Referência de Alerta do Microsoft Defender para IoT
Este artigo fornece uma referência dos alertas gerados pelo Microsoft Defender para sensores de rede IoT, incluindo uma lista de todos os tipos de alerta e descrições. A referência também mostra quais alertas podem ser triados como aprendíveis ou não, para obter mais informações sobre o status aprendível, consulte Status de alerta e opções de triagem. Você pode usar essa referência para mapear alertas em playbooks, definir regras de encaminhamento em um sensor de rede de Tecnologia Operacional (OT) ou outra atividade personalizada.
Alertas de OT desativados por padrão
Vários alertas estão desativados por padrão, conforme indicado pelos asteriscos (*) nas tabelas abaixo. Os usuários administradores do sensor de OT podem habilitar ou desabilitar os alertas na página Suporte em um sensor de rede de OT específico.
Caso desative os alertas referenciados em outros locais, como regras de encaminhamento de alertas, atualize essas referências conforme o necessário.
Severidades de alerta
Os alertas do Defender para IoT usam os seguintes níveis de gravidade:
Portal do Azure | Sensor OT | Descrição |
---|---|---|
Alta | Crítico | Indica um ataque mal- intencionado com o qual você deve lidar imediatamente. |
Média | Principal | Indica uma ameaça de segurança que é importante resolver. |
Baixa | Insignificante, Aviso | Indica algum desvio do comportamento da base de referência que pode conter uma ameaça à segurança ou não contém nenhuma ameaça à segurança. |
As severidades de alerta nesta página listam a gravidade, conforme mostrado no portal do Azure.
Tipos de alertas com suporte
Tipo de alerta | Descrição |
---|---|
Alertas de violação de política | Disparado quando o mecanismo de Violação de Política detecta um desvio do tráfego aprendido anteriormente. Por exemplo: - Um novo dispositivo é detectado. - Uma nova configuração em um dispositivo é detectada. - Um dispositivo não definido como dispositivo de programação, realiza uma alteração de programação. - Uma versão de firmware é alterada. |
Alertas de violação de protocolo | Disparado quando o mecanismo de Violação de Protocolo detecta estruturas de pacotes ou valores de campos que não estão em conformidade com a especificação do protocolo. |
Alertas operacionais | Disparado quando o mecanismo Operacional detecta incidentes operacionais de rede ou um problema no funcionamento do dispositivo. Por exemplo: um dispositivo de rede foi parado usando um comando Stop PLC, ou uma interface em um sensor interrompeu o tráfego de monitoramento. |
Alertas de malware | Disparados quando o mecanismo de malware detecta uma atividade de rede mal-intencionada. Por exemplo, o mecanismo detecta um ataque conhecido como Conficker. |
Alertas de anomalias | Disparados quando o mecanismo de Anomalia detecta um desvio. Por exemplo: um dispositivo executa a verificação de rede, mas não está definido como um dispositivo de verificação. |
A política de detecção de alertas do Defender for IoT orienta os diferentes mecanismos de alerta para disparar alertas com base no impacto nos negócios e no contexto da rede e reduzir alertas relacionados à TI de baixo valor. Para obter mais informações, confira Alertas com foco em ambientes de OT/TI.
Categorias de alertas compatíveis
Cada alerta tem uma das seguintes categorias:
- Comportamento de comunicação anormal
- Comportamento anormal de comunicação HTTP
- Autenticação
- Backup
- Anomalias de largura de banda
- Estouro de buffer
- Falhas de comando
- Alterações de configuração
- Alertas Personalizados
- Descoberta
- Alteração de firmware
- Comandos ilegais
- Acesso à Internet
- Falhas de operação
- Problemas operacionais
- Programação
- Acesso remoto
- Comandos Reiniciar/Parar
- Verificar
- Tráfego do sensor
- Suspeita de atividade mal-intencionada
- Suspeita de malware
- Comportamento de comunicação não autorizado
- Sem resposta
Alertas do mecanismo de política
Os alertas do mecanismo de política descrevem desvios detectados do comportamento da linha de base aprendido.
Título | Descrição | Severidade | Categoria | MITRE ATT&CK Táticas e técnicas |
Aprendida |
---|---|---|---|---|---|
Software Beckhoff alterado | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Médio | Alteração de firmware | Táticas: - Função Inibir Resposta -Persistência Técnicas: – T0857: Firmware do sistema |
Aprendida |
Falha no logon do banco de dados | Foi detectada uma tentativa de entrada com falha por meio de um dispositivo de origem em um servidor de destino. Isso pode ser o resultado de um erro humano, mas também pode indicar uma tentativa mal-intencionada de comprometer o servidor ou os dados contidos nele. Limite: Duas falhas de entrada em cinco minutos |
Médio | Autenticação | Táticas: - Movimentação Lateral -Coleção Técnicas: - T0812: Credenciais padrão – T0811: Dados dos repositórios de informações |
Não aprendível |
Versão do firmware Emerson ROC alterada | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Médio | Alteração de firmware | Táticas: - Função Inibir Resposta -Persistência Técnicas: – T0857: Firmware do sistema |
Aprendida |
Comunicação do endereço externo na rede com a Internet | Um dispositivo de origem definido como parte da sua rede está se comunicando com os endereços na Internet. A origem não está autorizada a se comunicar com endereços da Internet. | Alto | Acesso à Internet | Táticas: - Acesso Inicial Técnicas: – T0883: Dispositivo acessível pela Internet |
Aprendida |
Dispositivo de campo descoberto inesperadamente | Um novo dispositivo de origem foi detectado na rede, mas não está autorizado. | Médio | Descoberta | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Não aprendível |
Alteração de firmware detectada | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Médio | Alteração de firmware | Táticas: - Função Inibir Resposta -Persistência Técnicas: – T0857: Firmware do sistema |
Não aprendível |
Versão do firmware alterada | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Médio | Alteração de firmware | Táticas: - Função Inibir Resposta -Persistência Técnicas: – T0857: Firmware do sistema |
Aprendida |
Operação não autorizada de Foxboro I/A | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Aprendida |
Falha no logon do FTP | Foi detectada uma tentativa de entrada com falha por meio de um dispositivo de origem em um servidor de destino. Este alerta pode ser o resultado de um erro humano, mas também pode indicar uma tentativa mal-intencionada de comprometer o servidor ou os dados contidos nele. | Médio | Autenticação | Táticas: - Movimentação Lateral - Comando e Controle Técnicas: - T0812: Credenciais padrão – T0869: Protocolo de camada de aplicativo padrão |
Não aprendível |
O código de função gerou uma exceção não autorizada* | Um dispositivo de origem (secundário) retornou uma exceção para um dispositivo de destino (primário). | Médio | Falhas de comando | Táticas: - Função Inibir Resposta Técnicas: – T0835: Manipular a imagem de E/S |
Aprendida |
Configurações de tipo de mensagem GOOSE | As configurações da mensagem (identificada pela ID de protocolo) foram alteradas em um dispositivo de origem. | Baixo | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados Técnicas: – T0836: Modificar o parâmetro |
Aprendida |
Versão do firmware Honeywell alterada | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Médio | Alteração de firmware | Táticas: - Função Inibir Resposta -Persistência Técnicas: – T0857: Firmware do sistema |
Aprendida |
Comunicação HTTP inválida* | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento anormal de comunicação HTTP | Táticas: -Descobrimento Técnicas: – T0846: Descoberta do sistema remoto |
Aprendida |
Acesso à Internet detectado | Um dispositivo de origem definido como parte da sua rede está se comunicando com os endereços na Internet. A origem não está autorizada a se comunicar com endereços da Internet. | Médio | Acesso à Internet | Táticas: - Acesso Inicial Técnicas: – T0883: Dispositivo acessível pela Internet |
Aprendida |
Versão do firmware Mitsubishi alterada | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Médio | Alteração de firmware | Táticas: - Função Inibir Resposta -Persistência Técnicas: – T0857: Firmware do sistema |
Aprendida |
Violação de intervalo de endereços Modbus | Um dispositivo primário solicitou acesso a um novo endereço de memória secundária. | Médio | Comportamento de comunicação não autorizado | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
Versão do firmware Modbus alterada | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Médio | Alteração de firmware | Táticas: - Função Inibir Resposta -Persistência Técnicas: – T0857: Firmware do sistema |
Aprendida |
Nova atividade detectada – Classe CIP | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: -Descobrimento Técnicas: – T0888: Descoberta de informações do sistema remoto |
Aprendida |
Nova atividade detectada – Serviço de classe CIP | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Função Inibir Resposta Técnicas: – T0836: Modificar o parâmetro |
Aprendida |
Nova atividade detectada – Comando CIP PCCC | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Função Inibir Resposta Técnicas: – T0836: Modificar o parâmetro |
Aprendida |
Nova atividade detectada – Símbolo CIP | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados - Função Inibir Resposta Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Aprendida |
Nova atividade detectada – Conexão de E/S de Ethernet/IP | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: -Descobrimento - Função Inibir Resposta Técnicas: - T0846: Descoberta remota do sistema – T0835: Manipular a imagem de E/S |
Aprendida |
Nova atividade detectada – Comando do protocolo Ethernet/IP | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Função Inibir Resposta Técnicas: – T0836: Modificar o parâmetro |
Aprendida |
Nova atividade detectada – Código de mensagem GSM | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - CommandAndControl Técnicas: – T0869: Protocolo de camada de aplicativo padrão |
Aprendida |
Nova atividade detectada – Códigos de comando LonTalk | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: -Coleção - Controle de Processos Prejudicados Técnicas: - T0861 - Ponto & Identificação da Tag – T0855: Mensagem de comando não autorizada |
Aprendida |
Descoberta de novas portas | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Baixo | Descoberta | Táticas: - Movimentação Lateral Técnicas: – T0867: Transferência de ferramenta lateral |
Aprendida |
Nova atividade detectada – Variável de rede LonTalk | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados Técnicas: – T0855: Mensagem de comando não autorizada |
Aprendida |
Nova atividade detectada – Solicitação de dados de Ovation | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: -Coleção -Descobrimento Técnicas: - T0801: Monitorar o estado do processo – T0888: Descoberta de informações do sistema remoto |
Aprendida |
Nova atividade detectada – Comando de leitura/gravação (grupo de índice do AMS) | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Alterações de configuração | Táticas: - Controle de Processos Prejudicados - Função Inibir Resposta Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Aprendida |
Nova atividade detectada – Comando de leitura/gravação (deslocamento do índice do AMS) | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Alterações de configuração | Táticas: - Controle de Processos Prejudicados - Função Inibir Resposta Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Aprendida |
Nova atividade detectada – Tipo de mensagem DeltaV não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Aprendida |
Nova atividade detectada – Operação DeltaV ROC não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Aprendida |
Nova atividade detectada – Tipo de mensagem RPC não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados Técnicas: – T0855: Mensagem de comando não autorizada |
Aprendida |
Nova atividade detectada – Uso do comando do protocolo AMS | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados - Função Inibir Resposta -Execução Técnicas: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro – T0821: Modificar a tarefa do controlador |
Aprendida |
Nova atividade detectada – Uso do comando do Siemens SICAM | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados - Função Inibir Resposta Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Aprendida |
Nova atividade detectada – Uso do comando do protocolo Suitelink | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados - Função Inibir Resposta Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Aprendida |
Nova atividade detectada – Uso de sessões do protocolo Suitelink | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados Técnicas: – T0836: Modificar o parâmetro |
Aprendida |
Nova atividade detectada – Uso do comando Yokogawa VNetIP | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Aprendida |
Novo ativo detectado | Um novo dispositivo de origem foi detectado na rede, mas não está autorizado. Esse alerta se aplica a dispositivos descobertos em sub-redes de OT. Novos dispositivos descobertos em sub-redes de TI não disparam um alerta. |
Média | Descoberta | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
Nova configuração de dispositivo LLDP | Um novo dispositivo de origem foi detectado na rede, mas não está autorizado. | Médio | Alterações de configuração | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
Comando não autorizado do Omron FINS | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Aprendida |
Firmware S7 Plus PLC alterado | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planejada. | Médio | Alteração de firmware | Táticas: - Função Inibir Resposta -Persistência Técnicas: – T0857: Firmware do sistema |
Aprendida |
Configurações de amostra de tipo de mensagem de valores | As configurações da mensagem (identificada pela ID de protocolo) foram alteradas em um dispositivo de origem. | Baixo | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados Técnicas: – T0836: Modificar o parâmetro |
Não aprendível |
Suspeita de verificação de integridade inválida* | Uma verificação foi detectada em um dispositivo de origem DNP3 (outstation). Essa verificação não foi autorizada como tráfego aprendido na sua rede. | Médio | Verificar | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
Comando não autorizado de link de computador Toshiba | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Baixo | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Aprendida |
Operação de arquivo ABB Totalflow não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Não aprendível |
Operação de registro Totalflow ABB não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Não aprendível |
Acesso não autorizado ao bloco de dados do Siemens S7 | Um dispositivo de origem tentou acessar um recurso em outro dispositivo. Uma tentativa de acesso a esse recurso entre esses dois dispositivos não é autorizada como tráfego aprendido em sua rede. | Baixo | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados - Acesso Inicial Técnicas: - T0855: Mensagem de comando não autorizada – T0811: Dados dos repositórios de informações |
Aprendida |
Acesso não autorizado ao objeto do Siemens S7 Plus | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados -Execução - Função Inibir Resposta Técnicas: - T0855: Mensagem de comando não autorizada - T0821: Modificar Tarefa do Controlador – T0809: Destruição de dados |
Aprendida |
Acesso não autorizado à marca de Wonderware | Um dispositivo de origem tentou acessar um recurso em outro dispositivo. Uma tentativa de acesso a esse recurso entre esses dois dispositivos não é autorizada como tráfego aprendido em sua rede. | Médio | Comportamento de comunicação não autorizado | Táticas: -Coleção - Controle de Processos Prejudicados Técnicas: - T0861: Identificação de Tag de Ponto e Tag – T0855: Mensagem de comando não autorizada |
Aprendida |
Acesso a objeto BACNet não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Aprendida |
Rota do BACNet não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Aprendida |
Logon de banco de dados não autorizado* | Foi detectada uma tentativa de entrada de um cliente de origem em um servidor de destino. A comunicação entre esses dispositivos não é autorizada como tráfego aprendido em sua rede. | Médio | Autenticação | Táticas: - Movimentação Lateral -Persistência -Coleção Técnicas: - T0859: Contas válidas – T0811: Dados dos repositórios de informações |
Aprendida |
Operação de banco de dados não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação anormal | Táticas: - Controle de Processos Prejudicados - Acesso Inicial Técnicas: - T0855: Mensagem de comando não autorizada – T0811: Dados dos repositórios de informações |
Aprendida |
Operação de Emerson ROC não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Aprendida |
Acesso a arquivo do GE SRTP não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: -Coleção - LateralMovement -Persistência Técnicas: - T0801: Monitorar o estado do processo – T0859: Contas válidas |
Aprendida |
Comando de protocolo GE SRTP não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Aprendida |
Operação de memória do sistema GE SRTP não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: -Descobrimento - Controle de Processos Prejudicados Técnicas: - T0846: Descoberta remota do sistema – T0855: Mensagem de comando não autorizada |
Aprendida |
Atividade HTTP não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento anormal de comunicação HTTP | Táticas: - Acesso Inicial - Comando e Controle Técnicas: - T0822: Serviços Remotos Externos – T0869: Protocolo de camada de aplicativo padrão |
Aprendida |
Ação SOAP HTTP não autorizada * | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento anormal de comunicação HTTP | Táticas: - Comando e Controle -Execução Técnicas: - T0869: Protocolo de Camada de Aplicação Padrão – T0871: Execução por meio da API |
Aprendida |
Agente do usuário HTTP não autorizado * | Um aplicativo não autorizado foi detectado em um dispositivo de origem. O aplicativo não está autorizado como um aplicativo aprendido em sua rede. | Médio | Comportamento anormal de comunicação HTTP | Táticas: - Comando e Controle Técnicas: – T0869: Protocolo de camada de aplicativo padrão |
Aprendida |
Conectividade com a Internet não autorizada detectada | Um dispositivo de origem definido como parte da sua rede está se comunicando com os endereços na Internet. A origem não está autorizada a se comunicar com endereços da Internet. | Alto | Acesso à Internet | Táticas: - Acesso Inicial Técnicas: – T0883: Dispositivo acessível pela Internet |
Aprendida |
Comando Mitsubishi MELSEC não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Aprendida |
Acesso de programa MMS não autorizado | Um dispositivo de origem tentou acessar um recurso em outro dispositivo. Uma tentativa de acesso a esse recurso entre esses dois dispositivos não é autorizada como tráfego aprendido em sua rede. | Médio | Programação | Táticas: - Controle de Processos Prejudicados -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Aprendida |
Serviço MMS não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0821: Modificar a tarefa do controlador |
Aprendida |
Conexão de multicast/difusão não autorizada | Uma conexão multicast/difusão foi detectada entre um dispositivo de origem e outros dispositivos. A comunicação multicast/difundida não está autorizada. | Alta | Comportamento de comunicação anormal | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
Consulta de nome não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação anormal | Táticas: - Controle de Processos Prejudicados Técnicas: – T0836: Modificar o parâmetro |
Não aprendível |
Atividade de agente do usuário OPC não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados Técnicas: – T0836: Modificar o parâmetro |
Aprendida |
Solicitação/resposta de agente do usuário OPC não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados Técnicas: – T0836: Modificar o parâmetro |
Aprendida |
Uma operação não autorizada foi detectada por uma regra definida pelo usuário | Foi detectado o tráfego entre dois dispositivos. Essa atividade não é autorizada com base em uma regra de alerta personalizada definida por um usuário. | Médio | Alertas Personalizados | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Não aprendível |
Leitura de configuração de PLC não autorizada | O dispositivo de origem não está definido como um dispositivo de programação, mas realizou uma operação de leitura/gravação em um controlador de destino. As alterações de programação só devem ser executadas por dispositivos de programação. Um aplicativo de programação pode ter sido instalado neste dispositivo. | Baixo | Alterações de configuração | Táticas: -Coleção Técnicas: – T0801: Monitorar o estado do processo |
Aprendida |
Gravação de configuração de PLC não autorizada | O dispositivo de origem enviou um comando para ler/gravar o programa de um controlador de destino. Essa atividade não foi observada anteriormente. | Médio | Alterações de configuração | Táticas: - Controle de Processos Prejudicados -Persistência -Impacto Técnicas: - T0839: Firmware do módulo - T0831: Manipulação de Controle – T0889: Modificar o programa |
Aprendida |
Upload de programa PLC não autorizado | O dispositivo de origem enviou um comando para ler/gravar o programa de um controlador de destino. Essa atividade não foi observada anteriormente. | Médio | Programação | Táticas: - Controle de Processos Prejudicados -Persistência -Coleção Técnicas: - T0839: Firmware do módulo – T0845: Upload do programa |
Aprendida |
Programação de PLC não autorizada | O dispositivo de origem não está definido como um dispositivo de programação, mas realizou uma operação de leitura/gravação em um controlador de destino. As alterações de programação só devem ser executadas por dispositivos de programação. Um aplicativo de programação pode ter sido instalado neste dispositivo. | Alto | Programação | Táticas: - Controle de Processos Prejudicados -Persistência - Movimentação Lateral Técnicas: - T0839: Firmware do módulo - T0889: Modificar Programa – T0843: Download de programas |
Aprendida |
Tipo de quadro do Profinet não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados Técnicas: – T0836: Modificar o parâmetro |
Aprendida |
Comando SAIA S-Bus não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados Técnicas: – T0855: Mensagem de comando não autorizada |
Aprendida |
Execução não autorizada da função de controle do Siemens S7 | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados - Função Inibir Resposta Técnicas: - T0855: Mensagem de comando não autorizada – T0809: Destruição de dados |
Aprendida |
Execução não autorizada da função definida pelo usuário do Siemens S7 | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados -Execução Técnicas: - T0836: Modificar parâmetro – T0863: Execução do usuário |
Aprendida |
Acesso de bloqueio não autorizado do Siemens S7 Plus | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Função Inibir Resposta -Persistência -Execução Técnicas: - T0803 - Bloquear mensagem de comando - T0889: Modificar Programa – T0821: Modificar a tarefa do controlador |
Aprendida |
Operação não autorizada do Siemens S7 Plus | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados -Execução Técnicas: - T0855: Mensagem de comando não autorizada – T0863: Execução do usuário |
Aprendida |
Logon do SMB não autorizado | Foi detectada uma tentativa de entrada de um cliente de origem em um servidor de destino. A comunicação entre esses dispositivos não é autorizada como tráfego aprendido em sua rede. | Médio | Autenticação | Táticas: - Acesso Inicial - Movimentação Lateral -Persistência Técnicas: - T0886: Serviços Remotos – T0859: Contas válidas |
Aprendida |
Operação do SNMP não autorizada | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação anormal | Táticas: -Descobrimento - Comando e Controle Técnicas: - T0842: Detecção de rede – T0885: Porta comumente usada |
Aprendida |
Acesso do SSH não autorizado | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Acesso remoto | Táticas: - Acesso Inicial - Movimentação Lateral - Comando e Controle Técnicas: - T0886: Serviços Remotos – T0869: Protocolo de camada de aplicativo padrão |
Aprendida |
Processo do Windows não autorizado | Um aplicativo não autorizado foi detectado em um dispositivo de origem. O aplicativo não está autorizado como um aplicativo aprendido em sua rede. | Médio | Comportamento de comunicação anormal | Táticas: -Execução - Escalonamento de privilégios - Comando e Controle Técnicas: - T0841: Gancho – T0885: Porta comumente usada |
Aprendida |
Serviço Windows não autorizado | Um aplicativo não autorizado foi detectado em um dispositivo de origem. O aplicativo não está autorizado como um aplicativo aprendido em sua rede. | Médio | Comportamento de comunicação anormal | Táticas: - Acesso Inicial - Movimentação Lateral Técnicas: – T0866: Exploração de serviços remotos |
Aprendida |
Uma operação não autorizada foi detectada por uma regra definida pelo usuário | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros viola uma regra definida pelo usuário | Médio | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Não aprendível | |
Extensão do Modbus Schneider Electric não permitida | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados Técnicas: – T0855: Mensagem de comando não autorizada |
Aprendida |
Uso não permitido de tipos ASDU | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados Técnicas: – T0855: Mensagem de comando não autorizada |
Aprendida |
Uso não permitido de código de função DNP3 | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados Técnicas: – T0836: Modificar o parâmetro |
Aprendida |
Uso não permitido de IIN (indicação interna) * | Um dispositivo de origem DNP3 (outstation) relatou uma IIN (indicação interna) que não foi autorizada como tráfego aprendido na sua rede. | Médio | Comandos ilegais | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
Uso não permitido de código de função Modbus | Novos parâmetros de tráfego foram detectados. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controle de Processos Prejudicados Técnicas: – T0836: Modificar o parâmetro |
Aprendida |
Alertas do mecanismo de anomalias
Observação
Este artigo contém referências ao termo servidor subordinado, um termo que a Microsoft não usa mais. Quando o termo for removido do software, também o removeremos deste artigo.
Os alertas do mecanismo de anomalias descrevem anomalias detectadas na atividade de rede.
Título | Descrição | Severidade | Categoria | MITRE ATT&CK Táticas e técnicas |
Aprendida |
---|---|---|---|---|---|
Padrão de exceção anormal no subordinado* | Um número excessivo de erros foi detectado em um dispositivo de origem. Esse alerta pode ser resultado de um problema operacional. Limite: 20 exceções em 1 hora |
Baixo | Comportamento de comunicação anormal | Táticas: - Controle de Processos Prejudicados Técnicas: – T0806: E/S de força bruta |
Não aprendível |
Comprimento anormal de cabeçalho HTTP * | O dispositivo de origem enviou uma mensagem anormal. Esse alerta pode indicar uma tentativa de ataque ao dispositivo de destino. | Alto | Comportamento anormal de comunicação HTTP | Táticas: - Acesso Inicial - Movimentação Lateral - Comando e Controle Técnicas: - T0866: Exploração de Serviços Remotos – T0869: Protocolo de camada de aplicativo padrão |
Aprendida |
Número anormal de parâmetros no cabeçalho HTTP * | O dispositivo de origem enviou uma mensagem anormal. Esse alerta pode indicar uma tentativa de ataque ao dispositivo de destino. | Alto | Comportamento anormal de comunicação HTTP | Táticas: - Acesso Inicial - Movimentação Lateral - Comando e Controle Técnicas: - T0866: Exploração de Serviços Remotos – T0869: Protocolo de camada de aplicativo padrão |
Aprendida |
Comportamento periódico anormal no canal de comunicação | Foi detectada uma alteração na frequência de comunicação entre os dispositivos de origem e de destino. | Baixo | Comportamento de comunicação anormal | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
Término anormal de aplicativos * | Um número excessivo de comandos de parada foi detectado em um dispositivo de origem. Esse alerta pode ser o resultado de um problema operacional ou uma tentativa de manipular o dispositivo. Limite: 20 comandos de parada em 3 horas |
Médio | Comportamento de comunicação anormal | Táticas: -Persistência -Impacto Técnicas: - T0889: Modificar Programa – T0831: Manipulação do controle |
Aprendida |
Largura de Banda de tráfego anormal * | Largura de banda anormal detectada em um canal. A largura de banda parece ser inferior/superior à que foi detectada anteriormente. Para obter detalhes, trabalhe com o widget de Largura de Banda Total. | Baixo | Anomalias de largura de banda | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
Largura de Banda de tráfego anormal entre dispositivos * | Largura de banda anormal detectada em um canal. A largura de banda parece ser inferior/superior à que foi detectada anteriormente. Para obter detalhes, trabalhe com o widget de Largura de Banda Total. | Baixo | Anomalias de largura de banda | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Não aprendível |
Verificação de endereço detectada | Um dispositivo de origem foi detectado verificando os dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede. Limite: 50 conexões com a mesma sub-rede de classe B em 2 minutos |
Alto | Verificar | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
Verificação de endereço ARP detectada * | Um dispositivo de origem foi detectado verificando dispositivos de rede usando o protocolo ARP. Este endereço de dispositivo não está autorizado como endereço de verificação ARP válido. Limite: 40 verificações em 6 minutos |
Alta | Verificar | Táticas: -Descobrimento -Coleção Técnicas: - T0842: Detecção de rede – T0830: Ataque man-in-the-middle |
Aprendida |
Falsificação de ARP * | Um volume anormal de pacotes foi detectado na rede. Este alerta pode indicar um ataque, por exemplo, uma falsificação de ARP ou um ataque de inundação por ICMP. Limite: 60 pacotes em 1 minuto |
Baixo | Comportamento de comunicação anormal | Táticas: -Coleção Técnicas: – T0830: Ataque man-in-the-middle |
Não aprendível |
Número de excesso de tentativas de logon | Um dispositivo de origem foi observado executando tentativas de entrada excessivas em um servidor de destino. Esse alerta pode indicar um ataque de força bruta. O servidor pode estar comprometido por um agente mal-intencionado. Limite: 20 tentativas de sincronização em um minuto |
Alto | Autenticação | Táticas: - LateralMovement - Controle de Processos Prejudicados Técnicas: - T0812: Credenciais padrão – T0806: E/S de força bruta |
Não aprendível |
Número excessivo de sessões | Um dispositivo de origem foi observado executando tentativas de entrada excessivas em um servidor de destino. Isso pode indicar um ataque de força bruta. O servidor pode estar comprometido por um agente mal-intencionado. Limite: 50 sessões em 1 minuto |
Alta | Comportamento de comunicação anormal | Táticas: - Movimentação Lateral - Controle de Processos Prejudicados Técnicas: - T0812: Credenciais padrão – T0806: E/S de força bruta |
Não aprendível |
Número excessivo da taxa de reinicialização de uma Outstation * | Um número excessivo de comandos de reinicialização foi detectado em um dispositivo de origem. Esses alertas podem ser o resultado de um problema operacional ou uma tentativa de manipular o dispositivo. Limite: 10 reinicializações em 1 hora |
Médio | Comandos Reiniciar/Parar | Táticas: - Função Inibir Resposta - Controle de Processos Prejudicados Técnicas: - T0814: Negação de Serviço – T0806: E/S de força bruta |
Não aprendível |
Número excessivo de tentativas de logon SMB | Um dispositivo de origem foi observado executando tentativas de entrada excessivas em um servidor de destino. Isso pode indicar um ataque de força bruta. O servidor pode estar comprometido por um agente mal-intencionado. Limite: Dez tentativas de logon em dez minutos |
Alta | Autenticação | Táticas: -Persistência -Execução - LateralMovement Técnicas: - T0812: Credenciais padrão - T0853: Scripts – T0859: Contas válidas |
Não aprendível |
Inundação por ICMP * | Um volume anormal de pacotes foi detectado na rede. Este alerta pode indicar um ataque, por exemplo, uma falsificação de ARP ou um ataque de inundação por ICMP. Limite: 60 pacotes em 1 minuto |
Baixo | Comportamento de comunicação anormal | Táticas: -Descobrimento -Coleção Técnicas: - T0842: Detecção de rede – T0830: Ataque man-in-the-middle |
Não aprendível |
Conteúdo de cabeçalho HTTP inválido * | O dispositivo de origem iniciou uma solicitação inválida. | Alto | Comportamento anormal de comunicação HTTP | Táticas: - Acesso Inicial - LateralMovement Técnicas: – T0866: Exploração de serviços remotos |
Não aprendível |
Canal de comunicação inativo * | Um canal de comunicação entre dois dispositivos estava inativo durante um período em que a atividade geralmente é observada. Isso pode indicar que o programa que gera esse tráfego foi alterado ou o programa pode estar não disponível. É recomendável examinar a configuração do programa instalado e verificar se ele está configurado corretamente. Limite: 1 minuto |
Baixo | Sem resposta | Táticas: - Função Inibir Resposta Técnicas: – T0881: Parada de serviço |
Não pode ser usado |
Verificação de endereço de longa duração detectada* | Um dispositivo de origem foi detectado verificando os dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede. Limite: 50 conexões com a mesma sub-rede de classe B em 10 minutos |
Alta | Verificar | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
Tentativa de detecção de senha detectada | Um dispositivo de origem foi observado executando tentativas de entrada excessivas em um servidor de destino. Isso pode indicar um ataque de força bruta. O servidor pode estar comprometido por um agente mal-intencionado. Limite: 100 tentativas em 1 minuto |
Alta | Autenticação | Táticas: - Movimentação Lateral Técnicas: - T0812: Credenciais padrão – T0806: E/S de força bruta |
Não aprendível |
Verificação de PLC detectada | Um dispositivo de origem foi detectado verificando os dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede. Limite: 10 verificações em 2 minutos |
Alta | Verificar | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
Verificação de porta detectada | Um dispositivo de origem foi detectado verificando os dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede. Limite: 25 verificações em 2 minutos |
Alta | Verificar | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Aprendida |
Comprimento de mensagem inesperado | O dispositivo de origem enviou uma mensagem anormal. Esse alerta pode indicar uma tentativa de ataque ao dispositivo de destino. Limite: comprimento do texto – 32768 |
Alta | Comportamento de comunicação anormal | Táticas: - Acesso Inicial - LateralMovement Técnicas: – T0869: Exploração de serviços remotos |
Não aprendível |
Tráfego inesperado para a porta Standard* | Foi detectado o tráfego em um dispositivo usando uma porta reservada para outro protocolo. | Médio | Comportamento de comunicação anormal | Táticas: - Comando e Controle -Descobrimento Técnicas: - T0869: Protocolo de Camada de Aplicação Padrão – T0842: Detecção da rede |
Não aprendível |
Alertas do mecanismo de violação de protocolo
Os alertas do mecanismo de protocolo descrevem os desvios detectados na estrutura do pacote ou os valores de campo em comparação com especificações de protocolo.
Título | Descrição | Severidade | Categoria | MITRE ATT&CK Táticas e técnicas |
Aprendida |
---|---|---|---|---|---|
Número excessivo de pacotes malformados em uma única sessão * | Um número anormal de pacotes malformados enviados do dispositivo de origem para o dispositivo de destino. Este alerta pode indicar comunicações incorretas ou uma tentativa de manipular o dispositivo de destino. Limite: 2 pacotes malformados em 10 minutos |
Médio | Comandos ilegais | Táticas: - Controle de Processos Prejudicados Técnicas: – T0806: E/S de força bruta |
Não aprendível |
Atualização de Firmware | Um dispositivo de origem enviou um comando para atualizar o firmware em um dispositivo de destino. Verifique se as atualizações recentes de programação, configuração e firmware feitas no dispositivo de destino são válidas. | Baixo | Alteração de firmware | Táticas: - Função Inibir Resposta -Persistência Técnicas: – T0857: Firmware do sistema |
Aprendida |
Código de função sem suporte na outstation | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controle de Processos Prejudicados Técnicas: – T0855: Mensagem de comando não autorizada |
Não aprendível |
Mensagem do BACNet inválida | O dispositivo de origem iniciou uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controle de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Não aprendível |
Tentativa de conexão inválida na porta 0 | Um dispositivo de origem tentou se conectar ao dispositivo de destino no número da porta 0 (zero). Para o TCP, a porta 0 é reservada e não pode ser usada. Para o UDP, a porta é opcional e um valor igual a 0 significa nenhuma porta. Normalmente, não há nenhum serviço em sistemas que escutam na porta 0. Esse evento pode indicar uma tentativa de atacar o dispositivo de destino ou indicar que um aplicativo foi programado incorretamente. | Baixo | Comandos ilegais | Táticas: - Controle de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Não aprendível |
Operação do DNP3 inválida | O dispositivo de origem iniciou uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Acesso Inicial - Movimentação Lateral Técnicas: – T0866: Exploração de serviços remotos |
Não aprendível |
Operação do Modbus inválida (exceção gerada pelo mestre) | O dispositivo de origem iniciou uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Acesso Inicial - Movimentação Lateral Técnicas: – T0866: Exploração de serviços remotos |
Não aprendível |
Operação do MODBUS inválida (código de função zero) * | O dispositivo de origem iniciou uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Acesso Inicial - Movimentação Lateral Técnicas: – T0866: Exploração de serviços remotos |
Não aprendível |
Versão de protocolo inválida * | O dispositivo de origem iniciou uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Acesso Inicial - LateralMovement - Controle de Processos Prejudicados Técnicas: - T0820: Serviços Remotos – T0836: Modificar o parâmetro |
Não aprendível |
Parâmetro incorreto enviado para a outstation | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controle de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Não aprendível |
Inicialização de um código de função obsoleto (inicializar dados) | O dispositivo de origem iniciou uma solicitação inválida. | Baixo | Comandos ilegais | Táticas: - Controle de Processos Prejudicados Técnicas: – T0855: Mensagem de comando não autorizada |
Não aprendível |
Inicialização de um código de função obsoleto (salvar configuração) | O dispositivo de origem iniciou uma solicitação inválida. | Baixo | Comandos ilegais | Táticas: - Controle de Processos Prejudicados Técnicas: – T0855: Mensagem de comando não autorizada |
Não aprendível |
O mestre solicitou uma confirmação de camada de aplicativo | O dispositivo de origem iniciou uma solicitação inválida. | Baixo | Comandos ilegais | Táticas: - Comando e Controle Técnicas: – T0869: Protocolo de camada de aplicativo padrão |
Não aprendível |
Exceção de Modbus | Um dispositivo de origem (secundário) retornou uma exceção para um dispositivo de destino (primário). | Médio | Comandos ilegais | Táticas: - Função Inibir Resposta Técnicas: – T0814: Negação de serviço |
Não aprendível |
O dispositivo subordinado recebeu um tipo de ASDU inválido | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controle de Processos Prejudicados Técnicas: – T0836: Modificar o parâmetro |
Não aprendível |
O dispositivo subordinado recebeu uma causa de comando de transmissão inválida | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controle de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Não aprendível |
O dispositivo subordinado recebeu um endereço comum inválido | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controle de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Não aprendível |
O dispositivo subordinado recebeu um parâmetro de endereço de dados inválido * | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controle de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Não aprendível |
O dispositivo subordinado recebeu um parâmetro de valor de dados inválido * | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controle de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Não aprendível |
O dispositivo subordinado recebeu um código de função inválido * | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controle de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Não aprendível |
O dispositivo subordinado recebeu um endereço de objeto de informações inválido | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controle de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada – T0836: Modificar o parâmetro |
Não aprendível |
Objeto desconhecido enviado para o outstation | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controle de Processos Prejudicados Técnicas: – T0855: Mensagem de comando não autorizada |
Não aprendível |
Uso de um código de função reservado | O dispositivo de origem iniciou uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controle de Processos Prejudicados Técnicas: – T0836: Modificar o parâmetro |
Não aprendível |
Uso de formatação imprópria pela Outstation * | O dispositivo de origem iniciou uma solicitação inválida. | Baixo | Comandos ilegais | Táticas: - Controle de Processos Prejudicados Técnicas: – T0855: Mensagem de comando não autorizada |
Não aprendível |
Uso de sinalizadores de status reservados (IIN) | Um dispositivo de origem DNP3 (outstation) usou o indicador interno reservado 2.6. É recomendável verificar a configuração do dispositivo. | Baixo | Comandos ilegais | Táticas: - Controle de Processos Prejudicados Técnicas: – T0836: Modificar o parâmetro |
Não aprendível |
Alertas do mecanismo de malware
Os alertas do mecanismo de malware descrevem a atividade de rede mal-intencionada detectada.
Título | Descrição | Severidade | Categoria | MITRE ATT&CK Táticas e técnicas |
Aprendida |
---|---|---|---|---|---|
Tentativa de conexão com IP mal-intencionado conhecido | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Disparado por sensores de rede de OT e de Enterprise IoT. |
Alto | Suspeita de atividade mal-intencionada | Táticas: - Acesso Inicial - Comando e Controle Técnicas: - T0883: Dispositivo acessível à Internet – T0884: Proxy da conexão |
Não aprendível |
Mensagem SMB inválida (implante de backdoor DoublePulsar) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Acesso Inicial - LateralMovement Técnicas: – T0866: Exploração de serviços remotos |
Não aprendível |
Solicitação de nome de domínio mal-intencionado | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Disparado por sensores de rede de OT e de Enterprise IoT. |
Alto | Suspeita de atividade mal-intencionada | Táticas: - Acesso Inicial - Comando e Controle Técnicas: - T0883: Dispositivo acessível à Internet – T0884: Proxy da conexão |
Aprendida |
Caminho de URL mal-intencionado | Foi feita uma solicitação para um caminho de URL mal-intencionado conhecido. As solicitações feitas para esse caminho de URL podem indicar que a origem que está fazendo a solicitação está comprometida. | Alto | Suspeita de atividade mal-intencionada | Táticas: - Acesso Inicial - Comando e Controle Técnicas: - T0883: Dispositivo acessível à Internet – T0884: Proxy da conexão |
Não aprendível |
Arquivo de teste de malware detectado – êxito do EICAR AV | Um arquivo de teste do EICAR AV foi detectado no tráfego entre dois dispositivos (em qualquer transporte – TCP ou UDP). O arquivo não é um malware. Ele é usado para confirmar se o software antivírus foi instalado corretamente. Demonstra o que acontece quando um vírus é encontrado e verifica os procedimentos internos e as reações quando um vírus é encontrado. O software antivírus deve detectar o EICAR como se ele fosse um vírus real. | Alta | Suspeita de atividade mal-intencionada | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Não aprendível |
Suspeita de malware Conficker | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Médio | Suspeita de malware | Táticas: - Acesso Inicial -Impacto Técnicas: - T0826: Perda de Disponibilidade - T0828: Perda de Produtividade e Receita – T0847: Replicação por meio de mídia removível |
Não aprendível |
Suspeita de ataque de negação de serviço | Um dispositivo de origem tentou iniciar um número excessivo de novas conexões com um dispositivo de destino. Isso pode indicar um ataque de Negação de Serviço (DOS) contra o dispositivo de destino e pode interromper a funcionalidade do dispositivo, afetar o desempenho e a disponibilidade do serviço ou causar erros irrecuperáveis. Limite: Três mil tentativas em um minuto |
Alta | Suspeita de atividade mal-intencionada | Táticas: - Função Inibir Resposta Técnicas: – T0814: Negação de serviço |
Aprendida |
Suspeita de atividade mal-intencionada | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que acionou conhecidos "Indicadores de Comprometimento" (IOCs). Os metadados de alerta devem ser revisados pela equipe de segurança. | Alta | Suspeita de atividade mal-intencionada | Táticas: - Movimentação Lateral Técnicas: – T0867: Transferência de ferramenta lateral |
Não aprendível |
Suspeita de atividade mal-intencionada (BlackEnergy) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Comando e Controle Técnicas: – T0869: Protocolo de camada de aplicativo padrão |
Não aprendível |
Suspeita de atividade mal-intencionada (DarkComet) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: -Impacto Técnicas: – T0882: Roubo de informações operacionais |
Não aprendível |
Suspeita de atividade mal-intencionada (Duqu) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: -Impacto Técnicas: – T0882: Roubo de informações operacionais |
Não aprendível |
Suspeita de atividade mal-intencionada (Flame) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: -Coleção -Impacto Técnicas: - T0882: Roubo de Informações Operacionais – T0811: Dados dos repositórios de informações |
Não aprendível |
Suspeita de atividade mal-intencionada (Havex) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: -Coleção -Descobrimento - Função Inibir Resposta Técnicas: - T0861: Identificação de Tag de Ponto e Tag - T0846: Descoberta remota do sistema – T0814: Negação de serviço |
Não aprendível |
Suspeita de atividade mal-intencionada (Karagany) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: -Impacto Técnicas: – T0882: Roubo de informações operacionais |
Não aprendível |
Suspeita de atividade mal-intencionada (LightsOut) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: -Evasão Técnicas: – T0849: Mascaramento |
Não aprendível |
Suspeita de atividade mal-intencionada (consultas de nome) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Limite: 25 consultas de nome em 1 minuto |
Alto | Suspeita de atividade mal-intencionada | Táticas: - Comando e Controle Técnicas: – T0884: Proxy da conexão |
Não aprendível |
Suspeita de atividade mal-intencionada (Poison Ivy) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Acesso Inicial - Movimentação Lateral Técnicas: – T0866: Exploração de serviços remotos |
Não aprendível |
Suspeita de atividade mal-intencionada (Regin) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Acesso Inicial - Movimentação Lateral -Impacto Técnicas: - T0866: Exploração de Serviços Remotos – T0882: Roubo de informações operacionais |
Não aprendível |
Suspeita de atividade mal-intencionada (Stuxnet) | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Acesso Inicial - Movimentação Lateral -Impacto Técnicas: - T0818: Comprometimento da estação de trabalho de engenharia - T0866: Exploração de Serviços Remotos – T0831: Manipulação do controle |
Não aprendível |
Suspeita de atividade mal-intencionada (WannaCry) * | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Médio | Suspeita de malware | Táticas: - Acesso Inicial - Movimentação Lateral Técnicas: - T0866: Exploração de Serviços Remotos – T0867: Transferência de ferramenta lateral |
Não aprendível |
Suspeita de malware NotPetya – Parâmetros de SMB inválidos detectados | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Acesso Inicial - Movimentação Lateral Técnicas: – T0866: Exploração de serviços remotos |
Não aprendível |
Suspeita de malware NotPetya – Transação SMB inválida detectada | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Movimentação Lateral Técnicas: – T0867: Transferência de ferramenta lateral |
Não aprendível |
Suspeita de execução remota de código com o PsExec | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de atividade mal-intencionada | Táticas: - Movimentação Lateral - Acesso Inicial Técnicas: – T0866: Exploração de serviços remotos |
Não aprendível |
Suspeita de gerenciamento de serviços remotos do Windows * | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de atividade mal-intencionada | Táticas: - Acesso Inicial Técnicas: – T0822: Serviços remoto externos da rede |
Não aprendível |
Arquivo executável suspeito detectado no ponto de extremidade | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de atividade mal-intencionada | Táticas: -Evasão - Função Inibir Resposta Técnicas: – T0851: Rootkit |
Aprendida |
Tráfego suspeito detectado * | Foi detectada uma atividade de rede suspeita. Essa atividade pode estar associada a um ataque que acionou conhecidos "Indicadores de Comprometimento" (IOCs). Os metadados de alerta devem ser revisados pela equipe de segurança | Alta | Suspeita de atividade mal-intencionada | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Não aprendível |
Atividade de backup com assinaturas de antivírus | O tráfego detectado entre o dispositivo de origem e o servidor de backup de destino disparou esse alerta. O tráfego inclui o backup do software antivírus que pode conter assinaturas de malware. Essa provavelmente é uma atividade legítima de backup. | Baixo | Backup | Táticas: -Impacto Técnicas: – T0882: Roubo de informações operacionais |
Não aprendível |
Alertas do mecanismo operacional
Os alertas do mecanismo operacional descrevem incidentes operacionais detectados ou entidades com funcionamento inadequado.
Título | Descrição | Severidade | Categoria | MITRE ATT&CK Táticas e técnicas |
Aprendida |
---|---|---|---|---|---|
Um comando S7 Stop PLC foi enviado | O dispositivo de origem enviou um comando de parada para um controlador de destino. O controlador pára de funcionar até que um comando start seja enviado. | Baixo | Comandos Reiniciar/Parar | Táticas: - Movimentação Lateral - Evasão de Defesa -Execução - Função Inibir Resposta Técnicas: - T0843: Download do Programa - T0858: Alterar Modo de Operação – T0814: Negação de serviço |
Não aprendível |
Falha na operação do BACNet | Um servidor retornou um código de erro. Este alerta indica um erro de servidor ou uma solicitação inválida por um cliente. | Médio | Falhas de comando | Táticas: - Controle de Processos Prejudicados Técnicas: – T0855: Mensagem de comando não autorizada |
Não aprendível |
Estado do dispositivo MMS inválido | Um VMD (Dispositivo Virtual de Manufatura) MMS enviou uma mensagem de status. A mensagem indica que o servidor pode não estar configurado corretamente, parcialmente operacional ou não estar operacional. | Médio | Problemas operacionais | Táticas: - Função Inibir Resposta Técnicas: – T0814: Negação de serviço |
Não aprendível |
Alteração da configuração do dispositivo * | Uma alteração de configuração foi detectada em um dispositivo de origem. | Baixo | Alterações de configuração | Táticas: - Controle de Processos Prejudicados Técnicas: – T0836: Modificar o parâmetro |
Não aprendível |
Estouro de buffer de eventos contínuo na Outstation * | Um evento de estouro de buffer foi detectado em um dispositivo de origem. O evento pode causar corrupção de dados, falhas de programa ou execução de código mal-intencionado. Limite: 3 ocorrências em 10 minutos |
Médio | Estouro de buffer | Táticas: - Função Inibir Resposta - Controle de Processos Prejudicados -Persistência Técnicas: - T0814: Negação de Serviço - T0806: E/S de força bruta – T0839: Firmware de módulo |
Não aprendível |
Redefinição do controlador | Um dispositivo de origem enviou um comando de redefinição para um controlador de destino. O controlador parou de operar temporariamente e foi iniciado de modo automático. | Baixo | Comandos Reiniciar/Parar | Táticas: - Evasão de Defesa -Execução - Função Inibir Resposta Técnicas: - T0858: Alterar Modo de Operação – T0814: Negação de serviço |
Não aprendível |
Parada do controlador | O dispositivo de origem enviou um comando de parada para um controlador de destino. O controlador pára de funcionar até que um comando start seja enviado. | Baixo | Comandos Reiniciar/Parar | Táticas: - Movimentação Lateral - Evasão de Defesa -Execução - Função Inibir Resposta Técnicas: - T0843: Download do Programa - T0858: Alterar Modo de Operação – T0814: Negação de serviço |
Não aprendível |
O dispositivo não pôde receber um endereço IP dinâmico | O dispositivo de origem está configurado para receber um endereço IP dinâmico de um servidor DHCP, mas não recebeu um endereço. Isso indica um erro de configuração no dispositivo ou um erro operacional no servidor DHCP. É recomendável notificar o administrador de rede do incidente | Médio | Falhas de comando | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Não aprendível |
Suspeita de desconexão do dispositivo (sem resposta) | Um dispositivo de origem não respondeu a um comando enviado para ele. Ele pode ter sido desconectado quando o comando foi enviado. Limite: 8 tentativas em 5 minutos |
Médio | Sem resposta | Táticas: - Função Inibir Resposta Técnicas: – T0881: Parada de serviço |
Não aprendível |
Falha na solicitação de serviço CIP de Ethernet/IP | Um servidor retornou um código de erro. Isso indica um erro de servidor ou uma solicitação inválida por um cliente. | Médio | Falhas de comando | Táticas: - Controle de Processos Prejudicados Técnicas: – T0855: Mensagem de comando não autorizada |
Não aprendível |
Falha no comando de protocolo de encapsulamento Ethernet/IP | Um servidor retornou um código de erro. Isso indica um erro de servidor ou uma solicitação inválida por um cliente. | Médio | Falhas de comando | Táticas: -Coleção Técnicas: – T0801: Monitorar o estado do processo |
Não aprendível |
Estouro de buffer de eventos na outstation | Um evento de estouro de buffer foi detectado em um dispositivo de origem. O evento pode causar corrupção de dados, falhas de programa ou execução de código mal-intencionado. | Médio | Estouro de buffer | Táticas: - Função Inibir Resposta - Controle de Processos Prejudicados -Persistência Técnicas: - T0814: Negação de Serviço – T0839: Firmware de módulo |
Não aprendível |
A operação de backup esperada não ocorreu | A atividade esperada de transferência de arquivo/backup entre dois dispositivos não ocorreu. Esse alerta pode indicar erros no processo de backup/transferência de arquivos. Limite: 100 segundos |
Médio | Backup | Táticas: - Função Inibir Resposta Técnicas: – T0809: Destruição de dados |
Aprendida |
Falha do comando GE SRTP | Um servidor retornou um código de erro. Este alerta indica um erro de servidor ou uma solicitação inválida por um cliente. | Médio | Falhas de comando | Táticas: - Controle de Processos Prejudicados Técnicas: – T0855: Mensagem de comando não autorizada |
Não aprendível |
O comando GE SRTP Stop PLC foi enviado | O dispositivo de origem enviou um comando de parada para um controlador de destino. O controlador pára de funcionar até que um comando start seja enviado. | Baixo | Comandos Reiniciar/Parar | Táticas: - Movimentação Lateral - Evasão de Defesa -Execução - Função Inibir Resposta Técnicas: - T0843: Download do Programa - T0858: Alterar Modo de Operação – T0814: Negação de serviço |
Não aprendível |
O bloco de controle GOOSE exige configuração adicional | Um dispositivo de origem enviou uma mensagem GOOSE indicando que o dispositivo precisa de comissões. Isso significa que o bloco de controle GOOSE exige configuração adicional e que as mensagens GOOSE estão parcial ou completamente não operacionais. | Médio | Alterações de configuração | Táticas: - Controle de Processos Prejudicados - Função Inibir Resposta Técnicas: - T0803: Bloquear mensagem de comando – T0821: Modificar a tarefa do controlador |
Não aprendível |
A configuração do conjunto de dados GOOSE foi alterada* | Um conjunto de dados da mensagem (identificada pela ID de protocolo) foi alterado em um dispositivo de origem. Isso significa que o dispositivo relata um conjunto de dados diferente para essa mensagem. | Baixo | Alterações de configuração | Táticas: - Controle de Processos Prejudicados Técnicas: – T0836: Modificar o parâmetro |
Não aprendível |
Status inesperado do controlador Honeywell | Um controlador Honeywell enviou uma mensagem de diagnóstico inesperada indicando uma alteração de status. | Baixo | Problemas operacionais | Táticas: -Evasão -Execução Técnicas: – T0858: Alterar o modo operacional |
Não aprendível |
Erro do cliente HTTP * | O dispositivo de origem iniciou uma solicitação inválida. | Baixo | Comportamento anormal de comunicação HTTP | Táticas: - Comando e Controle Técnicas: – T0869: Protocolo de camada de aplicativo padrão |
Não aprendível |
Endereço IP inválido | O sistema detectou o tráfego entre um dispositivo de origem e um endereço IP inválido. Isso pode indicar uma configuração errada ou uma tentativa de gerar tráfego ilegal. | Baixo | Comportamento de comunicação anormal | Táticas: -Descobrimento - Controle de Processos Prejudicados Técnicas: - T0842: Detecção de rede – T0836: Modificar o parâmetro |
Não aprendível |
Erro de autenticação de mestre/subordinado | Falha no processo de autenticação entre um dispositivo de origem DNP3 (primário) e um dispositivo de destino (outstation). | Baixo | Autenticação | Táticas: - Movimentação Lateral -Persistência Técnicas: – T0859: Contas válidas |
Não aprendível |
Falha na solicitação de serviço MMS | Um servidor retornou um código de erro. Isso indica um erro de servidor ou uma solicitação inválida por um cliente. | Médio | Falhas de comando | Táticas: - Controle de Processos Prejudicados Técnicas: – T0855: Mensagem de comando não autorizada |
Não aprendível |
Nenhum tráfego detectado na interface do sensor | Um sensor parou de detectar o tráfego de rede em um adaptador de rede. | Alto | Tráfego do sensor | Táticas: - Função Inibir Resposta Técnicas: – T0881: Parada de serviço |
Não aprendível |
O servidor OPC UA gerou um evento que exige a atenção do usuário | Um servidor OPC UA enviou uma notificação de eventos para um cliente. Esse tipo de evento exige a atenção do usuário | Médio | Problemas operacionais | Táticas: - Função Inibir Resposta Técnicas: – T0838: Modificar as configurações do alarme |
Não aprendível |
Falha na solicitação de serviço OPC UA | Um servidor retornou um código de erro. Isso indica um erro de servidor ou uma solicitação inválida por um cliente. | Médio | Falhas de comando | Táticas: - Controle de Processos Prejudicados Técnicas: – T0855: Mensagem de comando não autorizada |
Não aprendível |
Outstation reiniciada | Foi detectada uma reinicialização a frio em um dispositivo de origem. Isso significa que o dispositivo foi fisicamente desligado e reconectado. | Baixo | Comandos Reiniciar/Parar | Táticas: - Função Inibir Resposta Técnicas: – T0816: Reinicialização/desligamento de dispositivo |
Não aprendível |
Reinicializações frequentes da outstation | Um número excessivo de reinicializações a frio foi detectado em um dispositivo de origem. Isso significa que o dispositivo foi fisicamente desligado e reconectado um número excessivo de vezes. Limite: 2 reinicializações em 10 minutos |
Baixo | Comandos Reiniciar/Parar | Táticas: - Função Inibir Resposta Técnicas: - T0814: Negação de Serviço – T0816: Reinicialização/desligamento de dispositivo |
Não aprendível |
Configuração alterada da outstation | Uma alteração de configuração foi detectada em um dispositivo de origem. | Médio | Alterações de configuração | Táticas: - Função Inibir Resposta -Persistência Técnicas: – T0857: Firmware do sistema |
Não aprendível |
Configuração corrompida da outstation detectada | Este dispositivo de origem DNP3 (outstation) relatou uma configuração corrompida. | Médio | Alterações de configuração | Táticas: - Função Inibir Resposta Técnicas: – T0809: Destruição de dados |
Não aprendível |
Falha do comando de DCP do Profinet | Um servidor retornou um código de erro. Isso indica um erro de servidor ou uma solicitação inválida por um cliente. | Médio | Falhas de comando | Táticas: - Controle de Processos Prejudicados Técnicas: – T0855: Mensagem de comando não autorizada |
Não aprendível |
Redefinição de fábrica de dispositivo do Profinet | Um dispositivo de origem enviou um comando de redefinição de fábrica para um dispositivo de destino Profinet. O comando de redefinição limpa as configurações de dispositivo Profinet e interrompe a operação dele. | Baixo | Comandos Reiniciar/Parar | Táticas: - Evasão de Defesa -Execução - Função Inibir Resposta Técnicas: - T0858: Alterar Modo de Operação – T0814: Negação de serviço |
Não aprendível |
Falha na operação do RPC * | Um servidor retornou um código de erro. Este alerta indica um erro de servidor ou uma solicitação inválida por um cliente. | Médio | Falhas de comando | Táticas: - Controle de Processos Prejudicados Técnicas: – T0855: Mensagem de comando não autorizada |
Não aprendível |
Alteração nos valores de amostra da configuração do conjunto de dados da mensagem * | Um conjunto de dados da mensagem (identificada pela ID de protocolo) foi alterado em um dispositivo de origem. Isso significa que o dispositivo relata um conjunto de dados diferente para essa mensagem. | Baixo | Alterações de configuração | Táticas: - Controle de Processos Prejudicados Técnicas: – T0836: Modificar o parâmetro |
Não aprendível |
Falha irrecuperável do dispositivo subordinado * | Um erro de condição irrecuperável foi detectado em um dispositivo de origem. Esse tipo de erro geralmente indica uma falha de hardware ou uma falha ao executar um comando específico. | Médio | Falhas de comando | Táticas: - Função Inibir Resposta Técnicas: – T0814: Negação de serviço |
Não aprendível |
Suspeita de problemas de hardware na outstation | Um erro de condição irrecuperável foi detectado em um dispositivo de origem. Esse tipo de erro geralmente indica uma falha de hardware ou uma falha ao executar um comando específico. | Médio | Problemas operacionais | Táticas: - Função Inibir Resposta Técnicas: - T0814: Negação de Serviço – T0881: Parada de serviço |
Não aprendível |
Suspeita de dispositivo Modbus sem resposta | Um dispositivo de origem não respondeu a um comando enviado para ele. Ele pode ter sido desconectado quando o comando foi enviado. Limite: mínimo de 1 resposta válida para um mínimo de 3 solicitações dentro de 5 minutos |
Baixo | Sem resposta | Táticas: - Função Inibir Resposta Técnicas: – T0881: Parada de serviço |
Não aprendível |
Tráfego detectado na interface do sensor | Um sensor retomou a detecção do tráfego de rede em um adaptador de rede. | Baixo | Tráfego do sensor | Táticas: -Descobrimento Técnicas: – T0842: Detecção da rede |
Não aprendível |
Modo de operação PLC alterado | O modo de operação neste PLC foi alterado. O novo modo pode indicar que o CLP não é seguro. Deixar o PLC em um modo de operação não seguro pode permitir que os adversários executem atividades maliciosas nele, como um download de programa. Se o CLP for comprometido, dispositivos e processos que interagem com ele podem ser afetados. Isso pode afetar a segurança geral do sistema. | Baixo | Alterações de configuração | Táticas: -Execução -Evasão Técnicas: – T0858: Alterar o modo operacional |
Não aprendível |
Próximas etapas
Para obter mais informações, consulte:
- Exibir e gerenciar alertas no portal Defender para IoT
- Exibir alertas no sensor
- Acelerar fluxos de trabalho de alertas
- Encaminhar informações de alertas
- Trabalhar com alertas no console de gerenciamento local
- Referência da API de gerenciamento de alerta para consoles de gerenciamento locais
- Referência da API de gerenciamento de alertas para sensores de monitoramento de OT
- Encaminhar informações de alertas