你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for IoT 警报参考
本文提供了有关 Microsoft Defender for IoT 网络传感器生成的警报的参考信息,其中列出了所有警报类型及说明。 该参考还显示哪些警报可以分类为可学习状态,有关可学习状态的详细信息,请参阅 警报状态和会审选项。 可以使用此参考将 警报映射到 playbook、 定义操作技术(OT)网络传感器或其他自定义活动的转发规则 。
OT 警报默认关闭
默认情况下会关闭多个警报,如下表中的星号 (*) 所示。 OT 传感器“管理员”用户可以从特定 OT 网络传感器上的“支持”页启用或禁用警报。
如果关闭在其他位置(如警报转发规则)中引用的警报,请确保根据需要更新这些引用。
警报严重性
Defender for IoT 警报使用以下严重性级别:
| Azure 门户 | OT 传感器 | 说明 |
|---|---|---|
| 高 | 严重 | 指示应立即处理的恶意攻击。 |
| 中等 | Major | 指示必须解决的安全威胁。 |
| 低 | 次要、警告 | 指示与可能包含安全威胁或不包含安全威胁的基线行为的一些偏差。 |
此页上的警报严重性列出严重性,如Azure 门户所示。
支持的警报类型
| 警报类型 | 描述 |
|---|---|
| 策略违反警报 | 当策略违反引擎检测到与以前获知的流量有偏差时触发。 例如: - 检测到新设备。 - 在设备上检测到新的配置。 - 未定义为编程设备的设备执行编程更改。 - 固件版本已更改。 |
| 协议违反警报 | 当协议冲突引擎检测到不符合协议规范的数据包结构或字段值时触发。 |
| 操作警报 | 当操作引擎检测到网络操作事件或设备故障时触发。 例如,通过 Stop PLC 命令停止网络设备,或者传感器上的接口停止监视流量。 |
| 恶意软件警报 | 当恶意软件引擎检测到恶意网络活动时触发。 例如,引擎检测到 Conficker 等已知攻击。 |
| 异常警报 | 当异常引擎检测到偏差时触发。 例如,设备正在执行网络扫描,但未定义为扫描设备。 |
Defender for IoT 的警报检测策略引导不同的警报引擎根据业务影响和网络上下文触发警报,并减少与 IT 相关的低价值警报。 有关详细信息,请参阅 OT/IT 环境中的重点警报。
支持的警报类别
每个警报都有以下类别之一:
- 异常通信行为
- 异常 HTTP 通信行为
- 身份验证
- 备份
- 带宽异常
- 缓冲区溢出
- 命令失败
- 配置更改
- 自定义警报
- 发现
- 固件更改
- 非法命令
- Internet 访问
- 操作失败
- 操作问题
- 编程
- 远程访问
- 重启/停止命令
- 扫描
- 传感器流量
- 可疑的恶意活动
- 可疑的恶意软件
- 未经授权的通信行为
- 无响应
策略引擎警报
策略引擎警报说明检测到的相对于已知基线行为的偏差。
| 标题 | 说明 | 严重性 | 类别 | MITRE ATT&CK 策略和技术 |
Learnable |
|---|---|---|---|---|---|
| Beckhoff 软件已更改 | 源设备上更新了固件。 这可能是授权活动,例如计划内维护过程。 | 中 | 固件更改 | 技巧: - 抑制响应函数 -坚持 技术: - T0857:系统固件 |
Learnable |
| 数据库登录失败 | 检测到尝试从源设备登录到目标服务器失败。 这可能是由人为错误引起,但也可能指示存在恶意尝试攻击服务器或其上数据的行为。 阈值:5 分钟内 2 次登录失败 |
中 | 身份验证 | 技巧: - 横向移动 -收集 技术: - T0812:默认凭据 - T0811:来自信息存储库的数据 |
不可学习 |
| Emerson ROC 固件版本已更改 | 源设备上更新了固件。 这可能是授权活动,例如计划内维护过程。 | 中 | 固件更改 | 技巧: - 抑制响应函数 -坚持 技术: - T0857:系统固件 |
Learnable |
| 网络内的外部地址与 Internet 通信 | 定义为网络的一部分的源设备正在与 Internet 地址通信。 此源设备无权与 Internet 地址通信。 | 高 | Internet 访问 | 技巧: - 初始访问 技术: - T0883:可访问 Internet 的设备 |
Learnable |
| 意外发现现场设备 | 在网络上检测到新的源设备,但未获得授权。 | 中 | 发现 | 技巧: -发现 技术: - T0842:网络嗅探 |
不可学习 |
| 检测到固件更改 | 源设备上更新了固件。 这可能是授权活动,例如计划内维护过程。 | 中 | 固件更改 | 技巧: - 抑制响应函数 -坚持 技术: - T0857:系统固件 |
不可学习 |
| 固件版本已更改 | 源设备上更新了固件。 这可能是授权活动,例如计划内维护过程。 | 中 | 固件更改 | 技巧: - 抑制响应函数 -坚持 技术: - T0857:系统固件 |
Learnable |
| Foxboro I/A 未授权的操作 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 - T0836:修改参数 |
Learnable |
| FTP 登录失败 | 检测到尝试从源设备登录到目标服务器失败。 此警报可能是由人为错误引起,但也可能指示存在恶意尝试攻击服务器或其上数据的行为。 | 中 | 身份验证 | 技巧: - 横向移动 - 命令和控制 技术: - T0812:默认凭据 - T0869:标准应用程序层协议 |
不可学习 |
| 函数代码引发未授权异常* | 源设备(辅助)向目标设备(主)返回了异常。 | 中 | 命令失败 | 技巧: - 抑制响应函数 技术: - T0835:操纵 I/O 映像 |
Learnable |
| GOOSE 消息类型设置 | 源设备上的消息(由协议 ID 标识)设置发生了更改。 | 低 | 未经授权的通信行为 | 技巧: - 损害进程控制 技术: - T0836:修改参数 |
Learnable |
| Honeywell 固件版本已更改 | 源设备上更新了固件。 这可能是授权活动,例如计划内维护过程。 | 中 | 固件更改 | 技巧: - 抑制响应函数 -坚持 技术: - T0857:系统固件 |
Learnable |
| 非法的 HTTP 通信 * | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 异常 HTTP 通信行为 | 技巧: -发现 技术: - T0846:远程系统发现 |
Learnable |
| 检测到 Internet 访问 | 定义为网络的一部分的源设备正在与 Internet 地址通信。 此源设备无权与 Internet 地址通信。 | 中 | Internet 访问 | 技巧: - 初始访问 技术: - T0883:可访问 Internet 的设备 |
Learnable |
| Mitsubishi 固件版本已更改 | 源设备上更新了固件。 这可能是授权活动,例如计划内维护过程。 | 中 | 固件更改 | 技巧: - 抑制响应函数 -坚持 技术: - T0857:系统固件 |
Learnable |
| Modbus 地址范围冲突 | 主要设备请求访问新的辅助内存地址。 | 中 | 未经授权的通信行为 | 技巧: -发现 技术: - T0842:网络嗅探 |
Learnable |
| Modbus 固件版本已更改 | 源设备上更新了固件。 这可能是授权活动,例如计划内维护过程。 | 中 | 固件更改 | 技巧: - 抑制响应函数 -坚持 技术: - T0857:系统固件 |
Learnable |
| 检测到新活动 - CIP 类 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: -发现 技术: - T0888:远程系统信息发现 |
Learnable |
| 检测到新活动 - CIP 类服务 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 抑制响应函数 技术: - T0836:修改参数 |
Learnable |
| 检测到新活动 - CIP PCCC 命令 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 抑制响应函数 技术: - T0836:修改参数 |
Learnable |
| 检测到新活动 - CIP 符号 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 - 抑制响应函数 技术: - T0855:未经授权的命令消息 - T0836:修改参数 |
Learnable |
| 检测到新活动 - 以太网/IP I/O 连接 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: -发现 - 抑制响应函数 技术: - T0846:远程系统发现 - T0835:操纵 I/O 映像 |
Learnable |
| 检测到新活动 - 以太网/IP 协议命令 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 抑制响应函数 技术: - T0836:修改参数 |
Learnable |
| 检测到新活动 - GSM 消息代码 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - CommandAndControl 技术: - T0869:标准应用程序层协议 |
Learnable |
| 检测到新活动 - LonTalk 命令代码 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: -收集 - 损害进程控制 技术: - T0861 - 点和标记标识 - T0855:未经授权的命令消息 |
Learnable |
| 发现新端口 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 低 | 发现 | 技巧: - 横向移动 技术: - T0867:横向工具传输 |
Learnable |
| 检测到新活动 - LonTalk 网络变量 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 |
Learnable |
| 检测到新活动 - Ovation 数据请求 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: -收集 -发现 技术: - T0801:监视进程状态 - T0888:远程系统信息发现 |
Learnable |
| 检测到新活动 - 读/写命令(AMS 索引组) | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 配置更改 | 技巧: - 损害进程控制 - 抑制响应函数 技术: - T0855:未经授权的命令消息 - T0836:修改参数 |
Learnable |
| 检测到新活动 - 读/写命令(AMS 索引偏移) | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 配置更改 | 技巧: - 损害进程控制 - 抑制响应函数 技术: - T0855:未经授权的命令消息 - T0836:修改参数 |
Learnable |
| 检测到新活动 - 未授权的 DeltaV 消息类型 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 -执行 技术: - T0855:未经授权的命令消息 - T0821:修改控制器任务调度 |
Learnable |
| 检测到新活动 - 未授权的 DeltaV ROC 操作 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 -执行 技术: - T0855:未经授权的命令消息 - T0821:修改控制器任务调度 |
Learnable |
| 检测到新活动 - 未授权的 RPC 消息类型 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 |
Learnable |
| 检测到新活动 - 使用 AMS 协议命令 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 - 抑制响应函数 -执行 技术: - T0855:未经授权的命令消息 - T0836:修改参数 - T0821:修改控制器任务调度 |
Learnable |
| 检测到新活动 - 使用 Siemens SICAM 命令 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 - 抑制响应函数 技术: - T0855:未经授权的命令消息 - T0836:修改参数 |
Learnable |
| 检测到新活动 - 使用 Suitelink 协议命令 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 - 抑制响应函数 技术: - T0855:未经授权的命令消息 - T0836:修改参数 |
Learnable |
| 检测到新活动 - 使用 Suitelink 协议会话 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 技术: - T0836:修改参数 |
Learnable |
| 检测到新活动 - 使用 Yokogawa VNetIP 命令 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 -执行 技术: - T0855:未经授权的命令消息 - T0821:修改控制器任务调度 |
Learnable |
| 检测到新资产 | 在网络上检测到新的源设备,但未获得授权。 此警报适用于在 OT 子网中发现的设备。 在 IT 子网中发现的新设备不会触发警报。 |
中型 | 发现 | 技巧: -发现 技术: - T0842:网络嗅探 |
Learnable |
| 新 LLDP 设备配置 | 在网络上检测到新的源设备,但未获得授权。 | 中 | 配置更改 | 技巧: -发现 技术: - T0842:网络嗅探 |
Learnable |
| Omron FINS 未授权的命令 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 - T0836:修改参数 |
Learnable |
| S7 Plus PLC 固件已更改 | 源设备上更新了固件。 这可能是授权活动,例如计划内维护过程。 | 中 | 固件更改 | 技巧: - 抑制响应函数 -坚持 技术: - T0857:系统固件 |
Learnable |
| 采样值消息类型设置 | 源设备上的消息(由协议 ID 标识)设置发生了更改。 | 低 | 未经授权的通信行为 | 技巧: - 损害进程控制 技术: - T0836:修改参数 |
不可学习 |
| 可疑的非法完整性扫描* | DNP3 源设备(外站)上检测到扫描。 此扫描未授权为网络已知流量。 | 中 | 扫描 | 技巧: -发现 技术: - T0842:网络嗅探 |
Learnable |
| Toshiba 计算机链接未授权的命令 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 低 | 未经授权的通信行为 | 技巧: - 损害进程控制 -执行 技术: - T0855:未经授权的命令消息 - T0821:修改控制器任务调度 |
Learnable |
| 未授权的 ABB Totalflow 文件操作 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 -执行 技术: - T0855:未经授权的命令消息 - T0821:修改控制器任务调度 |
不可学习 |
| 未授权的 ABB Totalflow 注册操作 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 -执行 技术: - T0855:未经授权的命令消息 - T0821:修改控制器任务调度 |
不可学习 |
| 对 Siemens S7 数据块的未授权访问 | 源设备尝试访问另一台设备上的资源。 这两台设备之间的此资源访问未授权为网络上已获知的流量。 | 低 | 未经授权的通信行为 | 技巧: - 损害进程控制 - 初始访问 技术: - T0855:未经授权的命令消息 - T0811:来自信息存储库的数据 |
Learnable |
| 对 Siemens S7 Plus 对象的未授权访问 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 -执行 - 抑制响应函数 技术: - T0855:未经授权的命令消息 - T0821:修改控制器任务 - T0809:数据销毁 |
Learnable |
| 对 Wonderware 标记的未授权访问 | 源设备尝试访问另一台设备上的资源。 这两台设备之间的此资源访问未授权为网络上已获知的流量。 | 中 | 未经授权的通信行为 | 技巧: -收集 - 损害进程控制 技术: - T0861:点和标记标识 - T0855:未经授权的命令消息 |
Learnable |
| 未授权的 BACNet 对象访问 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 -执行 技术: - T0855:未经授权的命令消息 - T0821:修改控制器任务调度 |
Learnable |
| 未授权的 BACNet 路由 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 -执行 技术: - T0855:未经授权的命令消息 - T0821:修改控制器任务调度 |
Learnable |
| 未授权的数据库登录* | 检测到源客户端和目标服务器之间的登录尝试。 这些设备之间的通信未授权为网络上学习的流量。 | 中 | 身份验证 | 技巧: - 横向移动 -坚持 -收集 技术: - T0859:有效帐户 - T0811:来自信息存储库的数据 |
Learnable |
| 未授权的数据库操作 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 异常通信行为 | 技巧: - 损害进程控制 - 初始访问 技术: - T0855:未经授权的命令消息 - T0811:来自信息存储库的数据 |
Learnable |
| 未授权的 Emerson ROC 操作 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 -执行 技术: - T0855:未经授权的命令消息 - T0821:修改控制器任务调度 |
Learnable |
| 未授权的 GE SRTP 文件访问 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: -收集 - LateralMovement -坚持 技术: - T0801:监视进程状态 - T0859:有效帐户 |
Learnable |
| 未授权的 GE SRTP 协议命令 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 - T0821:修改控制器任务调度 |
Learnable |
| 未授权的 GE SRTP 系统内存操作 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: -发现 - 损害进程控制 技术: - T0846:远程系统发现 - T0855:未经授权的命令消息 |
Learnable |
| 未授权的 HTTP 活动 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 异常 HTTP 通信行为 | 技巧: - 初始访问 - 命令和控制 技术: - T0822:外部远程服务 - T0869:标准应用程序层协议 |
Learnable |
| 未授权的 HTTP SOAP 操作 * | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 异常 HTTP 通信行为 | 技巧: - 命令和控制 -执行 技术: - T0869:标准应用程序层协议 - T0871:通过 API 执行 |
Learnable |
| 未授权的 HTTP 用户代理 * | 在源设备上检测到未授权的应用程序。 该应用程序未授权为网络上学习的应用程序。 | 中 | 异常 HTTP 通信行为 | 技巧: - 命令和控制 技术: - T0869:标准应用程序层协议 |
Learnable |
| 检测到未授权的 Internet 连接 | 定义为网络的一部分的源设备正在与 Internet 地址通信。 此源设备无权与 Internet 地址通信。 | 高 | Internet 访问 | 技巧: - 初始访问 技术: - T0883:可访问 Internet 的设备 |
Learnable |
| 未授权的 Mitsubishi MELSEC 命令 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 -执行 技术: - T0855:未经授权的命令消息 - T0821:修改控制器任务调度 |
Learnable |
| 未授权的 MMS 程序访问 | 源设备尝试访问另一台设备上的资源。 这两台设备之间的此资源访问未授权为网络上已获知的流量。 | 中 | 编程 | 技巧: - 损害进程控制 -执行 技术: - T0855:未经授权的命令消息 - T0821:修改控制器任务调度 |
Learnable |
| 未授权的 MMS 服务 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 -执行 技术: - T0855:未经授权的命令消息 - T0821:修改控制器任务调度 |
Learnable |
| 未授权的多播/广播连接 | 在源设备和其他设备之间检测到多播/广播连接。 多播/广播通信未获得授权。 | 高 | 异常通信行为 | 技巧: -发现 技术: - T0842:网络嗅探 |
Learnable |
| 未授权的名称查询 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 异常通信行为 | 技巧: - 损害进程控制 技术: - T0836:修改参数 |
不可学习 |
| 未授权的 OPC UA 活动 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 技术: - T0836:修改参数 |
Learnable |
| 未授权的 OPC UA 请求/响应 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 技术: - T0836:修改参数 |
Learnable |
| 用户定义的规则检测到未授权操作 | 在两台设备之间检测到流量。 根据用户定义的自定义警报规则,此活动没有获得授权。 | 中 | 自定义警报 | 技巧: -发现 技术: - T0842:网络嗅探 |
不可学习 |
| 未授权的 PLC 配置读取 | 源设备未定义为编程设备,但对目标控制器执行了读/写操作。 只有编程设备才能执行编程更改。 此设备上可能已安装编程应用程序。 | 低 | 配置更改 | 技巧: -收集 技术: - T0801:监视进程状态 |
Learnable |
| 未授权的 PLC 配置写入 | 源设备发送了命令要求读/写目标控制器的程序。 这种活动以前未出现过。 | 中 | 配置更改 | 技巧: - 损害进程控制 -坚持 -影响 技术: - T0839:模块固件 - T0831:控制操作 - T0889:修改程序 |
Learnable |
| 未授权的 PLC 程序上传 | 源设备发送了命令要求读/写目标控制器的程序。 这种活动以前未出现过。 | 中 | 编程 | 技巧: - 损害进程控制 -坚持 -收集 技术: - T0839:模块固件 - T0845:程序上传 |
Learnable |
| 未授权的 PLC 编程 | 源设备未定义为编程设备,但对目标控制器执行了读/写操作。 只有编程设备才能执行编程更改。 此设备上可能已安装编程应用程序。 | 高 | 编程 | 技巧: - 损害进程控制 -坚持 - 横向移动 技术: - T0839:模块固件 - T0889:修改程序 - T0843:程序下载 |
Learnable |
| 未授权的 Profinet 帧类型 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 技术: - T0836:修改参数 |
Learnable |
| 未授权的 SAIA S-Bus 命令 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 |
Learnable |
| 未授权的 Siemens S7 控制函数执行 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 - 抑制响应函数 技术: - T0855:未经授权的命令消息 - T0809:数据销毁 |
Learnable |
| 未授权的 Siemens S7 用户定义函数执行 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 -执行 技术: - T0836:修改参数 - T0863:用户执行 |
Learnable |
| 未授权的 Siemens S7 Plus 块访问 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 抑制响应函数 -坚持 -执行 技术: - T0803 - 阻止命令消息 - T0889:修改程序 - T0821:修改控制器任务调度 |
Learnable |
| 未授权的 Siemens S7 Plus 操作 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 -执行 技术: - T0855:未经授权的命令消息 - T0863:用户执行 |
Learnable |
| 未授权的 SMB 登录 | 检测到源客户端和目标服务器之间的登录尝试。 这些设备之间的通信未授权为网络上学习的流量。 | 中 | 身份验证 | 技巧: - 初始访问 - 横向移动 -坚持 技术: - T0886:远程服务 - T0859:有效帐户 |
Learnable |
| 未授权的 SNMP 操作 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 异常通信行为 | 技巧: -发现 - 命令和控制 技术: - T0842:网络嗅探 - T0885:常用端口 |
Learnable |
| 未授权的 SSH 访问 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 远程访问 | 技巧: - InitialAccess - 横向移动 - 命令和控制 技术: - T0886:远程服务 - T0869:标准应用程序层协议 |
Learnable |
| 未授权的 Windows 进程 | 在源设备上检测到未授权的应用程序。 该应用程序未授权为网络上学习的应用程序。 | 中 | 异常通信行为 | 技巧: -执行 - 特权提升 - 命令和控制 技术: - T0841:挂钩 - T0885:常用端口 |
Learnable |
| 未授权的 Windows 服务 | 在源设备上检测到未授权的应用程序。 该应用程序未授权为网络上学习的应用程序。 | 中 | 异常通信行为 | 技巧: - 初始访问 - 横向移动 技术: - T0866:远程服务的利用 |
Learnable |
| 用户定义的规则检测到未授权操作 | 检测到新的流量参数。 此参数组合违反用户定义的规则 | 中 | 技巧: -发现 技术: - T0842:网络嗅探 |
不可学习 | |
| 不允许的 Modbus Schneider Electric 扩展 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 |
Learnable |
| 不允许使用 ASDU 类型 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 |
Learnable |
| 不允许使用 DNP3 函数代码 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 技术: - T0836:修改参数 |
Learnable |
| 不允许使用内部指示 (IIN)* | DNP3 源设备(外站)报告了尚未授权为网络已知流量的内部指示 (IIN)。 | 中 | 非法命令 | 技巧: -发现 技术: - T0842:网络嗅探 |
Learnable |
| 不允许使用 Modbus 函数代码 | 检测到新的流量参数。 此参数组合未授权为网络上学习的流量。 以下组合未获授权。 | 中 | 未经授权的通信行为 | 技巧: - 损害进程控制 技术: - T0836:修改参数 |
Learnable |
异常引擎警报
注意
本文包含对术语“从属”的引用,这是 Microsoft 不再使用的术语。 在从软件中删除该术语后,我们会将其从本文中删除。
异常引擎警报说明在网络活动中检测到的异常。
| 标题 | 说明 | 严重性 | 类别 | MITRE ATT&CK 策略和技术 |
Learnable |
|---|---|---|---|---|---|
| 从属设备的异常模式* | 源设备上检测到过多的错误。 此警报可能是操作问题的结果。 阈值:1 小时内 20 个异常 |
低 | 异常通信行为 | 技巧: - 损害进程控制 技术: - T0806:暴力破解 I/O |
不可学习 |
| HTTP 标头长度异常 * | 源设备发送了异常消息。 此警报可能指示尝试攻击目标设备。 | 高 | 异常 HTTP 通信行为 | 技巧: - 初始访问 - 横向移动 - 命令和控制 技术: - T0866:利用远程服务 - T0869:标准应用程序层协议 |
Learnable |
| HTTP 标头中的参数数量异常 * | 源设备发送了异常消息。 此警报可能指示尝试攻击目标设备。 | 高 | 异常 HTTP 通信行为 | 技巧: - 初始访问 - 横向移动 - 命令和控制 技术: - T0866:利用远程服务 - T0869:标准应用程序层协议 |
Learnable |
| 信道中定期行为异常 | 检测到源设备和目标设备之间的通信频率发生了更改。 | 低 | 异常通信行为 | 技巧: -发现 技术: - T0842:网络嗅探 |
Learnable |
| 应用程序的异常终止* | 源设备上检测到过多的 Stop 命令。 此警报可能是操作问题或尝试操作设备的结果。 阈值:3 小时内 20 个停止命令 |
中 | 异常通信行为 | 技巧: -坚持 -影响 技术: - T0889:修改程序 - T0831:控制操纵 |
Learnable |
| 流量带宽异常* | 通道上检测到异常带宽。 带宽似乎低于/高于以前检测到的带宽。 有关详细信息,请使用总带宽小组件。 | 低 | 带宽异常 | 技巧: -发现 技术: - T0842:网络嗅探 |
Learnable |
| 设备间流量带宽异常* | 通道上检测到异常带宽。 带宽似乎低于/高于以前检测到的带宽。 有关详细信息,请使用总带宽小组件。 | 低 | 带宽异常 | 技巧: -发现 技术: - T0842:网络嗅探 |
不可学习 |
| 检测到地址扫描 | 检测到源设备正在扫描网络设备。 此设备未授权为网络扫描设备。 阈值:2 分钟内连接到同一 B 类子网 50 次 |
高 | 扫描 | 技巧: -发现 技术: - T0842:网络嗅探 |
Learnable |
| 检测到 ARP 地址扫描* | 检测到源设备正在使用地址解析协议 (ARP) 扫描网络设备。 此设备地址未授权为有效的 ARP 扫描地址。 阈值:6 分钟内 40 次扫描 |
高 | 扫描 | 技巧: -发现 -收集 技术: - T0842:网络嗅探 - T0830:中间人 |
Learnable |
| ARP 欺骗* | 网络中检测到异常数量的数据包。 此警报可能指示存在攻击行为,例如 ARP 欺骗或 ICMP 淹没攻击。 阈值:1 分钟内 60 个数据包 |
低 | 异常通信行为 | 技巧: -收集 技术: - T0830:中间人 |
不可学习 |
| 登录尝试次数过多 | 发现源设备对目标服务器执行过多的登录尝试。 此警报可能表示暴力攻击。 服务器可能被恶意参与者入侵。 阈值:1 分钟内 20 次登录尝试 |
高 | 身份验证 | 技巧: - LateralMovement - 损害进程控制 技术: - T0812:默认凭据 - T0806:暴力破解 I/O |
不可学习 |
| 会话数过多 | 发现源设备对目标服务器执行过多的登录尝试。 这可能表示暴力攻击。 服务器可能被恶意参与者入侵。 阈值:1 分钟内 50 个会话 |
高 | 异常通信行为 | 技巧: - 横向移动 - 损害进程控制 技术: - T0812:默认凭据 - T0806:暴力破解 I/O |
不可学习 |
| 外站的重启率过高* | 源设备上检测到过多的重启命令。 这些警报可能是操作问题或尝试操作设备的结果。 阈值:1 小时内 10 次重启 |
中 | 重启/停止命令 | 技巧: - 抑制响应函数 - 损害进程控制 技术: - T0814:拒绝服务 - T0806:暴力破解 I/O |
不可学习 |
| SMB 登录尝试次数过多 | 发现源设备对目标服务器执行过多的登录尝试。 这可能表示暴力攻击。 服务器可能被恶意参与者入侵。 阈值:10 分钟内 10 次登录尝试 |
高 | 身份验证 | 技巧: -坚持 -执行 - LateralMovement 技术: - T0812:默认凭据 - T0853:脚本 - T0859:有效帐户 |
不可学习 |
| ICMP 淹没* | 网络中检测到异常数量的数据包。 此警报可能指示存在攻击行为,例如 ARP 欺骗或 ICMP 淹没攻击。 阈值:1 分钟内 60 个数据包 |
低 | 异常通信行为 | 技巧: -发现 -收集 技术: - T0842:网络嗅探 - T0830:中间人 |
不可学习 |
| 非法的 HTTP 标头内容 * | 源设备发起了无效的请求。 | 高 | 异常 HTTP 通信行为 | 技巧: - 初始访问 - LateralMovement 技术: - T0866:远程服务的利用 |
不可学习 |
| 非活动信道* | 两个设备之间的信道在通常会出现活动的时间段内处于非活动状态。 这可能指示生成此流量的程序已更改,或程序可能不可用。 建议查看已安装程序的配置,并验证是否已正确配置。 阈值:1 分钟 |
低 | 无响应 | 技巧: - 抑制响应函数 技术: - T0881:服务停止 |
不可 |
| 检测到持续时间长的地址扫描* | 检测到源设备正在扫描网络设备。 此设备未授权为网络扫描设备。 阈值:10 分钟内连接到同一 B 类子网 50 次 |
高 | 扫描 | 技巧: -发现 技术: - T0842:网络嗅探 |
Learnable |
| 检测到密码猜测尝试 | 发现源设备对目标服务器执行过多的登录尝试。 这可能表示暴力攻击。 服务器可能被恶意参与者入侵。 阈值:1 分钟内 100 次尝试 |
高 | 身份验证 | 技巧: - 横向移动 技术: - T0812:默认凭据 - T0806:暴力破解 I/O |
不可学习 |
| 检测到 PLC 扫描 | 检测到源设备正在扫描网络设备。 此设备未授权为网络扫描设备。 阈值:2 分钟内 10 次扫描 |
高 | 扫描 | 技巧: -发现 技术: - T0842:网络嗅探 |
Learnable |
| 检测到端口扫描 | 检测到源设备正在扫描网络设备。 此设备未授权为网络扫描设备。 阈值:2 分钟内 25 次扫描 |
高 | 扫描 | 技巧: -发现 技术: - T0842:网络嗅探 |
Learnable |
| 异常消息长度 | 源设备发送了异常消息。 此警报可能指示尝试攻击目标设备。 阈值:文本长度 - 32768 |
高 | 异常通信行为 | 技巧: - InitialAccess - LateralMovement 技术: - T0869:远程服务的利用 |
不可学习 |
| 标准端口的异常流量* | 在使用为另一个协议保留的端口的设备上检测到流量。 | 中 | 异常通信行为 | 技巧: - 命令和控制 -发现 技术: - T0869:标准应用程序层协议 - T0842:网络嗅探 |
不可学习 |
协议违规引擎警报
协议引擎警报说明在数据包结构中检测到的偏差,或与协议规范相比的字段值。
| 标题 | 说明 | 严重性 | 类别 | MITRE ATT&CK 策略和技术 |
Learnable |
|---|---|---|---|---|---|
| 单个会话中格式错误的数据包过多* | 源设备向目标设备发送了异常数量的格式错误的数据包。 此警报可能指示通信错误,或存在尝试操作目标设备的行为。 阈值:10 分钟内 2 个格式错误的数据包 |
中 | 非法命令 | 技巧: - 损害进程控制 技术: - T0806:暴力破解 I/O |
不可学习 |
| 固件更新 | 源设备发送了用于更新目标设备固件的命令。 验证最近对目标设备进行的编程、配置和固件升级是否有效。 | 低 | 固件更改 | 技巧: - 抑制响应函数 -坚持 技术: - T0857:系统固件 |
Learnable |
| 外站不支持函数代码 | 目标设备接收到无效请求。 | 中 | 非法命令 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 |
不可学习 |
| 非法 BACNet 消息 | 源设备发起了无效的请求。 | 中 | 非法命令 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 - T0836:修改参数 |
不可学习 |
| 对端口 0 的非法连接尝试 | 源设备尝试通过端口零 (0) 连接到目标设备。 对于 TCP,端口 0 是预留端口,不能使用。 对于 UDP,端口可选,值 0 表示无端口。 系统上通常没有侦听端口 0 的服务。 此事件可能指示尝试攻击目标设备,或指示应用程序被错误编程。 | 低 | 非法命令 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 - T0836:修改参数 |
不可学习 |
| 非法 DNP3 操作 | 源设备发起了无效的请求。 | 中 | 非法命令 | 技巧: - 初始访问 - 横向移动 技术: - T0866:远程服务的利用 |
不可学习 |
| 非法 MODBUS 操作(由主设备抛出的异常) | 源设备发起了无效的请求。 | 中 | 非法命令 | 技巧: - 初始访问 - 横向移动 技术: - T0866:远程服务的利用 |
不可学习 |
| 非法 MODBUS 操作(函数代码零)* | 源设备发起了无效的请求。 | 中 | 非法命令 | 技巧: - 初始访问 - 横向移动 技术: - T0866:远程服务的利用 |
不可学习 |
| 非法协议版本* | 源设备发起了无效的请求。 | 中 | 非法命令 | 技巧: - 初始访问 - LateralMovement - 损害进程控制 技术: - T0820:远程服务 - T0836:修改参数 |
不可学习 |
| 向外站发送了不正确的参数 | 目标设备接收到无效请求。 | 中 | 非法命令 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 - T0836:修改参数 |
不可学习 |
| 初始化已过时的函数代码(初始化数据) | 源设备发起了无效的请求。 | 低 | 非法命令 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 |
不可学习 |
| 初始化已过时的函数代码(保存配置) | 源设备发起了无效的请求。 | 低 | 非法命令 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 |
不可学习 |
| 主设备请求了应用程序层确认 | 源设备发起了无效的请求。 | 低 | 非法命令 | 技巧: - 命令和控制 技术: - T0869:标准应用程序层协议 |
不可学习 |
| Modbus 异常 | 源设备(辅助)向目标设备(主)返回了异常。 | 中 | 非法命令 | 技巧: - 抑制响应函数 技术: - T0814:拒绝服务 |
不可学习 |
| 从属设备接收到非法 ASDU 类型 | 目标设备接收到无效请求。 | 中 | 非法命令 | 技巧: - 损害进程控制 技术: - T0836:修改参数 |
不可学习 |
| 从属设备接收到非法命令传输原因 | 目标设备接收到无效请求。 | 中 | 非法命令 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 - T0836:修改参数 |
不可学习 |
| 从属设备接收到非法公共地址 | 目标设备接收到无效请求。 | 中 | 非法命令 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 - T0836:修改参数 |
不可学习 |
| 从属设备接收到非法数据地址参数* | 目标设备接收到无效请求。 | 中 | 非法命令 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 - T0836:修改参数 |
不可学习 |
| 从属设备接收到非法数据值参数* | 目标设备接收到无效请求。 | 中 | 非法命令 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 - T0836:修改参数 |
不可学习 |
| 从属设备接收到非法函数代码* | 目标设备接收到无效请求。 | 中 | 非法命令 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 - T0836:修改参数 |
不可学习 |
| 从属设备接收到非法信息对象地址 | 目标设备接收到无效请求。 | 中 | 非法命令 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 - T0836:修改参数 |
不可学习 |
| 向外站发送了未知对象 | 目标设备接收到无效请求。 | 中 | 非法命令 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 |
不可学习 |
| 使用预留的函数代码 | 源设备发起了无效的请求。 | 中 | 非法命令 | 技巧: - 损害进程控制 技术: - T0836:修改参数 |
不可学习 |
| 外站使用了不正确的格式* | 源设备发起了无效的请求。 | 低 | 非法命令 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 |
不可学习 |
| 保留状态标志的使用(IIN) | DNP3 源设备(外站)使用了预留的内部指标 2.6。 建议检查设备的配置。 | 低 | 非法命令 | 技巧: - 损害进程控制 技术: - T0836:修改参数 |
不可学习 |
恶意软件引擎警报
恶意软件引擎警报说明检测到的恶意网络活动。
| 标题 | 说明 | 严重性 | 类别 | MITRE ATT&CK 策略和技术 |
Learnable |
|---|---|---|---|---|---|
| 尝试连接到已知恶意 IP | 检测到可疑的网络活动。 此活动可能与利用已知恶意软件使用的方法的攻击相关联。 由 OT 和企业 IoT 网络传感器触发。 |
高 | 可疑的恶意活动 | 技巧: - 初始访问 - 命令和控制 技术: - T0883:可访问 Internet 的设备 - T0884:连接代理 |
不可学习 |
| 无效的 SMB 消息(DoublePulsar 后门程序植入) | 检测到可疑的网络活动。 此活动可能与利用已知恶意软件使用的方法的攻击相关联。 | 高 | 可疑的恶意软件 | 技巧: - 初始访问 - LateralMovement 技术: - T0866:远程服务的利用 |
不可学习 |
| 恶意域名请求 | 检测到可疑的网络活动。 此活动可能与利用已知恶意软件使用的方法的攻击相关联。 由 OT 和企业 IoT 网络传感器触发。 |
高 | 可疑的恶意活动 | 技巧: - 初始访问 - 命令和控制 技术: - T0883:可访问 Internet 的设备 - T0884:连接代理 |
Learnable |
| 检测到恶意软件测试文件 - EICAR AV 成功 | 在两个设备之间(通过任何传输方式 - TCP 或 UDP)的流量中检测到了 EICAR AV 文件。 该文件不是恶意软件。 它用于确认是否已正确安装防病毒软件。 演示发现病毒后会发生的情况,以及检查发现病毒后的内部过程和反应。 防病毒软件应将 EICAR 视为真实病毒对其进行检测。 | 高 | 可疑的恶意活动 | 技巧: -发现 技术: - T0842:网络嗅探 |
不可学习 |
| 可疑的 Conficker 恶意软件 | 检测到可疑的网络活动。 此活动可能与利用已知恶意软件使用的方法的攻击相关联。 | 中 | 可疑的恶意软件 | 技巧: - 初始访问 -影响 技术: - T0826:可用性丢失 - T0828:生产力和收入损失 - T0847:通过可移动媒体复制 |
不可学习 |
| 可疑的拒绝服务攻击 | 源设备尝试向目标设备发起了过多的新连接。 这可能表示针对目标设备的拒绝服务(DOS)攻击,并可能会中断设备功能、影响性能和服务可用性,或导致无法恢复的错误。 阈值:1 分钟内 3000 次尝试 |
高 | 可疑的恶意活动 | 技巧: - 抑制响应函数 技术: - T0814:拒绝服务 |
Learnable |
| 可疑的恶意活动 | 检测到可疑的网络活动。 此活动可能与触发已知“入侵指标”(IOC)的攻击相关联。 安全团队应审查警报元数据。 | 高 | 可疑的恶意活动 | 技巧: - 横向移动 技术: - T0867:横向工具传输 |
不可学习 |
| 可疑的恶意活动(BlackEnergy) | 检测到可疑的网络活动。 此活动可能与利用已知恶意软件使用的方法的攻击相关联。 | 高 | 可疑的恶意软件 | 技巧: - 命令和控制 技术: - T0869:标准应用程序层协议 |
不可学习 |
| 可疑的恶意活动(DarkComet) | 检测到可疑的网络活动。 此活动可能与利用已知恶意软件使用的方法的攻击相关联。 | 高 | 可疑的恶意软件 | 技巧: -影响 技术: - T0882:窃取运营信息 |
不可学习 |
| 可疑的恶意活动(Duqu) | 检测到可疑的网络活动。 此活动可能与利用已知恶意软件使用的方法的攻击相关联。 | 高 | 可疑的恶意软件 | 技巧: -影响 技术: - T0882:窃取运营信息 |
不可学习 |
| 可疑的恶意活动(Flame) | 检测到可疑的网络活动。 此活动可能与利用已知恶意软件使用的方法的攻击相关联。 | 高 | 可疑的恶意软件 | 技巧: -收集 -影响 技术: - T0882:操作信息被盗 - T0811:来自信息存储库的数据 |
不可学习 |
| 可疑的恶意活动(Havex) | 检测到可疑的网络活动。 此活动可能与利用已知恶意软件使用的方法的攻击相关联。 | 高 | 可疑的恶意软件 | 技巧: -收集 -发现 - 抑制响应函数 技术: - T0861:点和标记标识 - T0846:远程系统发现 - T0814:拒绝服务 |
不可学习 |
| 可疑的恶意活动(Karagany) | 检测到可疑的网络活动。 此活动可能与利用已知恶意软件使用的方法的攻击相关联。 | 高 | 可疑的恶意软件 | 技巧: -影响 技术: - T0882:窃取运营信息 |
不可学习 |
| 可疑的恶意活动(LightsOut) | 检测到可疑的网络活动。 此活动可能与利用已知恶意软件使用的方法的攻击相关联。 | 高 | 可疑的恶意软件 | 技巧: -规避 技术: - T0849:伪装 |
不可学习 |
| 可疑的恶意活动(名称查询) | 检测到可疑的网络活动。 此活动可能与利用已知恶意软件使用的方法的攻击相关联。 阈值:1 分钟内 25 次名称查询 |
高 | 可疑的恶意活动 | 技巧: - 命令和控制 技术: - T0884:连接代理 |
不可学习 |
| 可疑的恶意活动(Poison Ivy) | 检测到可疑的网络活动。 此活动可能与利用已知恶意软件使用的方法的攻击相关联。 | 高 | 可疑的恶意软件 | 技巧: - 初始访问 - 横向移动 技术: - T0866:远程服务的利用 |
不可学习 |
| 可疑的恶意活动(Regin) | 检测到可疑的网络活动。 此活动可能与利用已知恶意软件使用的方法的攻击相关联。 | 高 | 可疑的恶意软件 | 技巧: - 初始访问 - 横向移动 -影响 技术: - T0866:利用远程服务 - T0882:窃取运营信息 |
不可学习 |
| 可疑的恶意活动(Stuxnet) | 检测到可疑的网络活动。 此活动可能与利用已知恶意软件使用的方法的攻击相关联。 | 高 | 可疑的恶意软件 | 技巧: - 初始访问 - 横向移动 -影响 技术: - T0818:工程工作站入侵 - T0866:利用远程服务 - T0831:控制操纵 |
不可学习 |
| 可疑的恶意活动 (WannaCry)* | 检测到可疑的网络活动。 此活动可能与利用已知恶意软件使用的方法的攻击相关联。 | 中 | 可疑的恶意软件 | 技巧: - 初始访问 - 横向移动 技术: - T0866:利用远程服务 - T0867:横向工具传输 |
不可学习 |
| 可疑的 NotPetya 恶意软件 - 检测到非法 SMB 参数 | 检测到可疑的网络活动。 此活动可能与利用已知恶意软件使用的方法的攻击相关联。 | 高 | 可疑的恶意软件 | 技巧: - 初始访问 - 横向移动 技术: - T0866:远程服务的利用 |
不可学习 |
| 可疑的 NotPetya 恶意软件 - 检测到非法 SMB 事务 | 检测到可疑的网络活动。 此活动可能与利用已知恶意软件使用的方法的攻击相关联。 | 高 | 可疑的恶意软件 | 技巧: - 横向移动 技术: - T0867:横向工具传输 |
不可学习 |
| 可疑的 PsExec 远程代码执行 | 检测到可疑的网络活动。 此活动可能与利用已知恶意软件使用的方法的攻击相关联。 | 高 | 可疑的恶意活动 | 技巧: - 横向移动 - 初始访问 技术: - T0866:远程服务的利用 |
不可学习 |
| 可疑的远程 Windows 服务管理* | 检测到可疑的网络活动。 此活动可能与利用已知恶意软件使用的方法的攻击相关联。 | 高 | 可疑的恶意活动 | 技巧: - 初始访问 技术: - T0822:网络外部远程服务 |
不可学习 |
| 终结点上检测到可疑的可执行文件 | 检测到可疑的网络活动。 此活动可能与利用已知恶意软件使用的方法的攻击相关联。 | 高 | 可疑的恶意活动 | 技巧: -规避 - 抑制响应函数 技术: - T0851:Rootkit |
Learnable |
| 检测到恶意流量* | 检测到可疑的网络活动。 此活动可能与触发已知“入侵指标”(IOC)的攻击相关联。 安全团队应审查警报元数据 | 高 | 可疑的恶意活动 | 技巧: -发现 技术: - T0842:网络嗅探 |
不可学习 |
| 带有防病毒签名的备份活动 | 在源设备与目标备份服务器之间检测到的流量触发了此警报。 流量包括可能包含恶意软件签名的防病毒软件的备份。 这很可能是合法备份活动。 | 低 | 备份 | 技巧: -影响 技术: - T0882:窃取运营信息 |
不可学习 |
操作引擎警报
操作引擎警报说明检测到的操作事件或有故障的实体。
| 标题 | 说明 | 严重性 | 类别 | MITRE ATT&CK 策略和技术 |
Learnable |
|---|---|---|---|---|---|
| 发送了 S7 Stop PLC 命令 | 源设备向目标控制器发送了 stop 命令。 控制器停止运行,直到发送启动命令。 | 低 | 重启/停止命令 | 技巧: - 横向移动 - 防御逃避 -执行 - 抑制响应函数 技术: - T0843:程序下载 - T0858:更改操作模式 - T0814:拒绝服务 |
不可学习 |
| BACNet 操作失败 | 服务器返回了错误代码。 此警报指示存在服务器错误,或客户端发出了无效请求。 | 中 | 命令失败 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 |
不可学习 |
| 错误的 MMS 设备状态 | MMS 虚拟制造设备 (VMD) 发送了状态消息。 该消息指示服务器可能未正确配置、部分操作或根本无法运行。 | 中 | 操作问题 | 技巧: - 抑制响应函数 技术: - T0814:拒绝服务 |
不可学习 |
| 设备配置更改* | 源设备上检测到配置更改。 | 低 | 配置更改 | 技巧: - 损害进程控制 技术: - T0836:修改参数 |
不可学习 |
| 外站发生连续的事件缓冲区溢出* | 源设备上检测到缓冲区溢出事件。 该事件可能会导致数据损坏、程序崩溃或恶意代码的执行。 阈值:10 分钟内出现 3 次 |
中 | 缓冲区溢出 | 技巧: - 抑制响应函数 - 损害进程控制 -坚持 技术: - T0814:拒绝服务 - T0806:暴力破解 I/O - T0839:模块固件 |
不可学习 |
| 控制器重置 | 源设备向目标控制器发送了重置命令。 控制器暂时停止运行并自动重新启动。 | 低 | 重启/停止命令 | 技巧: - 防御逃避 -执行 - 抑制响应函数 技术: - T0858:更改操作模式 - T0814:拒绝服务 |
不可学习 |
| 控制器停止 | 源设备向目标控制器发送了 stop 命令。 控制器停止运行,直到发送启动命令。 | 低 | 重启/停止命令 | 技巧: - 横向移动 - 防御逃避 -执行 - 抑制响应函数 技术: - T0843:程序下载 - T0858:更改操作模式 - T0814:拒绝服务 |
不可学习 |
| 设备无法接收动态 IP 地址 | 源设备已配置为从 DHCP 服务器接收动态 IP 地址,但未接收到地址。 这指示设备发生配置错误,或 DHCP 服务器发生操作错误。 建议向网络管理员通知此事件 | 中 | 命令失败 | 技巧: -发现 技术: - T0842:网络嗅探 |
不可学习 |
| 怀疑设备已断开连接(无响应) | 源设备未对发送给它的命令做出响应。 发送命令时,它可能已断开连接。 阈值:5 分钟内 8 次尝试 |
中 | 无响应 | 技巧: - 抑制响应函数 技术: - T0881:服务停止 |
不可学习 |
| 以太网/IP CIP 服务请求失败 | 服务器返回了错误代码。 这指示存在服务器错误,或客户端发出了无效请求。 | 中 | 命令失败 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 |
不可学习 |
| 以太网/IP 封装协议命令失败 | 服务器返回了错误代码。 这指示存在服务器错误,或客户端发出了无效请求。 | 中 | 命令失败 | 技巧: -收集 技术: - T0801:监视进程状态 |
不可学习 |
| 外站事件缓冲区溢出 | 源设备上检测到缓冲区溢出事件。 该事件可能会导致数据损坏、程序崩溃或恶意代码的执行。 | 中 | 缓冲区溢出 | 技巧: - 抑制响应函数 - 损害进程控制 -坚持 技术: - T0814:拒绝服务 - T0839:模块固件 |
不可学习 |
| 未发生预期的备份操作 | 两个设备之间未发生预期的备份/文件传输活动。 此警报可能指示备份/文件传输过程中的错误。 阈值:100 秒 |
中 | 备份 | 技巧: - 抑制响应函数 技术: - T0809:数据销毁 |
Learnable |
| GE SRTP 命令失败 | 服务器返回了错误代码。 此警报指示存在服务器错误,或客户端发出了无效请求。 | 中 | 命令失败 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 |
不可学习 |
| 发送了 GE SRTP Stop PLC 命令 | 源设备向目标控制器发送了 stop 命令。 控制器停止运行,直到发送启动命令。 | 低 | 重启/停止命令 | 技巧: - 横向移动 - 防御逃避 -执行 - 抑制响应函数 技术: - T0843:程序下载 - T0858:更改操作模式 - T0814:拒绝服务 |
不可学习 |
| GOOSE 控制块需要进一步配置 | 源设备发送了 GOOSE 消息,指示设备需要调试。 这表明,GOOSE 控制块需要进一步配置,并且 GOOSE 消息部分或完全不可操作。 | 中 | 配置更改 | 技巧: - 损害进程控制 - 抑制响应函数 技术: - T0803:阻止命令消息 - T0821:修改控制器任务调度 |
不可学习 |
| GOOSE 数据集配置已更改* | 源设备上的消息(由协议 ID 标识)数据集发生了更改。 这意味着设备报告此消息的其他数据集。 | 低 | 配置更改 | 技巧: - 损害进程控制 技术: - T0836:修改参数 |
不可学习 |
| Honeywell 控制器异常状态 | Honeywell 控制器发送了指示状态更改的异常诊断消息。 | 低 | 操作问题 | 技巧: -规避 -执行 技术: - T0858:更改操作模式 |
不可学习 |
| HTTP 客户端错误 * | 源设备发起了无效的请求。 | 低 | 异常 HTTP 通信行为 | 技巧: - 命令和控制 技术: - T0869:标准应用程序层协议 |
不可学习 |
| 非法 IP 地址 | 系统检测到源设备与无效 IP 地址之间的流量。 这可能表示配置错误或尝试生成非法流量。 | 低 | 异常通信行为 | 技巧: -发现 - 损害进程控制 技术: - T0842:网络嗅探 - T0836:修改参数 |
不可学习 |
| 主设备与从属设备之间的身份验证错误 | DNP3 源设备(主)和目标设备(外站)之间的身份验证过程失败。 | 低 | 身份验证 | 技巧: - 横向移动 -坚持 技术: - T0859:有效帐户 |
不可学习 |
| MMS 服务请求失败 | 服务器返回了错误代码。 这指示存在服务器错误,或客户端发出了无效请求。 | 中 | 命令失败 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 |
不可学习 |
| 传感器接口上未检测到流量 | 传感器停止检测网络接口上的网络流量。 | 高 | 传感器流量 | 技巧: - 抑制响应函数 技术: - T0881:服务停止 |
不可学习 |
| OPC UA 服务器引发了需要用户注意的事件 | OPC UA 服务器向客户端发送了事件通知。 此类事件需要用户注意 | 中 | 操作问题 | 技巧: - 抑制响应函数 技术: - T0838:修改警报设置 |
不可学习 |
| OPC UA 服务请求失败 | 服务器返回了错误代码。 这指示存在服务器错误,或客户端发出了无效请求。 | 中 | 命令失败 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 |
不可学习 |
| 外站已重启 | 源设备上检测到冷重启。 这表示已采用物理方式关闭并重新启动了设备。 | 低 | 重启/停止命令 | 技巧: - 抑制响应函数 技术: - T0816:设备重启/关闭 |
不可学习 |
| 外站频繁重启 | 源设备上检测到过多的冷重启。 这表示已采用物理方式过多地关闭并重新启动了设备。 阈值:10 分钟内 2 次重启 |
低 | 重启/停止命令 | 技巧: - 抑制响应函数 技术: - T0814:拒绝服务 - T0816:设备重启/关闭 |
不可学习 |
| 外站配置已更改 | 源设备上检测到配置更改。 | 中 | 配置更改 | 技巧: - 抑制响应函数 -坚持 技术: - T0857:系统固件 |
不可学习 |
| 检测到外站配置已损坏 | 此 DNP3 源设备(外站)报告配置已损坏。 | 中 | 配置更改 | 技巧: - 抑制响应函数 技术: - T0809:数据销毁 |
不可学习 |
| Profinet DCP 命令失败 | 服务器返回了错误代码。 这指示存在服务器错误,或客户端发出了无效请求。 | 中 | 命令失败 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 |
不可学习 |
| Profinet 设备出厂重置 | 源设备向 Profinet 目标设备发送了出厂重置命令。 重置命令会清除 Profinet 设备配置并停止其操作。 | 低 | 重启/停止命令 | 技巧: - 防御逃避 -执行 - 抑制响应函数 技术: - T0858:更改操作模式 - T0814:拒绝服务 |
不可学习 |
| RPC 操作失败 * | 服务器返回了错误代码。 此警报指示存在服务器错误,或客户端发出了无效请求。 | 中 | 命令失败 | 技巧: - 损害进程控制 技术: - T0855:未经授权的命令消息 |
不可学习 |
| 采样值消息数据集配置已更改* | 源设备上的消息(由协议 ID 标识)数据集发生了更改。 这意味着设备报告此消息的其他数据集。 | 低 | 配置更改 | 技巧: - 损害进程控制 技术: - T0836:修改参数 |
不可学习 |
| 从属设备发生不可恢复故障* | 源设备上检测到无法恢复的情况错误。 此类错误通常指示存在硬件故障或无法执行特定命令。 | 中 | 命令失败 | 技巧: - 抑制响应函数 技术: - T0814:拒绝服务 |
不可学习 |
| 外站中存在可疑的硬件问题 | 源设备上检测到无法恢复的情况错误。 此类错误通常指示存在硬件故障或无法执行特定命令。 | 中 | 操作问题 | 技巧: - 抑制响应函数 技术: - T0814:拒绝服务 - T0881:服务停止 |
不可学习 |
| 可疑的无响应 MODBUS 设备 | 源设备未对发送给它的命令做出响应。 发送命令时,它可能已断开连接。 阈值:5 分钟内对至少 3 个请求的至少 1 次有效响应 |
低 | 无响应 | 技巧: - 抑制响应函数 技术: - T0881:服务停止 |
不可学习 |
| 传感器接口上检测到流量 | 传感器继续检测网络接口上的网络流量。 | 低 | 传感器流量 | 技巧: -发现 技术: - T0842:网络嗅探 |
不可学习 |
| PLC 操作模式已更改 | 此 PLC 上的操作模式已更改。 新模式可能表示 PLC 不安全。 使 PLC 处于不安全的操作模式可能会允许攻击者对它执行恶意活动,例如程序下载。 如果 PLC 遭到入侵,则与之交互的设备和进程可能会受到影响。 这可能会影响系统的整体安全性和安全性。 | 低 | 配置更改 | 技巧: -执行 -规避 技术: - T0858:更改操作模式 |
不可学习 |
后续步骤
有关详细信息,请参阅: