Kode Fungsi Yang Dicadangkan | Perangkat sumber menginisiasi permintaan yang tidak valid. | Medium | Perintah Ilegal | Taktik: - Kontrol Proses Gangguan Teknik: - T0836: Ubah Parameter |
Tidak dapat dipelajari |
| Penggunaan Pemformatan yang Tidak Tepat berdasarkan Outstation * | Perangkat sumber menginisiasi permintaan yang tidak valid. | Kurang Penting | Perintah Ilegal | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah |
Tidak dapat dipelajari |
| Penggunaan Bendera Status Cadangan (IIN) | Perangkat sumber (outstation) DNP3 menggunakan Indikator Internal 2.6 cadangan. Disarankan untuk memeriksa konfigurasi perangkat. | Kurang Penting | Perintah Ilegal | Taktik: - Kontrol Proses Gangguan Teknik: - T0836: Ubah Parameter |
Tidak dapat dipelajari |
Pemberitahuan mesin malware
Pemberitahuan mesin malware menjelaskan aktivitas jaringan berbahaya yang terdeteksi.
| Judul | Deskripsi | Tingkat keparahan | Kategori | MITRE ATT&CK Taktik dan teknik |
Dapat dipelajari |
|---|---|---|---|---|---|
| Upaya Koneksi ke IP Berbahaya yang Diketahui | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang mengeksploitasi metode yang digunakan oleh malware yang diketahui. Dipicu oleh sensor jaringan OT dan Enterprise IoT. |
Sangat Penting | Kecurigaan Aktivitas Berbahaya | Taktik: - Akses Awal - Perintah dan Kontrol Teknik: - T0883: Perangkat yang Dapat Diakses Internet - T0884: Proksi Koneksi |
Tidak dapat dipelajari |
| Pesan SMB Tidak Valid (Implan Backdoor DoublePulsar) | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang mengeksploitasi metode yang digunakan oleh malware yang diketahui. | Sangat Penting | Kecurigaan Akan Malware | Taktik: - Akses Awal - LateralMovement Teknik: - T0866: Eksploitasi Layanan Jarak Jauh |
Tidak dapat dipelajari |
| Permintaan Nama Domain Berbahaya | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang mengeksploitasi metode yang digunakan oleh malware yang diketahui. Dipicu oleh sensor jaringan OT dan Enterprise IoT. |
Sangat Penting | Kecurigaan Aktivitas Berbahaya | Taktik: - Akses Awal - Perintah dan Kontrol Teknik: - T0883: Perangkat yang Dapat Diakses Internet - T0884: Proksi Koneksi |
Dapat dipelajari |
| Jalur URL Berbahaya | Permintaan dibuat ke jalur URL berbahaya yang diketahui. Permintaan yang dibuat untuk jalur URL ini dapat menunjukkan bahwa sumber yang membuat permintaan disusupi. | Sangat Penting | Kecurigaan Aktivitas Berbahaya | Taktik: - Akses Awal - Perintah dan Kontrol Teknik: - T0883: Perangkat yang Dapat Diakses Internet - T0884: Proksi Koneksi |
Tidak dapat dipelajari |
| File Uji Malware Terdeteksi - Keberhasilan EICAR AV | File uji AV EICAR terdeteksi dalam lalu lintas antara dua perangkat (melalui transportasi apa pun - TCP atau UDP). File tersebut bukan malware. Ini digunakan untuk mengonfirmasi bahwa perangkat lunak antivirus diinstal dengan benar. Demonstrasikan apa yang terjadi ketika virus ditemukan, dan memeriksa prosedur dan reaksi internal saat virus ditemukan. Perangkat lunak antivirus harus mendeteksi EICAR seolah-olah itu adalah virus nyata. | Sangat Penting | Kecurigaan Aktivitas Berbahaya | Taktik: -Penemuan Teknik: - T0842: Sniffing Jaringan |
Tidak dapat dipelajari |
| Kecurigaan Malware Conficker | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang mengeksploitasi metode yang digunakan oleh malware yang diketahui. | Medium | Kecurigaan Akan Malware | Taktik: - Akses Awal -Dampak Teknik: - T0826: Kehilangan Ketersediaan - T0828: Hilangnya Produktivitas dan Pendapatan - T0847: Replikasi Melalui Media yang Dapat Dilepas |
Tidak dapat dipelajari |
| Kecurigaan Penolakan Serangan Layanan | Perangkat sumber mencoba memulai sejumlah besar koneksi baru ke perangkat tujuan. Ini mungkin menunjukkan serangan Denial Of Service (DOS) terhadap perangkat tujuan, dan mungkin mengganggu fungsionalitas perangkat, memengaruhi performa dan ketersediaan layanan, atau menyebabkan kesalahan yang tidak dapat dipulihkan. Ambang batas: 3000 upaya dalam 1 menit |
Sangat Penting | Kecurigaan Aktivitas Berbahaya | Taktik: - Menghambat Fungsi Respons Teknik: - T0814: Penolakan Layanan |
Dapat dipelajari |
| Kecurigaan Aktivitas Berbahaya | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang memicu 'Indikator Kompromi' (IOC) yang diketahui. Metadata peringatan harus ditinjau oleh tim keamanan. | Sangat Penting | Kecurigaan Aktivitas Berbahaya | Taktik: - Gerakan Lateral Teknik: - T0867: Transfer Alat Lateral |
Tidak dapat dipelajari |
| Kecurigaan Aktivitas Berbahaya (BlackEnergy) | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang mengeksploitasi metode yang digunakan oleh malware yang diketahui. | Sangat Penting | Kecurigaan Akan Malware | Taktik: - Perintah dan Kontrol Teknik: - T0869: Protokol Lapisan Aplikasi Standar |
Tidak dapat dipelajari |
| Kecurigaan Aktivitas Berbahaya (DarkComet) | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang mengeksploitasi metode yang digunakan oleh malware yang diketahui. | Sangat Penting | Kecurigaan Akan Malware | Taktik: -Dampak Teknik: - T0882: Pencurian Informasi Operasional |
Tidak dapat dipelajari |
| Kecurigaan Aktivitas Berbahaya (Duqu) | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang mengeksploitasi metode yang digunakan oleh malware yang diketahui. | Sangat Penting | Kecurigaan Akan Malware | Taktik: -Dampak Teknik: - T0882: Pencurian Informasi Operasional |
Tidak dapat dipelajari |
| Kecurigaan Aktivitas Berbahaya (Api) | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang mengeksploitasi metode yang digunakan oleh malware yang diketahui. | Sangat Penting | Kecurigaan Akan Malware | Taktik: -Koleksi -Dampak Teknik: - T0882: Pencurian Informasi Operasional - T0811: Data dari Repositori Informasi |
Tidak dapat dipelajari |
| Kecurigaan Aktivitas Berbahaya (Havex) | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang mengeksploitasi metode yang digunakan oleh malware yang diketahui. | Sangat Penting | Kecurigaan Akan Malware | Taktik: -Koleksi -Penemuan - Menghambat Fungsi Respons Teknik: - T0861: Titik & Identifikasi Tag - T0846: Penemuan Sistem Jarak Jauh - T0814: Penolakan Layanan |
Tidak dapat dipelajari |
| Kecurigaan Aktivitas Berbahaya (Karagany) | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang mengeksploitasi metode yang digunakan oleh malware yang diketahui. | Sangat Penting | Kecurigaan Akan Malware | Taktik: -Dampak Teknik: - T0882: Pencurian Informasi Operasional |
Tidak dapat dipelajari |
| Kecurigaan Aktivitas Berbahaya (LightsOut) | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang mengeksploitasi metode yang digunakan oleh malware yang diketahui. | Sangat Penting | Kecurigaan Akan Malware | Taktik: -Penghindaran Teknik: - T0849: Menyamar |
Tidak dapat dipelajari |
| Kecurigaan Aktivitas Berbahaya (Kueri Nama) | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang mengeksploitasi metode yang digunakan oleh malware yang diketahui. Ambang batas: 25 kueri nama dalam 1 menit |
Sangat Penting | Kecurigaan Aktivitas Berbahaya | Taktik: - Perintah dan Kontrol Teknik: - T0884: Proksi Koneksi |
Tidak dapat dipelajari |
| Kecurigaan Aktivitas Berbahaya (Poison Ivy) | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang mengeksploitasi metode yang digunakan oleh malware yang diketahui. | Sangat Penting | Kecurigaan Akan Malware | Taktik: - Akses Awal - Gerakan Lateral Teknik: - T0866: Eksploitasi Layanan Jarak Jauh |
Tidak dapat dipelajari |
| Kecurigaan Aktivitas Berbahaya (Regin) | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang mengeksploitasi metode yang digunakan oleh malware yang diketahui. | Sangat Penting | Kecurigaan Akan Malware | Taktik: - Akses Awal - Gerakan Lateral -Dampak Teknik: - T0866: Eksploitasi Layanan Jarak Jauh - T0882: Pencurian Informasi Operasional |
Tidak dapat dipelajari |
| Kecurigaan Aktivitas Berbahaya (Stuxnet) | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang mengeksploitasi metode yang digunakan oleh malware yang diketahui. | Sangat Penting | Kecurigaan Akan Malware | Taktik: - Akses Awal - Gerakan Lateral -Dampak Teknik: - T0818: Kompromi Stasiun Kerja Teknik - T0866: Eksploitasi Layanan Jarak Jauh - T0831: Manipulasi Kontrol |
Tidak dapat dipelajari |
| Kecurigaan Aktivitas Berbahaya (WannaCry) * | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang mengeksploitasi metode yang digunakan oleh malware yang diketahui. | Medium | Kecurigaan Akan Malware | Taktik: - Akses Awal - Gerakan Lateral Teknik: - T0866: Eksploitasi Layanan Jarak Jauh - T0867: Transfer Alat Lateral |
Tidak dapat dipelajari |
| Kecurigaan Malware NotPetya - Parameter SMB Ilegal Terdeteksi | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang mengeksploitasi metode yang digunakan oleh malware yang diketahui. | Sangat Penting | Kecurigaan Akan Malware | Taktik: - Akses Awal - Gerakan Lateral Teknik: - T0866: Eksploitasi Layanan Jarak Jauh |
Tidak dapat dipelajari |
| Kecurigaan Malware NotPetya - Transaksi SMB Ilegal Terdeteksi | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang mengeksploitasi metode yang digunakan oleh malware yang diketahui. | Sangat Penting | Kecurigaan Akan Malware | Taktik: - Gerakan Lateral Teknik: - T0867: Transfer Alat Lateral |
Tidak dapat dipelajari |
| Kecurigaan Eksekusi Kode Jarak Jauh dengan PsExec | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang mengeksploitasi metode yang digunakan oleh malware yang diketahui. | Sangat Penting | Kecurigaan Aktivitas Berbahaya | Taktik: - Gerakan Lateral - Akses Awal Teknik: - T0866: Eksploitasi Layanan Jarak Jauh |
Tidak dapat dipelajari |
| Kecurigaan Manajemen Layanan Windows Jarak Jauh * | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang mengeksploitasi metode yang digunakan oleh malware yang diketahui. | Sangat Penting | Kecurigaan Aktivitas Berbahaya | Taktik: - Akses Awal Teknik: - T0822: NetworkExternal Remote Services |
Tidak dapat dipelajari |
| File Yang Dapat Dieksekusi Mencurigakan Terdeteksi di Titik Akhir | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang mengeksploitasi metode yang digunakan oleh malware yang diketahui. | Sangat Penting | Kecurigaan Aktivitas Berbahaya | Taktik: -Penghindaran - Menghambat Fungsi Respons Teknik: - T0851: Rootkit |
Dapat dipelajari |
| Lalu Lintas Mencurigakan Terdeteksi * | Aktivitas jaringan mencurigakan terdeteksi. Aktivitas ini mungkin dikaitkan dengan serangan yang memicu 'Indikator Kompromi' (IOC) yang diketahui. Metadata peringatan harus ditinjau oleh tim keamanan | Sangat Penting | Kecurigaan Aktivitas Berbahaya | Taktik: -Penemuan Teknik: - T0842: Sniffing Jaringan |
Tidak dapat dipelajari |
| Aktivitas Pencadangan dengan Tanda Tangan Antivirus | Lalu lintas yang terdeteksi antara perangkat sumber dan server cadangan tujuan memicu peringatan ini. Lalu lintas termasuk pencadangan perangkat lunak antivirus yang mungkin berisi tanda tangan malware. Ini kemungkinan besar adalah aktivitas pencadangan yang sah. | Kurang Penting | Cadangan | Taktik: -Dampak Teknik: - T0882: Pencurian Informasi Operasional |
Tidak dapat dipelajari |
Pemberitahuan mesin operasi
Pemberitahuan mesin operasi menggambarkan insiden operasi yang terdeteksi, atau entitas yang tidak berfungsi.
| Judul | Deskripsi | Tingkat keparahan | Kategori | MITRE ATT&CK Taktik dan teknik |
Dapat dipelajari |
|---|---|---|---|---|---|
| Perintah S7 Stop PLC dikirim | Perangkat sumber mengirim perintah berhenti ke pengontrol tujuan. Pengontrol berhenti beroperasi hingga perintah mulai dikirim. | Kurang Penting | Mulai Ulang/Hentikan Perintah | Taktik: - Gerakan Lateral - Pengintaian Pertahanan -Eksekusi - Menghambat Fungsi Respons Teknik: - T0843: Unduhan Program - T0858: Ubah Mode Operasi - T0814: Penolakan Layanan |
Tidak dapat dipelajari |
| Operasi BACNet Gagal | Server mengembalikan kode galat. Peringatan ini menunjukkan kesalahan server atau permintaan yang tidak valid oleh klien. | Medium | Kegagalan Perintah | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah |
Tidak dapat dipelajari |
| Status Perangkat MMS Buruk | MMS Virtual Manufacturing Device (VMD) mengirim pesan status. Pesan menunjukkan bahwa server mungkin tidak dikonfigurasi dengan benar, sebagian beroperasi, atau tidak beroperasi sama sekali. | Medium | Masalah Operasional | Taktik: - Menghambat Fungsi Respons Teknik: - T0814: Penolakan Layanan |
Tidak dapat dipelajari |
| Perubahan Konfigurasi Perangkat * | Perubahan konfigurasi terdeteksi pada perangkat sumber. | Kurang Penting | Perubahan Konfigurasi | Taktik: - Kontrol Proses Gangguan Teknik: - T0836: Ubah Parameter |
Tidak dapat dipelajari |
| Luapan Buffer Peristiwa Berkelanjutan di Outstation * | Kejadian luapan buffer terdeteksi pada perangkat sumber. Kejadian ini dapat menyebabkan kerusakan data, crash program, atau eksekusi kode berbahaya. Ambang batas: 3 kemunculan dalam 10 menit |
Medium | Luapan Buffer | Taktik: - Menghambat Fungsi Respons - Kontrol Proses Gangguan -Ketekunan Teknik: - T0814: Penolakan Layanan - T0806: Brute Force I/O - T0839: Modul Firmware |
Tidak dapat dipelajari |
| Reset Pengontrol | Perangkat sumber mengirim perintah atur ulang ke pengontrol tujuan. Pengontrol berhenti beroperasi sementara dan mulai kembali secara otomatis. | Kurang Penting | Mulai Ulang/Hentikan Perintah | Taktik: - Pengintaian Pertahanan -Eksekusi - Menghambat Fungsi Respons Teknik: - T0858: Ubah Mode Operasi - T0814: Penolakan Layanan |
Tidak dapat dipelajari |
| Pengontrol Berhenti | Perangkat sumber mengirim perintah berhenti ke pengontrol tujuan. Pengontrol berhenti beroperasi hingga perintah mulai dikirim. | Kurang Penting | Mulai Ulang/Hentikan Perintah | Taktik: - Gerakan Lateral - Pengintaian Pertahanan -Eksekusi - Menghambat Fungsi Respons Teknik: - T0843: Unduhan Program - T0858: Ubah Mode Operasi - T0814: Penolakan Layanan |
Tidak dapat dipelajari |
| Perangkat Gagal Menerima Alamat IP Dinamis | Perangkat sumber dikonfigurasi untuk menerima alamat IP dinamis dari server DHCP tetapi tidak menerima alamat. Ini menunjukkan kesalahan konfigurasi pada perangkat, atau kesalahan operasi di server DHCP. Disarankan untuk memberi tahu administrator jaringan tentang insiden tersebut | Medium | Kegagalan Perintah | Taktik: -Penemuan Teknik: - T0842: Sniffing Jaringan |
Tidak dapat dipelajari |
| Perangkat Diduga Terputus (Tidak Responsif) | Perangkat sumber tidak merespons perintah yang dikirimkan ke perangkat sumber. Ini mungkin telah terputus ketika perintah dikirim. Ambang batas: 8 upaya dalam 5 menit |
Medium | Merespons | Taktik: - Menghambat Fungsi Respons Teknik: - T0881: Layanan Berhenti |
Tidak dapat dipelajari |
| Permintaan Layanan EtherNet/IP CIP Gagal | Server mengembalikan kode galat. Ini menunjukkan kesalahan server atau permintaan yang tidak valid oleh klien. | Medium | Kegagalan Perintah | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah |
Tidak dapat dipelajari |
| Perintah Protokol Enkapsulasi EtherNet/IP Gagal | Server mengembalikan kode galat. Ini menunjukkan kesalahan server atau permintaan yang tidak valid oleh klien. | Medium | Kegagalan Perintah | Taktik: -Koleksi Teknik: - T0801: Status Proses Monitor |
Tidak dapat dipelajari |
| Buffer Peristiwa Meluap di Outstation | Kejadian luapan buffer terdeteksi pada perangkat sumber. Kejadian ini dapat menyebabkan kerusakan data, crash program, atau eksekusi kode berbahaya. | Medium | Luapan Buffer | Taktik: - Menghambat Fungsi Respons - Kontrol Proses Gangguan -Ketekunan Teknik: - T0814: Penolakan Layanan - T0839: Modul Firmware |
Tidak dapat dipelajari |
| Operasi Pencadangan yang Diharapkan Tidak Terjadi | Aktivitas pencadangan/transfer file yang diharapkan tidak terjadi di antara dua perangkat. Pemberitahuan ini mungkin menunjukkan kesalahan dalam proses transfer cadangan/file. Ambang batas: 100 detik |
Medium | Cadangan | Taktik: - Menghambat Fungsi Respons Teknik: - T0809: Penghancuran Data |
Dapat dipelajari |
| Kegagalan Perintah GE SRTP | Server mengembalikan kode galat. Peringatan ini menunjukkan kesalahan server atau permintaan yang tidak valid oleh klien. | Medium | Kegagalan Perintah | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah |
Tidak dapat dipelajari |
| Perintah GE SRTP Stop PLC dikirim | Perangkat sumber mengirim perintah berhenti ke pengontrol tujuan. Pengontrol berhenti beroperasi hingga perintah mulai dikirim. | Kurang Penting | Mulai Ulang/Hentikan Perintah | Taktik: - Gerakan Lateral - Pengintaian Pertahanan -Eksekusi - Menghambat Fungsi Respons Teknik: - T0843: Unduhan Program - T0858: Ubah Mode Operasi - T0814: Penolakan Layanan |
Tidak dapat dipelajari |
| Blok Kontrol GOOSE Memerlukan Konfigurasi Lebih Lanjut | Perangkat sumber mengirim pesan GOOSE yang menunjukkan bahwa perangkat perlu komisioning. Ini berarti bahwa blok kontrol GOOSE memerlukan konfigurasi lebih lanjut dan pesan GOOSE sebagian atau sepenuhnya tidak beroperasi. | Medium | Perubahan Konfigurasi | Taktik: - Kontrol Proses Gangguan - Menghambat Fungsi Respons Teknik: - T0803: Blokir Pesan Perintah - T0821: Mengubah Tugas Pengontrol |
Tidak dapat dipelajari |
| Konfigurasi Himpunan Data GOOSE Diubah * | Himpunan data pesan (diidentifikasi oleh ID protokol) diubah pada perangkat sumber. Ini berarti perangkat melaporkan himpunan data yang berbeda untuk pesan ini. | Kurang Penting | Perubahan Konfigurasi | Taktik: - Kontrol Proses Gangguan Teknik: - T0836: Ubah Parameter |
Tidak dapat dipelajari |
| Status Tak Terduga Pengontrol Honeywell | Pengontrol Honeywell mengirim pesan diagnostik tak terduga yang menunjukkan perubahan status. | Kurang Penting | Masalah Operasional | Taktik: -Penghindaran -Eksekusi Teknik: - T0858: Ubah Mode Operasi |
Tidak dapat dipelajari |
| Kesalahan Klien HTTP * | Perangkat sumber menginisiasi permintaan yang tidak valid. | Kurang Penting | Perilaku Komunikasi HTTP Abnormal | Taktik: - Perintah dan Kontrol Teknik: - T0869: Protokol Lapisan Aplikasi Standar |
Tidak dapat dipelajari |
| Alamat IP Ilegal | Sistem mendeteksi lalu lintas antara perangkat sumber dan alamat IP yang merupakan alamat tidak valid. Ini mungkin menunjukkan konfigurasi yang salah atau upaya untuk menghasilkan lalu lintas ilegal. | Kurang Penting | Perilaku Komunikasi Abnormal | Taktik: -Penemuan - Kontrol Proses Gangguan Teknik: - T0842: Sniffing Jaringan - T0836: Ubah Parameter |
Tidak dapat dipelajari |
| Kesalahan Autentikasi Master-Slave | Proses autentikasi antara perangkat sumber DNP3 (utama) dan perangkat tujuan (outstation) gagal. | Kurang Penting | Autentikasi | Taktik: - Gerakan Lateral -Ketekunan Teknik: - T0859: Akun yang Valid |
Tidak dapat dipelajari |
| Permintaan Layanan MMS Gagal | Server mengembalikan kode galat. Ini menunjukkan kesalahan server atau permintaan yang tidak valid oleh klien. | Medium | Kegagalan Perintah | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah |
Tidak dapat dipelajari |
| Tidak Ada Lalu Lintas yang Terdeteksi pada Antarmuka Sensor | Sensor berhenti mendeteksi lalu lintas jaringan pada antarmuka jaringan. | Sangat Penting | Lalu Lintas Sensor | Taktik: - Menghambat Fungsi Respons Teknik: - T0881: Layanan Berhenti |
Tidak dapat dipelajari |
| OPC UA Server Memunculkan Peristiwa yang Membutuhkan Perhatian Pengguna | Server OPC UA mengirim notifikasi kejadian ke klien. Jenis kejadian ini memerlukan perhatian pengguna | Medium | Masalah Operasional | Taktik: - Menghambat Fungsi Respons Teknik: - T0838: Ubah Pengaturan Alarm |
Tidak dapat dipelajari |
| Permintaan Layanan OPC UA Gagal | Server mengembalikan kode galat. Ini menunjukkan kesalahan server atau permintaan yang tidak valid oleh klien. | Medium | Kegagalan Perintah | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah |
Tidak dapat dipelajari |
| Outstation Dimulai Ulang | Hidupkan ulang dingin terdeteksi pada perangkat sumber. Ini berarti perangkat dinonaktifkan secara fisik dan dihidupkan kembali. | Kurang Penting | Mulai Ulang/Hentikan Perintah | Taktik: - Menghambat Fungsi Respons Teknik: - T0816: Mulai Ulang/Matikan Perangkat |
Tidak dapat dipelajari |
| Outstation Sering Dimulai Ulang | Sejumlah besar hidupkan ulang dingin terdeteksi pada perangkat sumber. Ini berarti perangkat dinonaktifkan secara fisik dan kembali aktif lagi dalam jumlah yang berlebihan. Ambang batas: 2 mulai ulang dalam 10 menit |
Kurang Penting | Mulai Ulang/Hentikan Perintah | Taktik: - Menghambat Fungsi Respons Teknik: - T0814: Penolakan Layanan - T0816: Mulai Ulang/Matikan Perangkat |
Tidak dapat dipelajari |
| Konfigurasi Outstation Berubah | Perubahan konfigurasi terdeteksi pada perangkat sumber. | Medium | Perubahan Konfigurasi | Taktik: - Menghambat Fungsi Respons -Ketekunan Teknik: - T0857: Firmware Sistem |
Tidak dapat dipelajari |
| Konfigurasi Outstation yang Rusak Terdeteksi | Perangkat sumber DNP3 ini (outstation) melaporkan konfigurasi yang rusak. | Medium | Perubahan Konfigurasi | Taktik: - Menghambat Fungsi Respons Teknik: - T0809: Penghancuran Data |
Tidak dapat dipelajari |
| Perintah DCP Profinet Gagal | Server mengembalikan kode galat. Ini menunjukkan kesalahan server atau permintaan yang tidak valid oleh klien. | Medium | Kegagalan Perintah | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah |
Tidak dapat dipelajari |
| Pengaturan Ulang Pabrik Perangkat Profinet | Perangkat sumber mengirim perintah atur ulang produksi ke perangkat tujuan Profinet. Perintah atur ulang membersihkan konfigurasi perangkat Profinet dan menghentikan operasinya. | Kurang Penting | Mulai Ulang/Hentikan Perintah | Taktik: - Pengintaian Pertahanan -Eksekusi - Menghambat Fungsi Respons Teknik: - T0858: Ubah Mode Operasi - T0814: Penolakan Layanan |
Tidak dapat dipelajari |
| Operasi RPC Gagal * | Server mengembalikan kode galat. Peringatan ini menunjukkan kesalahan server atau permintaan yang tidak valid oleh klien. | Medium | Kegagalan Perintah | Taktik: - Kontrol Proses Gangguan Teknik: - T0855: Pesan Perintah Tidak Sah |
Tidak dapat dipelajari |
| Konfigurasi Himpunan Data Pesan Nilai Sampel Diubah * | Himpunan data pesan (diidentifikasi oleh ID protokol) diubah pada perangkat sumber. Ini berarti perangkat melaporkan himpunan data yang berbeda untuk pesan ini. | Kurang Penting | Perubahan Konfigurasi | Taktik: - Kontrol Proses Gangguan Teknik: - T0836: Ubah Parameter |
Tidak dapat dipelajari |
| Kegagalan Perangkat Budak yang Tidak Dapat Dipulihkan * | Kesalahan kondisi tidak bisa dipulihkan terdeteksi pada perangkat sumber. Kesalahan semacam ini biasanya menunjukkan kegagalan atau kegagalan perangkat keras untuk melakukan perintah tertentu. | Medium | Kegagalan Perintah | Taktik: - Menghambat Fungsi Respons Teknik: - T0814: Penolakan Layanan |
Tidak dapat dipelajari |
| Kecurigaan Masalah Perangkat Keras di Outstation | Kesalahan kondisi tidak bisa dipulihkan terdeteksi pada perangkat sumber. Kesalahan semacam ini biasanya menunjukkan kegagalan atau kegagalan perangkat keras untuk melakukan perintah tertentu. | Medium | Masalah Operasional | Taktik: - Menghambat Fungsi Respons Teknik: - T0814: Penolakan Layanan - T0881: Layanan Berhenti |
Tidak dapat dipelajari |
| Kecurigaan Perangkat MODBUS Tidak Responsif | Perangkat sumber tidak merespons perintah yang dikirimkan ke perangkat sumber. Ini mungkin telah terputus ketika perintah dikirim. Ambang batas: Minimal 1 respons yang valid untuk minimal 3 permintaan dalam waktu 5 menit |
Kurang Penting | Merespons | Taktik: - Menghambat Fungsi Respons Teknik: - T0881: Layanan Berhenti |
Tidak dapat dipelajari |
| Lalu Lintas Terdeteksi pada Antarmuka Sensor | Sensor kembali mendeteksi lalu lintas jaringan pada antarmuka jaringan. | Kurang Penting | Lalu Lintas Sensor | Taktik: -Penemuan Teknik: - T0842: Sniffing Jaringan |
Tidak dapat dipelajari |
| Mode Operasi PLC Diubah | Mode operasi pada PLC ini berubah. Mode baru mungkin menunjukkan bahwa PLC tidak aman. Meninggalkan PLC dalam mode operasi yang tidak aman mungkin memungkinkan lawan untuk melakukan aktivitas berbahaya di dalamnya, seperti unduhan program. Jika PLC disusupi, perangkat dan proses yang berinteraksi dengannya mungkin terpengaruh. Ini dapat memengaruhi keamanan dan keamanan sistem secara keseluruhan. | Kurang Penting | Perubahan konfigurasi | Taktik: -Eksekusi -Penghindaran Teknik: - T0858: Ubah Mode Operasi |
Tidak dapat dipelajari |
Langkah berikutnya
Untuk informasi selengkapnya, lihat:
- Melihat dan mengelola peringatan di portal Defender untuk IoT
- Melihat peringatan pada sensor Anda
- Mempercepat alur kerja pemberitahuan
- Meneruskan informasi pemberitahuan
- Bekerja dengan pemberitahuan di konsol manajemen lokal
- Referensi API manajemen pemberitahuan untuk konsol manajemen lokal
- Referensi API manajemen pemberitahuan untuk sensor pemantauan OT
- Meneruskan informasi pemberitahuan