Справочник по оповещению Microsoft Defender для Интернета вещей
В этой статье приведена ссылка на оповещения , созданные сетевыми датчиками Microsoft Defender для Интернета вещей, включая список всех типов оповещений и описаний. В справочнике также показано, какие оповещения можно просмотреть как доступные для изучения или нет, дополнительные сведения о состоянии обучения см. в разделе "Состояния оповещений" и параметров для просмотра. Эту ссылку можно использовать для сопоставления оповещений с сборниками схем, определения правил пересылки в сетевом датчике операционной технологии (OT) или других пользовательских действий.
Оповещения OT отключены по умолчанию
По умолчанию несколько оповещений отключены, как указано звездочками (*) в таблицах ниже. Пользователи датчика OT могут включать или отключать оповещения на странице поддержки на определенном сетевом датчике OT.
Если вы отключите оповещения, на которые ссылаются другие места, например правила пересылки оповещений, обязательно обновите эти ссылки по мере необходимости.
Серьезность оповещений
Оповещения Defender для Интернета вещей используют следующие уровни серьезности:
| Портал Azure | Датчик ОТ | Описание |
|---|---|---|
| Высокий уровень | Критически | Указывает вредоносные атаки, которые должны обрабатываться немедленно. |
| Средний | Major | Указывает угрозу безопасности, которая важна для решения. |
| Низкая | Дополнительное, предупреждение | Указывает на некоторое отклонение от базового поведения, которое может содержать угрозу безопасности или не содержит угроз безопасности. |
Уровень серьезности оповещений на этой странице содержит список серьезности, как показано в портал Azure.
Поддерживаемые типы оповещений
| Тип оповещения | Описание |
|---|---|
| Оповещения о нарушении политики | Активируются, когда модуль обнаружения нарушений Политики обнаруживает отклонение от ранее полученного трафика. Например: – Обнаружено новое устройство. – На устройстве обнаружена новая конфигурация. - Устройство, не определенное как программатор, выполняет меняет программу. – Изменена версия встроенного ПО. |
| Оповещения о нарушении протокола | Вызываются, когда модуль обнаружения нарушений протокола фиксирует несоответствие структур пакетов или значений полей спецификации протокола. |
| Операционные оповещения | Вызываются, когда операционный модуль обнаруживает сетевые операционные инциденты или неисправность устройства. Например, сетевое устройство было остановлено с помощью команды "Остановка ПЛК", или интерфейс датчика остановил мониторинг трафика. |
| Оповещения о вредоносных программах | Вызываются, когда модуль защиты от вредоносных программ фиксирует вредоносную сетевую активность. Например, модуль обнаруживает известную атаку, например, червь Conficker. |
| Оповещения об отклонениях | Вызываются, когда модуль отклонений фиксирует отклонение. Например, устройство, которое не определено как сканирующее устройство, сканирует сеть. |
Политика обнаружения оповещений Defender для Интернета вещей управляет различными обработчиками оповещений для активации оповещений на основе влияния на бизнес и контекста сети, а также снижает низкое значение связанных с ИТ-оповещениями. Дополнительные сведения см. в разделе "Специализированные оповещения" в средах OT/IT.
Поддерживаемые категории оповещений
Каждое оповещение имеет одну из следующих категорий:
- Аномальное поведение связи
- Аномальное поведение связи по HTTP
- Проверка подлинности
- Резервное копирование
- Аномалии пропускной способности
- Переполнение буфера
- Сбои команд
- Изменения конфигурации
- Настраиваемые оповещения
- Обнаружение
- Изменение встроенного ПО
- Недопустимые команды
- Доступ к сети Интернет
- Сбои при выполнении операции
- Проблемы с работоспособностью
- Программирование
- Удаленный доступ.
- Команды перезапуска и завершения
- Сканировать
- Датчик трафика
- Подозрение на наличие вредоносных действий
- Подозрение на наличие вредоносной программы
- Несанкционированное поведение связи
- Не отвечает
Оповещение модуля Политики Azure
Оповещения модуля политики Azure описывают отклонения от базового поведения, полученного в результате обучения.
| Заголовок | Description | Серьезность | Категория | MITRE ATT&CK Тактика и методы |
Обучаемый |
|---|---|---|---|---|---|
| Бекхофф Программное обеспечение изменилось | Встроенное ПО обновлено на исходном устройстве. Это может быть авторизованное действие, например процедура планового обслуживания. | Средняя | Изменение встроенного ПО | Тактика: — Функция подавления отклика -Упорство Методы: — T0857: системное встроенное ПО |
Обучаемый |
| Ошибка входа в базу данных | Обнаружена неудачная попытка входа с исходного устройства на целевой сервер. Это может быть результатом ошибки со стороны человека, но может также указывать на попытку злоумышленника нарушить безопасность сервера или данных на нем. Пороговое значение: 2 сбоя входа в 5 минут |
Средняя | Проверка подлинности | Тактика: — боковое движение -Коллекция Методы: — T0812: учетные данные по умолчанию — T0811: данные из репозиториев сведений |
Недоступен для обучения |
| Изменена версия встроенного ПО Emerson ROC | Встроенное ПО обновлено на исходном устройстве. Это может быть авторизованное действие, например процедура планового обслуживания. | Средняя | Изменение встроенного ПО | Тактика: — Функция подавления отклика -Упорство Методы: — T0857: системное встроенное ПО |
Обучаемый |
| Внешний адрес в сети, взаимодействуемой с Интернетом | Исходное устройство, определенное как часть сети, взаимодействует с адресами в Интернете. Источнику не разрешено обмениваться данными с интернет-адресами. | Высокая | Доступ к сети Интернет | Тактика: — начальный доступ Методы: — T0883: устройство с доступом к Интернету |
Обучаемый |
| Непредвиденное обнаружение устройства поля | Новое исходное устройство было обнаружено в сети, но не авторизовано. | Средняя | Обнаружение | Тактика: -Открытие Методы: - T0842: сетевой sniffing |
Недоступен для обучения |
| Обнаружено изменение встроенного ПО | Встроенное ПО обновлено на исходном устройстве. Это может быть авторизованное действие, например процедура планового обслуживания. | Средняя | Изменение встроенного ПО | Тактика: — Функция подавления отклика -Упорство Методы: — T0857: системное встроенное ПО |
Недоступен для обучения |
| Изменена версия встроенного ПО | Встроенное ПО обновлено на исходном устройстве. Это может быть авторизованное действие, например процедура планового обслуживания. | Средняя | Изменение встроенного ПО | Тактика: — Функция подавления отклика -Упорство Методы: — T0857: системное встроенное ПО |
Обучаемый |
| Несанкционированная операция Foxboro i/A | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение - T0836: изменение параметра |
Обучаемый |
| Сбой входа FTP | Обнаружена неудачная попытка входа с исходного устройства на целевой сервер. Это оповещение может быть результатом ошибки со стороны человека, но может также указывать на попытку злоумышленника нарушить безопасность сервера или данных на нем. | Средняя | Проверка подлинности | Тактика: — боковое движение — команда и управление Методы: — T0812: учетные данные по умолчанию — T0869: стандартный протокол уровня приложений |
Недоступен для обучения |
| Код функции вызвал неавторизованное исключение * | Исходное устройство (дополнительное) вернуло исключение на устройство назначения (основное). | Средняя | Сбои команд | Тактика: — Функция подавления отклика Методы: - T0835: управление образом ввода-вывода |
Обучаемый |
| Параметры типа сообщения GOOSE | На исходном устройстве изменены параметры сообщения (определено с помощью идентификатора протокола). | Низкая | Несанкционированное поведение связи | Тактика: — управление процессом impair Методы: - T0836: изменение параметра |
Обучаемый |
| Изменена версия встроенного ПО Honeywell | Встроенное ПО обновлено на исходном устройстве. Это может быть авторизованное действие, например процедура планового обслуживания. | Средняя | Изменение встроенного ПО | Тактика: — Функция подавления отклика -Упорство Методы: — T0857: системное встроенное ПО |
Обучаемый |
| Недопустимая связь ПО HTTP * | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Аномальное поведение связи по HTTP | Тактика: -Открытие Методы: — T0846: удаленное обнаружение системы |
Обучаемый |
| Обнаружен доступ к Интернету | Исходное устройство, определенное как часть сети, взаимодействует с адресами в Интернете. Источнику не разрешено обмениваться данными с интернет-адресами. | Средняя | Доступ к сети Интернет | Тактика: — начальный доступ Методы: — T0883: устройство с доступом к Интернету |
Обучаемый |
| Изменена версия встроенного ПО Mitsubishi | Встроенное ПО обновлено на исходном устройстве. Это может быть авторизованное действие, например процедура планового обслуживания. | Средняя | Изменение встроенного ПО | Тактика: — Функция подавления отклика -Упорство Методы: — T0857: системное встроенное ПО |
Обучаемый |
| Нарушение диапазона адресов Modbus | Основное устройство запросило доступ к новому адресу памяти дополнительного устройства. | Средняя | Несанкционированное поведение связи | Тактика: -Открытие Методы: - T0842: сетевой sniffing |
Обучаемый |
| Изменена версия встроенного ПО Modbus | Встроенное ПО обновлено на исходном устройстве. Это может быть авторизованное действие, например процедура планового обслуживания. | Средняя | Изменение встроенного ПО | Тактика: — Функция подавления отклика -Упорство Методы: — T0857: системное встроенное ПО |
Обучаемый |
| Обнаружено новое действие — класс CIP | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: -Открытие Методы: — T0888: удаленное обнаружение Сведения о системе |
Обучаемый |
| Обнаружено новое действие — служба классов CIP | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — Функция подавления отклика Методы: - T0836: изменение параметра |
Обучаемый |
| Обнаружено новое действие — команда CIP PCCC | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — Функция подавления отклика Методы: - T0836: изменение параметра |
Обучаемый |
| Обнаружено новое действие — символ CIP | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair — Функция подавления отклика Методы: - T0855: несанкционированное командное сообщение - T0836: изменение параметра |
Обучаемый |
| Обнаружено новое действие — подключение к эфирной сети/IP-ввода-вывода | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: -Открытие — Функция подавления отклика Методы: — T0846: удаленное обнаружение системы - T0835: управление образом ввода-вывода |
Обучаемый |
| Обнаружено новое действие — команда протокола EthereumNet/IP | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — Функция подавления отклика Методы: - T0836: изменение параметра |
Обучаемый |
| Обнаружено новое действие — код сообщения GSM | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — CommandAndControl Методы: — T0869: стандартный протокол уровня приложений |
Обучаемый |
| Обнаружено новое действие — коды команд LonTalk | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: -Коллекция — управление процессом impair Методы: - T0861 — идентификация точек и тегов - T0855: несанкционированное командное сообщение |
Обучаемый |
| Новое обнаружение портов | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Низкая | Обнаружение | Тактика: — боковое движение Методы: - T0867: передача бокового инструмента |
Обучаемый |
| Обнаружена новая активность — сетевая переменная LonTalk | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение |
Обучаемый |
| Обнаружено новое действие — запрос данных Ovation | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: -Коллекция -Открытие Методы: - T0801: мониторинг состояния процесса — T0888: удаленное обнаружение Сведения о системе |
Обучаемый |
| Обнаружено новое действие— команда чтения и записи (группа индексов AMS) | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Изменения конфигурации | Тактика: — управление процессом impair — Функция подавления отклика Методы: - T0855: несанкционированное командное сообщение - T0836: изменение параметра |
Обучаемый |
| Обнаружено новое действие— команда чтения и записи (смещение индекса AMS) | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Изменения конфигурации | Тактика: — управление процессом impair — Функция подавления отклика Методы: - T0855: несанкционированное командное сообщение - T0836: изменение параметра |
Обучаемый |
| Обнаружено новое действие — неавторизованный тип сообщения DeltaV | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair -Исполнение Методы: - T0855: несанкционированное командное сообщение — T0821: изменение задачи контроллера |
Обучаемый |
| Обнаружена новая активность — несанкционированная операция DeltaV ROC | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair -Исполнение Методы: - T0855: несанкционированное командное сообщение — T0821: изменение задачи контроллера |
Обучаемый |
| Обнаружено новое действие — неавторизованный тип сообщения RPC | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение |
Обучаемый |
| Обнаружено новое действие. Использование команды протокола AMS | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair — Функция подавления отклика -Исполнение Методы: - T0855: несанкционированное командное сообщение - T0836: изменение параметра — T0821: изменение задачи контроллера |
Обучаемый |
| Обнаружено новое действие — использование команды SICAM Для Сименса | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair — Функция подавления отклика Методы: - T0855: несанкционированное командное сообщение - T0836: изменение параметра |
Обучаемый |
| Обнаружено новое действие — команда Using Suitelink Protocol | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair — Функция подавления отклика Методы: - T0855: несанкционированное командное сообщение - T0836: изменение параметра |
Обучаемый |
| Обнаружено новое действие . Использование сеансов протокола Suitelink | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair Методы: - T0836: изменение параметра |
Обучаемый |
| Обнаружено новое действие. Использование команды VNetIP Yokogawa | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair -Исполнение Методы: - T0855: несанкционированное командное сообщение — T0821: изменение задачи контроллера |
Обучаемый |
| Обнаружен новый ресурс | Новое исходное устройство было обнаружено в сети, но не авторизовано. Это оповещение относится к устройствам, обнаруженным в подсетях OT. Новые устройства, обнаруженные в подсетях ИТ, не активируют оповещение. |
Средняя | Обнаружение | Тактика: -Открытие Методы: - T0842: сетевой sniffing |
Обучаемый |
| Новая конфигурация устройства LLDP | Новое исходное устройство было обнаружено в сети, но не авторизовано. | Средняя | Изменения конфигурации | Тактика: -Открытие Методы: - T0842: сетевой sniffing |
Обучаемый |
| Omron FINS Несанкционированная команда | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение - T0836: изменение параметра |
Обучаемый |
| Изменено встроенное ПО S7 Plus PLC | Встроенное ПО обновлено на исходном устройстве. Это может быть авторизованное действие, например процедура планового обслуживания. | Средняя | Изменение встроенного ПО | Тактика: — Функция подавления отклика -Упорство Методы: — T0857: системное встроенное ПО |
Обучаемый |
| Параметры типа сообщения примеров значений | На исходном устройстве изменены параметры сообщения (определено с помощью идентификатора протокола). | Низкая | Несанкционированное поведение связи | Тактика: — управление процессом impair Методы: - T0836: изменение параметра |
Недоступен для обучения |
| Подозрение на незаконное сканирование целостности * | Обнаружено сканирование на устройстве источника DNP3 (отдаленная станция). Это сканирование не было зарегистрировано как трафик в сети, полученный в результате обучения. | Средняя | Сканировать | Тактика: -Открытие Методы: - T0842: сетевой sniffing |
Обучаемый |
| Неавторизованная команда Toshiba Computer Link | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Низкая | Несанкционированное поведение связи | Тактика: — управление процессом impair -Исполнение Методы: - T0855: несанкционированное командное сообщение — T0821: изменение задачи контроллера |
Обучаемый |
| Неавторизованная операция файла Итогового потока ABB | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair -Исполнение Методы: - T0855: несанкционированное командное сообщение — T0821: изменение задачи контроллера |
Недоступен для обучения |
| Неавторизованная операция регистрации ABB Totalflow | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair -Исполнение Методы: - T0855: несанкционированное командное сообщение — T0821: изменение задачи контроллера |
Недоступен для обучения |
| Несанкционированный доступ к блоку данных Siemens S7 | Исходное устройство попыталось получить доступ к ресурсу на другом устройстве. Попытка доступа к этому ресурсу между этими двумя устройствами не авторизована, так как научился трафик в вашей сети. | Низкая | Несанкционированное поведение связи | Тактика: — управление процессом impair — начальный доступ Методы: - T0855: несанкционированное командное сообщение — T0811: данные из репозиториев сведений |
Обучаемый |
| Несанкционированный доступ к объекту Siemens S7 Plus | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair -Исполнение — Функция подавления отклика Методы: - T0855: несанкционированное командное сообщение — T0821: изменение задачи контроллера - T0809: уничтожение данных |
Обучаемый |
| Несанкционированный доступ к тегу Wonderware | Исходное устройство попыталось получить доступ к ресурсу на другом устройстве. Попытка доступа к этому ресурсу между этими двумя устройствами не авторизована, так как научился трафик в вашей сети. | Средняя | Несанкционированное поведение связи | Тактика: -Коллекция — управление процессом impair Методы: - T0861: идентификация точек и тегов - T0855: несанкционированное командное сообщение |
Обучаемый |
| Несанкционированный доступ к объекту BACNet | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair -Исполнение Методы: - T0855: несанкционированное командное сообщение — T0821: изменение задачи контроллера |
Обучаемый |
| Несанкционированный маршрут BACNet | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair -Исполнение Методы: - T0855: несанкционированное командное сообщение — T0821: изменение задачи контроллера |
Обучаемый |
| Неавторизованное имя входа в базу данных * | Обнаружена попытка входа между исходным клиентом и целевым сервером. Обмен данными между этими устройствами не авторизован так, как научился трафик в вашей сети. | Средняя | Проверка подлинности | Тактика: — боковое движение -Упорство -Коллекция Методы: - T0859: допустимые учетные записи — T0811: данные из репозиториев сведений |
Обучаемый |
| Неавторизованная операция базы данных | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Аномальное поведение связи | Тактика: — управление процессом impair — начальный доступ Методы: - T0855: несанкционированное командное сообщение — T0811: данные из репозиториев сведений |
Обучаемый |
| Несанкционированная операция Эмерсона ROC | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair -Исполнение Методы: - T0855: несанкционированное командное сообщение — T0821: изменение задачи контроллера |
Обучаемый |
| Несанкционированный доступ к файлам GE SRTP | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: -Коллекция - Боковоеmovement -Упорство Методы: - T0801: мониторинг состояния процесса - T0859: допустимые учетные записи |
Обучаемый |
| Неавторизованная команда протокола GE SRTP | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение — T0821: изменение задачи контроллера |
Обучаемый |
| Несанкционированная операция системной памяти GE SRTP | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: -Открытие — управление процессом impair Методы: — T0846: удаленное обнаружение системы - T0855: несанкционированное командное сообщение |
Обучаемый |
| Несанкционированное действие HTTP | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Аномальное поведение связи по HTTP | Тактика: — начальный доступ — команда и управление Методы: — T0822: внешние удаленные службы — T0869: стандартный протокол уровня приложений |
Обучаемый |
| Несанкционированное действие HTTP SOAP * | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Аномальное поведение связи по HTTP | Тактика: — команда и управление -Исполнение Методы: — T0869: стандартный протокол уровня приложений — T0871: выполнение с помощью API |
Обучаемый |
| Несанкционированный агент пользователя HTTP * | На исходном устройстве обнаружено неавторизованное приложение. Приложение не авторизовано в качестве обучаемого приложения в сети. | Средняя | Аномальное поведение связи по HTTP | Тактика: — команда и управление Методы: — T0869: стандартный протокол уровня приложений |
Обучаемый |
| Обнаружено несанкционированное подключение к Интернету | Исходное устройство, определенное как часть сети, взаимодействует с адресами в Интернете. Источнику не разрешено обмениваться данными с интернет-адресами. | Высокая | Доступ к сети Интернет | Тактика: — начальный доступ Методы: — T0883: устройство с доступом к Интернету |
Обучаемый |
| Неавторизованная команда Mitsubishi MELSEC | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair -Исполнение Методы: - T0855: несанкционированное командное сообщение — T0821: изменение задачи контроллера |
Обучаемый |
| Несанкционированный доступ к программе MMS | Исходное устройство попыталось получить доступ к ресурсу на другом устройстве. Попытка доступа к этому ресурсу между этими двумя устройствами не авторизована, так как научился трафик в вашей сети. | Средняя | Программирование | Тактика: — управление процессом impair -Исполнение Методы: - T0855: несанкционированное командное сообщение — T0821: изменение задачи контроллера |
Обучаемый |
| Несанкционированная служба MMS | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair -Исполнение Методы: - T0855: несанкционированное командное сообщение — T0821: изменение задачи контроллера |
Обучаемый |
| Несанкционированное многоадресное или широковещательное подключение | Между исходным устройством и другими устройствами обнаружено многоадресное или широковещательное соединение. Многоадресная или широковещательная связь не разрешена. | Высокая | Аномальное поведение связи | Тактика: -Открытие Методы: - T0842: сетевой sniffing |
Обучаемый |
| Несанкционированный запрос имени | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Аномальное поведение связи | Тактика: — управление процессом impair Методы: - T0836: изменение параметра |
Недоступен для обучения |
| Несанкционированное действие OPC UA | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair Методы: - T0836: изменение параметра |
Обучаемый |
| Несанкционированный запрос и ответ OPC UA | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair Методы: - T0836: изменение параметра |
Обучаемый |
| Несанкционированная операция обнаружена определяемым пользователем правилом | Обнаружен трафик между двумя устройствами. Это действие не авторизовано на основе пользовательского правила генерации оповещений, определенного пользователем. | Средняя | Настраиваемые оповещения | Тактика: -Открытие Методы: - T0842: сетевой sniffing |
Недоступен для обучения |
| Несанкционированное чтение конфигурации PLC | Исходное устройство не определено как устройство программирования, но выполнило операцию чтения и записи на целевом контроллере. Изменения в программировании должны выполняться только на устройствах. Возможно, на этом устройстве установлено приложение программирования. | Низкая | Изменения конфигурации | Тактика: -Коллекция Методы: - T0801: мониторинг состояния процесса |
Обучаемый |
| Неавторизованная запись конфигурации PLC | Исходное устройство отправило команду для чтения и записи программы целевого контроллера. Это действие ранее не наблюдалось. | Средняя | Изменения конфигурации | Тактика: — управление процессом impair -Упорство -Удар Методы: - T0839: встроенное ПО модуля - T0831: манипуляция с контролем - T0889: изменение программы |
Обучаемый |
| Неавторизованная передача программы PLC | Исходное устройство отправило команду для чтения и записи программы целевого контроллера. Это действие ранее не наблюдалось. | Средняя | Программирование | Тактика: — управление процессом impair -Упорство -Коллекция Методы: - T0839: встроенное ПО модуля — T0845: отправка программы |
Обучаемый |
| Несанкционированное программирование PLC | Исходное устройство не определено как устройство программирования, но выполнило операцию чтения и записи на целевом контроллере. Изменения в программировании должны выполняться только на устройствах. Возможно, на этом устройстве установлено приложение программирования. | Высокая | Программирование | Тактика: — управление процессом impair -Упорство — боковое движение Методы: - T0839: встроенное ПО модуля - T0889: изменение программы - T0843: скачивание программы |
Обучаемый |
| Несанкционированный тип кадра Profinet | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair Методы: - T0836: изменение параметра |
Обучаемый |
| Неавторизованная команда S-Bus SAIA | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение |
Обучаемый |
| Несанкционированное выполнение функции управления Несанкционированным Сименсом S7 | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair — Функция подавления отклика Методы: - T0855: несанкционированное командное сообщение - T0809: уничтожение данных |
Обучаемый |
| Несанкционированное выполнение определяемой пользователем функции Сименс S7 | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair -Исполнение Методы: - T0836: изменение параметра — T0863: выполнение пользователей |
Обучаемый |
| Несанкционированный доступ к Несанкционированным Сименс S7 Plus | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — Функция подавления отклика -Упорство -Исполнение Методы: - T0803 — блокировать командное сообщение - T0889: изменение программы — T0821: изменение задачи контроллера |
Обучаемый |
| Несанкционированная операция Сименс S7 Plus | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair -Исполнение Методы: - T0855: несанкционированное командное сообщение — T0863: выполнение пользователей |
Обучаемый |
| Неавторизованный вход SMB | Обнаружена попытка входа между исходным клиентом и целевым сервером. Обмен данными между этими устройствами не авторизован так, как научился трафик в вашей сети. | Средняя | Проверка подлинности | Тактика: — начальный доступ — боковое движение -Упорство Методы: — T0886: удаленные службы - T0859: допустимые учетные записи |
Обучаемый |
| Несанкционированная операция SNMP | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Аномальное поведение связи | Тактика: -Открытие — команда и управление Методы: - T0842: сетевой sniffing - T0885: часто используемый порт |
Обучаемый |
| Несанкционированный доступ по протоколу SSH | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Удаленный доступ | Тактика: — InitialAccess — боковое движение — команда и управление Методы: — T0886: удаленные службы — T0869: стандартный протокол уровня приложений |
Обучаемый |
| Несанкционированный процесс Windows | На исходном устройстве обнаружено неавторизованное приложение. Приложение не авторизовано в качестве обучаемого приложения в сети. | Средняя | Аномальное поведение связи | Тактика: -Исполнение - Эскалация привилегий — команда и управление Методы: - T0841: перехват - T0885: часто используемый порт |
Обучаемый |
| Несанкционированная служба Windows | На исходном устройстве обнаружено неавторизованное приложение. Приложение не авторизовано в качестве обучаемого приложения в сети. | Средняя | Аномальное поведение связи | Тактика: — начальный доступ — боковое движение Методы: — T0866: эксплуатация удаленных служб |
Обучаемый |
| Несанкционированная операция обнаружена определяемым пользователем правилом | Обнаружены новые параметры трафика. Это сочетание параметров нарушает определенное пользователем правило | Средняя | Тактика: -Открытие Методы: - T0842: сетевой sniffing |
Недоступен для обучения | |
| Непреднамеренный модуль Modbus Schneider Electric | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение |
Обучаемый |
| Непредумышленное использование типов ASDU | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение |
Обучаемый |
| Непредназначенные использование кода функции DNP3 | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair Методы: - T0836: изменение параметра |
Обучаемый |
| Непредусмотренные сведения об использовании внутренних признаков (IIN) * | Исходное устройство DNP3 (отдаленная станция) сообщило о внутренней индикации (IIN), не авторизованной в качестве трафика в сети, полученного в результате обучения. | Средняя | Незаконные команды | Тактика: -Открытие Методы: - T0842: сетевой sniffing |
Обучаемый |
| Непредназначенные сведения об использовании кода функции Modbus | Обнаружены новые параметры трафика. Эта комбинация параметров не авторизована как обучаемого трафика в сети. Следующая комбинация не авторизована. | Средняя | Несанкционированное поведение связи | Тактика: — управление процессом impair Методы: - T0836: изменение параметра |
Обучаемый |
Оповещения подсистемы аномалий
Примечание.
Эта статья содержит упоминания термина slave (ведомый) . Корпорация Майкрософт больше не использует его. Когда этот термин будет удален из программного обеспечения, мы удалим его из статьи.
Оповещения подсистемы аномалий описывают обнаруженные аномалии в сетевой активности.
| Заголовок | Description | Серьезность | Категория | MITRE ATT&CK Тактика и методы |
Обучаемый |
|---|---|---|---|---|---|
| Ненормальный шаблон исключений в ведомом * | На исходном устройстве обнаружено слишком большое количество ошибок. Это оповещение может быть результатом операционной проблемы. Пороговое значение: 20 исключений за 1 час |
Низкая | Аномальное поведение связи | Тактика: — управление процессом impair Методы: - T0806: метод подбора ввода-вывода |
Недоступен для обучения |
| Ненормальная длина заголовка HTTP * | Исходное устройство отправило неправильное сообщение. Это оповещение может указывать на попытку атаковать целевое устройство. | Высокая | Аномальное поведение связи по HTTP | Тактика: — начальный доступ — боковое движение — команда и управление Методы: — T0866: эксплуатация удаленных служб — T0869: стандартный протокол уровня приложений |
Обучаемый |
| Аномальное число параметров в заголовке HTTP * | Исходное устройство отправило неправильное сообщение. Это оповещение может указывать на попытку атаковать целевое устройство. | Высокая | Аномальное поведение связи по HTTP | Тактика: — начальный доступ — боковое движение — команда и управление Методы: — T0866: эксплуатация удаленных служб — T0869: стандартный протокол уровня приложений |
Обучаемый |
| Аномальное периодическое поведение в канале коммуникации | Обнаружено изменение частоты обмена данными между исходным и целевым устройствами. | Низкая | Аномальное поведение связи | Тактика: -Открытие Методы: - T0842: сетевой sniffing |
Обучаемый |
| Ненормальное завершение приложений * | На исходном устройстве обнаружено слишком большое количество ошибок. Это оповещение может быть результатом операционной проблемы или попыткой управления устройством. Пороговое значение: 20 команд остановки в 3 часа |
Средняя | Аномальное поведение связи | Тактика: -Упорство -Удар Методы: - T0889: изменение программы - T0831: манипуляция с контролем |
Обучаемый |
| Аномальная пропускная способность трафика * | В канале обнаружена аномальная пропускная способность. Полоса пропускания ниже или выше, чем было обнаружено ранее. Для получения дополнительных сведений обратитесь к мини-приложению "Общая пропускная способность". | Низкая | Аномалии пропускной способности | Тактика: -Открытие Методы: - T0842: сетевой sniffing |
Обучаемый |
| Ненормальная пропускная способность трафика между устройствами * | В канале обнаружена аномальная пропускная способность. Полоса пропускания ниже или выше, чем было обнаружено ранее. Для получения дополнительных сведений обратитесь к мини-приложению "Общая пропускная способность". | Низкая | Аномалии пропускной способности | Тактика: -Открытие Методы: - T0842: сетевой sniffing |
Недоступен для обучения |
| Обнаружена проверка адресов | Исходное устройство обнаружило сканирование сетевых устройств. Это устройство не авторизовано как устройство сканирования сети. Пороговое значение: 50 подключений к одной подсети класса B за 2 минуты |
Высокая | Сканировать | Тактика: -Открытие Методы: - T0842: сетевой sniffing |
Обучаемый |
| Обнаружена проверка адресов ARP * | Исходное устройство было обнаружено при проверке сетевых устройств с помощью протокола разрешения адресов (ARP). Этот адрес устройства не авторизован как допустимый адрес проверки ARP. Пороговое значение: 40 проверок в течение 6 минут |
Высокая | Сканировать | Тактика: -Открытие -Коллекция Методы: - T0842: сетевой sniffing - T0830: Человек в середине |
Обучаемый |
| ARP Spoofing * | В сети обнаружено аномальное количество пакетов. Это оповещение может означать атаку, например ARP-спуфинг или flood-атаку ICMP. Пороговое значение: 60 пакетов за 1 минуту |
Низкая | Аномальное поведение связи | Тактика: -Коллекция Методы: - T0830: Человек в середине |
Недоступен для обучения |
| Чрезмерные попытки входа | Обнаружено, что исходное устройство выполняло слишком много попыток входа на целевой сервер. Это оповещение может указывать на атаку методом подбора. Сервер может быть скомпрометирован злоумышленником. Пороговое значение: 20 попыток входа в 1 минуту |
Высокая | Проверка подлинности | Тактика: - Боковоеmovement — управление процессом impair Методы: — T0812: учетные данные по умолчанию - T0806: метод подбора ввода-вывода |
Недоступен для обучения |
| Чрезмерное количество сеансов | Обнаружено, что исходное устройство выполняло слишком много попыток входа на целевой сервер. Это может указывать на атаку методом подбора. Сервер может быть скомпрометирован злоумышленником. Пороговое значение: 50 сеансов за 1 минуту |
Высокая | Аномальное поведение связи | Тактика: — боковое движение — управление процессом impair Методы: — T0812: учетные данные по умолчанию - T0806: метод подбора ввода-вывода |
Недоступен для обучения |
| Чрезмерная частота перезапуска аттестации * | На исходном устройстве обнаружено слишком большое количество команд перезапуска. Эти оповещения могут быть результатом операционной проблемы или попыткой управления устройством. Пороговое значение: 10 перезапусков за 1 час |
Средняя | Перезапуск и остановка команд | Тактика: — Функция подавления отклика — управление процессом impair Методы: - T0814: отказ в обслуживании - T0806: метод подбора ввода-вывода |
Недоступен для обучения |
| Чрезмерные попытки входа в SMB | Обнаружено, что исходное устройство выполняло слишком много попыток входа на целевой сервер. Это может указывать на атаку методом подбора. Сервер может быть скомпрометирован злоумышленником. Пороговое значение: 10 попыток входа в 10 минут |
Высокая | Проверка подлинности | Тактика: -Упорство -Исполнение - Боковоеmovement Методы: — T0812: учетные данные по умолчанию - T0853: скрипты - T0859: допустимые учетные записи |
Недоступен для обучения |
| Наводнение ICMP * | В сети обнаружено аномальное количество пакетов. Это оповещение может означать атаку, например ARP-спуфинг или flood-атаку ICMP. Пороговое значение: 60 пакетов за 1 минуту |
Низкая | Аномальное поведение связи | Тактика: -Открытие -Коллекция Методы: - T0842: сетевой sniffing - T0830: Человек в середине |
Недоступен для обучения |
| Недопустимое содержимое заголовка HTTP * | Исходное устройство инициировало неверный запрос. | Высокая | Аномальное поведение связи по HTTP | Тактика: — начальный доступ - Боковоеmovement Методы: — T0866: эксплуатация удаленных служб |
Недоступен для обучения |
| Неактивный канал связи * | Канал связи между двумя устройствами был неактивным в течение периода, в котором обычно наблюдается действие. Это может указывать на изменения программы, создавшей этот трафик, или недоступность программы. Рекомендуется проверить конфигурацию установленной программы и убедиться, что она настроена правильно. Пороговое значение: 1 минуту |
Низкая | Не отвечает | Тактика: — Функция подавления отклика Методы: — T0881: остановка службы |
Не является lernable |
| Обнаружена проверка адресов длительности * | Исходное устройство обнаружило сканирование сетевых устройств. Это устройство не авторизовано как устройство сканирования сети. Пороговое значение: 50 подключений к одной подсети класса B за 10 минут |
Высокая | Сканировать | Тактика: -Открытие Методы: - T0842: сетевой sniffing |
Обучаемый |
| Обнаружена попытка угадывание паролей | Обнаружено, что исходное устройство выполняло слишком много попыток входа на целевой сервер. Это может указывать на атаку методом подбора. Сервер может быть скомпрометирован злоумышленником. Пороговое значение: 100 попыток за 1 минуту |
Высокая | Проверка подлинности | Тактика: — боковое движение Методы: — T0812: учетные данные по умолчанию - T0806: метод подбора ввода-вывода |
Недоступен для обучения |
| Обнаружена проверка PLC | Исходное устройство обнаружило сканирование сетевых устройств. Это устройство не авторизовано как устройство сканирования сети. Пороговое значение: 10 проверок за 2 минуты |
Высокая | Сканировать | Тактика: -Открытие Методы: - T0842: сетевой sniffing |
Обучаемый |
| Обнаружена проверка портов | Исходное устройство обнаружило сканирование сетевых устройств. Это устройство не авторизовано как устройство сканирования сети. Пороговое значение: 25 проверок за 2 минуты |
Высокая | Сканировать | Тактика: -Открытие Методы: - T0842: сетевой sniffing |
Обучаемый |
| Непредвиденная длина сообщения | Исходное устройство отправило неправильное сообщение. Это оповещение может указывать на попытку атаковать целевое устройство. Пороговое значение: длина текста — 32768 |
Высокая | Аномальное поведение связи | Тактика: — InitialAccess - Боковоеmovement Методы: — T0869: эксплуатация удаленных служб |
Недоступен для обучения |
| Непредвиденный трафик для стандартного порта * | На устройстве обнаружен трафик, который использует порт, зарезервированный для другого протокола. | Средняя | Аномальное поведение связи | Тактика: — команда и управление -Открытие Методы: — T0869: стандартный протокол уровня приложений - T0842: сетевой sniffing |
Недоступен для обучения |
Подсистема обнаружения нарушений протокола
Оповещения обнаружения нарушений протокола описывают найденные отклонения в структуре пакетов или значениях полей по сравнению со спецификациями протокола.
| Заголовок | Description | Серьезность | Категория | MITRE ATT&CK Тактика и методы |
Обучаемый |
|---|---|---|---|---|---|
| Чрезмерные неправильные пакеты в одном сеансе * | Аномальное количество неправильно сформированных пакетов, отправленных с исходного устройства на целевое устройство. Это оповещение может означать ошибочное взаимодействие или попытку манипулирования целевым устройством. Пороговое значение: 2 неправильно сформированных пакетов в течение 10 минут |
Средняя | Незаконные команды | Тактика: — управление процессом impair Методы: - T0806: метод подбора ввода-вывода |
Недоступен для обучения |
| Обновление встроенного ПО | Исходное устройство отправило команду для обновления встроенного ПО на целевом устройстве. Убедитесь, что последние обновления программного обеспечения, конфигурации и микропрограммы, сделанные на целевом устройстве, являются допустимыми. | Низкая | Изменение встроенного ПО | Тактика: — Функция подавления отклика -Упорство Методы: — T0857: системное встроенное ПО |
Обучаемый |
| Код функции, не поддерживаемый при аттестации | Целевое устройство получило неверный запрос. | Средняя | Незаконные команды | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение |
Недоступен для обучения |
| Незаконное сообщение BACNet | Исходное устройство инициировало неверный запрос. | Средняя | Незаконные команды | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение - T0836: изменение параметра |
Недоступен для обучения |
| Попытка незаконного подключения через порт 0 | Исходное устройство попыталось подключиться к целевому устройству через порт номер нуль (0). Для TCP порт 0 зарезервирован и не может быть использован. Для UDP порт является необязательным, а значение 0 означает отсутствие порта. Обычно в системе нет службы, которая прослушивает порт 0. Это событие может указывать на попытку атаковать целевое устройство или указать, что приложение было запрограммировано неправильно. | Низкая | Незаконные команды | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение - T0836: изменение параметра |
Недоступен для обучения |
| Недопустимая операция DNP3 | Исходное устройство инициировало неверный запрос. | Средняя | Незаконные команды | Тактика: — начальный доступ — боковое движение Методы: — T0866: эксплуатация удаленных служб |
Недоступен для обучения |
| Недопустимая операция MODBUS (исключение, вызванное главным) | Исходное устройство инициировало неверный запрос. | Средняя | Незаконные команды | Тактика: — начальный доступ — боковое движение Методы: — T0866: эксплуатация удаленных служб |
Недоступен для обучения |
| Недопустимая операция MODBUS (ноль кода функции) * | Исходное устройство инициировало неверный запрос. | Средняя | Незаконные команды | Тактика: — начальный доступ — боковое движение Методы: — T0866: эксплуатация удаленных служб |
Недоступен для обучения |
| Недопустимая версия протокола * | Исходное устройство инициировало неверный запрос. | Средняя | Незаконные команды | Тактика: — начальный доступ - Боковоеmovement — управление процессом impair Методы: — T0820: удаленные службы - T0836: изменение параметра |
Недоступен для обучения |
| Неверный параметр, отправляемый в аттестацию | Целевое устройство получило неверный запрос. | Средняя | Незаконные команды | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение - T0836: изменение параметра |
Недоступен для обучения |
| Запуск устаревшего кода функции (инициализация данных) | Исходное устройство инициировало неверный запрос. | Низкая | Незаконные команды | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение |
Недоступен для обучения |
| Запуск устаревшего кода функции (сохранение конфигурации) | Исходное устройство инициировало неверный запрос. | Низкая | Незаконные команды | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение |
Недоступен для обучения |
| Мастер запрашивал подтверждение уровня приложений | Исходное устройство инициировало неверный запрос. | Низкая | Незаконные команды | Тактика: — команда и управление Методы: — T0869: стандартный протокол уровня приложений |
Недоступен для обучения |
| Исключение Modbus | Исходное устройство (дополнительное) вернуло исключение на устройство назначения (основное). | Средняя | Незаконные команды | Тактика: — Функция подавления отклика Методы: - T0814: отказ в обслуживании |
Недоступен для обучения |
| Недопустимый тип ASDU | Целевое устройство получило неверный запрос. | Средняя | Незаконные команды | Тактика: — управление процессом impair Методы: - T0836: изменение параметра |
Недоступен для обучения |
| Недопустимая причина передачи в подчиненное устройство получил незаконное выполнение команды | Целевое устройство получило неверный запрос. | Средняя | Незаконные команды | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение - T0836: изменение параметра |
Недоступен для обучения |
| Недопустимый общий адрес устройства-раба | Целевое устройство получило неверный запрос. | Средняя | Незаконные команды | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение - T0836: изменение параметра |
Недоступен для обучения |
| Параметр "Недопустимый адрес данных" получено на подчиненное устройство * | Целевое устройство получило неверный запрос. | Средняя | Незаконные команды | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение - T0836: изменение параметра |
Недоступен для обучения |
| Параметр недопустимого значения данных, полученного на подчиненное устройство * | Целевое устройство получило неверный запрос. | Средняя | Незаконные команды | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение - T0836: изменение параметра |
Недоступен для обучения |
| Недопустимый код функции в подчинении устройства получил недопустимый код функции * | Целевое устройство получило неверный запрос. | Средняя | Незаконные команды | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение - T0836: изменение параметра |
Недоступен для обучения |
| Адрес объекта недопустимой информации, полученного на подчиненное устройство | Целевое устройство получило неверный запрос. | Средняя | Незаконные команды | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение - T0836: изменение параметра |
Недоступен для обучения |
| Неизвестный объект, отправляемый в аттестацию | Целевое устройство получило неверный запрос. | Средняя | Незаконные команды | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение |
Недоступен для обучения |
| Использование кода зарезервированной функции | Исходное устройство инициировало неверный запрос. | Средняя | Незаконные команды | Тактика: — управление процессом impair Методы: - T0836: изменение параметра |
Недоступен для обучения |
| Использование неправильного форматирования по аттестации * | Исходное устройство инициировало неверный запрос. | Низкая | Незаконные команды | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение |
Недоступен для обучения |
| Использование зарезервированных флагов состояния (IIN) | Исходное устройство DNP3 (станция) использует зарезервированный внутренний индикатор 2.6. Рекомендуется проверить конфигурацию устройства. | Низкая | Незаконные команды | Тактика: — управление процессом impair Методы: - T0836: изменение параметра |
Недоступен для обучения |
Оповещения модуля вредоносных программ
Оповещения модуля вредоносных программ описывают обнаруженные вредоносные действия в сети.
| Заголовок | Description | Серьезность | Категория | MITRE ATT&CK Тактика и методы |
Обучаемый |
|---|---|---|---|---|---|
| Попытка подключения к известному вредоносному IP-адресу | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, используюющей метод, используемый известными вредоносными программами. Активируется сетевыми датчиками OT и Enterprise IoT. |
Высокая | Подозрение на наличие вредоносных действий | Тактика: — начальный доступ — команда и управление Методы: — T0883: устройство с доступом к Интернету — T0884: прокси-сервер подключения |
Недоступен для обучения |
| Недопустимое сообщение SMB (имплантат задней части DoublePulsar) | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, используюющей метод, используемый известными вредоносными программами. | Высокая | Подозрение на наличие вредоносной программы | Тактика: — начальный доступ - Боковоеmovement Методы: — T0866: эксплуатация удаленных служб |
Недоступен для обучения |
| Запрос на вредоносное доменное имя | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, используюющей метод, используемый известными вредоносными программами. Активируется сетевыми датчиками OT и Enterprise IoT. |
Высокая | Подозрение на наличие вредоносных действий | Тактика: — начальный доступ — команда и управление Методы: — T0883: устройство с доступом к Интернету — T0884: прокси-сервер подключения |
Обучаемый |
| Путь к вредоносному URL-адресу | Запрос был выполнен в известный путь к вредоносному URL-адресу. Запросы по этому URL-адресу могут указывать на то, что источник, выполняющий запрос, скомпрометирован. | Высокая | Подозрение на наличие вредоносных действий | Тактика: — начальный доступ — команда и управление Методы: — T0883: устройство с доступом к Интернету — T0884: прокси-сервер подключения |
Недоступен для обучения |
| Обнаружен файл тестов вредоносных программ — успех EICAR AV | В трафике между двумя устройствами (по транспортному протоколу TCP или UDP) обнаружен тестовый файл EICAR AV. Файл не является вредоносным. Он используется для подтверждения правильности установки антивирусного программного обеспечения. Он также служит для демонстрации того, что происходит при обнаружении вируса, и проверки внутренних процедур и реакций при обнаружении вируса. Антивирусное программное обеспечение должно обнаруживать EICAR, как если бы это был реальный вирус. | Высокая | Подозрение на наличие вредоносных действий | Тактика: -Открытие Методы: - T0842: сетевой sniffing |
Недоступен для обучения |
| Подозрение на вредоносные программы Conficker | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, используюющей метод, используемый известными вредоносными программами. | Средняя | Подозрение на наличие вредоносной программы | Тактика: — начальный доступ -Удар Методы: — T0826: потеря доступности - T0828: потеря производительности и доходов — T0847: репликация через съемный носитель |
Недоступен для обучения |
| Подозрение в атаке типа "Отказ в обслуживании" | Исходное устройство попыталось инициировать чрезмерное число новых подключений к целевому устройству. Это может указывать на атаку типа "отказ в обслуживании" (DOS) на целевое устройство и может прерывать функциональные возможности устройства, влиять на производительность и доступность служб или вызывать неустранимые ошибки. Пороговое значение: 3000 попыток за 1 минуту |
Высокая | Подозрение на наличие вредоносных действий | Тактика: — Функция подавления отклика Методы: - T0814: отказ в обслуживании |
Обучаемый |
| Подозрение на вредоносное действие | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, которая вызвала известные индикаторы компрометации (IOCs). Команда по обеспечению безопасности должна просмотреть метаданные оповещения. | Высокая | Подозрение на наличие вредоносных действий | Тактика: — боковое движение Методы: - T0867: передача бокового инструмента |
Недоступен для обучения |
| Подозрение на вредоносное действие (Black Linux) | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, используюющей метод, используемый известными вредоносными программами. | Высокая | Подозрение на наличие вредоносной программы | Тактика: — команда и управление Методы: — T0869: стандартный протокол уровня приложений |
Недоступен для обучения |
| Подозрение на вредоносное действие (DarkComet) | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, используюющей метод, используемый известными вредоносными программами. | Высокая | Подозрение на наличие вредоносной программы | Тактика: -Удар Методы: - T0882: кража операционной информации |
Недоступен для обучения |
| Подозрение на вредоносное действие (Duqu) | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, используюющей метод, используемый известными вредоносными программами. | Высокая | Подозрение на наличие вредоносной программы | Тактика: -Удар Методы: - T0882: кража операционной информации |
Недоступен для обучения |
| Подозрение на вредоносное действие (пламя) | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, используюющей метод, используемый известными вредоносными программами. | Высокая | Подозрение на наличие вредоносной программы | Тактика: -Коллекция -Удар Методы: - T0882: кража операционной информации — T0811: данные из репозиториев сведений |
Недоступен для обучения |
| Подозрение на вредоносное действие (Havex) | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, используюющей метод, используемый известными вредоносными программами. | Высокая | Подозрение на наличие вредоносной программы | Тактика: -Коллекция -Открытие — Функция подавления отклика Методы: - T0861: идентификация точек и тегов — T0846: удаленное обнаружение системы - T0814: отказ в обслуживании |
Недоступен для обучения |
| Подозрение в вредоносной деятельности (Карагани) | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, используюющей метод, используемый известными вредоносными программами. | Высокая | Подозрение на наличие вредоносной программы | Тактика: -Удар Методы: - T0882: кража операционной информации |
Недоступен для обучения |
| Подозрение на вредоносное действие (LightsOut) | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, используюющей метод, используемый известными вредоносными программами. | Высокая | Подозрение на наличие вредоносной программы | Тактика: -Уклонение Методы: - T0849: Маскировка |
Недоступен для обучения |
| Подозрение на вредоносное действие (запросы имен) | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, используюющей метод, используемый известными вредоносными программами. Пороговое значение: 25 запросов имен за 1 минуту |
Высокая | Подозрение на наличие вредоносных действий | Тактика: — команда и управление Методы: — T0884: прокси-сервер подключения |
Недоступен для обучения |
| Подозрение в злонамеренной деятельности (яд плющ) | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, используюющей метод, используемый известными вредоносными программами. | Высокая | Подозрение на наличие вредоносной программы | Тактика: — начальный доступ — боковое движение Методы: — T0866: эксплуатация удаленных служб |
Недоступен для обучения |
| Подозрение на вредоносное действие (Regin) | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, используюющей метод, используемый известными вредоносными программами. | Высокая | Подозрение на наличие вредоносной программы | Тактика: — начальный доступ — боковое движение -Удар Методы: — T0866: эксплуатация удаленных служб - T0882: кража операционной информации |
Недоступен для обучения |
| Подозрение на вредоносное действие (Stuxnet) | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, используюющей метод, используемый известными вредоносными программами. | Высокая | Подозрение на наличие вредоносной программы | Тактика: — начальный доступ — боковое движение -Удар Методы: - T0818: компромисс на инженерной рабочей станции — T0866: эксплуатация удаленных служб - T0831: манипуляция с контролем |
Недоступен для обучения |
| Подозрение на вредоносное действие (WannaCry) * | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, используюющей метод, используемый известными вредоносными программами. | Средняя | Подозрение на наличие вредоносной программы | Тактика: — начальный доступ — боковое движение Методы: — T0866: эксплуатация удаленных служб - T0867: передача бокового инструмента |
Недоступен для обучения |
| Подозрение в вредоносных программах NotPetya — обнаружены незаконные параметры SMB | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, используюющей метод, используемый известными вредоносными программами. | Высокая | Подозрение на наличие вредоносной программы | Тактика: — начальный доступ — боковое движение Методы: — T0866: эксплуатация удаленных служб |
Недоступен для обучения |
| Подозрение в вредоносных программах NotPetya — обнаружена неправовая транзакция SMB | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, используюющей метод, используемый известными вредоносными программами. | Высокая | Подозрение на наличие вредоносной программы | Тактика: — боковое движение Методы: - T0867: передача бокового инструмента |
Недоступен для обучения |
| Подозрение на удаленное выполнение кода с помощью PsExec | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, используюющей метод, используемый известными вредоносными программами. | Высокая | Подозрение на наличие вредоносных действий | Тактика: — боковое движение — начальный доступ Методы: — T0866: эксплуатация удаленных служб |
Недоступен для обучения |
| Подозрение в удаленном управлении службами Windows * | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, используюющей метод, используемый известными вредоносными программами. | Высокая | Подозрение на наличие вредоносных действий | Тактика: — начальный доступ Методы: — T0822: удаленные службы NetworkExternal |
Недоступен для обучения |
| Подозрительный исполняемый файл, обнаруженный в конечной точке | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, используюющей метод, используемый известными вредоносными программами. | Высокая | Подозрение на наличие вредоносных действий | Тактика: -Уклонение — Функция подавления отклика Методы: - T0851: Rootkit |
Обучаемый |
| Обнаружен подозрительный трафик * | Обнаружена подозрительная сетевая активность. Это действие может быть связано с атакой, которая вызвала известные индикаторы компрометации (IOCs). Команда по обеспечению безопасности должна просмотреть метаданные оповещения. | Высокая | Подозрение на наличие вредоносных действий | Тактика: -Открытие Методы: - T0842: сетевой sniffing |
Недоступен для обучения |
| Действие резервного копирования с помощью антивирусных сигнатур | Это оповещение сработало из-за обнаружения трафика между исходным устройством и целевым сервером резервного копирования. Трафик включает резервные копии антивирусного ПО, которые могут содержать сигнатуры вредоносных программ. Скорее всего, это допустимое действие резервного копирования. | Низкая | Резервное копирование | Тактика: -Удар Методы: - T0882: кража операционной информации |
Недоступен для обучения |
Оповещения операционной системы
Оповещения операционной системы описывают обнаруженные производственные инциденты или неработоспособные сущности.
| Заголовок | Description | Серьезность | Категория | MITRE ATT&CK Тактика и методы |
Обучаемый |
|---|---|---|---|---|---|
| Команда S7 Stop PLC была отправлена | Исходное устройство отправило команду останова на целевой контроллер. Контроллер перестает работать до отправки команды запуска. | Низкая | Перезапуск и остановка команд | Тактика: — боковое движение - Оборона Evasion -Исполнение — Функция подавления отклика Методы: - T0843: скачивание программы — T0858: изменение режима работы - T0814: отказ в обслуживании |
Недоступен для обучения |
| Сбой операции BACNet | Сервер вернул код ошибки. Это оповещение указывает на ошибку сервера или недопустимый запрос клиента. | Средняя | Сбои команд | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение |
Недоступен для обучения |
| Плохое состояние устройства MMS | MMS-устройство виртуального производства (VMD) отправило сообщение о состоянии. Сообщение указывает, что сервер может быть неправильно настроен, частично работает или не работает вообще. | Средняя | Операционные проблемы | Тактика: — Функция подавления отклика Методы: - T0814: отказ в обслуживании |
Недоступен для обучения |
| Изменение конфигурации устройства * | На исходном устройстве обнаружено изменение конфигурации. | Низкая | Изменения конфигурации | Тактика: — управление процессом impair Методы: - T0836: изменение параметра |
Недоступен для обучения |
| Непрерывное переполнение буфера событий при выходе * | На исходном устройстве обнаружено событие переполнения буфера. Это событие может привести к повреждению данных, сбою программы или выполнению вредоносного кода. Пороговое значение: 3 вхождения в течение 10 минут |
Средняя | Переполнение буфера | Тактика: — Функция подавления отклика — управление процессом impair -Упорство Методы: - T0814: отказ в обслуживании - T0806: метод подбора ввода-вывода - T0839: встроенное ПО модуля |
Недоступен для обучения |
| Сброс контроллера | Исходное устройство отправило команду сброса на целевой контроллер. Контроллер временно остановил работу и снова запускается автоматически. | Низкая | Перезапуск и остановка команд | Тактика: - Оборона Evasion -Исполнение — Функция подавления отклика Методы: — T0858: изменение режима работы - T0814: отказ в обслуживании |
Недоступен для обучения |
| Остановка контроллера | Исходное устройство отправило команду останова на целевой контроллер. Контроллер перестает работать до отправки команды запуска. | Низкая | Перезапуск и остановка команд | Тактика: — боковое движение - Оборона Evasion -Исполнение — Функция подавления отклика Методы: - T0843: скачивание программы — T0858: изменение режима работы - T0814: отказ в обслуживании |
Недоступен для обучения |
| Не удалось получить динамический IP-адрес устройства | Исходное устройство настроено для получения динамического IP-адреса с DHCP-сервера, но не получило адрес. Это указывает на ошибку конфигурации на устройстве или на ошибку в работе DHCP-сервера. Рекомендуется уведомить об инциденте администратора сети. | Средняя | Сбои команд | Тактика: -Открытие Методы: - T0842: сетевой sniffing |
Недоступен для обучения |
| Устройство подозревается в отключении (не отвечает) | Исходное устройство не ответило на отправленную ему команду. Возможно, он был отключен при отправке команды. Пороговое значение: 8 попыток за 5 минут |
Средняя | Не отвечает | Тактика: — Функция подавления отклика Методы: — T0881: остановка службы |
Недоступен для обучения |
| Сбой запроса на обслуживание CIP в EthereumNet/IP | Сервер вернул код ошибки. Это указывает на ошибку сервера или недопустимый запрос клиента. | Средняя | Сбои команд | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение |
Недоступен для обучения |
| Не удалось выполнить команду протокола инкапсуляции EthereumNet/IP | Сервер вернул код ошибки. Это указывает на ошибку сервера или недопустимый запрос клиента. | Средняя | Сбои команд | Тактика: -Коллекция Методы: - T0801: мониторинг состояния процесса |
Недоступен для обучения |
| Переполнение буфера событий в аттестации | На исходном устройстве обнаружено событие переполнения буфера. Это событие может привести к повреждению данных, сбою программы или выполнению вредоносного кода. | Средняя | Переполнение буфера | Тактика: — Функция подавления отклика — управление процессом impair -Упорство Методы: - T0814: отказ в обслуживании - T0839: встроенное ПО модуля |
Недоступен для обучения |
| Ожидаемая операция резервного копирования не произошла | Ожидаемого действия резервного копирования или перемещения файлов между двумя устройствами не произошло. Это оповещение может указывать на ошибки в процессе резервного копирования или передачи файлов. Пороговое значение: 100 секунд |
Средняя | Резервное копирование | Тактика: — Функция подавления отклика Методы: - T0809: уничтожение данных |
Обучаемый |
| Сбой команды GE SRTP | Сервер вернул код ошибки. Это оповещение указывает на ошибку сервера или недопустимый запрос клиента. | Средняя | Сбои команд | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение |
Недоступен для обучения |
| Команда GE SRTP Stop PLC была отправлена | Исходное устройство отправило команду останова на целевой контроллер. Контроллер перестает работать до отправки команды запуска. | Низкая | Перезапуск и остановка команд | Тактика: — боковое движение - Оборона Evasion -Исполнение — Функция подавления отклика Методы: - T0843: скачивание программы — T0858: изменение режима работы - T0814: отказ в обслуживании |
Недоступен для обучения |
| Для блока управления GOOSE требуется дополнительная настройка | Исходное устройство отправило сообщение GOOSE, указывающее, что устройству требуется ввод в эксплуатацию. Это означает, что блок управления GOOSE требует дополнительной настройки и сообщения GOOSE являются частично или полностью неработоспособными. | Средняя | Изменения конфигурации | Тактика: — управление процессом impair — Функция подавления отклика Методы: — T0803: блокировка командного сообщения — T0821: изменение задачи контроллера |
Недоступен для обучения |
| Изменена конфигурация набора данных GOOSE * | На исходном устройстве изменен набор данных сообщения (определено с помощью идентификатора протокола). Это означает, что устройство сообщает другой набор данных для этого сообщения. | Низкая | Изменения конфигурации | Тактика: — управление процессом impair Методы: - T0836: изменение параметра |
Недоступен для обучения |
| Непредвиденное состояние контроллера Honeywell | Контроллер Honeywell отправил неожиданное диагностическое сообщение, указывающее на изменение состояния. | Низкая | Операционные проблемы | Тактика: -Уклонение -Исполнение Методы: — T0858: изменение режима работы |
Недоступен для обучения |
| Ошибка КЛИЕНТА HTTP * | Исходное устройство инициировало неверный запрос. | Низкая | Аномальное поведение связи по HTTP | Тактика: — команда и управление Методы: — T0869: стандартный протокол уровня приложений |
Недоступен для обучения |
| Недопустимый IP-адрес | Система обнаружила трафик между исходным устройством и IP-адресом, который является недопустимым адресом. Это может указывать на неправильную конфигурацию или попытку создать незаконный трафик. | Низкая | Аномальное поведение связи | Тактика: -Открытие — управление процессом impair Методы: - T0842: сетевой sniffing - T0836: изменение параметра |
Недоступен для обучения |
| Ошибка проверки подлинности master-slave | Сбой процесса проверки подлинности между исходным устройством DNP3 (основное) и устройством назначения (отдаленная станция). | Низкая | Проверка подлинности | Тактика: — боковое движение -Упорство Методы: - T0859: допустимые учетные записи |
Недоступен для обучения |
| Сбой запроса службы MMS | Сервер вернул код ошибки. Это указывает на ошибку сервера или недопустимый запрос клиента. | Средняя | Сбои команд | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение |
Недоступен для обучения |
| Нет трафика, обнаруженного в интерфейсе датчика | Датчик остановил операцию обнаружения сетевого трафика в сетевом интерфейсе. | Высокая | Трафик датчика | Тактика: — Функция подавления отклика Методы: — T0881: остановка службы |
Недоступен для обучения |
| Сервер OPC UA поднял событие, требующее внимания пользователя | Сервер OPC UA отправил клиенту уведомление о событии. Для этого типа событий требуется вмешательство пользователя | Средняя | Операционные проблемы | Тактика: — Функция подавления отклика Методы: - T0838: изменение параметров сигнализации |
Недоступен для обучения |
| Сбой запроса службы OPC UA | Сервер вернул код ошибки. Это указывает на ошибку сервера или недопустимый запрос клиента. | Средняя | Сбои команд | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение |
Недоступен для обучения |
| Перезагрузка аттестации | На исходном устройстве обнаружена холодная перезагрузка. Это означает, что устройство было физически отключено и снова включено. | Низкая | Перезапуск и остановка команд | Тактика: — Функция подавления отклика Методы: — T0816: перезапуск устройства и завершение работы |
Недоступен для обучения |
| Частое перезапуски аттестации | На исходном устройстве обнаружено слишком большое количество команд перезапуска. Это означает, что устройство было физически выключено и снова включено слишком много раз. Пороговое значение: 2 перезапуска в течение 10 минут |
Низкая | Перезапуск и остановка команд | Тактика: — Функция подавления отклика Методы: - T0814: отказ в обслуживании — T0816: перезапуск устройства и завершение работы |
Недоступен для обучения |
| Изменена конфигурация аттестации | На исходном устройстве обнаружено изменение конфигурации. | Средняя | Изменения конфигурации | Тактика: — Функция подавления отклика -Упорство Методы: — T0857: системное встроенное ПО |
Недоступен для обучения |
| Обнаружена поврежденная конфигурация аттестации | Это исходное устройство DNP3 (отдаленная станция) сообщило о нарушенной конфигурации. | Средняя | Изменения конфигурации | Тактика: — Функция подавления отклика Методы: - T0809: уничтожение данных |
Недоступен для обучения |
| Не удалось выполнить команду Profinet DCP | Сервер вернул код ошибки. Это указывает на ошибку сервера или недопустимый запрос клиента. | Средняя | Сбои команд | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение |
Недоступен для обучения |
| Сброс фабрики устройств Profinet | Исходное устройство отправило команду сброса на заводские устройства назначения. Команда сброса очищает конфигурацию устройства Profinet и останавливает его работу. | Низкая | Перезапуск и остановка команд | Тактика: - Оборона Evasion -Исполнение — Функция подавления отклика Методы: — T0858: изменение режима работы - T0814: отказ в обслуживании |
Недоступен для обучения |
| Сбой операции RPC * | Сервер вернул код ошибки. Это оповещение указывает на ошибку сервера или недопустимый запрос клиента. | Средняя | Сбои команд | Тактика: — управление процессом impair Методы: - T0855: несанкционированное командное сообщение |
Недоступен для обучения |
| Изменена конфигурация набора данных с примерами значений * | На исходном устройстве изменен набор данных сообщения (определено с помощью идентификатора протокола). Это означает, что устройство сообщает другой набор данных для этого сообщения. | Низкая | Изменения конфигурации | Тактика: — управление процессом impair Методы: - T0836: изменение параметра |
Недоступен для обучения |
| Неустранимый сбой неустранимого устройства * | На исходном устройстве обнаружена ошибка неустранимого условия. Этот тип ошибки обычно указывает на сбой оборудования или сбой выполнения определенной команды. | Средняя | Сбои команд | Тактика: — Функция подавления отклика Методы: - T0814: отказ в обслуживании |
Недоступен для обучения |
| Подозрение на проблемы оборудования в аттестации | На исходном устройстве обнаружена ошибка неустранимого условия. Этот тип ошибки обычно указывает на сбой оборудования или сбой выполнения определенной команды. | Средняя | Операционные проблемы | Тактика: — Функция подавления отклика Методы: - T0814: отказ в обслуживании — T0881: остановка службы |
Недоступен для обучения |
| Подозрение на неответственное устройство MODBUS | Исходное устройство не ответило на отправленную ему команду. Возможно, он был отключен при отправке команды. Пороговое значение: не менее 1 допустимого ответа для не менее 3 запросов в течение 5 минут |
Низкая | Не отвечает | Тактика: — Функция подавления отклика Методы: — T0881: остановка службы |
Недоступен для обучения |
| Трафик, обнаруженный в интерфейсе датчика | Датчик возобновил операцию обнаружения сетевого трафика в сетевом интерфейсе. | Низкая | Трафик датчика | Тактика: -Открытие Методы: - T0842: сетевой sniffing |
Недоступен для обучения |
| Изменен режим работы PLC | Режим работы в этом PLC изменился. Новый режим может указывать на то, что PLC не является безопасным. Выход из PLC в небезопасном операционном режиме может позволить злоумышленникам выполнять вредоносные действия на нем, например скачивание программы. Если ПЛК скомпрометирован, устройства и процессы, взаимодействующие с ним, могут быть затронуты. Это может повлиять на общую безопасность системы и безопасность. | Низкая | Изменения конфигурации | Тактика: -Исполнение -Уклонение Методы: — T0858: изменение режима работы |
Недоступен для обучения |
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Просмотр оповещений и управление ими на портале Defender для Интернета вещей
- Просмотр оповещений на датчике
- Ускорение рабочих процессов оповещений
- Переадресация сведений об оповещении
- Работа с оповещениями в локальной консоль управления
- Справочник по API управления оповещениями для локальных консоль управления
- Справочник по API управления оповещениями для датчиков мониторинга OT
- Переадресация сведений об оповещении
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по