Informazioni di riferimento sugli avvisi di Microsoft Defender per IoT

2025-07-14

This article provides a reference of the alerts that are generated by Microsoft Defender for IoT network sensors, including a list of all alert types and descriptions. Il riferimento mostra anche quali avvisi possono essere valutati come appresi o meno, per altre informazioni sullo stato appreso, vedere Stato degli avvisi e opzioni di valutazione. È possibile usare questo riferimento per eseguire il mapping degli avvisi nei playbook, definire regole di inoltro su un sensore di rete OT (Operational Technology) o altre attività personalizzate.

Avvisi OT disattivati per impostazione predefinita

Diversi avvisi vengono disattivati per impostazione predefinita, come indicato dagli asterischi (*) nelle tabelle seguenti. OT sensor Admin users can enable or disable alerts from the Support page on a specific OT network sensor.

Se si disattivano gli avvisi a cui si fa riferimento in altre posizioni, ad esempio le regole di inoltro degli avvisi, assicurarsi di aggiornare tali riferimenti in base alle esigenze.

Alert severities

Gli avvisi di Defender per IoT usano i livelli di gravità seguenti:

Azure portal	OT sensor	Description
High	Critical	Indica un attacco dannoso che deve essere gestito immediatamente.
Medium	Major	Indica una minaccia di sicurezza importante da affrontare.
Low	Minor, Warning	Indica una deviazione dal comportamento della baseline che potrebbe contenere una minaccia per la sicurezza o non contiene minacce per la sicurezza.

I livelli di gravità degli avvisi in questa pagina elencano la gravità, come illustrato nella portale di Azure.

Tipi di avviso supportati

Alert type	Description
Avvisi di violazione dei criteri	Attivato quando il motore di violazione dei criteri rileva una deviazione dal traffico appreso in precedenza. For example: - Viene rilevato un nuovo dispositivo. - Viene rilevata una nuova configurazione in un dispositivo. - Un dispositivo non definito come dispositivo di programmazione esegue una modifica di programmazione. - Una versione del firmware modificata.
Avvisi relativi alle violazioni del protocollo	Attivato quando il motore di violazione del protocollo rileva strutture di pacchetti o valori di campo che non sono conformi alla specifica del protocollo.
Operational alerts	Attivato quando il motore operativo rileva gli eventi imprevisti operativi della rete o un malfunzionamento del dispositivo. Ad esempio, un dispositivo di rete è stato arrestato tramite un comando Stop PLC o un'interfaccia su un sensore ha arrestato il monitoraggio del traffico.
Malware alerts	Attivato quando il motore malware rileva attività di rete dannose. Ad esempio, il motore rileva un attacco noto, ad esempio Conficker.
Anomaly alerts	Attivato quando il motore anomalie rileva una deviazione. Ad esempio, un dispositivo esegue analisi di rete, ma non è definito come dispositivo di analisi.

I criteri di rilevamento degli avvisi di Defender per IoT guidano i diversi motori di avviso per attivare gli avvisi in base all'impatto aziendale e al contesto di rete e ridurre gli avvisi correlati all'IT a basso valore. Per altre informazioni, vedere Avvisi focalizzati in ambienti OT/IT.

Categorie di avviso supportate

Ogni avviso ha una delle categorie seguenti:

Comportamento delle comunicazioni anomale
Comportamento anomalo della comunicazione HTTP
Authentication
Backup
Bandwidth Anomalies
Buffer overflow
Command Failures
Configuration changes
Custom Alerts
Discovery
Firmware change
Illegal commands

Internet Access
Operation Failures
Operational issues
Programming
Remote access
Restart/Stop Commands
Scan
Sensor traffic
Sospetto di attività dannose
Sospetto di malware
Comportamento delle comunicazioni non autorizzate
Unresponsive

Avvisi del motore di criteri

Gli avvisi del motore di criteri descrivono le deviazioni rilevate dal comportamento di base appreso.

The policy engine alerts table contains the Aggregated item to indicate that multiple alerts of this type can be grouped together and listed only once in the Alerts page to reduce alert fatigue. For more information, see aggregated alerts.

Title	Description	Severity	Category	MITRE ATT&CK Tattiche e tecniche	Learnable	Aggregated violations
Software Beckhoff modificato	Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata.	Medium	Firmware Change	Tactics: - Inibire la funzione di risposta - Persistence Techniques: - T0857: Firmware di sistema	Learnable	No
Accesso al database non riuscito	È stato rilevato un tentativo di accesso non riuscito da un dispositivo di origine a un server di destinazione. Questo potrebbe essere il risultato di un errore umano, ma potrebbe anche indicare un tentativo dannoso di compromettere il server o i dati su di esso. Soglia: 2 errori di accesso in 5 minuti	Medium	Authentication	Tactics: - Spostamento laterale - Collection Techniques: - T0812: Credenziali predefinite - T0811: dati dai repository di informazioni	Not learnable	No
Versione firmware Di Emerson ROC modificata	Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata.	Medium	Firmware Change	Tactics: - Inibire la funzione di risposta - Persistence Techniques: - T0857: Firmware di sistema	Learnable	Yes
Indirizzo esterno all'interno della rete comunicata con Internet	Un dispositivo Internet comunicato con un altro dispositivo Internet all'interno della rete.	High	Internet Access	Tactics: - Accesso iniziale Techniques: - T0883: Dispositivo accessibile a Internet	Learnable	No
Dispositivo campo individuato in modo imprevisto	È stato rilevato un nuovo dispositivo di origine in rete, ma non è autorizzato.	Medium	Discovery	Tactics: - Discovery Techniques: - T0842: Analisi della rete	Not learnable	No
Rilevata modifica del firmware	Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata.	Medium	Firmware Change	Tactics: - Inibire la funzione di risposta - Persistence Techniques: - T0857: Firmware di sistema	Not learnable	No
Versione del firmware modificata	Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata.	Medium	Firmware Change	Tactics: - Inibire la funzione di risposta - Persistence Techniques: - T0857: Firmware di sistema	Learnable	Yes
Operazione I/A Foxboro non autorizzata	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Learnable	Yes
Accesso FTP non riuscito	È stato rilevato un tentativo di accesso non riuscito da un dispositivo di origine a un server di destinazione. Questo avviso potrebbe essere il risultato dell'errore umano, ma potrebbe anche indicare un tentativo dannoso di compromettere il server o i dati su di esso.	Medium	Authentication	Tactics: - Spostamento laterale - Comando e controllo Techniques: - T0812: Credenziali predefinite - T0869: Protocollo di livello applicazione standard	Not learnable	No
Codice funzione generato eccezione non autorizzata *	Un dispositivo di origine (secondario) ha restituito un'eccezione a un dispositivo di destinazione (primario).	Medium	Command Failures	Tactics: - Inibire la funzione di risposta Techniques: - T0835: Modifica immagine di I/O	Learnable	Yes
Impostazioni del tipo di messaggio GOOSE	Le impostazioni del messaggio (identificate dall'ID protocollo) sono state modificate in un dispositivo di origine.	Low	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi Techniques: - T0836: Modifica parametro	Learnable	Yes
Versione del firmware Honeywell modificata	Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata.	Medium	Firmware Change	Tactics: - Inibire la funzione di risposta - Persistence Techniques: - T0857: Firmware di sistema	Learnable	No
Comunicazione HTTP non valida *	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento anomalo della comunicazione HTTP	Tactics: - Discovery Techniques: - T0846: Individuazione remota del sistema	Learnable	No
Accesso a Internet rilevato	Un dispositivo interno ha effettuato un tentativo imprevisto di eseguire una connessione Internet in uscita.	Medium	Internet Access	Tactics: - Accesso iniziale Techniques: - T0883: Dispositivo accessibile a Internet	Learnable	No
Modifica della versione firmware di Firmware Di Frameworkishi	Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata.	Medium	Firmware Change	Tactics: - Inibire la funzione di risposta - Persistence Techniques: - T0857: Firmware di sistema	Learnable	No
Violazione dell'intervallo di indirizzi Modbus	Un dispositivo primario ha richiesto l'accesso a un nuovo indirizzo di memoria secondaria.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Discovery Techniques: - T0842: Analisi della rete	Learnable	Yes
Versione del firmware Modbus modificata	Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata.	Medium	Firmware Change	Tactics: - Inibire la funzione di risposta - Persistence Techniques: - T0857: Firmware di sistema	Learnable	No
Nuova attività rilevata - Classe CIP	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Discovery Techniques: - T0888: Individuazione remota delle informazioni di sistema	Learnable	Yes
Nuova attività rilevata - Servizio classi CIP	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Inibire la funzione di risposta Techniques: - T0836: Modifica parametro	Learnable	Yes
Nuova attività rilevata - Comando CIP PCCC	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Inibire la funzione di risposta Techniques: - T0836: Modifica parametro	Learnable	Yes
Nuova attività rilevata - Simbolo CIP	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi - Inibire la funzione di risposta Techniques: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Learnable	Yes
Rilevata nuova attività - Connessione I/O EtherNet/IP	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Discovery - Inibire la funzione di risposta Techniques: - T0846: Individuazione remota del sistema - T0835: Modifica immagine di I/O	Learnable	Yes
Nuova attività rilevata - Comando protocollo EtherNet/IP	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Inibire la funzione di risposta Techniques: - T0836: Modifica parametro	Learnable	Yes
Nuova attività rilevata - Codice messaggio GSM	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - CommandAndControl Techniques: - T0869: Protocollo di livello applicazione standard	Learnable	Yes
Nuova attività rilevata - Codici di comando LonTalk	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Collection - Controllo dei processi compromessi Techniques: - T0861 - Identificazione punto e tag - T0855: Messaggio di comando non autorizzato	Learnable	Yes
Rilevata nuova attività - Variabile di rete LonTalk	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato	Learnable	Yes
Rilevata nuova attività - Richiesta di dati di ovation	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Collection - Discovery Techniques: - T0801: Monitorare lo stato del processo - T0888: Individuazione remota delle informazioni di sistema	Learnable	Yes
Rilevata nuova attività - Comando di lettura/scrittura (gruppo di indici AMS)	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Configuration Changes	Tactics: - Controllo dei processi compromessi - Inibire la funzione di risposta Techniques: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Learnable	Yes
Rilevata nuova attività - Comando di lettura/scrittura (offset dell'indice AMS)	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Configuration Changes	Tactics: - Controllo dei processi compromessi - Inibire la funzione di risposta Techniques: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Learnable	Yes
Nuova attività rilevata - Tipo di messaggio DeltaV non autorizzato	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi - Execution Techniques: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Learnable	Yes
Nuova attività rilevata - Operazione DeltaV ROC non autorizzata	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi - Execution Techniques: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Learnable	Yes
Nuova attività rilevata - Tipo di messaggio RPC non autorizzato	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato	Learnable	Yes
Nuova attività rilevata - Uso del comando del protocollo AMS	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi - Inibire la funzione di risposta - Execution Techniques: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro - T0821: Modifica attività controller	Learnable	Yes
Rilevata nuova attività - Uso del comando SiCAM di Siemens	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi - Inibire la funzione di risposta Techniques: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Learnable	Yes
Nuova attività rilevata - Uso del comando Suitelink Protocol	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi - Inibire la funzione di risposta Techniques: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Learnable	Yes
Rilevata nuova attività - Uso delle sessioni del protocollo Suitelink	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi Techniques: - T0836: Modifica parametro	Learnable	Yes
Rilevata nuova attività - Uso del comando VNetIP di Eseguigawa	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi - Execution Techniques: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Learnable	Yes
Rilevato nuovo asset	È stato rilevato un nuovo dispositivo di origine in rete, ma non è autorizzato. Questo avviso si applica ai dispositivi individuati nelle subnet OT. I nuovi dispositivi individuati nelle subnet IT non attivano un avviso.	Medium	Discovery	Tactics: - Discovery Techniques: - T0842: Analisi della rete	Learnable	No
Nuova configurazione del dispositivo LLDP	È stato rilevato un nuovo dispositivo di origine in rete, ma non è autorizzato.	Medium	Configuration Changes	Tactics: - Discovery Techniques: - T0842: Analisi della rete	Learnable	No
Comando Omron FINS non autorizzato	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Learnable	Yes
Firmware S7 Plus PLC modificato	Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata.	Medium	Firmware Change	Tactics: - Inibire la funzione di risposta - Persistence Techniques: - T0857: Firmware di sistema	Learnable	No
Impostazioni del tipo di messaggio di valori campionati	Le impostazioni del messaggio (identificate dall'ID protocollo) sono state modificate in un dispositivo di origine.	Low	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi Techniques: - T0836: Modifica parametro	Not learnable	Yes
Sospetto di analisi dell'integrità illegale *	È stata rilevata un'analisi in un dispositivo di origine DNP3 (outstation). Questa analisi non è stata autorizzata come traffico appreso nella rete.	Medium	Scan	Tactics: - Discovery Techniques: - T0842: Analisi della rete	Learnable	No
Comando Non autorizzato del collegamento computer Di Toshiba	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Low	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi - Execution Techniques: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Learnable	Yes
Operazione totale file ABB non autorizzata	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi - Execution Techniques: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Not learnable	Yes
Operazione di registrazione totale totale ABB non autorizzata	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi - Execution Techniques: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Not learnable	Yes
Accesso non autorizzato a Blocco dati Di Siemens S7	Un dispositivo di origine ha tentato di accedere a una risorsa in un altro dispositivo. Un tentativo di accesso a questa risorsa tra questi due dispositivi non è autorizzato come traffico appreso nella rete.	Low	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi - Accesso iniziale Techniques: - T0855: Messaggio di comando non autorizzato - T0811: dati dai repository di informazioni	Learnable	Yes
Accesso non autorizzato all'oggetto Siemens S7 Plus	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi - Execution - Inibire la funzione di risposta Techniques: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller - T0809: Distruzione dei dati	Learnable	Yes
Accesso non autorizzato al tag Wonderware	Un dispositivo di origine ha tentato di accedere a una risorsa in un altro dispositivo. Un tentativo di accesso a questa risorsa tra questi due dispositivi non è autorizzato come traffico appreso nella rete.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Collection - Controllo dei processi compromessi Techniques: - T0861: Identificazione punto e tag - T0855: Messaggio di comando non autorizzato	Learnable	Yes
Accesso a oggetti BACNet non autorizzato	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi - Execution Techniques: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Learnable	Yes
Route BACNet non autorizzata	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi - Execution Techniques: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Learnable	Yes
Accesso al database non autorizzato *	È stato rilevato un tentativo di accesso tra un client di origine e un server di destinazione. La comunicazione tra questi dispositivi non è autorizzata come traffico appreso nella rete.	Medium	Authentication	Tactics: - Spostamento laterale - Persistence - Collection Techniques: - T0859: Account validi - T0811: dati dai repository di informazioni	Learnable	No
Operazione di database non autorizzata	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni anomale	Tactics: - Controllo dei processi compromessi - Accesso iniziale Techniques: - T0855: Messaggio di comando non autorizzato - T0811: dati dai repository di informazioni	Learnable	Yes
Operazione ROC non autorizzata di Emerson	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi - Execution Techniques: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Learnable	Yes
Accesso ai file SRTP GE non autorizzato	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Collection - LateralMovement - Persistence Techniques: - T0801: Monitorare lo stato del processo - T0859: Account validi	Learnable	Yes
Comando del protocollo SRTP GE non autorizzato	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Learnable	Yes
Operazione di memoria di sistema GE SRTP non autorizzata	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Discovery - Controllo dei processi compromessi Techniques: - T0846: Individuazione remota del sistema - T0855: Messaggio di comando non autorizzato	Learnable	Yes
Attività HTTP non autorizzata	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento anomalo della comunicazione HTTP	Tactics: - Accesso iniziale - Comando e controllo Techniques: - T0822: Servizi remoti esterni - T0869: Protocollo di livello applicazione standard	Learnable	No
Azione SOAP HTTP non autorizzata *	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento anomalo della comunicazione HTTP	Tactics: - Comando e controllo - Execution Techniques: - T0869: Protocollo di livello applicazione standard - T0871: esecuzione tramite API	Learnable	No
Agente utente HTTP non autorizzato *	È stata rilevata un'applicazione non autorizzata in un dispositivo di origine. L'applicazione non è autorizzata come applicazione appresa nella rete.	Medium	Comportamento anomalo della comunicazione HTTP	Tactics: - Comando e controllo Techniques: - T0869: Protocollo di livello applicazione standard	Learnable	No
Rilevata connettività Internet non autorizzata	Un dispositivo interno ha comunicato correttamente con Internet.	High	Internet Access	Tactics: - Accesso iniziale Techniques: - T0883: Dispositivo accessibile a Internet	Learnable	No
Comando MELSEC Non autorizzato Disasasociishi MELSEC	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi - Execution Techniques: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Learnable	Yes
Accesso al programma MMS non autorizzato	Un dispositivo di origine ha tentato di accedere a una risorsa in un altro dispositivo. Un tentativo di accesso a questa risorsa tra questi due dispositivi non è autorizzato come traffico appreso nella rete.	Medium	Programming	Tactics: - Controllo dei processi compromessi - Execution Techniques: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Learnable	Yes
Servizio MMS non autorizzato	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi - Execution Techniques: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Learnable	Yes
Connessione multicast/trasmissione non autorizzata	È stata rilevata una connessione Multicast/Broadcast tra un dispositivo di origine e altri dispositivi. La comunicazione multicast/broadcast non è autorizzata.	High	Comportamento delle comunicazioni anomale	Tactics: - Discovery Techniques: - T0842: Analisi della rete	Learnable	Yes
Query dei nomi non autorizzata	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni anomale	Tactics: - Controllo dei processi compromessi Techniques: - T0836: Modifica parametro	Not learnable	Yes
Attività OPC UA non autorizzata	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi Techniques: - T0836: Modifica parametro	Learnable	Yes
Richiesta/risposta OPC UA non autorizzata	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi Techniques: - T0836: Modifica parametro	Learnable	Yes
Operazione non autorizzata rilevata da una regola definita dall'utente	Il traffico è stato rilevato tra due dispositivi. Questa attività non è autorizzata, in base a una regola di avviso personalizzata definita da un utente.	Medium	Custom Alerts	Tactics: - Discovery Techniques: - T0842: Analisi della rete	Not learnable	No
Lettura della configurazione DI PLC non autorizzata	Il dispositivo di origine non è definito come dispositivo di programmazione, ma ha eseguito un'operazione di lettura/scrittura su un controller di destinazione. Le modifiche alla programmazione devono essere eseguite solo dai dispositivi di programmazione. In questo dispositivo potrebbe essere stata installata un'applicazione di programmazione.	Low	Configuration Changes	Tactics: - Collection Techniques: - T0801: Monitorare lo stato del processo	Learnable	No
Scrittura configurazione PLC non autorizzata	Il dispositivo di origine ha inviato un comando per leggere/scrivere il programma di un controller di destinazione. Questa attività non è stata vista in precedenza.	Medium	Configuration Changes	Tactics: - Controllo dei processi compromessi - Persistence - Impact Techniques: - T0839: Firmware del modulo - T0831: Manipolazione del controllo - T0889: Modifica programma	Learnable	No
Caricamento del programma PLC non autorizzato	Il dispositivo di origine ha inviato un comando per leggere/scrivere il programma di un controller di destinazione. Questa attività non è stata vista in precedenza.	Medium	Programming	Tactics: - Controllo dei processi compromessi - Persistence - Collection Techniques: - T0839: Firmware del modulo - T0845: Caricamento del programma	Learnable	No
Programmazione PLC non autorizzata	Il dispositivo di origine non è definito come dispositivo di programmazione, ma ha eseguito un'operazione di lettura/scrittura su un controller di destinazione. Le modifiche alla programmazione devono essere eseguite solo dai dispositivi di programmazione. In questo dispositivo potrebbe essere stata installata un'applicazione di programmazione.	High	Programming	Tactics: - Controllo dei processi compromessi - Persistence - Spostamento laterale Techniques: - T0839: Firmware del modulo - T0889: Modifica programma - T0843: Download del programma	Learnable	No
Tipo di frame Profinet non autorizzato	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi Techniques: - T0836: Modifica parametro	Learnable	Yes
Comando S-Bus SAIA non autorizzato	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato	Learnable	Yes
Esecuzione non autorizzata di Siemens S7 della funzione di controllo	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi - Inibire la funzione di risposta Techniques: - T0855: Messaggio di comando non autorizzato - T0809: Distruzione dei dati	Learnable	Yes
Esecuzione non autorizzata di Siemens S7 della funzione definita dall'utente	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi - Execution Techniques: - T0836: Modifica parametro - T0863: Esecuzione utente	Learnable	Yes
Accesso non autorizzato di Siemens S7 Plus Blocca accesso	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Inibire la funzione di risposta - Persistence - Execution Techniques: - T0803 - Blocca messaggio di comando - T0889: Modifica programma - T0821: Modifica attività controller	Learnable	Yes
Operazione Non autorizzata di Siemens S7 Plus	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi - Execution Techniques: - T0855: Messaggio di comando non autorizzato - T0863: Esecuzione utente	Learnable	Yes
Accesso SMB non autorizzato	È stato rilevato un tentativo di accesso tra un client di origine e un server di destinazione. La comunicazione tra questi dispositivi non è autorizzata come traffico appreso nella rete.	Medium	Authentication	Tactics: - Accesso iniziale - Spostamento laterale - Persistence Techniques: - T0886: Servizi remoti - T0859: Account validi	Learnable	Yes
Operazione SNMP non autorizzata	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni anomale	Tactics: - Discovery - Comando e controllo Techniques: - T0842: Analisi della rete - T0885: porta di uso comune	Learnable	Yes
Accesso SSH non autorizzato	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Remote Access	Tactics: - InitialAccess - Spostamento laterale - Comando e controllo Techniques: - T0886: Servizi remoti - T0869: Protocollo di livello applicazione standard	Learnable	No
Processo Windows non autorizzato	È stata rilevata un'applicazione non autorizzata in un dispositivo di origine. L'applicazione non è autorizzata come applicazione appresa nella rete.	Medium	Comportamento delle comunicazioni anomale	Tactics: - Execution - Escalation dei privilegi - Comando e controllo Techniques: - T0841: Hooking - T0885: porta di uso comune	Learnable	Yes
Servizio Windows non autorizzato	È stata rilevata un'applicazione non autorizzata in un dispositivo di origine. L'applicazione non è autorizzata come applicazione appresa nella rete.	Medium	Comportamento delle comunicazioni anomale	Tactics: - Accesso iniziale - Spostamento laterale Techniques: - T0866: Sfruttamento dei servizi remoti	Learnable	Yes
Operazione non autorizzata rilevata da una regola definita dall'utente	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri viola una regola definita dall'utente	Medium		Tactics: - Discovery Techniques: - T0842: Analisi della rete	Not learnable	No
Unpermitted Modbus Schneider Electric Extension	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato	Learnable	Yes
Utilizzo non generato dei tipi ASDU	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato	Learnable	Yes
Utilizzo non eseguito del codice di funzione DNP3	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi Techniques: - T0836: Modifica parametro	Learnable	Yes
Utilizzo non eseguito dell'indicazione interna (IIN) *	Un dispositivo di origine DNP3 (outstation) ha segnalato un'indicazione interna (IIN) che non ha autorizzato come traffico appreso sulla rete.	Medium	Illegal Commands	Tactics: - Discovery Techniques: - T0842: Analisi della rete	Learnable	No
Utilizzo non eseguito del codice della funzione Modbus	Sono stati rilevati nuovi parametri del traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medium	Comportamento delle comunicazioni non autorizzate	Tactics: - Controllo dei processi compromessi Techniques: - T0836: Modifica parametro	Learnable	Yes

Avvisi del motore anomalie

Note

This article contains references to the term slave, a term that Microsoft no longer uses. Quando il termine verrà rimosso dal software, verrà rimosso anche dall'articolo.

Gli avvisi del motore anomalie descrivono le anomalie rilevate nell'attività di rete.

Title	Description	Severity	Category	MITRE ATT&CK Tattiche e tecniche	Learnable
Modello di eccezione anomalo in Slave *	È stato rilevato un numero eccessivo di errori in un dispositivo di origine. Questo avviso potrebbe essere il risultato di un problema operativo. Soglia: 20 eccezioni in 1 ora	Low	Comportamento delle comunicazioni anomale	Tactics: - Controllo dei processi compromessi Techniques: - T0806: I/O di forza bruta	Not learnable
Lunghezza intestazione HTTP anomala *	Il dispositivo di origine ha inviato un messaggio anomalo. Questo avviso potrebbe indicare un tentativo di attacco al dispositivo di destinazione.	High	Comportamento anomalo della comunicazione HTTP	Tactics: - Accesso iniziale - Spostamento laterale - Comando e controllo Techniques: - T0866: Sfruttamento dei servizi remoti - T0869: Protocollo di livello applicazione standard	Learnable
Numero anomalo di parametri nell'intestazione HTTP *	Il dispositivo di origine ha inviato un messaggio anomalo. Questo avviso potrebbe indicare un tentativo di attacco al dispositivo di destinazione.	High	Comportamento anomalo della comunicazione HTTP	Tactics: - Accesso iniziale - Spostamento laterale - Comando e controllo Techniques: - T0866: Sfruttamento dei servizi remoti - T0869: Protocollo di livello applicazione standard	Learnable
Comportamento periodico anomalo nel canale di comunicazione	È stata rilevata una modifica della frequenza di comunicazione tra i dispositivi di origine e di destinazione.	Low	Comportamento delle comunicazioni anomale	Tactics: - Discovery Techniques: - T0842: Analisi della rete	Learnable
Terminazione anomala delle applicazioni *	È stato rilevato un numero eccessivo di comandi di arresto in un dispositivo di origine. Questo avviso potrebbe essere il risultato di un problema operativo o di un tentativo di modificare il dispositivo. Soglia: 20 comandi di arresto in 3 ore	Medium	Comportamento delle comunicazioni anomale	Tactics: - Persistence - Impact Techniques: - T0889: Modifica programma - T0831: Manipolazione del controllo	Learnable
Larghezza di banda del traffico anomala *	È stata rilevata una larghezza di banda anomala in un canale. La larghezza di banda sembra essere inferiore/superiore a quella rilevata in precedenza. Per informazioni dettagliate, usare il widget Total Bandwidth .For details, work with the Total Bandwidth widget.	Low	Bandwidth Anomalies	Tactics: - Discovery Techniques: - T0842: Analisi della rete	Learnable
Larghezza di banda del traffico anomala tra dispositivi *	È stata rilevata una larghezza di banda anomala in un canale. La larghezza di banda sembra essere inferiore/superiore a quella rilevata in precedenza. Per informazioni dettagliate, usare il widget Total Bandwidth .For details, work with the Total Bandwidth widget.	Low	Bandwidth Anomalies	Tactics: - Discovery Techniques: - T0842: Analisi della rete	Not learnable
Analisi degli indirizzi rilevata	È stato rilevato un dispositivo di origine che analizza i dispositivi di rete. Questo dispositivo non è autorizzato come dispositivo di analisi di rete. Soglia: 50 connessioni alla stessa subnet della classe B in 2 minuti	High	Scan	Tactics: - Discovery Techniques: - T0842: Analisi della rete	Learnable
Analisi degli indirizzi ARP rilevata *	È stata rilevata un'analisi dei dispositivi di rete tramite il protocollo ARP (Address Resolution Protocol). Questo indirizzo del dispositivo non è autorizzato come indirizzo di analisi ARP valido. Soglia: 40 analisi in 6 minuti	High	Scan	Tactics: - Discovery - Collection Techniques: - T0842: Analisi della rete - T0830: Uomo in mezzo	Learnable
ARP Spoofing *	È stata rilevata una quantità anomala di pacchetti nella rete. Questo avviso potrebbe indicare un attacco, ad esempio uno spoofing ARP o un attacco di flood ICMP. Soglia: 60 pacchetti in 1 minuto	Low	Comportamento delle comunicazioni anomale	Tactics: - Collection Techniques: - T0830: Uomo in mezzo	Not learnable
Tentativi di accesso eccessivi	È stato rilevato un dispositivo di origine che esegue tentativi di accesso eccessivi a un server di destinazione. Questo avviso potrebbe indicare un attacco di forza bruta. Il server potrebbe essere compromesso da un attore malintenzionato. Soglia: 20 tentativi di accesso in 1 minuto	High	Authentication	Tactics: - LateralMovement - Controllo dei processi compromessi Techniques: - T0812: Credenziali predefinite - T0806: I/O di forza bruta	Not learnable
Numero eccessivo di sessioni	È stato rilevato un dispositivo di origine che esegue tentativi di accesso eccessivi a un server di destinazione. Questo potrebbe indicare un attacco di forza bruta. Il server potrebbe essere compromesso da un attore malintenzionato. Soglia: 50 sessioni in 1 minuto	High	Comportamento delle comunicazioni anomale	Tactics: - Spostamento laterale - Controllo dei processi compromessi Techniques: - T0812: Credenziali predefinite - T0806: I/O di forza bruta	Not learnable
Frequenza di riavvio eccessiva di un'outstation *	È stato rilevato un numero eccessivo di comandi di riavvio in un dispositivo di origine. Questi avvisi potrebbero essere il risultato di un problema operativo o di un tentativo di modificare il dispositivo. Soglia: 10 riavvii in 1 ora	Medium	Comandi di riavvio/arresto	Tactics: - Inibire la funzione di risposta - Controllo dei processi compromessi Techniques: - T0814: Denial of Service - T0806: I/O di forza bruta	Not learnable
Tentativi di accesso SMB eccessivi	È stato rilevato un dispositivo di origine che esegue tentativi di accesso eccessivi a un server di destinazione. Questo potrebbe indicare un attacco di forza bruta. Il server potrebbe essere compromesso da un attore malintenzionato. Soglia: 10 tentativi di accesso in 10 minuti	High	Authentication	Tactics: - Persistence - Execution - LateralMovement Techniques: - T0812: Credenziali predefinite - T0853: Scripting - T0859: Account validi	Not learnable
Inondazione ICMP *	È stata rilevata una quantità anomala di pacchetti nella rete. Questo avviso potrebbe indicare un attacco, ad esempio uno spoofing ARP o un attacco di flood ICMP. Soglia: 60 pacchetti in 1 minuto	Low	Comportamento delle comunicazioni anomale	Tactics: - Discovery - Collection Techniques: - T0842: Analisi della rete - T0830: Uomo in mezzo	Not learnable
Contenuto intestazione HTTP non valido *	Il dispositivo di origine ha avviato una richiesta non valida.	High	Comportamento anomalo della comunicazione HTTP	Tactics: - Accesso iniziale - LateralMovement Techniques: - T0866: Sfruttamento dei servizi remoti	Not learnable
Canale di comunicazione inattivo *	Un canale di comunicazione tra due dispositivi è inattivo durante un periodo in cui l'attività viene in genere osservata. Ciò potrebbe indicare che il programma che genera questo traffico è stato modificato o che il programma potrebbe non essere disponibile. È consigliabile esaminare la configurazione del programma installato e verificare che sia configurato correttamente. Soglia: 1 minuto	Low	Unresponsive	Tactics: - Inibire la funzione di risposta Techniques: - T0881: Arresto del servizio	Not learnable
Rilevata analisi degli indirizzi con durata prolungata *	È stato rilevato un dispositivo di origine che analizza i dispositivi di rete. Questo dispositivo non è autorizzato come dispositivo di analisi di rete. Soglia: 50 connessioni alla stessa subnet della classe B in 10 minuti	High	Scan	Tactics: - Discovery Techniques: - T0842: Analisi della rete	Learnable
Tentativo di indovinamento delle password rilevato	È stato rilevato un dispositivo di origine che esegue tentativi di accesso eccessivi a un server di destinazione. Questo potrebbe indicare un attacco di forza bruta. Il server potrebbe essere compromesso da un attore malintenzionato. Soglia: 100 tentativi in 1 minuto	High	Authentication	Tactics: - Spostamento laterale Techniques: - T0812: Credenziali predefinite - T0806: I/O di forza bruta	Not learnable
Rilevato controllo PLC	È stato rilevato un dispositivo di origine che analizza i dispositivi di rete. Questo dispositivo non è autorizzato come dispositivo di analisi di rete. Soglia: 10 analisi in 2 minuti	High	Scan	Tactics: - Discovery Techniques: - T0842: Analisi della rete	Learnable
Rilevamento dell'analisi delle porte	È stato rilevato un dispositivo di origine che analizza i dispositivi di rete. Questo dispositivo non è autorizzato come dispositivo di analisi di rete. Soglia: 25 analisi in 2 minuti	High	Scan	Tactics: - Discovery Techniques: - T0842: Analisi della rete	Learnable
Lunghezza imprevista del messaggio	Il dispositivo di origine ha inviato un messaggio anomalo. Questo avviso potrebbe indicare un tentativo di attacco al dispositivo di destinazione. Soglia: lunghezza del testo - 32768	High	Comportamento delle comunicazioni anomale	Tactics: - InitialAccess - LateralMovement Techniques: - T0869: Sfruttamento di Servizi remoti	Not learnable
Traffico imprevisto per la porta Standard *	Il traffico è stato rilevato in un dispositivo usando una porta riservata per un altro protocollo.	Medium	Comportamento delle comunicazioni anomale	Tactics: - Comando e controllo - Discovery Techniques: - T0869: Protocollo di livello applicazione standard - T0842: Analisi della rete	Not learnable

Avvisi del motore di violazione del protocollo

Gli avvisi del motore di protocollo descrivono le deviazioni rilevate nella struttura dei pacchetti o i valori dei campi rispetto alle specifiche del protocollo.

Title	Description	Severity	Category	MITRE ATT&CK Tattiche e tecniche	Learnable
Pacchetti in formato non valido eccessivo in una singola sessione *	Numero anomalo di pacchetti in formato non valido inviati dal dispositivo di origine al dispositivo di destinazione. Questo avviso potrebbe indicare comunicazioni errate o un tentativo di modificare il dispositivo di destinazione. Soglia: 2 pacchetti in formato non valido in 10 minuti	Medium	Illegal Commands	Tactics: - Controllo dei processi compromessi Techniques: - T0806: I/O di forza bruta	Not learnable
Firmware Update	Un dispositivo di origine ha inviato un comando per aggiornare il firmware in un dispositivo di destinazione. Verificare che gli aggiornamenti recenti di programmazione, configurazione e firmware eseguiti nel dispositivo di destinazione siano validi.	Low	Firmware Change	Tactics: - Inibire la funzione di risposta - Persistence Techniques: - T0857: Firmware di sistema	Learnable
Codice della funzione non supportato da Outstation	Il dispositivo di destinazione ha ricevuto una richiesta non valida.	Medium	Illegal Commands	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato	Not learnable
Messaggio BACNet non valido	Il dispositivo di origine ha avviato una richiesta non valida.	Medium	Illegal Commands	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Not learnable
Tentativo di connessione non valido sulla porta 0	Un dispositivo di origine ha tentato di connettersi al dispositivo di destinazione sul numero di porta zero (0). Per TCP, la porta 0 è riservata e non può essere usata. Per UDP, la porta è facoltativa e il valore 0 indica che non è presente alcuna porta. In genere non esiste alcun servizio in un sistema in ascolto sulla porta 0. Questo evento potrebbe indicare un tentativo di attaccare il dispositivo di destinazione o indicare che un'applicazione è stata programmata in modo non corretto.	Low	Illegal Commands	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Not learnable
Operazione DNP3 non valida	Il dispositivo di origine ha avviato una richiesta non valida.	Medium	Illegal Commands	Tactics: - Accesso iniziale - Spostamento laterale Techniques: - T0866: Sfruttamento dei servizi remoti	Not learnable
Operazione MODBUS non valida (eccezione generata dal master)	Il dispositivo di origine ha avviato una richiesta non valida.	Medium	Illegal Commands	Tactics: - Accesso iniziale - Spostamento laterale Techniques: - T0866: Sfruttamento dei servizi remoti	Not learnable
Operazione MODBUS non valida (codice funzione zero) *	Il dispositivo di origine ha avviato una richiesta non valida.	Medium	Illegal Commands	Tactics: - Accesso iniziale - Spostamento laterale Techniques: - T0866: Sfruttamento dei servizi remoti	Not learnable
Versione del protocollo non valida *	Il dispositivo di origine ha avviato una richiesta non valida.	Medium	Illegal Commands	Tactics: - Accesso iniziale - LateralMovement - Controllo dei processi compromessi Techniques: - T0820: Servizi remoti - T0836: Modifica parametro	Not learnable
Parametro errato inviato a outstation	Il dispositivo di destinazione ha ricevuto una richiesta non valida.	Medium	Illegal Commands	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Not learnable
Avvio di un codice di funzione obsoleto (inizializzazione dei dati)	Il dispositivo di origine ha avviato una richiesta non valida.	Low	Illegal Commands	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato	Not learnable
Avvio di un codice funzione obsoleto (salva configurazione)	Il dispositivo di origine ha avviato una richiesta non valida.	Low	Illegal Commands	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato	Not learnable
Master ha richiesto una conferma del livello applicazione	Il dispositivo di origine ha avviato una richiesta non valida.	Low	Illegal Commands	Tactics: - Comando e controllo Techniques: - T0869: Protocollo di livello applicazione standard	Not learnable
Modbus Exception	Un dispositivo di origine (secondario) ha restituito un'eccezione a un dispositivo di destinazione (primario).	Medium	Illegal Commands	Tactics: - Inibire la funzione di risposta Techniques: - T0814: Denial of Service	Not learnable
Tipo ASDU illegale ricevuto dal dispositivo slave	Il dispositivo di destinazione ha ricevuto una richiesta non valida.	Medium	Illegal Commands	Tactics: - Controllo dei processi compromessi Techniques: - T0836: Modifica parametro	Not learnable
Il dispositivo slave ha ricevuto un comando illegale causa di trasmissione	Il dispositivo di destinazione ha ricevuto una richiesta non valida.	Medium	Illegal Commands	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Not learnable
Il dispositivo slave ha ricevuto un indirizzo comune non valido	Il dispositivo di destinazione ha ricevuto una richiesta non valida.	Medium	Illegal Commands	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Not learnable
Parametro indirizzo dati non valido ricevuto dal dispositivo Slave *	Il dispositivo di destinazione ha ricevuto una richiesta non valida.	Medium	Illegal Commands	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Not learnable
Parametro Valore dati non valido ricevuto dal dispositivo Slave *	Il dispositivo di destinazione ha ricevuto una richiesta non valida.	Medium	Illegal Commands	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Not learnable
Codice di funzione illegale ricevuto dal dispositivo Slave *	Il dispositivo di destinazione ha ricevuto una richiesta non valida.	Medium	Illegal Commands	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Not learnable
Indirizzo dell'oggetto informazioni non valido ricevuto dal dispositivo Slave	Il dispositivo di destinazione ha ricevuto una richiesta non valida.	Medium	Illegal Commands	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Not learnable
Oggetto sconosciuto inviato a outstation	Il dispositivo di destinazione ha ricevuto una richiesta non valida.	Medium	Illegal Commands	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato	Not learnable
Utilizzo di un codice di funzione riservata	Il dispositivo di origine ha avviato una richiesta non valida.	Medium	Illegal Commands	Tactics: - Controllo dei processi compromessi Techniques: - T0836: Modifica parametro	Not learnable
Utilizzo di formattazione non corretta per outstation *	Il dispositivo di origine ha avviato una richiesta non valida.	Low	Illegal Commands	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato	Not learnable
Utilizzo dei flag di stato riservati (IIN)	Un dispositivo di origine DNP3 (outstation) ha usato l'indicatore interno riservato 2.6. È consigliabile controllare la configurazione del dispositivo.	Low	Illegal Commands	Tactics: - Controllo dei processi compromessi Techniques: - T0836: Modifica parametro	Not learnable

Avvisi del motore malware

Gli avvisi del motore malware descrivono le attività di rete dannose rilevate.

Title	Description	Severity	Category	MITRE ATT&CK Tattiche e tecniche	Learnable
Tentativo di connessione a IP dannoso noto	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Attivato dai sensori di rete OT.	High	Sospetto di attività dannose	Tactics: - Accesso iniziale - Comando e controllo Techniques: - T0883: Dispositivo accessibile a Internet - T0884: Proxy di connessione	Not learnable
Messaggio SMB non valido (impianto backdoor DoublePulsar)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	High	Sospetto di malware	Tactics: - Accesso iniziale - LateralMovement Techniques: - T0866: Sfruttamento dei servizi remoti	Not learnable
Richiesta di nome di dominio dannosa	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Attivato dai sensori di rete OT.	High	Sospetto di attività dannose	Tactics: - Accesso iniziale - Comando e controllo Techniques: - T0883: Dispositivo accessibile a Internet - T0884: Proxy di connessione	Learnable
Percorso URL dannoso	È stata effettuata una richiesta a un percorso URL dannoso noto. Le richieste effettuate per questo percorso URL possono indicare che l'origine che effettua la richiesta è compromessa.	High	Sospetto di attività dannose	Tactics: - Accesso iniziale - Comando e controllo Techniques: - T0883: Dispositivo accessibile a Internet - T0884: Proxy di connessione	Not learnable
Rilevato file di test malware - EICAR AV Success	È stato rilevato un file di test EICAR AV nel traffico tra due dispositivi (su qualsiasi trasporto - TCP o UDP). Il file non è malware. Viene usato per verificare che il software antivirus sia installato correttamente. Dimostrare cosa accade quando viene trovato un virus, e controllare le procedure interne e le reazioni quando viene trovato un virus. Il software antivirus dovrebbe rilevare EICAR come se fosse un vero virus.	High	Sospetto di attività dannose	Tactics: - Discovery Techniques: - T0842: Analisi della rete	Not learnable
Sospetto di Malware Conficker	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	Medium	Sospetto di malware	Tactics: - Accesso iniziale - Impact Techniques: - T0826: perdita di disponibilità - T0828: perdita di produttività e ricavi - T0847: replica tramite supporti rimovibili	Not learnable
Sospetto di attacco Denial of Service	Un dispositivo di origine ha tentato di avviare un numero eccessivo di nuove connessioni a un dispositivo di destinazione. Ciò potrebbe indicare un attacco Denial Of Service (DOS) contro il dispositivo di destinazione e potrebbe interrompere la funzionalità del dispositivo, influire sulla disponibilità delle prestazioni e del servizio o causare errori irreversibili. Soglia: 3000 tentativi in 1 minuto	High	Sospetto di attività dannose	Tactics: - Inibire la funzione di risposta Techniques: - T0814: Denial of Service	Learnable
Sospetto di attività dannose	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che ha attivato "Indicatori di compromissione" (IOC). I metadati degli avvisi devono essere esaminati dal team di sicurezza.	High	Sospetto di attività dannose	Tactics: - Spostamento laterale Techniques: - T0867: Trasferimento laterale degli strumenti	Not learnable
Sospetto di attività dannose (Black Behalf)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	High	Sospetto di malware	Tactics: - Comando e controllo Techniques: - T0869: Protocollo di livello applicazione standard	Not learnable
Sospetto di attività dannose (DarkComet)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	High	Sospetto di malware	Tactics: - Impact Techniques: - T0882: Furto di informazioni operative	Not learnable
Sospetto di attività dannose (Duqu)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	High	Sospetto di malware	Tactics: - Impact Techniques: - T0882: Furto di informazioni operative	Not learnable
Sospetto di attività dannose (fiamma)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	High	Sospetto di malware	Tactics: - Collection - Impact Techniques: - T0882: Furto di informazioni operative - T0811: dati dai repository di informazioni	Not learnable
Sospetto di attività dannose (Havex)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	High	Sospetto di malware	Tactics: - Collection - Discovery - Inibire la funzione di risposta Techniques: - T0861: Identificazione punto e tag - T0846: Individuazione remota del sistema - T0814: Denial of Service	Not learnable
Sospetto di attività dannose (Karagany)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	High	Sospetto di malware	Tactics: - Impact Techniques: - T0882: Furto di informazioni operative	Not learnable
Sospetto di attività dannose (LightsOut)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	High	Sospetto di malware	Tactics: - Evasion Techniques: - T0849: Mascheramento	Not learnable
Sospetto di attività dannose (query nome)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Soglia: 25 query dei nomi in 1 minuto	High	Sospetto di attività dannose	Tactics: - Comando e controllo Techniques: - T0884: Proxy di connessione	Not learnable
Sospetto di attività dannose (ivy veleno)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	High	Sospetto di malware	Tactics: - Accesso iniziale - Spostamento laterale Techniques: - T0866: Sfruttamento dei servizi remoti	Not learnable
Sospetto di attività dannose (Regin)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	High	Sospetto di malware	Tactics: - Accesso iniziale - Spostamento laterale - Impact Techniques: - T0866: Sfruttamento dei servizi remoti - T0882: Furto di informazioni operative	Not learnable
Sospetto di attività dannose (Stuxnet)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	High	Sospetto di malware	Tactics: - Accesso iniziale - Spostamento laterale - Impact Techniques: - T0818: Compromissione della workstation di progettazione - T0866: Sfruttamento dei servizi remoti - T0831: Manipolazione del controllo	Not learnable
Sospetto di attività dannose (WannaCry) *	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	Medium	Sospetto di malware	Tactics: - Accesso iniziale - Spostamento laterale Techniques: - T0866: Sfruttamento dei servizi remoti - T0867: Trasferimento laterale degli strumenti	Not learnable
Sospetto di malware NotPetya - Rilevati parametri SMB illegali	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	High	Sospetto di malware	Tactics: - Accesso iniziale - Spostamento laterale Techniques: - T0866: Sfruttamento dei servizi remoti	Not learnable
Sospetto di malware NotPetya - Transazione SMB illegale rilevata	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	High	Sospetto di malware	Tactics: - Spostamento laterale Techniques: - T0867: Trasferimento laterale degli strumenti	Not learnable
Sospetto di esecuzione di codice remoto con PsExec	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	High	Sospetto di attività dannose	Tactics: - Spostamento laterale - Accesso iniziale Techniques: - T0866: Sfruttamento dei servizi remoti	Not learnable
Sospetto di gestione dei servizi Windows remoti *	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	High	Sospetto di attività dannose	Tactics: - Accesso iniziale Techniques: - T0822: NetworkExternal Remote Services	Not learnable
Rilevato file eseguibile sospetto nell'endpoint	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	High	Sospetto di attività dannose	Tactics: - Evasion - Inibire la funzione di risposta Techniques: - T0851: Rootkit	Learnable
Rilevato traffico sospetto *	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che ha attivato "Indicatori di compromissione" (IOC). I metadati degli avvisi devono essere esaminati dal team di sicurezza	High	Sospetto di attività dannose	Tactics: - Discovery Techniques: - T0842: Analisi della rete	Not learnable
Attività di backup con firme antivirus	Il traffico rilevato tra il dispositivo di origine e il server di backup di destinazione ha attivato questo avviso. Il traffico include il backup del software antivirus che potrebbe contenere firme malware. Questa è probabilmente un'attività di backup legittima.	Low	Backup	Tactics: - Impact Techniques: - T0882: Furto di informazioni operative	Not learnable

Avvisi del motore operativo

Gli avvisi del motore operativo descrivono gli eventi imprevisti operativi rilevati o le entità non funzionanti.

Title	Description	Severity	Category	MITRE ATT&CK Tattiche e tecniche	Learnable
È stato inviato un comando S7 Stop PLC	Il dispositivo di origine ha inviato un comando di arresto a un controller di destinazione. Il controller smette di funzionare fino a quando non viene inviato un comando start.	Low	Comandi di riavvio/arresto	Tactics: - Spostamento laterale - Evasione della difesa - Execution - Inibire la funzione di risposta Techniques: - T0843: Download del programma - T0858: Cambiare la modalità operativa - T0814: Denial of Service	Not learnable
Operazione BACNet non riuscita	Un server ha restituito un codice di errore. Questo avviso indica un errore del server o una richiesta non valida da parte di un client.	Medium	Command Failures	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato	Not learnable
Stato del dispositivo MMS non valido	Un MMS Virtual Manufacturing Device (VMD) ha inviato un messaggio di stato. Il messaggio indica che il server potrebbe non essere configurato correttamente, parzialmente operativo o non operativo.	Medium	Operational Issues	Tactics: - Inibire la funzione di risposta Techniques: - T0814: Denial of Service	Not learnable
Modifica della configurazione del dispositivo *	È stata rilevata una modifica di configurazione in un dispositivo di origine.	Low	Configuration Changes	Tactics: - Controllo dei processi compromessi Techniques: - T0836: Modifica parametro	Not learnable
Overflow del buffer eventi continuo in outstation *	È stato rilevato un evento di overflow del buffer in un dispositivo di origine. L'evento potrebbe causare danneggiamento dei dati, arresti anomali del programma o esecuzione di codice dannoso. Soglia: 3 occorrenze in 10 minuti	Medium	Buffer Overflow	Tactics: - Inibire la funzione di risposta - Controllo dei processi compromessi - Persistence Techniques: - T0814: Denial of Service - T0806: I/O di forza bruta - T0839: Firmware del modulo	Not learnable
Controller Reset	Un dispositivo di origine ha inviato un comando di reimpostazione a un controller di destinazione. Il controller ha interrotto il funzionamento temporaneamente e viene avviato di nuovo automaticamente.	Low	Comandi di riavvio/arresto	Tactics: - Evasione della difesa - Execution - Inibire la funzione di risposta Techniques: - T0858: Cambiare la modalità operativa - T0814: Denial of Service	Not learnable
Controller Stop	Il dispositivo di origine ha inviato un comando di arresto a un controller di destinazione. Il controller smette di funzionare fino a quando non viene inviato un comando start.	Low	Comandi di riavvio/arresto	Tactics: - Spostamento laterale - Evasione della difesa - Execution - Inibire la funzione di risposta Techniques: - T0843: Download del programma - T0858: Cambiare la modalità operativa - T0814: Denial of Service	Not learnable
Il dispositivo non è riuscito a ricevere un indirizzo IP dinamico	Il dispositivo di origine è configurato per ricevere un indirizzo IP dinamico da un server DHCP ma non ha ricevuto un indirizzo. Indica un errore di configurazione nel dispositivo o un errore operativo nel server DHCP. È consigliabile notificare all'amministratore di rete l'evento imprevisto	Medium	Command Failures	Tactics: - Discovery Techniques: - T0842: Analisi della rete	Not learnable
Il dispositivo è sospetto disconnesso (non risponde)	Un dispositivo di origine non ha risposto a un comando inviato. Potrebbe essere stato disconnesso quando il comando è stato inviato. Soglia: 8 tentativi in 5 minuti	Medium	Unresponsive	Tactics: - Inibire la funzione di risposta Techniques: - T0881: Arresto del servizio	Not learnable
Richiesta del servizio CIP EtherNet/IP non riuscita	Un server ha restituito un codice di errore. Indica un errore del server o una richiesta non valida da parte di un client.	Medium	Command Failures	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato	Not learnable
Comando protocollo di incapsulamento EtherNet/IP non riuscito	Un server ha restituito un codice di errore. Indica un errore del server o una richiesta non valida da parte di un client.	Medium	Command Failures	Tactics: - Collection Techniques: - T0801: Monitorare lo stato del processo	Not learnable
Overflow del buffer eventi in outstation	È stato rilevato un evento di overflow del buffer in un dispositivo di origine. L'evento potrebbe causare danneggiamento dei dati, arresti anomali del programma o esecuzione di codice dannoso.	Medium	Buffer Overflow	Tactics: - Inibire la funzione di risposta - Controllo dei processi compromessi - Persistence Techniques: - T0814: Denial of Service - T0839: Firmware del modulo	Not learnable
L'operazione di backup prevista non è stata eseguita	L'attività di backup/trasferimento file prevista non si è verificata tra due dispositivi. Questo avviso potrebbe indicare errori nel processo di backup/trasferimento file. Soglia: 100 secondi	Medium	Backup	Tactics: - Inibire la funzione di risposta Techniques: - T0809: Distruzione dei dati	Learnable
Errore del comando SRTP GE	Un server ha restituito un codice di errore. Questo avviso indica un errore del server o una richiesta non valida da parte di un client.	Medium	Command Failures	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato	Not learnable
È stato inviato il comando GE SRTP Stop PLC	Il dispositivo di origine ha inviato un comando di arresto a un controller di destinazione. Il controller smette di funzionare fino a quando non viene inviato un comando start.	Low	Comandi di riavvio/arresto	Tactics: - Spostamento laterale - Evasione della difesa - Execution - Inibire la funzione di risposta Techniques: - T0843: Download del programma - T0858: Cambiare la modalità operativa - T0814: Denial of Service	Not learnable
Il blocco di controllo GOOSE richiede un'ulteriore configurazione	Un dispositivo di origine ha inviato un messaggio GOOSE che indica che il dispositivo deve essere commissionato. Ciò significa che il blocco di controllo GOOSE richiede ulteriori configurazioni e i messaggi GOOSE sono parzialmente o completamente non operativi.	Medium	Configuration Changes	Tactics: - Controllo dei processi compromessi - Inibire la funzione di risposta Techniques: - T0803: Blocca messaggio di comando - T0821: Modifica attività controller	Not learnable
La configurazione del set di dati GOOSE è stata modificata *	Un set di dati del messaggio (identificato dall'ID protocollo) è stato modificato in un dispositivo di origine. Ciò significa che il dispositivo segnala un set di dati diverso per questo messaggio.	Low	Configuration Changes	Tactics: - Controllo dei processi compromessi Techniques: - T0836: Modifica parametro	Not learnable
Stato imprevisto del controller Honeywell	Un controller Honeywell ha inviato un messaggio di diagnostica imprevisto che indica una modifica dello stato.	Low	Operational Issues	Tactics: - Evasion - Execution Techniques: - T0858: Cambiare la modalità operativa	Not learnable
Errore del client HTTP *	Il dispositivo di origine ha avviato una richiesta non valida.	Low	Comportamento anomalo della comunicazione HTTP	Tactics: - Comando e controllo Techniques: - T0869: Protocollo di livello applicazione standard	Not learnable
Indirizzo IP non valido	Il sistema ha rilevato il traffico tra un dispositivo di origine e un indirizzo IP non valido. Ciò potrebbe indicare una configurazione errata o un tentativo di generare traffico non valido.	Low	Comportamento delle comunicazioni anomale	Tactics: - Discovery - Controllo dei processi compromessi Techniques: - T0842: Analisi della rete - T0836: Modifica parametro	Not learnable
Errore di autenticazione master-slave	Il processo di autenticazione tra un dispositivo di origine DNP3 (primario) e un dispositivo di destinazione (outstation) non è riuscito.	Low	Authentication	Tactics: - Spostamento laterale - Persistence Techniques: - T0859: Account validi	Not learnable
Richiesta di servizio MMS non riuscita	Un server ha restituito un codice di errore. Indica un errore del server o una richiesta non valida da parte di un client.	Medium	Command Failures	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato	Not learnable
Nessun traffico rilevato nell'interfaccia del sensore	Un sensore ha arrestato il rilevamento del traffico di rete in un'interfaccia di rete.	High	Sensor Traffic	Tactics: - Inibire la funzione di risposta Techniques: - T0881: Arresto del servizio	Not learnable
Il server OPC UA ha generato un evento che richiede l'attenzione dell'utente	Un server OPC UA ha inviato una notifica di evento a un client. Questo tipo di evento richiede l'attenzione dell'utente	Medium	Operational Issues	Tactics: - Inibire la funzione di risposta Techniques: - T0838: Modifica impostazioni allarme	Not learnable
Richiesta di servizio OPC UA non riuscita	Un server ha restituito un codice di errore. Indica un errore del server o una richiesta non valida da parte di un client.	Medium	Command Failures	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato	Not learnable
Outstation Restarted	È stato rilevato un riavvio a freddo in un dispositivo di origine. Ciò significa che il dispositivo è stato fisicamente spento e riattivato.	Low	Comandi di riavvio/arresto	Tactics: - Inibire la funzione di risposta Techniques: - T0816: Riavvio/arresto del dispositivo	Not learnable
Riavvii di outstation frequentemente	È stato rilevato un numero eccessivo di riavvii a freddo in un dispositivo di origine. Ciò significa che il dispositivo è stato fisicamente spento e riattivato un numero eccessivo di volte. Soglia: 2 riavvii in 10 minuti	Low	Comandi di riavvio/arresto	Tactics: - Inibire la funzione di risposta Techniques: - T0814: Denial of Service - T0816: Riavvio/arresto del dispositivo	Not learnable
Configurazione di Outstation modificata	È stata rilevata una modifica di configurazione in un dispositivo di origine.	Medium	Configuration Changes	Tactics: - Inibire la funzione di risposta - Persistence Techniques: - T0857: Firmware di sistema	Not learnable
Rilevata configurazione danneggiata di outstation	Questo dispositivo di origine DNP3 (outstation) ha segnalato una configurazione danneggiata.	Medium	Configuration Changes	Tactics: - Inibire la funzione di risposta Techniques: - T0809: Distruzione dei dati	Not learnable
Comando DCP Profinet non riuscito	Un server ha restituito un codice di errore. Indica un errore del server o una richiesta non valida da parte di un client.	Medium	Command Failures	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato	Not learnable
Ripristino delle impostazioni predefinite del dispositivo Profinet	Un dispositivo di origine ha inviato un comando di ripristino delle impostazioni predefinite a un dispositivo di destinazione Profinet. Il comando reset cancella le configurazioni del dispositivo Profinet e ne arresta l'operazione.	Low	Comandi di riavvio/arresto	Tactics: - Evasione della difesa - Execution - Inibire la funzione di risposta Techniques: - T0858: Cambiare la modalità operativa - T0814: Denial of Service	Not learnable
Operazione RPC non riuscita *	Un server ha restituito un codice di errore. Questo avviso indica un errore del server o una richiesta non valida da parte di un client.	Medium	Command Failures	Tactics: - Controllo dei processi compromessi Techniques: - T0855: Messaggio di comando non autorizzato	Not learnable
Configurazione del set di dati dei messaggi di valori campionati modificata *	Un set di dati del messaggio (identificato dall'ID protocollo) è stato modificato in un dispositivo di origine. Ciò significa che il dispositivo segnala un set di dati diverso per questo messaggio.	Low	Configuration Changes	Tactics: - Controllo dei processi compromessi Techniques: - T0836: Modifica parametro	Not learnable
Errore irreversibile del dispositivo slave *	È stato rilevato un errore di condizione irreversibile in un dispositivo di origine. Questo tipo di errore indica in genere un errore hardware o un errore durante l'esecuzione di un comando specifico.	Medium	Command Failures	Tactics: - Inibire la funzione di risposta Techniques: - T0814: Denial of Service	Not learnable
Sospetto di problemi hardware in outstation	È stato rilevato un errore di condizione irreversibile in un dispositivo di origine. Questo tipo di errore indica in genere un errore hardware o un errore durante l'esecuzione di un comando specifico.	Medium	Operational Issues	Tactics: - Inibire la funzione di risposta Techniques: - T0814: Denial of Service - T0881: Arresto del servizio	Not learnable
Sospetto di un dispositivo MODBUS non risponde	Un dispositivo di origine non ha risposto a un comando inviato. Potrebbe essere stato disconnesso quando il comando è stato inviato. Soglia: minimo 1 risposta valida per un minimo di 3 richieste entro 5 minuti	Low	Unresponsive	Tactics: - Inibire la funzione di risposta Techniques: - T0881: Arresto del servizio	Not learnable
Traffico rilevato nell'interfaccia del sensore	Un sensore ha ripreso il rilevamento del traffico di rete in un'interfaccia di rete.	Low	Sensor Traffic	Tactics: - Discovery Techniques: - T0842: Analisi della rete	Not learnable
Modalità operativa PLC modificata	La modalità operativa su questo PLC è cambiata. La nuova modalità potrebbe indicare che il PLC non è sicuro. Lasciare il PLC in una modalità operativa non sicura potrebbe consentire agli avversari di eseguire attività dannose su di esso, ad esempio un download di programma. Se il PLC è compromesso, i dispositivi e i processi che interagiscono con esso potrebbero essere interessati. Ciò potrebbe influire sulla sicurezza complessiva del sistema e sulla sicurezza.	Low	Configuration changes	Tactics: - Execution - Evasion Techniques: - T0858: Cambiare la modalità operativa	Not learnable

Next steps

Per altre informazioni, vedi: