This article provides a reference of the alerts that are generated by Microsoft Defender for IoT network sensors, including a list of all alert types and descriptions. また、学習可能な状態の詳細については、「 Alert statuses and triaging options」を参照してください。 この参照を使用して、アラートをプレイブック、転送ルール、運用テクノロジ (OT) ネットワーク センサーその他のカスタム アクティビティにマップできます。
既定でオフになっている OT アラート
次の表のアスタリスク (*) で示されているように、いくつかのアラートが既定でオフになっています。 OT sensor Admin users can enable or disable alerts from the Support page on a specific OT network sensor.
アラート転送ルールなど、他の場所で参照されているアラートをオフにする場合は、必要に応じてそれらの参照を確実に更新してください。
Alert severities
Defender for IoT アラートでは、次の重大度レベルが使用されます。
| Azure portal | OT sensor | Description |
|---|---|---|
| High | Critical | 直ちに処理する必要がある悪意のある攻撃を示します。 |
| Medium | Major | 対処することが重要なセキュリティ上の脅威を示します。 |
| Low | Minor, Warning | セキュリティ上の脅威を含む可能性があるか、セキュリティ上の脅威を含まないベースライン動作からの逸脱を示します。 |
このページのアラートの重大度には、Azure portal に示されている重大度が一覧表示されます。
サポートされているアラートの種類
| Alert type | Description |
|---|---|
| ポリシー違反アラート | 以前に学習したトラフィックからの逸脱がポリシー違反エンジンによって検出されたときにトリガーされます。 For example: - 新しいデバイスが検出された。 - デバイス上に新しい構成が検出された。 - プログラミング デバイスとして定義されていないデバイスによってプログラミングの変更が行われている。 - ファームウェアのバージョンが変更された。 |
| プロトコル違反アラート | プロトコル仕様に準拠していないパケット構造またはフィールド値がプロトコル違反エンジンによって検出されたときにトリガーされます。 |
| Operational alerts | ネットワークの運用上のインシデントまたはデバイスの誤動作が運用エンジンによって検出されたときにトリガーされます。 たとえば、ネットワーク デバイスが Stop PLC コマンドによって停止された場合、またはセンサーのインターフェイスがトラフィックの監視を停止した場合などです。 |
| Malware alerts | 悪意のあるネットワーク アクティビティがマルウェア対策エンジンによって検出されたときにトリガーされます。 たとえば、エンジンにより、Conficker などの既知の攻撃が検出されるなどです。 |
| Anomaly alerts | 異常エンジンによって逸脱が検出されたときにトリガーされます。 たとえば、ネットワークスキャンを実行しているデバイスがスキャンデバイスとして定義されていない場合などです。 |
Defender for IoT のアラート検出ポリシーは、ビジネスへの影響とネットワーク コンテキストに基づいてアラートをトリガーし、価値の低い IT 関連のアラートを減らすために、さまざまなアラート エンジンを誘導します。 詳細については、「OT/IT 環境での集中アラート」を参照してください。
サポートされているアラートのカテゴリ
各アラートには、次のいずれかのカテゴリがあります。
- 異常な通信動作
- 異常な HTTP 通信動作
- Authentication
- Backup
- Bandwidth Anomalies
- Buffer overflow
- Command Failures
- Configuration changes
- Custom Alerts
- Discovery
- Firmware change
- Illegal commands
- Internet Access
- Operation Failures
- Operational issues
- Programming
- Remote access
- Restart/Stop Commands
- Scan
- Sensor traffic
- 悪意のあるアクティビティの疑い
- マルウェアの疑い
- 未承認の通信動作
- Unresponsive
ポリシー エンジンのアラート
ポリシー エンジンのアラートは、検出された学習したベースライン動作からの逸脱を示します。
The policy engine alerts table contains the Aggregated item to indicate that multiple alerts of this type can be grouped together and listed only once in the Alerts page to reduce alert fatigue. For more information, see aggregated alerts.
| Title | Description | Severity | Category | MITRE ATT&CK 戦術と手法 |
Learnable | Aggregated violations |
|---|---|---|---|---|---|---|
| Beckhoff Software Changed(Beckhoff ソフトウェアの変更) | ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 | Medium | Firmware Change |
Tactics: - 応答を抑制する関数 - Persistence Techniques: - T0857: システム ファームウェア |
Learnable | No |
| Database Login Failed(データベースへのログインに失敗) | ソースデバイスから宛先サーバーへのサインイン試行の失敗が検出されました。 これは、人為的なエラーが原因である可能性がありますが、サーバーまたはそのデータを脅かす悪意のある試みを示している可能性もあります。 しきい値: 5 分間でサインイン失敗が 2 回 |
Medium | Authentication |
Tactics: - 横移動 - Collection Techniques: - T0812: 既定の資格情報 - T0811: 情報リポジトリからのデータ |
Not learnable | No |
| Emerson ROC Firmware Version Changed(Emerson ROC ファームウェアのバージョンの変更) | ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 | Medium | Firmware Change |
Tactics: - 応答を抑制する関数 - Persistence Techniques: - T0857: システム ファームウェア |
Learnable | Yes |
| External address within the network communicated with Internet(ネットワーク内の外部アドレスがインターネットと通信) | ネットワーク内の別のインターネット デバイスと通信するインターネット デバイス。 | High | Internet Access |
Tactics: - 初期アクセス Techniques: - T0883: インターネット アクセス可能なデバイス |
Learnable | No |
| Field Device Discovered Unexpectedly(フィールド デバイスを予期せず検出) | ネットワーク上で新しいソース デバイスが検出されましたが、承認されていません。 | Medium | Discovery |
Tactics: - Discovery Techniques: - T0842: ネットワーク スニッフィング |
Not learnable | No |
| Firmware Change Detected(ファームウェアの変更を検出) | ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 | Medium | Firmware Change |
Tactics: - 応答を抑制する関数 - Persistence Techniques: - T0857: システム ファームウェア |
Not learnable | No |
| Firmware Version Changed(ファームウェアのバージョンの変更) | ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 | Medium | Firmware Change |
Tactics: - 応答を抑制する関数 - Persistence Techniques: - T0857: システム ファームウェア |
Learnable | Yes |
| Foxboro I/A Unauthorized Operation(Foxboro I/A の許可されていない操作) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう Techniques: - T0855: 承認されていないコマンド メッセージ - T0836: パラメーターの変更 |
Learnable | Yes |
| FTP Login Failed(FTP のログインに失敗) | ソースデバイスから宛先サーバーへのサインイン試行の失敗が検出されました。 このアラートは、人為的なエラーが原因である可能性がありますが、サーバーまたはそのデータを脅かす悪意のある試みを示している可能性もあります。 | Medium | Authentication |
Tactics: - 横移動 - コマンドとコントロール Techniques: - T0812: 既定の資格情報 - T0869: 標準のアプリケーション層プロトコル |
Not learnable | No |
| 関数コードで未許可の例外が発生* | ソース デバイス (セカンダリ) から宛先デバイス (プライマリ) に例外が返されました。 | Medium | Command Failures |
Tactics: - 応答を抑制する関数 Techniques: - T0835: I/O イメージの操作 |
Learnable | Yes |
| GOOSE Message Type Settings(GOOSE メッセージの種類の設定) | ソース デバイスでメッセージ (プロトコル ID によって識別) の設定が変更されました。 | Low | 未承認の通信動作 |
Tactics: - プロセス制御を損なう Techniques: - T0836: パラメーターの変更 |
Learnable | Yes |
| Honeywell Firmware Version Changed(Honeywell ファームウェアのバージョンの変更) | ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 | Medium | Firmware Change |
Tactics: - 応答を抑制する関数 - Persistence Techniques: - T0857: システム ファームウェア |
Learnable | No |
| Illegal HTTP Communication(不正な HTTP 通信)* | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 異常な HTTP 通信動作 |
Tactics: - Discovery Techniques: - T0846: リモート システムの探索 |
Learnable | No |
| Internet Access Detected(インターネット アクセスの検出) | 内部デバイスが、送信インターネット接続を実行しようと予期しない試行を行いました。 | Medium | Internet Access |
Tactics: - 初期アクセス Techniques: - T0883: インターネット アクセス可能なデバイス |
Learnable | No |
| Mitsubishi Firmware Version Changed(Mitsubishi ファームウェアのバージョンの変更) | ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 | Medium | Firmware Change |
Tactics: - 応答を抑制する関数 - Persistence Techniques: - T0857: システム ファームウェア |
Learnable | No |
| Modbus Address Range Violation(Modbus アドレス範囲違反) | プライマリ デバイスが、新しいセカンダリ メモリ アドレスへのアクセスを要求しました。 | Medium | 未承認の通信動作 |
Tactics: - Discovery Techniques: - T0842: ネットワーク スニッフィング |
Learnable | Yes |
| Modbus Firmware Version Changed(Modbus ファームウェアのバージョンの変更) | ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 | Medium | Firmware Change |
Tactics: - 応答を抑制する関数 - Persistence Techniques: - T0857: システム ファームウェア |
Learnable | No |
| New Activity Detected - CIP Class(新しいアクティビティの検出 - CIP クラス) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - Discovery Techniques: - T0888: リモート システム情報の探索 |
Learnable | Yes |
| New Activity Detected - CIP Class Service(新しいアクティビティの検出 - CIP クラス サービス) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - 応答を抑制する関数 Techniques: - T0836: パラメーターの変更 |
Learnable | Yes |
| New Activity Detected - CIP PCCC Command(新しいアクティビティの検出 - CIP PCCC コマンド) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - 応答を抑制する関数 Techniques: - T0836: パラメーターの変更 |
Learnable | Yes |
| New Activity Detected - CIP Symbol(新しいアクティビティの検出 - CIP シンボル) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう - 応答を抑制する関数 Techniques: - T0855: 承認されていないコマンド メッセージ - T0836: パラメーターの変更 |
Learnable | Yes |
| New Activity Detected - EtherNet/IP I/O Connection(新しいアクティビティの検出 - イーサネットまたは IP I/O 接続) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - Discovery - 応答を抑制する関数 Techniques: - T0846: リモート システム検出 - T0835: I/O イメージの操作 |
Learnable | Yes |
| New Activity Detected - EtherNet/IP Protocol Command(新しいアクティビティの検出 - イーサネットまたは IP プロトコル コマンド) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - 応答を抑制する関数 Techniques: - T0836: パラメーターの変更 |
Learnable | Yes |
| New Activity Detected - GSM Message Code(新しいアクティビティの検出 - GSM メッセージ コード) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - CommandAndControl Techniques: - T0869: 標準のアプリケーション層プロトコル |
Learnable | Yes |
| New Activity Detected - LonTalk Command Codes(新しいアクティビティの検出 - LonTalk コマンド コード) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - Collection - プロセス制御を損なう Techniques: - T0861 - ポイント & タグ識別 - T0855: 許可されていないコマンド メッセージ |
Learnable | Yes |
| New Activity Detected - LonTalk Network Variable(新しいアクティビティの検出 - LonTalk ネットワーク変数) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう Techniques: - T0855: 許可されていないコマンド メッセージ |
Learnable | Yes |
| New Activity Detected - Ovation Data Request(新しいアクティビティの検出 - Ovation データ要求) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - Collection - Discovery Techniques: - T0801: プロセスの状態を監視する - T0888: リモート システム情報の探索 |
Learnable | Yes |
| New Activity Detected - Read/Write Command (AMS Index Group)(新しいアクティビティの検出 - 読み取り/書き込みコマンド (AMS インデックス グループ)) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | Configuration Changes |
Tactics: - プロセス制御を損なう - 応答を抑制する関数 Techniques: - T0855: 承認されていないコマンド メッセージ - T0836: パラメーターの変更 |
Learnable | Yes |
| New Activity Detected - Read/Write Command (AMS Index Offset)(新しいアクティビティの検出 - 読み取り/書き込みコマンド (AMS インデックス オフセット)) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | Configuration Changes |
Tactics: - プロセス制御を損なう - 応答を抑制する関数 Techniques: - T0855: 承認されていないコマンド メッセージ - T0836: パラメーターの変更 |
Learnable | Yes |
| New Activity Detected - Unauthorized DeltaV Message Type(新しいアクティビティの検出 - 許可されていない DeltaV のメッセージの種類) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう - Execution Techniques: - T0855: 承認されていないコマンド メッセージ - T0821: コントローラーのタスクの変更 |
Learnable | Yes |
| New Activity Detected - Unauthorized DeltaV ROC Operation(新しいアクティビティの検出 - 許可されていない DeltaV の ROC 操作) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう - Execution Techniques: - T0855: 承認されていないコマンド メッセージ - T0821: コントローラーのタスクの変更 |
Learnable | Yes |
| New Activity Detected - Unauthorized RPC Message Type(新しいアクティビティの検出 - 許可されていない RPC のメッセージの種類) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう Techniques: - T0855: 許可されていないコマンド メッセージ |
Learnable | Yes |
| New Activity Detected - Using AMS Protocol Command(新しいアクティビティの検出 - AMS プロトコル コマンドの使用) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう - 応答を抑制する関数 - Execution Techniques: - T0855: 承認されていないコマンド メッセージ - T0836: パラメーターの変更 - T0821: コントローラーのタスクの変更 |
Learnable | Yes |
| New Activity Detected - Using Siemens SICAM Command(新しいアクティビティの検出 - Siemens SICAM コマンドの使用) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう - 応答を抑制する関数 Techniques: - T0855: 承認されていないコマンド メッセージ - T0836: パラメーターの変更 |
Learnable | Yes |
| New Activity Detected - Using Suitelink Protocol command(新しいアクティビティの検出 - Suitelink プロトコル コマンドの使用) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう - 応答を抑制する関数 Techniques: - T0855: 承認されていないコマンド メッセージ - T0836: パラメーターの変更 |
Learnable | Yes |
| New Activity Detected - Using Suitelink Protocol sessions(新しいアクティビティの検出 - Suitelink プロトコル セッションの使用) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう Techniques: - T0836: パラメーターの変更 |
Learnable | Yes |
| New Activity Detected - Using Yokogawa VNetIP Command(新しいアクティビティの検出 - Yokogawa VNetIP コマンドの使用) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう - Execution Techniques: - T0855: 承認されていないコマンド メッセージ - T0821: コントローラーのタスクの変更 |
Learnable | Yes |
| New Asset Detected(新しい資産の検出) | ネットワーク上で新しいソース デバイスが検出されましたが、承認されていません。 このアラートは、OT サブネットで検出されたデバイスに適用されます。 IT サブネットで検出された新しいデバイスでは、アラートはトリガーされません。 |
Medium | Discovery |
Tactics: - Discovery Techniques: - T0842: ネットワーク スニッフィング |
Learnable | No |
| New LLDP Device Configuration(新しい LLDP デバイス構成) | ネットワーク上で新しいソース デバイスが検出されましたが、承認されていません。 | Medium | Configuration Changes |
Tactics: - Discovery Techniques: - T0842: ネットワーク スニッフィング |
Learnable | No |
| Omron FINS Unauthorized Command(Omron FINS の許可されていないコマンド) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう Techniques: - T0855: 承認されていないコマンド メッセージ - T0836: パラメーターの変更 |
Learnable | Yes |
| S7 Plus PLC Firmware Changed(S7 Plus PLC ファームウェアの変更) | ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 | Medium | Firmware Change |
Tactics: - 応答を抑制する関数 - Persistence Techniques: - T0857: システム ファームウェア |
Learnable | No |
| Sampled Values Message Type Settings(サンプリングされた値のメッセージの種類に関する設定) | ソース デバイスでメッセージ (プロトコル ID によって識別) の設定が変更されました。 | Low | 未承認の通信動作 |
Tactics: - プロセス制御を損なう Techniques: - T0836: パラメーターの変更 |
Not learnable | Yes |
| 無効な整合性スキャンの疑い* | DNP3 ソース デバイス (Outstation) でスキャンが検出されました。 このスキャンは、ネットワーク上で学習したトラフィックとして許可されていません。 | Medium | Scan |
Tactics: - Discovery Techniques: - T0842: ネットワーク スニッフィング |
Learnable | No |
| Toshiba Computer Link Unauthorized Command(Toshiba コンピューター リンクの許可されていないコマンド) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Low | 未承認の通信動作 |
Tactics: - プロセス制御を損なう - Execution Techniques: - T0855: 承認されていないコマンド メッセージ - T0821: コントローラーのタスクの変更 |
Learnable | Yes |
| Unauthorized ABB Totalflow File Operation(許可されていない ABB Totalflow ファイル操作) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう - Execution Techniques: - T0855: 承認されていないコマンド メッセージ - T0821: コントローラーのタスクの変更 |
Not learnable | Yes |
| Unauthorized ABB Totalflow Register Operation(許可されていない ABB Totalflow の登録操作) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう - Execution Techniques: - T0855: 承認されていないコマンド メッセージ - T0821: コントローラーのタスクの変更 |
Not learnable | Yes |
| Unauthorized Access to Siemens S7 Data Block(Siemens S7 データ ブロックへの許可されていないアクセス) | ソース デバイスが別のデバイス上のリソースにアクセスしようとしました。 これら 2 つのデバイス間のこのリソースへのアクセス試行は、ネットワーク上の学習トラフィックとして承認されていません。 | Low | 未承認の通信動作 |
Tactics: - プロセス制御を損なう - 初期アクセス Techniques: - T0855: 承認されていないコマンド メッセージ - T0811: 情報リポジトリからのデータ |
Learnable | Yes |
| Unauthorized Access to Siemens S7 Plus Object(Siemens S7 Plus オブジェクトへの許可されていないアクセス) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう - Execution - 応答を抑制する関数 Techniques: - T0855: 承認されていないコマンド メッセージ - T0821: コントローラー のタスクを変更する - T0809: データの破壊 |
Learnable | Yes |
| Unauthorized Access to Wonderware Tag(Wonderware タグへの許可されていないアクセス) | ソース デバイスが別のデバイス上のリソースにアクセスしようとしました。 これら 2 つのデバイス間のこのリソースへのアクセス試行は、ネットワーク上の学習トラフィックとして承認されていません。 | Medium | 未承認の通信動作 |
Tactics: - Collection - プロセス制御を損なう Techniques: - T0861: ポイントとタグの識別 - T0855: 許可されていないコマンド メッセージ |
Learnable | Yes |
| Unauthorized BACNet Object Access(BACNet オブジェクトへの許可されていないアクセス) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう - Execution Techniques: - T0855: 承認されていないコマンド メッセージ - T0821: コントローラーのタスクの変更 |
Learnable | Yes |
| Unauthorized BACNet Route(許可されていない BACNet ルート) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう - Execution Techniques: - T0855: 承認されていないコマンド メッセージ - T0821: コントローラーのタスクの変更 |
Learnable | Yes |
| 許可されていないデータベース ログイン* | ソースクライアントと宛先サーバーの間でサインイン試行が検出されました。 これらのデバイス間の通信は、ネットワーク上の学習トラフィックとして承認されていません。 | Medium | Authentication |
Tactics: - 横移動 - Persistence - Collection Techniques: - T0859: 有効なアカウント - T0811: 情報リポジトリからのデータ |
Learnable | No |
| Unauthorized Database Operation(許可されていないデータベース操作) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 異常な通信動作 |
Tactics: - プロセス制御を損なう - 初期アクセス Techniques: - T0855: 承認されていないコマンド メッセージ - T0811: 情報リポジトリからのデータ |
Learnable | Yes |
| Unauthorized Emerson ROC Operation(許可されていない Emerson electric ROC 操作) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう - Execution Techniques: - T0855: 承認されていないコマンド メッセージ - T0821: コントローラーのタスクの変更 |
Learnable | Yes |
| Unauthorized GE SRTP File Access(許可されていない GE SRTP ファイル アクセス) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - Collection - LateralMovement - Persistence Techniques: - T0801: プロセスの状態を監視する - T0859: 有効なアカウント |
Learnable | Yes |
| Unauthorized GE SRTP Protocol Command(許可されていない GE SRTP プロトコル コマンド) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう Techniques: - T0855: 承認されていないコマンド メッセージ - T0821: コントローラーのタスクの変更 |
Learnable | Yes |
| Unauthorized GE SRTP System Memory Operation(許可されていない GE SRTP システム メモリ操作) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - Discovery - プロセス制御を損なう Techniques: - T0846: リモート システム検出 - T0855: 許可されていないコマンド メッセージ |
Learnable | Yes |
| Unauthorized HTTP Activity(許可されていない HTTP アクティビティ) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 異常な HTTP 通信動作 |
Tactics: - 初期アクセス - コマンドとコントロール Techniques: - T0822: 外部リモート サービス - T0869: 標準のアプリケーション層プロトコル |
Learnable | No |
| Unauthorized HTTP SOAP Action(許可されていない HTTP SOAP アクション)* | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 異常な HTTP 通信動作 |
Tactics: - コマンドとコントロール - Execution Techniques: - T0869: 標準アプリケーション層プロトコル - T0871: API による実行 |
Learnable | No |
| Unauthorized HTTP User Agent(許可されていない HTTP ユーザー エージェント)* | ソース デバイスで、許可されていないアプリケーションが検出されました。 アプリケーションは、ネットワーク上の学習済みアプリケーションとして承認されていません。 | Medium | 異常な HTTP 通信動作 |
Tactics: - コマンドとコントロール Techniques: - T0869: 標準のアプリケーション層プロトコル |
Learnable | No |
| Unauthorized Internet Connectivity Detected(不正なインターネット接続の検出) | 内部デバイスがインターネットと正常に通信しました。 | High | Internet Access |
Tactics: - 初期アクセス Techniques: - T0883: インターネット アクセス可能なデバイス |
Learnable | No |
| Unauthorized Mitsubishi MELSEC Command(許可されていない Mitsubishi MELSEC コマンド) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう - Execution Techniques: - T0855: 承認されていないコマンド メッセージ - T0821: コントローラーのタスクの変更 |
Learnable | Yes |
| Unauthorized MMS Program Access(許可されていない MMS プログラム アクセス) | ソース デバイスが別のデバイス上のリソースにアクセスしようとしました。 これら 2 つのデバイス間のこのリソースへのアクセス試行は、ネットワーク上の学習トラフィックとして承認されていません。 | Medium | Programming |
Tactics: - プロセス制御を損なう - Execution Techniques: - T0855: 承認されていないコマンド メッセージ - T0821: コントローラーのタスクの変更 |
Learnable | Yes |
| Unauthorized MMS Service(許可されていない MMS サービス) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう - Execution Techniques: - T0855: 承認されていないコマンド メッセージ - T0821: コントローラーのタスクの変更 |
Learnable | Yes |
| Unauthorized Multicast/Broadcast Connection(許可されていないマルチキャスト/ブロードキャスト接続) | ソース デバイスと他のデバイスとの間で、マルチキャスト/ブロードキャスト接続が検出されました。 マルチキャスト/ブロードキャスト通信は許可されていません。 | High | 異常な通信動作 |
Tactics: - Discovery Techniques: - T0842: ネットワーク スニッフィング |
Learnable | Yes |
| Unauthorized Name Query(許可されていない名前のクエリ) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 異常な通信動作 |
Tactics: - プロセス制御を損なう Techniques: - T0836: パラメーターの変更 |
Not learnable | Yes |
| Unauthorized OPC UA Activity(許可されていない OPC UA アクティビティ) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう Techniques: - T0836: パラメーターの変更 |
Learnable | Yes |
| Unauthorized OPC UA Request/Response(許可されていない OPC UA 要求/応答) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう Techniques: - T0836: パラメーターの変更 |
Learnable | Yes |
| Unauthorized Operation was detected by a User Defined Rule(ユーザー定義のルールで許可されていない操作を検出) | 2 つのデバイス間でトラフィックが検出されました。 このアクティビティは、ユーザーが定義したカスタム アラート ルールに基づいて許可されていません。 | Medium | Custom Alerts |
Tactics: - Discovery Techniques: - T0842: ネットワーク スニッフィング |
Not learnable | No |
| Unauthorized PLC Configuration Read(許可されていない PLC 構成の読み取り) | プログラミング デバイスとして定義されていないソース デバイスが、宛先コントローラーで読み取り/書き込み操作を実行しました。 プログラミングの変更は、プログラミング デバイスのみが実行する必要があります。 このデバイスにプログラミング アプリケーションがインストールされている可能性があります。 | Low | Configuration Changes |
Tactics: - Collection Techniques: - T0801: プロセス状態の監視 |
Learnable | No |
| Unauthorized PLC Configuration Write(許可されていない PLC 構成の書き込み) | ソース デバイスが、宛先コントローラーのプログラムの読み取り/書き込みを行うコマンドを送信しました。 このアクティビティは、以前は検出されませんでした。 | Medium | Configuration Changes |
Tactics: - プロセス制御を損なう - Persistence - Impact Techniques: - T0839: モジュール ファームウェア - T0831: コントロールの操作 - T0889: プログラムの変更 |
Learnable | No |
| Unauthorized PLC Program Upload(許可されていない PLC プログラム アップロード) | ソース デバイスが、宛先コントローラーのプログラムの読み取り/書き込みを行うコマンドを送信しました。 このアクティビティは、以前は検出されませんでした。 | Medium | Programming |
Tactics: - プロセス制御を損なう - Persistence - Collection Techniques: - T0839: モジュール ファームウェア - T0845: プログラムのアップロード |
Learnable | No |
| Unauthorized PLC Programming(許可されていない PLC プログラミング) | プログラミング デバイスとして定義されていないソース デバイスが、宛先コントローラーで読み取り/書き込み操作を実行しました。 プログラミングの変更は、プログラミング デバイスのみが実行する必要があります。 このデバイスにプログラミング アプリケーションがインストールされている可能性があります。 | High | Programming |
Tactics: - プロセス制御を損なう - Persistence - 横移動 Techniques: - T0839: モジュール ファームウェア - T0889: プログラムの変更 - T0843: プログラムのダウンロード |
Learnable | No |
| Unauthorized Profinet Frame Type(許可されていない Profinet フレームの種類) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう Techniques: - T0836: パラメーターの変更 |
Learnable | Yes |
| Unauthorized SAIA S-Bus Command(許可されていない SAIA S-Bus コマンド) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう Techniques: - T0855: 許可されていないコマンド メッセージ |
Learnable | Yes |
| Unauthorized Siemens S7 Execution of Control Function(許可されていない、Siemens S7 による制御関数の実行) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう - 応答を抑制する関数 Techniques: - T0855: 承認されていないコマンド メッセージ - T0809: データの破壊 |
Learnable | Yes |
| Unauthorized Siemens S7 Execution of User Defined Function(許可されていない、Siemens S7 によるユーザー定義関数の実行) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう - Execution Techniques: - T0836: パラメーターの変更 - T0863: ユーザー実行 |
Learnable | Yes |
| Unauthorized Siemens S7 Plus Block Access(許可されていない、Siemens S7 Plus によるブロックへのアクセス) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - 応答を抑制する関数 - Persistence - Execution Techniques: - T0803 - ブロック コマンド メッセージ - T0889: プログラムの変更 - T0821: コントローラーのタスクの変更 |
Learnable | Yes |
| Unauthorized Siemens S7 Plus Operation(許可されていない Siemens S7 Plus 操作) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう - Execution Techniques: - T0855: 承認されていないコマンド メッセージ - T0863: ユーザー実行 |
Learnable | Yes |
| Unauthorized SMB Login(許可されていない SMB ログイン) | ソースクライアントと宛先サーバーの間でサインイン試行が検出されました。 これらのデバイス間の通信は、ネットワーク上の学習トラフィックとして承認されていません。 | Medium | Authentication |
Tactics: - 初期アクセス - 横移動 - Persistence Techniques: - T0886: リモート サービス - T0859: 有効なアカウント |
Learnable | Yes |
| Unauthorized SNMP Operation(許可されていない SNMP 操作) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 異常な通信動作 |
Tactics: - Discovery - コマンドとコントロール Techniques: - T0842: ネットワーク スニッフィング - T0885: 使用頻度の高いポート |
Learnable | Yes |
| Unauthorized SSH Access(許可されていない SSH アクセス) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | Remote Access |
Tactics: - InitialAccess - 横移動 - コマンドとコントロール Techniques: - T0886: リモート サービス - T0869: 標準のアプリケーション層プロトコル |
Learnable | No |
| Unauthorized Windows Process(許可されていない Windows プロセス) | ソース デバイスで、許可されていないアプリケーションが検出されました。 アプリケーションは、ネットワーク上の学習済みアプリケーションとして承認されていません。 | Medium | 異常な通信動作 |
Tactics: - Execution - 特権エスカレーション - コマンドとコントロール Techniques: - T0841: フック - T0885: 使用頻度の高いポート |
Learnable | Yes |
| Unauthorized Windows Service(許可されていない Windows サービス) | ソース デバイスで、許可されていないアプリケーションが検出されました。 アプリケーションは、ネットワーク上の学習済みアプリケーションとして承認されていません。 | Medium | 異常な通信動作 |
Tactics: - 初期アクセス - 横移動 Techniques: - T0866: リモート サービスの悪用 |
Learnable | Yes |
| Unauthorized Operation was detected by a User Defined Rule(ユーザー定義のルールで許可されていない操作を検出) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ユーザー定義のルールに違反します | Medium |
Tactics: - Discovery Techniques: - T0842: ネットワーク スニッフィング |
Not learnable | No | |
| Unpermitted Modbus Schneider Electric Extension(許可されていない Modbus Schneider Electric 拡張機能) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう Techniques: - T0855: 許可されていないコマンド メッセージ |
Learnable | Yes |
| Unpermitted Usage of ASDU Types(ASDU 型の許可されていない使用法) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう Techniques: - T0855: 許可されていないコマンド メッセージ |
Learnable | Yes |
| Unpermitted Usage of DNP3 Function Code(DNP3 関数コードの許可されていない使用法) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう Techniques: - T0836: パラメーターの変更 |
Learnable | Yes |
| 内部指示 (IIN) の許可されていない使用法* | DNP3 ソース デバイス (Outstation) によって、ネットワーク上で学習したトラフィックとして許可されていない内部指示 (IIN) が報告されました。 | Medium | Illegal Commands |
Tactics: - Discovery Techniques: - T0842: ネットワーク スニッフィング |
Learnable | No |
| Unpermitted Usage of Modbus Function Code(Modbus 関数コードの許可されていない使用法) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 | Medium | 未承認の通信動作 |
Tactics: - プロセス制御を損なう Techniques: - T0836: パラメーターの変更 |
Learnable | Yes |
異常エンジンのアラート
Note
This article contains references to the term slave, a term that Microsoft no longer uses. ソフトウェアからこの用語が削除された時点で、この記事から削除します。
異常エンジンのアラートは、ネットワーク アクティビティで検出された異常を示します。
| Title | Description | Severity | Category | MITRE ATT&CK 戦術と手法 |
Learnable |
|---|---|---|---|---|---|
| スレーブでの異常な例外パターン* | ソース デバイスで過剰な数のエラーが検出されました。 このアラートは、運用上の問題の結果である可能性があります。 しきい値: 1 時間で例外が 20 個 |
Low | 異常な通信動作 |
Tactics: - プロセス制御を損なう Techniques: - T0806: ブルート フォース I/O |
Not learnable |
| Abnormal HTTP Header Length(異常な HTTP ヘッダー長)* | ソース デバイスが異常なメッセージを送信しました。 このアラートは、宛先デバイスへの攻撃の試行を示している可能性があります。 | High | 異常な HTTP 通信動作 |
Tactics: - 初期アクセス - 横移動 - コマンドとコントロール Techniques: - T0866: リモート サービスの悪用 - T0869: 標準のアプリケーション層プロトコル |
Learnable |
| Abnormal Number of Parameters in HTTP Header(HTTP ヘッダーのパラメーター数が異常)* | ソース デバイスが異常なメッセージを送信しました。 このアラートは、宛先デバイスへの攻撃の試行を示している可能性があります。 | High | 異常な HTTP 通信動作 |
Tactics: - 初期アクセス - 横移動 - コマンドとコントロール Techniques: - T0866: リモート サービスの悪用 - T0869: 標準のアプリケーション層プロトコル |
Learnable |
| Abnormal Periodic Behavior In Communication Channel(通信チャネルの定期的な動作の異常) | ソースと宛先のデバイス間での通信頻度の変化が検出されました。 | Low | 異常な通信動作 |
Tactics: - Discovery Techniques: - T0842: ネットワーク スニッフィング |
Learnable |
| アプリケーションの異常終了* | ソース デバイスで過剰な数の stop コマンドが検出されました。 このアラートは、運用上の問題またはデバイスの操作の試行の結果である可能性があります。 しきい値: 3 時間で停止コマンドが 20 個 |
Medium | 異常な通信動作 |
Tactics: - Persistence - Impact Techniques: - T0889: プログラムの変更 - T0831: コントロールの操作 |
Learnable |
| トラフィックの帯域幅が異常* | チャネルで異常な帯域幅が検出されました。 帯域幅が、以前に検出されたときより低く/高くなっていると思われます。 詳細については、[帯域幅の合計] ウィジェットを操作してください。 | Low | Bandwidth Anomalies |
Tactics: - Discovery Techniques: - T0842: ネットワーク スニッフィング |
Learnable |
| デバイス間のトラフィック帯域幅が異常* | チャネルで異常な帯域幅が検出されました。 帯域幅が、以前に検出されたときより低く/高くなっていると思われます。 詳細については、[帯域幅の合計] ウィジェットを操作してください。 | Low | Bandwidth Anomalies |
Tactics: - Discovery Techniques: - T0842: ネットワーク スニッフィング |
Not learnable |
| Address Scan Detected(アドレスのスキャンを検出) | ソース デバイスで、ネットワーク デバイスのスキャンが検出されました。 このデバイスは、ネットワーク スキャン デバイスとして承認されていません。 しきい値: 2 分間で同じ B クラス サブネットへの接続が 50 回 |
High | Scan |
Tactics: - Discovery Techniques: - T0842: ネットワーク スニッフィング |
Learnable |
| ARP アドレスのスキャンを検出* | ソース デバイスで、アドレス解決プロトコル (ARP) を使用したネットワーク デバイスのスキャンが検出されました。 このデバイス アドレスは、有効な ARP スキャン アドレスとして承認されていません。 しきい値: 6 分間でスキャンが 40 回 |
High | Scan |
Tactics: - Discovery - Collection Techniques: - T0842: ネットワーク スニッフィング - T0830: アクティブな中間者 |
Learnable |
| ARP スプーフィング* | ネットワークで異常な数のパケットが検出されました。 このアラートは、ARP スプーフィングや ICMP フラッド攻撃などの攻撃を示している可能性があります。 しきい値: 1 分間でパケットが 60 個 |
Low | 異常な通信動作 |
Tactics: - Collection Techniques: - T0830: アクティブな中間者 |
Not learnable |
| Excessive Login Attempts(過剰なログイン試行) | ソースデバイスで、宛先サーバーへのサインイン試行が過剰に行われていることが検出されました。 このアラートは、ブルート フォース攻撃を示している可能性があります。 悪意のあるアクターによってサーバーが侵害される可能性があります。 しきい値: 1 分間でサインイン試行が 20 回 |
High | Authentication |
Tactics: - LateralMovement - プロセス制御を損なう Techniques: - T0812: 既定の資格情報 - T0806: ブルート フォース I/O |
Not learnable |
| Excessive Number of Sessions(過剰な数のセッション) | ソースデバイスで、宛先サーバーへのサインイン試行が過剰に行われていることが検出されました。 これはブルート フォース攻撃を示している可能性があります。 悪意のあるアクターによってサーバーが侵害される可能性があります。 しきい値: 1 分間でセッションが 50 回 |
High | 異常な通信動作 |
Tactics: - 横移動 - プロセス制御を損なう Techniques: - T0812: 既定の資格情報 - T0806: ブルート フォース I/O |
Not learnable |
| Outstation の過剰な再起動率* | ソース デバイスで過剰な数の restart コマンドが検出されました。 これらのアラートは、運用上の問題またはデバイスの操作の試行の結果である可能性があります。 しきい値: 1 時間で再起動が 10 回 |
Medium | 再起動または停止コマンド |
Tactics: - 応答を抑制する関数 - プロセス制御を損なう Techniques: - T0814: サービス拒否 - T0806: ブルート フォース I/O |
Not learnable |
| Excessive SMB login attempts(過剰な SMB ログイン試行) | ソースデバイスで、宛先サーバーへのサインイン試行が過剰に行われていることが検出されました。 これはブルート フォース攻撃を示している可能性があります。 悪意のあるアクターによってサーバーが侵害される可能性があります。 しきい値: 10 分間でサインイン試行が 10 回 |
High | Authentication |
Tactics: - Persistence - Execution - LateralMovement Techniques: - T0812: 既定の資格情報 - T0853: スクリプト - T0859: 有効なアカウント |
Not learnable |
| ICMP フラッディング* | ネットワークで異常な数のパケットが検出されました。 このアラートは、ARP スプーフィングや ICMP フラッド攻撃などの攻撃を示している可能性があります。 しきい値: 1 分間でパケットが 60 個 |
Low | 異常な通信動作 |
Tactics: - Discovery - Collection Techniques: - T0842: ネットワーク スニッフィング - T0830: アクティブな中間者 |
Not learnable |
| Illegal HTTP Header Content(無効な HTTP ヘッダー コンテンツ)* | ソース デバイスで無効な要求が開始されました。 | High | 異常な HTTP 通信動作 |
Tactics: - 初期アクセス - LateralMovement Techniques: - T0866: リモート サービスの悪用 |
Not learnable |
| 非アクティブな通信チャネル* | 通常はアクティビティが観察される期間中に、2 つのデバイス間の通信チャネルが非アクティブでした。 これは、このトラフィックを生成しているプログラムが変更されたか、プログラムが使用できない可能性があることを示している可能性があります。 インストールされているプログラムの構成を確認し、適切に構成されていることを確認することをお勧めします。 しきい値: 1 分 |
Low | Unresponsive |
Tactics: - 応答を抑制する関数 Techniques: - T0881: サービス停止 |
Not learnable |
| 長時間のアドレス スキャンを検出* | ソース デバイスで、ネットワーク デバイスのスキャンが検出されました。 このデバイスは、ネットワーク スキャン デバイスとして承認されていません。 しきい値: 10 分間で同じ B クラス サブネットへの 接続が 50 回 |
High | Scan |
Tactics: - Discovery Techniques: - T0842: ネットワーク スニッフィング |
Learnable |
| Password Guessing Attempt Detected(パスワード推測の試みを検出) | ソースデバイスで、宛先サーバーへのサインイン試行が過剰に行われていることが検出されました。 これはブルート フォース攻撃を示している可能性があります。 悪意のあるアクターによってサーバーが侵害される可能性があります。 しきい値: 1 分間でログイン試行が 100 回 |
High | Authentication |
Tactics: - 横移動 Techniques: - T0812: 既定の資格情報 - T0806: ブルート フォース I/O |
Not learnable |
| PLC Scan Detected(PLC スキャンの検出) | ソース デバイスで、ネットワーク デバイスのスキャンが検出されました。 このデバイスは、ネットワーク スキャン デバイスとして承認されていません。 しきい値: 2 分間でスキャンが 10 回 |
High | Scan |
Tactics: - Discovery Techniques: - T0842: ネットワーク スニッフィング |
Learnable |
| Port Scan Detected(ポートのスキャンを検出) | ソース デバイスで、ネットワーク デバイスのスキャンが検出されました。 このデバイスは、ネットワーク スキャン デバイスとして承認されていません。 しきい値: 2 分間スキャンが 25 回 |
High | Scan |
Tactics: - Discovery Techniques: - T0842: ネットワーク スニッフィング |
Learnable |
| Unexpected message length(予期しないメッセージ長) | ソース デバイスが異常なメッセージを送信しました。 このアラートは、宛先デバイスへの攻撃の試行を示している可能性があります。 しきい値: テキスト長さ - 32768 |
High | 異常な通信動作 |
Tactics: - InitialAccess - LateralMovement Techniques: - T0869: リモート サービスの悪用 |
Not learnable |
| 標準ポートの予期しないトラフィック* | デバイスで、別のプロトコル用に予約されているポートを使用するトラフィックが検出されました。 | Medium | 異常な通信動作 |
Tactics: - コマンドとコントロール - Discovery Techniques: - T0869: 標準アプリケーション層プロトコル - T0842: ネットワーク スニッフィング |
Not learnable |
プロトコル違反エンジンのアラート
プロトコル エンジンのアラートは、パケット構造内の検出された偏差、またはプロトコル仕様と比較したフィールド値を示します。
| Title | Description | Severity | Category | MITRE ATT&CK 戦術と手法 |
Learnable |
|---|---|---|---|---|---|
| 形式に誤りがあるパケットが 1 つのセッション内に大量に存在* | 形式に誤りがある異常な数のパケットが、ソース デバイスから宛先デバイスに送信されました。 このアラートは、誤った通信、またはターゲット デバイスの操作が試みられたことを示している可能性があります。 しきい値: 10 分間で形式が正しくないパケットが 2 個 |
Medium | Illegal Commands |
Tactics: - プロセス制御を損なう Techniques: - T0806: ブルート フォース I/O |
Not learnable |
| Firmware Update | ソース デバイスが、宛先デバイスのファームウェアを更新するコマンドを送信しました。 宛先デバイスに対して行われた最近のプログラミング、構成、ファームウェアのアップグレードが有効であることを確認してください。 | Low | Firmware Change |
Tactics: - 応答を抑制する関数 - Persistence Techniques: - T0857: システム ファームウェア |
Learnable |
| Function Code Not Supported by Outstation(Outstation でサポートされていない関数コード) | 宛先デバイスが無効な要求を受信しました。 | Medium | Illegal Commands |
Tactics: - プロセス制御を損なう Techniques: - T0855: 許可されていないコマンド メッセージ |
Not learnable |
| Illegal BACNet message(無効な BACNet メッセージ) | ソース デバイスで無効な要求が開始されました。 | Medium | Illegal Commands |
Tactics: - プロセス制御を損なう Techniques: - T0855: 承認されていないコマンド メッセージ - T0836: パラメーターの変更 |
Not learnable |
| Illegal Connection Attempt on Port 0(ポート 0 での無効な接続試行) | ソース デバイスがポート番号ゼロ (0) で宛先デバイスに接続しようとしました。 TCP では、ポート 0 は予約されているため、使用できません。 UDP の場合、ポートは任意であり、値 0 はポートがないことを意味します。 通常、システム上にポート 0 でリッスンするサービスはありません。 このイベントは、宛先デバイスを攻撃しようとしたことを示す場合や、アプリケーションが正しくプログラムされていないことを示している可能性があります。 | Low | Illegal Commands |
Tactics: - プロセス制御を損なう Techniques: - T0855: 承認されていないコマンド メッセージ - T0836: パラメーターの変更 |
Not learnable |
| Illegal DNP3 Operation(無効な DNP3 操作) | ソース デバイスで無効な要求が開始されました。 | Medium | Illegal Commands |
Tactics: - 初期アクセス - 横移動 Techniques: - T0866: リモート サービスの悪用 |
Not learnable |
| Illegal MODBUS Operation (Exception Raised by Master)(無効な MODBUS 操作 (マスターによって示された例外)) | ソース デバイスで無効な要求が開始されました。 | Medium | Illegal Commands |
Tactics: - 初期アクセス - 横移動 Techniques: - T0866: リモート サービスの悪用 |
Not learnable |
| 無効な MODBUS 操作 (関数コード ゼロ)* | ソース デバイスで無効な要求が開始されました。 | Medium | Illegal Commands |
Tactics: - 初期アクセス - 横移動 Techniques: - T0866: リモート サービスの悪用 |
Not learnable |
| 無効なプロトコル バージョン* | ソース デバイスで無効な要求が開始されました。 | Medium | Illegal Commands |
Tactics: - 初期アクセス - LateralMovement - プロセス制御を損なう Techniques: - T0820: リモート サービス - T0836: パラメーターの変更 |
Not learnable |
| Incorrect Parameter Sent to Outstation(正しくないパラメーターを Outstation に送信) | 宛先デバイスが無効な要求を受信しました。 | Medium | Illegal Commands |
Tactics: - プロセス制御を損なう Techniques: - T0855: 承認されていないコマンド メッセージ - T0836: パラメーターの変更 |
Not learnable |
| Initiation of an Obsolete Function Code (Initialize Data)(古い関数コード (InitializeData) の開始) | ソース デバイスで無効な要求が開始されました。 | Low | Illegal Commands |
Tactics: - プロセス制御を損なう Techniques: - T0855: 許可されていないコマンド メッセージ |
Not learnable |
| Initiation of an Obsolete Function Code (Save Config)(古い関数コード (SaveConfig) の開始) | ソース デバイスで無効な要求が開始されました。 | Low | Illegal Commands |
Tactics: - プロセス制御を損なう Techniques: - T0855: 許可されていないコマンド メッセージ |
Not learnable |
| Master Requested an Application Layer Confirmation(マスターがアプリケーション レイヤーの確認を要求) | ソース デバイスで無効な要求が開始されました。 | Low | Illegal Commands |
Tactics: - コマンドとコントロール Techniques: - T0869: 標準のアプリケーション層プロトコル |
Not learnable |
| Modbus Exception | ソース デバイス (セカンダリ) から宛先デバイス (プライマリ) に例外が返されました。 | Medium | Illegal Commands |
Tactics: - 応答を抑制する関数 Techniques: - T0814: サービス拒否 |
Not learnable |
| Slave Device Received Illegal ASDU Type(スレーブ デバイスが無効な ASDU 型を受信) | 宛先デバイスが無効な要求を受信しました。 | Medium | Illegal Commands |
Tactics: - プロセス制御を損なう Techniques: - T0836: パラメーターの変更 |
Not learnable |
| Slave Device Received Illegal Command Cause of Transmission(スレーブ デバイスが無効なコマンドの Cause of Transmission を受信) | 宛先デバイスが無効な要求を受信しました。 | Medium | Illegal Commands |
Tactics: - プロセス制御を損なう Techniques: - T0855: 承認されていないコマンド メッセージ - T0836: パラメーターの変更 |
Not learnable |
| Slave Device Received Illegal Common Address(スレーブ デバイスが無効な共通アドレスを受信) | 宛先デバイスが無効な要求を受信しました。 | Medium | Illegal Commands |
Tactics: - プロセス制御を損なう Techniques: - T0855: 承認されていないコマンド メッセージ - T0836: パラメーターの変更 |
Not learnable |
| スレーブ デバイスが無効なデータ アドレス パラメーターを受信* | 宛先デバイスが無効な要求を受信しました。 | Medium | Illegal Commands |
Tactics: - プロセス制御を損なう Techniques: - T0855: 承認されていないコマンド メッセージ - T0836: パラメーターの変更 |
Not learnable |
| スレーブ デバイスが無効なデータ値パラメーターを受信* | 宛先デバイスが無効な要求を受信しました。 | Medium | Illegal Commands |
Tactics: - プロセス制御を損なう Techniques: - T0855: 承認されていないコマンド メッセージ - T0836: パラメーターの変更 |
Not learnable |
| スレーブ デバイスが無効な関数コードを受信* | 宛先デバイスが無効な要求を受信しました。 | Medium | Illegal Commands |
Tactics: - プロセス制御を損なう Techniques: - T0855: 承認されていないコマンド メッセージ - T0836: パラメーターの変更 |
Not learnable |
| Slave Device Received Illegal Information Object Address(スレーブ デバイスが無効な情報オブジェクト アドレスを受信) | 宛先デバイスが無効な要求を受信しました。 | Medium | Illegal Commands |
Tactics: - プロセス制御を損なう Techniques: - T0855: 承認されていないコマンド メッセージ - T0836: パラメーターの変更 |
Not learnable |
| Unknown Object Sent to Outstation(不明なオブジェクトを Outstation に送信) | 宛先デバイスが無効な要求を受信しました。 | Medium | Illegal Commands |
Tactics: - プロセス制御を損なう Techniques: - T0855: 許可されていないコマンド メッセージ |
Not learnable |
| Usage of a Reserved Function Code(予約済み関数コードの使用) | ソース デバイスで無効な要求が開始されました。 | Medium | Illegal Commands |
Tactics: - プロセス制御を損なう Techniques: - T0836: パラメーターの変更 |
Not learnable |
| Outstation による不適切な書式設定の使用* | ソース デバイスで無効な要求が開始されました。 | Low | Illegal Commands |
Tactics: - プロセス制御を損なう Techniques: - T0855: 許可されていないコマンド メッセージ |
Not learnable |
| 予約済み状態フラグ (IIN) の使用 | DNP3 ソース デバイス (Outstation) が、予約済みの内部インジケーター 2.6 を使用しています。 デバイスの構成を確認することをお勧めします。 | Low | Illegal Commands |
Tactics: - プロセス制御を損なう Techniques: - T0836: パラメーターの変更 |
Not learnable |
マルウェア対策エンジンのアラート
マルウェア対策エンジンのアラートは、検出された悪意のあるネットワーク アクティビティを示します。
| Title | Description | Severity | Category | MITRE ATT&CK 戦術と手法 |
Learnable |
|---|---|---|---|---|---|
| Connection Attempt to Known Malicious IP(既知の悪意のある IP に対する接続試行) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 OT ネットワーク センサーによってトリガーされます。 |
High | Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) |
Tactics: - 初期アクセス - コマンドとコントロール Techniques: - T0883: インターネットにアクセスできるデバイス - T0884: 接続プロキシ |
Not learnable |
| Invalid SMB Message (DoublePulsar Backdoor Implant)(無効な SMB メッセージ (DoublePulsar バックドア インプラント)) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | High | マルウェアの疑い |
Tactics: - 初期アクセス - LateralMovement Techniques: - T0866: リモート サービスの悪用 |
Not learnable |
| Malicious Domain Name Request(悪意のあるドメイン名の要求) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 OT ネットワーク センサーによってトリガーされます。 |
High | Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) |
Tactics: - 初期アクセス - コマンドとコントロール Techniques: - T0883: インターネットにアクセスできるデバイス - T0884: 接続プロキシ |
Learnable |
| 悪意のある URL パス | 既知の悪意のある URL パスに対して要求が行われました。 この URL パスに対して行われた要求は、要求を行っているソースが侵害されたことを示している可能性があります。 | High | Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) |
Tactics: - 初期アクセス - コマンドとコントロール Techniques: - T0883: インターネットにアクセスできるデバイス - T0884: 接続プロキシ |
Not learnable |
| Malware Test File Detected - EICAR AV Success(マルウェア テスト ファイルの検出 - EICAR AV 成功) | EICAR AV テスト ファイルが 2 つのデバイス間のトラフィック (任意のトランスポート - TCP または UDP 経由) で検出されました。 ファイルがマルウェアではありません。 これは、ウイルス対策ソフトウェアが正しくインストールされていることを確認するために使われます。 これを使用してウイルス検出時の動作を実証し、ウイルス検出時の内部の手順と対応を確認します。 ウイルス対策ソフトウェアは、本物のウイルスであるかのように EICAR を検出します。 | High | Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) |
Tactics: - Discovery Techniques: - T0842: ネットワーク スニッフィング |
Not learnable |
| Suspicion of Conficker Malware(Conficker マルウェアの疑い) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | Medium | マルウェアの疑い |
Tactics: - 初期アクセス - Impact Techniques: - T0826: 可用性の損失 - T0828: 生産性と収益の損失 - T0847: リムーバブル メディアを介した複製 |
Not learnable |
| Suspicion of Denial Of Service Attack(サービス拒否攻撃の疑い) | ソース デバイスが、宛先デバイスへの過剰な数の新規接続を開始しようとしました。 これは、宛先デバイスに対するサービス拒否 (DOS) 攻撃を示し、デバイスの機能を中断したり、パフォーマンスとサービスの可用性に影響を与えたり、回復不能なエラーを引き起こしたりする可能性があります。 しきい値: 1 分間で試行が 3000 回 |
High | Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) |
Tactics: - 応答を抑制する関数 Techniques: - T0814: サービス拒否 |
Learnable |
| Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知の "侵害のインジケーター" (IOC) をトリガーした攻撃に関連付けられている可能性があります。 アラート メタデータは、セキュリティ チームが確認する必要があります。 | High | Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) |
Tactics: - 横移動 Techniques: - T0867: 横方向のツール転送 |
Not learnable |
| Suspicion of Malicious Activity (BlackEnergy)(悪意のあるアクティビティ (BlackEnergy) の疑い) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | High | マルウェアの疑い |
Tactics: - コマンドとコントロール Techniques: - T0869: 標準のアプリケーション層プロトコル |
Not learnable |
| Suspicion of Malicious Activity (DarkComet)(悪意のあるアクティビティ (DarkComet) の疑い) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | High | マルウェアの疑い |
Tactics: - Impact Techniques: - T0882: 運用情報の盗難 |
Not learnable |
| Suspicion of Malicious Activity (Duqu)(悪意のあるアクティビティ (Duqu) の疑い) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | High | マルウェアの疑い |
Tactics: - Impact Techniques: - T0882: 運用情報の盗難 |
Not learnable |
| Suspicion of Malicious Activity (Flame)(悪意のあるアクティビティ (Flame) の疑い) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | High | マルウェアの疑い |
Tactics: - Collection - Impact Techniques: - T0882: 運用情報の盗難 - T0811: 情報リポジトリからのデータ |
Not learnable |
| Suspicion of Malicious Activity (Havex)(悪意のあるアクティビティ (Havex) の疑い) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | High | マルウェアの疑い |
Tactics: - Collection - Discovery - 応答を抑制する関数 Techniques: - T0861: ポイントとタグの識別 - T0846: リモート システム検出 - T0814: サービス拒否 |
Not learnable |
| Suspicion of Malicious Activity (Karagany)(悪意のあるアクティビティ (Karagany) の疑い) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | High | マルウェアの疑い |
Tactics: - Impact Techniques: - T0882: 運用情報の盗難 |
Not learnable |
| Suspicion of Malicious Activity (LightsOut)(悪意のあるアクティビティ (LightsOut) の疑い) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | High | マルウェアの疑い |
Tactics: - Evasion Techniques: - T0849: マスカレード |
Not learnable |
| Suspicion of Malicious Activity (Name Queries)(悪意のあるアクティビティ (名前のクエリ) の疑い) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 しきい値: 1 分で名前クエリが 25 回 |
High | Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) |
Tactics: - コマンドとコントロール Techniques: - T0884: 接続プロキシ |
Not learnable |
| Suspicion of Malicious Activity (Poison Ivy)(悪意のあるアクティビティ (Poison Ivy) の疑い) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | High | マルウェアの疑い |
Tactics: - 初期アクセス - 横移動 Techniques: - T0866: リモート サービスの悪用 |
Not learnable |
| Suspicion of Malicious Activity (Regin)(悪意のあるアクティビティ (Regin) の疑い) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | High | マルウェアの疑い |
Tactics: - 初期アクセス - 横移動 - Impact Techniques: - T0866: リモート サービスの悪用 - T0882: 運用情報の盗難 |
Not learnable |
| Suspicion of Malicious Activity (Stuxnet)(悪意のあるアクティビティ (Stuxnet) の疑い) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | High | マルウェアの疑い |
Tactics: - 初期アクセス - 横移動 - Impact Techniques: - T0818: エンジニアリング ワークステーションの侵害 - T0866: リモート サービスの悪用 - T0831: コントロールの操作 |
Not learnable |
| 悪意のあるアクティビティ (WannaCry) の疑い* | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | Medium | マルウェアの疑い |
Tactics: - 初期アクセス - 横移動 Techniques: - T0866: リモート サービスの悪用 - T0867: 横方向のツール転送 |
Not learnable |
| Suspicion of NotPetya Malware - Illegal SMB Parameters Detected(NotPetya マルウェアの疑い - 無効な SMB パラメーターの検出) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | High | マルウェアの疑い |
Tactics: - 初期アクセス - 横移動 Techniques: - T0866: リモート サービスの悪用 |
Not learnable |
| Suspicion of NotPetya Malware - Illegal SMB Transaction Detected(NotPetya マルウェアの疑い - 無効な SMB トランザクションの検出) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | High | マルウェアの疑い |
Tactics: - 横移動 Techniques: - T0867: 横方向のツール転送 |
Not learnable |
| Suspicion of Remote Code Execution with PsExec(PsExec によるリモート コード実行の疑い) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | High | Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) |
Tactics: - 横移動 - 初期アクセス Techniques: - T0866: リモート サービスの悪用 |
Not learnable |
| リモートでの Windows サービス管理の疑い* | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | High | Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) |
Tactics: - 初期アクセス Techniques: - T0822: ネットワーク外部のリモートサービス |
Not learnable |
| Suspicious Executable File Detected on Endpoint(エンドポイントで疑わしい実行可能ファイルを検出) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | High | Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) |
Tactics: - Evasion - 応答を抑制する関数 Techniques: - T0851: ルートキット |
Learnable |
| 疑わしいトラフィックの検出* | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知の "侵害のインジケーター" (IOC) をトリガーした攻撃に関連付けられている可能性があります。 アラート メタデータは、セキュリティ チームが確認する必要があります | High | Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) |
Tactics: - Discovery Techniques: - T0842: ネットワーク スニッフィング |
Not learnable |
| [Backup Activity with Antivirus Signatures] (ウイルス対策のシグネチャを持つバックアップ アクティビティ) | このアラートは、ソース デバイスと宛先のバックアップ サーバーとの間で検出されたトラフィックによってトリガーされました。 ウイルス対策ソフトウェアのバックアップがトラフィックの内容であり、そこにマルウェアのシグネチャが含まれている可能性があります。 これは通常、正当なバックアップ アクティビティと考えられます。 | Low | Backup |
Tactics: - Impact Techniques: - T0882: 運用情報の盗難 |
Not learnable |
運用エンジンのアラート
運用エンジンのアラートは、検出された運用中のインシデントまたは誤動作したエンティティを示します。
| Title | Description | Severity | Category | MITRE ATT&CK 戦術と手法 |
Learnable |
|---|---|---|---|---|---|
| An S7 Stop PLC Command was Sent(S7 Stop PLC コマンドの送信) | ソース デバイスが、宛先コントローラーに stop コマンドを送信しました。 コントローラーは、開始コマンドが送信されるまで動作を停止します。 | Low | 再起動または停止コマンド |
Tactics: - 横移動 - 防御回避 - Execution - 応答を抑制する関数 Techniques: - T0843: プログラムのダウンロード - T0858: 動作モードの変更 - T0814: サービス拒否 |
Not learnable |
| BACNet Operation Failed(BACNet 操作の失敗) | サーバーによってエラー コードが返されました。 このアラートは、サーバー エラーまたはクライアントによる無効な要求を示しています。 | Medium | Command Failures |
Tactics: - プロセス制御を損なう Techniques: - T0855: 許可されていないコマンド メッセージ |
Not learnable |
| Bad MMS Device State(無効な MMS デバイスの状態) | MMS 仮想製造装置 (VMD) がステータス メッセージを送信しました。 このメッセージは、サーバーが正しく構成されていないか、部分的に動作しているか、まったく動作していない可能性があることを示します。 | Medium | Operational Issues |
Tactics: - 応答を抑制する関数 Techniques: - T0814: サービス拒否 |
Not learnable |
| デバイス構成の変更* | ソース デバイスで構成の変更が検出されました。 | Low | Configuration Changes |
Tactics: - プロセス制御を損なう Techniques: - T0836: パラメーターの変更 |
Not learnable |
| Outstation での継続的なイベント バッファー オーバーフロー* | ソース デバイスでバッファー オーバーフロー イベントが検出されました。 このイベントにより、データの破損、プログラムのクラッシュ、または悪意のあるコードの実行が発生する可能性があります。 しきい値: 10 分缶で 3 回発生 |
Medium | Buffer Overflow |
Tactics: - 応答を抑制する関数 - プロセス制御を損なう - Persistence Techniques: - T0814: サービス拒否 - T0806: ブルート フォース I/O - T0839: モジュール ファームウェア |
Not learnable |
| Controller Reset | ソース デバイスが、宛先コントローラーに reset コマンドを送信しました。 コントローラーが一時的に動作を停止し、自動的に再開しました。 | Low | 再起動または停止コマンド |
Tactics: - 防御回避 - Execution - 応答を抑制する関数 Techniques: - T0858: 動作モードの変更 - T0814: サービス拒否 |
Not learnable |
| Controller Stop | ソース デバイスが、宛先コントローラーに stop コマンドを送信しました。 コントローラーは、開始コマンドが送信されるまで動作を停止します。 | Low | 再起動または停止コマンド |
Tactics: - 横移動 - 防御回避 - Execution - 応答を抑制する関数 Techniques: - T0843: プログラムのダウンロード - T0858: 動作モードの変更 - T0814: サービス拒否 |
Not learnable |
| Device Failed to Receive a Dynamic IP Address(デバイスが動的 IP アドレスの受信に失敗) | ソース デバイスは、DHCP サーバーから動的 IP アドレスを受信するように構成されていますが、アドレスを受信しませんでした。 これは、デバイスでの構成エラー、または DHCP サーバーでの操作エラーを示しています。 ネットワーク管理者にこのインシデントについて通知することをお勧めします。 | Medium | Command Failures |
Tactics: - Discovery Techniques: - T0842: ネットワーク スニッフィング |
Not learnable |
| Device is Suspected to be Disconnected (Unresponsive)(デバイスが切断されている可能性あり (応答なし)) | ソース デバイスが、送信されたコマンドに応答しませんでした。 コマンドが送信されたときに切断された可能性があります。 しきい値: 5 分間で試行が 8 回 |
Medium | Unresponsive |
Tactics: - 応答を抑制する関数 Techniques: - T0881: サービス停止 |
Not learnable |
| EtherNet/IP CIP Service Request Failed(イーサネットまたは IP CIP サービス要求失敗) | サーバーによってエラー コードが返されました。 これは、サーバー エラーまたはクライアントによる無効な要求を示しています。 | Medium | Command Failures |
Tactics: - プロセス制御を損なう Techniques: - T0855: 許可されていないコマンド メッセージ |
Not learnable |
| EtherNet/IP Encapsulation Protocol Command Failed(イーサネットまたは IP カプセル化プロトコル コマンドの失敗) | サーバーによってエラー コードが返されました。 これは、サーバー エラーまたはクライアントによる無効な要求を示しています。 | Medium | Command Failures |
Tactics: - Collection Techniques: - T0801: プロセス状態の監視 |
Not learnable |
| Event Buffer Overflow in Outstation(Outstation のイベント バッファー オーバーフロー) | ソース デバイスでバッファー オーバーフロー イベントが検出されました。 このイベントにより、データの破損、プログラムのクラッシュ、または悪意のあるコードの実行が発生する可能性があります。 | Medium | Buffer Overflow |
Tactics: - 応答を抑制する関数 - プロセス制御を損なう - Persistence Techniques: - T0814: サービス拒否 - T0839: モジュール ファームウェア |
Not learnable |
| Expected Backup Operation Did Not Occur(想定したバックアップ操作の未実行) | 想定されていたバックアップ/ファイル転送アクティビティが、2 つのデバイス間で行われませんでした。 このアラートは、バックアップ/ファイル転送プロセスのエラーを示している可能性があります。 しきい値: 100 秒 |
Medium | Backup |
Tactics: - 応答を抑制する関数 Techniques: - T0809: データの破壊 |
Learnable |
| GE SRTP Command Failure(GE SRTP コマンドの失敗) | サーバーによってエラー コードが返されました。 このアラートは、サーバー エラーまたはクライアントによる無効な要求を示しています。 | Medium | Command Failures |
Tactics: - プロセス制御を損なう Techniques: - T0855: 許可されていないコマンド メッセージ |
Not learnable |
| GE SRTP Stop PLC Command was Sent(GE SRTP Stop PLC コマンドの送信) | ソース デバイスが、宛先コントローラーに stop コマンドを送信しました。 コントローラーは、開始コマンドが送信されるまで動作を停止します。 | Low | 再起動または停止コマンド |
Tactics: - 横移動 - 防御回避 - Execution - 応答を抑制する関数 Techniques: - T0843: プログラムのダウンロード - T0858: 動作モードの変更 - T0814: サービス拒否 |
Not learnable |
| GOOSE Control Block Requires Further Configuration(GOOSE コントロール ブロックに追加の構成が必要) | ソース デバイスが、そのデバイスにコミッショニングが必要であることを示す GOOSE メッセージを送信しました。 これは、GOOSE コントロール ブロックに追加の構成が必要であり、GOOSE メッセージは部分的または完全に操作不能であることを意味します。 | Medium | Configuration Changes |
Tactics: - プロセス制御を損なう - 応答を抑制する関数 Techniques: - T0803: コマンド メッセージをブロックする - T0821: コントローラーのタスクの変更 |
Not learnable |
| GOOSE データセットの構成の変更* | ソース デバイスでメッセージ (プロトコル ID によって識別) のデータセットが変更されました。 つまり、デバイスはこのメッセージに対して別のデータセットを報告します。 | Low | Configuration Changes |
Tactics: - プロセス制御を損なう Techniques: - T0836: パラメーターの変更 |
Not learnable |
| Honeywell Controller Unexpected Status(Honeywell コントローラーの予期しない状態) | Honeywell コントローラーが、状態の変更を示す予期しない診断メッセージを送信しました。 | Low | Operational Issues |
Tactics: - Evasion - Execution Techniques: - T0858: 動作モードの変更 |
Not learnable |
| HTTP Client Error(HTTP クライアント エラー)* | ソース デバイスで無効な要求が開始されました。 | Low | 異常な HTTP 通信動作 |
Tactics: - コマンドとコントロール Techniques: - T0869: 標準のアプリケーション層プロトコル |
Not learnable |
| Illegal IP Address(無効な IP アドレス) | システムは、ソース デバイスと、無効なアドレスである IP アドレスとの間のトラフィックを検出しました。 これは、構成が間違っているか、無効なトラフィックを生成しようとしたことを示している可能性があります。 | Low | 異常な通信動作 |
Tactics: - Discovery - プロセス制御を損なう Techniques: - T0842: ネットワーク スニッフィング - T0836: パラメーターの変更 |
Not learnable |
| Master-Slave Authentication Error(マスター-スレーブ認証エラー) | DNP3 ソース デバイス (プライマリ) と宛先デバイス (Outstation) の間の認証プロセスが失敗しました。 | Low | Authentication |
Tactics: - 横移動 - Persistence Techniques: - T0859: 有効なアカウント |
Not learnable |
| MMS Service Request Failed(MMS サービス要求の失敗) | サーバーによってエラー コードが返されました。 これは、サーバー エラーまたはクライアントによる無効な要求を示しています。 | Medium | Command Failures |
Tactics: - プロセス制御を損なう Techniques: - T0855: 許可されていないコマンド メッセージ |
Not learnable |
| No Traffic Detected on Sensor Interface(センサー インターフェイスでトラフィックが未検出) | センサーがネットワーク インターフェイス上のネットワーク トラフィックの検出を停止しました。 | High | Sensor Traffic |
Tactics: - 応答を抑制する関数 Techniques: - T0881: サービス停止 |
Not learnable |
| OPC UA Server Raised an Event That Requires User's Attention(OPC UA サーバーによってユーザーの注意を必要とするイベントが発生) | OPC UA サーバーが、クライアントにイベント通知を送信しました。 この種類のイベントでは、ユーザーの注意が必要です。 | Medium | Operational Issues |
Tactics: - 応答を抑制する関数 Techniques: - T0838: アラーム設定の変更 |
Not learnable |
| OPC UA Service Request Failed(OPC UA サービス要求の失敗) | サーバーによってエラー コードが返されました。 これは、サーバー エラーまたはクライアントによる無効な要求を示しています。 | Medium | Command Failures |
Tactics: - プロセス制御を損なう Techniques: - T0855: 許可されていないコマンド メッセージ |
Not learnable |
| Outstation Restarted | ソース デバイスでコールド再起動が検出されました。 これは、デバイスが物理的にオフになってから、再度オンになったことを意味します。 | Low | 再起動または停止コマンド |
Tactics: - 応答を抑制する関数 Techniques: - T0816: デバイスの再起動/シャットダウン |
Not learnable |
| Outstation Restarts Frequently(Outstation の頻繁な再起動) | ソース デバイスで過剰な数のコールド再起動が検出されました。 これは、デバイスが物理的にオフになってから再度オンになる動作が、過剰な回数行われたことを意味します。 しきい値: 10 時間で再起動が 2 回 |
Low | 再起動または停止コマンド |
Tactics: - 応答を抑制する関数 Techniques: - T0814: サービス拒否 - T0816: デバイスの再起動/シャットダウン |
Not learnable |
| Outstation's Configuration Changed(Outstation の構成の変更) | ソース デバイスで構成の変更が検出されました。 | Medium | Configuration Changes |
Tactics: - 応答を抑制する関数 - Persistence Techniques: - T0857: システム ファームウェア |
Not learnable |
| Outstation's Corrupted Configuration Detected(Outstation の破損した構成を検出) | この DNP3 ソース デバイス (Outstation) が、破損した構成を報告しました。 | Medium | Configuration Changes |
Tactics: - 応答を抑制する関数 Techniques: - T0809: データの破壊 |
Not learnable |
| Profinet DCP Command Failed(Profinet DCP コマンドの失敗) | サーバーによってエラー コードが返されました。 これは、サーバー エラーまたはクライアントによる無効な要求を示しています。 | Medium | Command Failures |
Tactics: - プロセス制御を損なう Techniques: - T0855: 許可されていないコマンド メッセージ |
Not learnable |
| Profinet Device Factory Reset(Profinet デバイスのファクトリ リセット) | ソース デバイスが、Profinet 宛先デバイスに factory reset コマンドを送信しました。 reset コマンドによって Profinet デバイス構成がクリアされ、その操作が停止します。 | Low | 再起動または停止コマンド |
Tactics: - 防御回避 - Execution - 応答を抑制する関数 Techniques: - T0858: 動作モードの変更 - T0814: サービス拒否 |
Not learnable |
| RPC Operation Failed(RCP 操作の失敗)* | サーバーによってエラー コードが返されました。 このアラートは、サーバー エラーまたはクライアントによる無効な要求を示しています。 | Medium | Command Failures |
Tactics: - プロセス制御を損なう Techniques: - T0855: 許可されていないコマンド メッセージ |
Not learnable |
| サンプリングされた値メッセージ データセットの構成の変更* | ソース デバイスでメッセージ (プロトコル ID によって識別) のデータセットが変更されました。 つまり、デバイスはこのメッセージに対して別のデータセットを報告します。 | Low | Configuration Changes |
Tactics: - プロセス制御を損なう Techniques: - T0836: パラメーターの変更 |
Not learnable |
| スレーブ デバイスの回復不能なエラー* | ソース デバイスで回復不能状態のエラーが検出されました。 この種類のエラーは通常、ハードウェア障害または特定のコマンドの実行に失敗したことを示します。 | Medium | Command Failures |
Tactics: - 応答を抑制する関数 Techniques: - T0814: サービス拒否 |
Not learnable |
| Suspicion of Hardware Problems in Outstation(Outstation におけるハードウェアの問題の疑い) | ソース デバイスで回復不能状態のエラーが検出されました。 この種類のエラーは通常、ハードウェア障害または特定のコマンドの実行に失敗したことを示します。 | Medium | Operational Issues |
Tactics: - 応答を抑制する関数 Techniques: - T0814: サービス拒否 - T0881: サービス停止 |
Not learnable |
| Suspicion of Unresponsive MODBUS Device(MODBUS デバイスが無反応である疑い) | ソース デバイスが、送信されたコマンドに応答しませんでした。 コマンドが送信されたときに切断された可能性があります。 しきい値: 5 分以内に 3 つ以上の要求に対して有効な応答が 1 回以上 |
Low | Unresponsive |
Tactics: - 応答を抑制する関数 Techniques: - T0881: サービス停止 |
Not learnable |
| Traffic Detected on Sensor Interface(センサー インターフェイスでトラフィックを検出) | センサーがネットワーク インターフェイス上のネットワーク トラフィックの検出を再開しました。 | Low | Sensor Traffic |
Tactics: - Discovery Techniques: - T0842: ネットワーク スニッフィング |
Not learnable |
| PLC 動作モードの変更 | この PLC での動作モードが変更されました。 新しいモードは、PLC がセキュリティで保護されていないことを示している可能性があります。 PLC を安全でない動作モードのままにしておくと、敵対者がプログラムのダウンロードなどの悪意のあるアクティビティを実行できる可能性があります。 PLC が侵害された場合、PLC と対話するデバイスとプロセスが影響を受ける可能性があります。 これは、システムの全体的なセキュリティと安全性に影響する可能性があります。 | Low | Configuration changes |
Tactics: - Execution - Evasion Techniques: - T0858: 動作モードの変更 |
Not learnable |
Next steps
詳細については、次を参照してください。