適用於 IoT 的 Defender 警示參考Microsoft
本文提供 Microsoft 適用於 IoT 的 Defender 網路感測器所產生之警示的參考,包括所有警示類型和描述的清單。 如需可學習狀態的詳細資訊,請參閱警示狀態和分級選項。參考也會顯示哪些警示可以分類為可學習狀態。 您可以使用此參考將 警示對應至劇本、 定義操作技術(OT) 網路感測器或其他自定義活動的轉送規則 。
根據預設,OT 警示已關閉
默認會關閉數個警示,如下表中的星號 \ 指示。 OT 感測器 系統管理員 使用者可以從 特定 OT 網路感測器上的 [支援 ] 頁面啟用或停用警示。
如果您關閉其他地方參考的警示,例如 警示轉送規則,請務必視需要更新這些參考。
警示嚴重性
適用於 IoT 的 Defender 警示會使用下列嚴重性層級:
| Azure 入口網站 | OT 感應器 | 描述 |
|---|---|---|
| 高 | 重大 | 表示應立即處理的惡意攻擊。 |
| 中 | Major | 表示需要解决的重要安全性威脅。 |
| 低 | 次要、 警告 | 指示與基準行為的某些偏差,該偏差可能包含安全性威脅,或不包含安全性威脅。 |
此頁面上的警示嚴重性會列出嚴重性,如 Azure 入口網站 所示。
支援的警示類型
| 警示類型 | 描述 |
|---|---|
| 原則違規警示 | 當原則違規引擎偵測到先前學到的流量偏差時觸發。 例如: - 偵測到新的裝置。 - 在裝置上偵測到新的設定。 - 未定義為程式設計裝置的裝置會執行程式設計變更。 - 韌體版本已變更。 |
| 通訊協定違規警示 | 當通訊協定違規引擎偵測到不符合通訊協定規格的封包結構或域值時觸發。 |
| 運作警示 | 當操作引擎偵測到網路操作事件或裝置故障時觸發。 例如,網路裝置已透過 Stop PLC 命令停止,或感測器上的介面停止監視流量。 |
| 惡意程式碼警示 | 當惡意代碼引擎偵測到惡意網路活動時觸發。 例如,引擎會偵測已知的攻擊,例如 Conficker。 |
| 異常警示 | 異常引擎偵測到偏差時觸發。 例如,裝置正在執行網路掃描,但未定義為掃描裝置。 |
適用於IoT的Defender警示偵測原則會引導不同的警示引擎根據業務影響和網路內容觸發警示,並減少低價值IT相關警示。 如需詳細資訊,請參閱 OT/IT 環境的聚焦警示 (部分機器翻譯)。
支援的警示類別
每個警示都有下列其中一個類別:
- 異常通訊行為
- 異常 HTTP 通訊行為
- 驗證
- Backup
- 帶寬異常
- 緩衝區溢位
- 命令失敗
- 組態變更
- 自訂警示
- 探索
- 韌體變更
- 不合法的命令
- 網際網路存取
- 作業失敗
- 作業問題
- 程式設計
- 遠端存取
- 重新啟動/停止命令
- 掃描
- 感應器流量
- 惡意活動的疑慮
- 可疑惡意代碼
- 未經授權的通訊行為
- 無回應
原則引擎警示
原則引擎警示描述偵測到與學習基準行為的偏差。
| 標題 | 描述 | 嚴重性 | 類別 | MITRE ATT&CK 戰術和技術 |
Learnable |
|---|---|---|---|---|---|
| Beckhoff Software 已變更 | 已在來源裝置上更新韌體。 這可能是授權的活動,例如計劃性維護程式。 | 中 | 韌體變更 | 手段: - 抑制回應函式 -堅持 技術: - T0857:系統韌體 |
Learnable |
| 資料庫登入失敗 | 從來源裝置到目的地伺服器偵測到失敗的登入嘗試。 這可能是人為錯誤的結果,但也可能表示惡意嘗試入侵伺服器或伺服器上的數據。 閾值:5 分鐘內 2 次登入失敗 |
中 | 驗證 | 手段: - 橫向移動 -收集 技術: - T0812:預設認證 - T0811:來自資訊存放庫的數據 |
無法學習 |
| Emerson ROC 韌體版本已變更 | 已在來源裝置上更新韌體。 這可能是授權的活動,例如計劃性維護程式。 | 中 | 韌體變更 | 手段: - 抑制回應函式 -堅持 技術: - T0857:系統韌體 |
Learnable |
| 與因特網通訊之網路內的外部位址 | 定義為網路一部分的來源裝置正在與因特網地址通訊。 來源無權與因特網地址通訊。 | 高 | 網際網路存取 | 手段: - 初始存取 技術: - T0883:可存取因特網的裝置 |
Learnable |
| 未預期地探索到現場裝置 | 在網路上偵測到新的來源裝置,但未獲授權。 | 中 | 探索 | 手段: -發現 技術: - T0842:網路探查 |
無法學習 |
| 偵測到韌體變更 | 已在來源裝置上更新韌體。 這可能是授權的活動,例如計劃性維護程式。 | 中 | 韌體變更 | 手段: - 抑制回應函式 -堅持 技術: - T0857:系統韌體 |
無法學習 |
| 韌體版本已變更 | 已在來源裝置上更新韌體。 這可能是授權的活動,例如計劃性維護程式。 | 中 | 韌體變更 | 手段: - 抑制回應函式 -堅持 技術: - T0857:系統韌體 |
Learnable |
| Foxboro I/A 未經授權作業 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 - T0836:Modify 參數 |
Learnable |
| FTP 登入失敗 | 從來源裝置到目的地伺服器偵測到失敗的登入嘗試。 此警示可能是人為錯誤的結果,但也表示惡意嘗試入侵伺服器或伺服器上的資料。 | 中 | 驗證 | 手段: - 橫向移動 - 命令和控制 技術: - T0812:預設認證 - T0869:標準應用層通訊協定 |
無法學習 |
| 函式程式代碼引發未經授權的例外狀況 * | 來源裝置 (次要) 傳回目的地裝置 (主要) 的例外狀況。 | 中 | 命令失敗 | 手段: - 抑制回應函式 技術: - T0835:操作 I/O 映射 |
Learnable |
| GOOSE 訊息類型設定 | 來源裝置上已變更訊息(由通訊協定標識碼識別)設定。 | 低 | 未經授權的通訊行為 | 手段: - 損害程式控制 技術: - T0836:Modify 參數 |
Learnable |
| Honeywell 韌體版本已變更 | 已在來源裝置上更新韌體。 這可能是授權的活動,例如計劃性維護程式。 | 中 | 韌體變更 | 手段: - 抑制回應函式 -堅持 技術: - T0857:系統韌體 |
Learnable |
| 不合法的 HTTP 通訊 * | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 異常 HTTP 通訊行為 | 手段: -發現 技術: - T0846:遠端系統探索 |
Learnable |
| 偵測到因特網存取 | 定義為網路一部分的來源裝置正在與因特網地址通訊。 來源無權與因特網地址通訊。 | 中 | 網際網路存取 | 手段: - 初始存取 技術: - T0883:可存取因特網的裝置 |
Learnable |
| 三菱韌體版本已變更 | 已在來源裝置上更新韌體。 這可能是授權的活動,例如計劃性維護程式。 | 中 | 韌體變更 | 手段: - 抑制回應函式 -堅持 技術: - T0857:系統韌體 |
Learnable |
| Modbus 位址範圍違規 | 主要裝置要求存取新的次要記憶體位址。 | 中 | 未經授權的通訊行為 | 手段: -發現 技術: - T0842:網路探查 |
Learnable |
| Modbus 韌體版本已變更 | 已在來源裝置上更新韌體。 這可能是授權的活動,例如計劃性維護程式。 | 中 | 韌體變更 | 手段: - 抑制回應函式 -堅持 技術: - T0857:系統韌體 |
Learnable |
| 偵測到新活動 - CIP 類別 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: -發現 技術: - T0888:遠端 系統資訊 探索 |
Learnable |
| 偵測到新活動 - CIP 類別服務 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 抑制回應函式 技術: - T0836:Modify 參數 |
Learnable |
| 偵測到新活動 - CIP PCCC 命令 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 抑制回應函式 技術: - T0836:Modify 參數 |
Learnable |
| 偵測到新活動 - CIP 符號 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 - 抑制回應函式 技術: - T0855:未經授權的命令訊息 - T0836:Modify 參數 |
Learnable |
| 偵測到新活動 - 乙太網路/IP I/O 連線 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: -發現 - 抑制回應函式 技術: - T0846:遠端系統探索 - T0835:操作 I/O 映射 |
Learnable |
| 偵測到新活動 - 乙太網路/IP 通訊協定命令 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 抑制回應函式 技術: - T0836:Modify 參數 |
Learnable |
| 偵測到新活動 - GSM 訊息碼 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - CommandAndControl 技術: - T0869:標準應用層通訊協定 |
Learnable |
| 偵測到新活動 - LonTalk 命令代碼 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: -收集 - 損害程式控制 技術: - T0861 - 點和標記識別 - T0855:未經授權的命令訊息 |
Learnable |
| 新增埠探索 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 低 | 探索 | 手段: - 橫向移動 技術: - T0867:橫向工具傳輸 |
Learnable |
| 偵測到新活動 - LonTalk 網路變數 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 |
Learnable |
| 偵測到新的活動 - Ovation 數據要求 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: -收集 -發現 技術: - T0801:監視進程狀態 - T0888:遠端 系統資訊 探索 |
Learnable |
| 偵測到的新活動 - 讀取/寫入命令 (AMS 索引群組) | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 設定變更 | 手段: - 損害程式控制 - 抑制回應函式 技術: - T0855:未經授權的命令訊息 - T0836:Modify 參數 |
Learnable |
| 偵測到新的活動 - 讀取/寫入命令 (AMS 索引位移) | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 設定變更 | 手段: - 損害程式控制 - 抑制回應函式 技術: - T0855:未經授權的命令訊息 - T0836:Modify 參數 |
Learnable |
| 偵測到新活動 - 未經授權的 DeltaV 訊息類型 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 -執行 技術: - T0855:未經授權的命令訊息 - T0821:修改控制器工作 |
Learnable |
| 偵測到新活動 - 未經授權的 DeltaV ROC 作業 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 -執行 技術: - T0855:未經授權的命令訊息 - T0821:修改控制器工作 |
Learnable |
| 偵測到新活動 - 未經授權的 RPC 訊息類型 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 |
Learnable |
| 偵測到新活動 - 使用AMS通訊協定命令 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 - 抑制回應函式 -執行 技術: - T0855:未經授權的命令訊息 - T0836:Modify 參數 - T0821:修改控制器工作 |
Learnable |
| 偵測到新活動 - 使用西門子 SICAM 命令 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 - 抑制回應函式 技術: - T0855:未經授權的命令訊息 - T0836:Modify 參數 |
Learnable |
| 偵測到新的活動 - 使用 Suitelink 通訊協定命令 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 - 抑制回應函式 技術: - T0855:未經授權的命令訊息 - T0836:Modify 參數 |
Learnable |
| 偵測到新的活動 - 使用 Suitelink 通訊協定會話 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 技術: - T0836:Modify 參數 |
Learnable |
| 偵測到新活動 - 使用橫川 VNetIP 命令 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 -執行 技術: - T0855:未經授權的命令訊息 - T0821:修改控制器工作 |
Learnable |
| 偵測到新資產 | 在網路上偵測到新的來源裝置,但未獲授權。 此警示適用於在 OT 子網中探索到的裝置。 在IT子網中探索到的新裝置不會觸發警示。 |
中 | 探索 | 手段: -發現 技術: - T0842:網路探查 |
Learnable |
| 新的 LLDP 裝置設定 | 在網路上偵測到新的來源裝置,但未獲授權。 | 中 | 設定變更 | 手段: -發現 技術: - T0842:網路探查 |
Learnable |
| Finon FINS 未經授權命令 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 - T0836:Modify 參數 |
Learnable |
| S7 Plus PLC 韌體已變更 | 已在來源裝置上更新韌體。 這可能是授權的活動,例如計劃性維護程式。 | 中 | 韌體變更 | 手段: - 抑制回應函式 -堅持 技術: - T0857:系統韌體 |
Learnable |
| 取樣值訊息類型設定 | 來源裝置上已變更訊息(由通訊協定標識碼識別)設定。 | 低 | 未經授權的通訊行為 | 手段: - 損害程式控制 技術: - T0836:Modify 參數 |
無法學習 |
| 涉嫌非法完整性掃描 * | DNP3 來源裝置(外站)上偵測到掃描。 此掃描未獲授權,因為網路上已學到的流量。 | 中 | 掃描 | 手段: -發現 技術: - T0842:網路探查 |
Learnable |
| Toshiba 電腦連結未經授權命令 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 低 | 未經授權的通訊行為 | 手段: - 損害程式控制 -執行 技術: - T0855:未經授權的命令訊息 - T0821:修改控制器工作 |
Learnable |
| 未經授權的 ABB Totalflow 檔案作業 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 -執行 技術: - T0855:未經授權的命令訊息 - T0821:修改控制器工作 |
無法學習 |
| 未經授權的 ABB Totalflow 快取器作業 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 -執行 技術: - T0855:未經授權的命令訊息 - T0821:修改控制器工作 |
無法學習 |
| 未經授權存取西門子 S7 數據區塊 | 來源裝置嘗試存取另一個裝置上的資源。 這兩個裝置之間的存取嘗試未獲授權,因為網路上已學到的流量。 | 低 | 未經授權的通訊行為 | 手段: - 損害程式控制 - 初始存取 技術: - T0855:未經授權的命令訊息 - T0811:來自資訊存放庫的數據 |
Learnable |
| 未經授權存取西門子 S7 Plus 物件 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 -執行 - 抑制回應函式 技術: - T0855:未經授權的命令訊息 - T0821:修改控制器工作 - T0809:數據解構 |
Learnable |
| 未經授權存取 Wonderware 標籤 | 來源裝置嘗試存取另一個裝置上的資源。 這兩個裝置之間的存取嘗試未獲授權,因為網路上已學到的流量。 | 中 | 未經授權的通訊行為 | 手段: -收集 - 損害程式控制 技術: - T0861:點和標記識別 - T0855:未經授權的命令訊息 |
Learnable |
| 未經授權的 BACNet 物件存取 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 -執行 技術: - T0855:未經授權的命令訊息 - T0821:修改控制器工作 |
Learnable |
| 未經授權的 BACNet 路由 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 -執行 技術: - T0855:未經授權的命令訊息 - T0821:修改控制器工作 |
Learnable |
| 未經授權的資料庫登入 * | 偵測到來源用戶端與目的地伺服器之間的登入嘗試。 這些裝置之間的通訊未獲授權,因為網路上已學到的流量。 | 中 | 驗證 | 手段: - 橫向移動 -堅持 -收集 技術: - T0859:有效的帳戶 - T0811:來自資訊存放庫的數據 |
Learnable |
| 未經授權的資料庫作業 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 異常通訊行為 | 手段: - 損害程式控制 - 初始存取 技術: - T0855:未經授權的命令訊息 - T0811:來自資訊存放庫的數據 |
Learnable |
| 未經授權的艾默生ROC作業 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 -執行 技術: - T0855:未經授權的命令訊息 - T0821:修改控制器工作 |
Learnable |
| 未經授權的 GE SRTP 檔案存取 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: -收集 - LateralMovement -堅持 技術: - T0801:監視進程狀態 - T0859:有效的帳戶 |
Learnable |
| 未經授權的 GE SRTP 通訊協定命令 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 - T0821:修改控制器工作 |
Learnable |
| 未經授權的 GE SRTP 系統記憶體作業 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: -發現 - 損害程式控制 技術: - T0846:遠端系統探索 - T0855:未經授權的命令訊息 |
Learnable |
| 未經授權的 HTTP 活動 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 異常 HTTP 通訊行為 | 手段: - 初始存取 - 命令和控制 技術: - T0822:外部遠端服務 - T0869:標準應用層通訊協定 |
Learnable |
| 未經授權的 HTTP SOAP 動作 * | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 異常 HTTP 通訊行為 | 手段: - 命令和控制 -執行 技術: - T0869:標準應用層通訊協定 - T0871:透過 API 執行 |
Learnable |
| 未經授權的 HTTP 使用者代理程式 * | 在來源裝置上偵測到未經授權的應用程式。 應用程式未獲授權為網路上已學習的應用程式。 | 中 | 異常 HTTP 通訊行為 | 手段: - 命令和控制 技術: - T0869:標準應用層通訊協定 |
Learnable |
| 偵測到未經授權的因特網連線 | 定義為網路一部分的來源裝置正在與因特網地址通訊。 來源無權與因特網地址通訊。 | 高 | 網際網路存取 | 手段: - 初始存取 技術: - T0883:可存取因特網的裝置 |
Learnable |
| 未經授權的三菱 MELSEC 命令 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 -執行 技術: - T0855:未經授權的命令訊息 - T0821:修改控制器工作 |
Learnable |
| 未經授權的多媒體簡訊計劃存取 | 來源裝置嘗試存取另一個裝置上的資源。 這兩個裝置之間的存取嘗試未獲授權,因為網路上已學到的流量。 | 中 | 程式設計 | 手段: - 損害程式控制 -執行 技術: - T0855:未經授權的命令訊息 - T0821:修改控制器工作 |
Learnable |
| 未經授權的多媒體簡訊服務 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 -執行 技術: - T0855:未經授權的命令訊息 - T0821:修改控制器工作 |
Learnable |
| 未經授權的多播/廣播連線 | 在來源裝置與其他裝置之間偵測到多播/廣播連線。 多播/廣播通訊未獲授權。 | 高 | 異常通訊行為 | 手段: -發現 技術: - T0842:網路探查 |
Learnable |
| 未經授權的名稱查詢 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 異常通訊行為 | 手段: - 損害程式控制 技術: - T0836:Modify 參數 |
無法學習 |
| 未經授權的 OPC UA 活動 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 技術: - T0836:Modify 參數 |
Learnable |
| 未經授權的 OPC UA 要求/回應 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 技術: - T0836:Modify 參數 |
Learnable |
| 使用者定義規則偵測到未經授權的作業 | 在兩個裝置之間偵測到流量。 根據使用者所定義的自定義警示規則,此活動未經授權。 | 中 | 自訂警示 | 手段: -發現 技術: - T0842:網路探查 |
無法學習 |
| 未經授權的 PLC 設定讀取 | 來源裝置未定義為程式設計裝置,但在目的地控制器上執行讀取/寫入作業。 程式設計變更只能由程式設計裝置執行。 此裝置上可能已安裝程式設計應用程式。 | 低 | 設定變更 | 手段: -收集 技術: - T0801:監視進程狀態 |
Learnable |
| 未經授權的 PLC 組態寫入 | 來源裝置傳送命令以讀取/寫入目的地控制器的程式。 先前未看到此活動。 | 中 | 設定變更 | 手段: - 損害程式控制 -堅持 -衝擊 技術: - T0839:模組韌體 - T0831:控制操作 - T0889:修改程式 |
Learnable |
| 未經授權的PLC計劃上傳 | 來源裝置傳送命令以讀取/寫入目的地控制器的程式。 先前未看到此活動。 | 中 | 程式設計 | 手段: - 損害程式控制 -堅持 -收集 技術: - T0839:模組韌體 - T0845:程序上傳 |
Learnable |
| 未經授權的PLC程序設計 | 來源裝置未定義為程式設計裝置,但在目的地控制器上執行讀取/寫入作業。 程式設計變更只能由程式設計裝置執行。 此裝置上可能已安裝程式設計應用程式。 | 高 | 程式設計 | 手段: - 損害程式控制 -堅持 - 橫向移動 技術: - T0839:模組韌體 - T0889:修改程式 - T0843:程序下載 |
Learnable |
| 未經授權的 Profinet 框架類型 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 技術: - T0836:Modify 參數 |
Learnable |
| 未經授權的SAIA S-Bus 命令 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 |
Learnable |
| 未經授權的西門子 S7 執行控制功能 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 - 抑制回應函式 技術: - T0855:未經授權的命令訊息 - T0809:數據解構 |
Learnable |
| 未經授權的西門子 S7 執行使用者定義函數 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 -執行 技術: - T0836:Modify 參數 - T0863:用戶執行 |
Learnable |
| 未經授權的西門子 S7 加封鎖存取 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 抑制回應函式 -堅持 -執行 技術: - T0803 - 封鎖命令訊息 - T0889:修改程式 - T0821:修改控制器工作 |
Learnable |
| 未經授權的西門子 S7 加號操作 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 -執行 技術: - T0855:未經授權的命令訊息 - T0863:用戶執行 |
Learnable |
| 未經授權的SMB登入 | 偵測到來源用戶端與目的地伺服器之間的登入嘗試。 這些裝置之間的通訊未獲授權,因為網路上已學到的流量。 | 中 | 驗證 | 手段: - 初始存取 - 橫向移動 -堅持 技術: - T0886:遠端服務 - T0859:有效的帳戶 |
Learnable |
| 未經授權的SNMP作業 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 異常通訊行為 | 手段: -發現 - 命令和控制 技術: - T0842:網路探查 - T0885:常用的埠 |
Learnable |
| 未經授權的 SSH 存取 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 遠端存取 | 手段: - InitialAccess - 橫向移動 - 命令和控制 技術: - T0886:遠端服務 - T0869:標準應用層通訊協定 |
Learnable |
| 未經授權的 Windows 程式 | 在來源裝置上偵測到未經授權的應用程式。 應用程式未獲授權為網路上已學習的應用程式。 | 中 | 異常通訊行為 | 手段: -執行 - 許可權提升 - 命令和控制 技術: - T0841:勾點 - T0885:常用的埠 |
Learnable |
| 未經授權的 Windows 服務 | 在來源裝置上偵測到未經授權的應用程式。 應用程式未獲授權為網路上已學習的應用程式。 | 中 | 異常通訊行為 | 手段: - 初始存取 - 橫向移動 技術: - T0866:遠端服務惡意探索 |
Learnable |
| 使用者定義規則偵測到未經授權的作業 | 偵測到新的流量參數。 此參數組合違反使用者定義規則 | 中 | 手段: -發現 技術: - T0842:網路探查 |
無法學習 | |
| 未省略的Modbus Schneider電動延伸模組 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 |
Learnable |
| 未省略 ASDU 類型的使用方式 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 |
Learnable |
| 未省略 DNP3 函式程式碼的使用方式 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 技術: - T0836:Modify 參數 |
Learnable |
| 未省略的內部指示使用方式 (IIN) * | DNP3 來源裝置 (Outstation) 報告了內部指示 (IIN),該指示尚未獲得您網路上學習的流量授權。 | 中 | 不合法的命令 | 手段: -發現 技術: - T0842:網路探查 |
Learnable |
| Modbus 函式程式代碼未省略的使用方式 | 偵測到新的流量參數。 此參數組合未獲授權,因為網路上已學到的流量。 下列組合未獲授權。 | 中 | 未經授權的通訊行為 | 手段: - 損害程式控制 技術: - T0836:Modify 參數 |
Learnable |
異常引擎警示
注意
本文包含「從屬」一詞的參考,Microsoft 已不再使用該字詞。 從軟體中移除該字詞時,我們也會將其從本文中移除。
異常引擎警示描述網路活動中偵測到的異常狀況。
| 標題 | 描述 | 嚴重性 | 類別 | MITRE ATT&CK 戰術和技術 |
Learnable |
|---|---|---|---|---|---|
| 從屬中的異常例外狀況模式 * | 在來源裝置上偵測到過多的錯誤。 此警示可能是作業問題的結果。 閾值:1 小時內 20 個例外狀況 |
低 | 異常通訊行為 | 手段: - 損害程式控制 技術: - T0806:暴力密碼破解 I/O |
無法學習 |
| 異常 HTTP 標頭長度 * | 來源裝置傳送異常訊息。 此警示可能表示嘗試攻擊目的地裝置。 | 高 | 異常 HTTP 通訊行為 | 手段: - 初始存取 - 橫向移動 - 命令和控制 技術: - T0866:遠端服務惡意探索 - T0869:標準應用層通訊協定 |
Learnable |
| HTTP 標頭中的異常參數數目 * | 來源裝置傳送異常訊息。 此警示可能表示嘗試攻擊目的地裝置。 | 高 | 異常 HTTP 通訊行為 | 手段: - 初始存取 - 橫向移動 - 命令和控制 技術: - T0866:遠端服務惡意探索 - T0869:標準應用層通訊協定 |
Learnable |
| 通道中的異常定期行為 | 偵測到來源和目的地裝置之間的通訊頻率變更。 | 低 | 異常通訊行為 | 手段: -發現 技術: - T0842:網路探查 |
Learnable |
| 應用程式異常終止 * | 在來源裝置上偵測到過多的停止命令。 此警示可能是作業問題或嘗試操作裝置的結果。 閾值:3 小時內 20 個停止命令 |
中 | 異常通訊行為 | 手段: -堅持 -衝擊 技術: - T0889:修改程式 - T0831:控制操作 |
Learnable |
| 異常流量頻寬 * | 通道上偵測到異常頻寬。 帶寬似乎比先前偵測到的要低/更高。 如需詳細資訊,請使用 [總带寬] 小工具。 | 低 | 帶寬異常 | 手段: -發現 技術: - T0842:網路探查 |
Learnable |
| 裝置之間的異常流量頻寬 * | 通道上偵測到異常頻寬。 帶寬似乎比先前偵測到的要低/更高。 如需詳細資訊,請使用 [總带寬] 小工具。 | 低 | 帶寬異常 | 手段: -發現 技術: - T0842:網路探查 |
無法學習 |
| 偵測到地址掃描 | 偵測到來源裝置正在掃描網路裝置。 此裝置未獲授權為網路掃描裝置。 閾值:2 分鐘內 50 個與相同 B 類別子網的連線 |
高 | 掃描 | 手段: -發現 技術: - T0842:網路探查 |
Learnable |
| 偵測到 ARP 位址掃描 * | 偵測到來源裝置使用位址解析通訊協定 (ARP) 掃描網路裝置。 此裝置位址未獲授權為有效的 ARP 掃描位址。 閾值:6 分鐘內 40 次掃描 |
高 | 掃描 | 手段: -發現 -收集 技術: - T0842:網路探查 - T0830:中間人 |
Learnable |
| ARP 詐騙 * | 在網路中偵測到異常數量的封包。 此警示可能表示攻擊,例如ARP詐騙或ICMP洪水攻擊。 閾值:1 分鐘內 60 個封包 |
低 | 異常通訊行為 | 手段: -收集 技術: - T0830:中間人 |
無法學習 |
| 過度登入嘗試 | 看到來源裝置對目的地伺服器執行過多的登入嘗試。 此警示可能表示暴力密碼破解攻擊。 伺服器可能會遭到惡意動作項目入侵。 閾值:1 分鐘內 20 次登入嘗試 |
高 | 驗證 | 手段: - LateralMovement - 損害程式控制 技術: - T0812:預設認證 - T0806:暴力密碼破解 I/O |
無法學習 |
| 會話數目過多 | 看到來源裝置對目的地伺服器執行過多的登入嘗試。 這可能表示暴力密碼破解攻擊。 伺服器可能會遭到惡意動作項目入侵。 閾值:1 分鐘內 50 個會話 |
高 | 異常通訊行為 | 手段: - 橫向移動 - 損害程式控制 技術: - T0812:預設認證 - T0806:暴力密碼破解 I/O |
無法學習 |
| 超額的外站重新啟動速率 * | 在來源裝置上偵測到過多的重新啟動命令。 這些警示可能是作業問題或嘗試操作裝置的結果。 閾值:1 小時內 10 次重新啟動 |
中 | 重新啟動/停止命令 | 手段: - 抑制回應函式 - 損害程式控制 技術: - T0814:拒絕服務 - T0806:暴力密碼破解 I/O |
無法學習 |
| 過度的SMB登入嘗試 | 看到來源裝置對目的地伺服器執行過多的登入嘗試。 這可能表示暴力密碼破解攻擊。 伺服器可能會遭到惡意動作項目入侵。 閾值:10 分鐘內 10 次登入嘗試 |
高 | 驗證 | 手段: -堅持 -執行 - LateralMovement 技術: - T0812:預設認證 - T0853:腳本 - T0859:有效的帳戶 |
無法學習 |
| ICMP 洪水 * | 在網路中偵測到異常數量的封包。 此警示可能表示攻擊,例如ARP詐騙或ICMP洪水攻擊。 閾值:1 分鐘內 60 個封包 |
低 | 異常通訊行為 | 手段: -發現 -收集 技術: - T0842:網路探查 - T0830:中間人 |
無法學習 |
| 不合法的 HTTP 標頭內容 * | 來源裝置起始了無效的要求。 | 高 | 異常 HTTP 通訊行為 | 手段: - 初始存取 - LateralMovement 技術: - T0866:遠端服務惡意探索 |
無法學習 |
| 非使用中的通道 * | 在通常觀察到活動期間,兩個裝置之間的通道處於非作用中狀態。 這可能表示產生此流量的程式已變更,或程式可能無法使用。 建議您檢閱已安裝程序的設定,並確認其已正確設定。 閾值:1 分鐘 |
低 | 無回應 | 手段: - 抑制回應函式 技術: - T0881:服務停止 |
不可看 |
| 偵測到長時間的地址掃描 * | 偵測到來源裝置正在掃描網路裝置。 此裝置未獲授權為網路掃描裝置。 閾值:10 分鐘內 50 個連線到相同的 B 類別子網 |
高 | 掃描 | 手段: -發現 技術: - T0842:網路探查 |
Learnable |
| 偵測到密碼猜測嘗試 | 看到來源裝置對目的地伺服器執行過多的登入嘗試。 這可能表示暴力密碼破解攻擊。 伺服器可能會遭到惡意動作項目入侵。 閾值:1 分鐘內 100 次嘗試 |
高 | 驗證 | 手段: - 橫向移動 技術: - T0812:預設認證 - T0806:暴力密碼破解 I/O |
無法學習 |
| 偵測到的 PLC 掃描 | 偵測到來源裝置正在掃描網路裝置。 此裝置未獲授權為網路掃描裝置。 閾值:2 分鐘內 10 次掃描 |
高 | 掃描 | 手段: -發現 技術: - T0842:網路探查 |
Learnable |
| 偵測到埠掃描 | 偵測到來源裝置正在掃描網路裝置。 此裝置未獲授權為網路掃描裝置。 閾值:2 分鐘內 25 次掃描 |
高 | 掃描 | 手段: -發現 技術: - T0842:網路探查 |
Learnable |
| 未預期的訊息長度 | 來源裝置傳送異常訊息。 此警示可能表示嘗試攻擊目的地裝置。 閾值:文字長度 - 32768 |
高 | 異常通訊行為 | 手段: - InitialAccess - LateralMovement 技術: - T0869:遠端服務惡意探索 |
無法學習 |
| 標準埠的非預期流量 * | 使用保留給另一個通訊協定的埠,在裝置上偵測到流量。 | 中 | 異常通訊行為 | 手段: - 命令和控制 -發現 技術: - T0869:標準應用層通訊協定 - T0842:網路探查 |
無法學習 |
通訊協定違規引擎警示
通訊協定引擎警示描述與通訊協議規格相比,在封包結構或域值中偵測到的偏差。
| 標題 | 描述 | 嚴重性 | 類別 | MITRE ATT&CK 戰術和技術 |
Learnable |
|---|---|---|---|---|---|
| 單一會話中格式過多的封包 * | 從來源裝置傳送到目的地裝置的異常格式封包數目異常。 此警示可能表示錯誤的通訊,或嘗試操作目標裝置。 閾值:10 分鐘內 2 個格式不正確的封包 |
中 | 不合法的命令 | 手段: - 損害程式控制 技術: - T0806:暴力密碼破解 I/O |
無法學習 |
| 韌體更新 | 來源裝置傳送命令來更新目的地裝置上的韌體。 確認最近對目的地裝置進行的程式設計、組態和韌體升級是否有效。 | 低 | 韌體變更 | 手段: - 抑制回應函式 -堅持 技術: - T0857:系統韌體 |
Learnable |
| Outstation 不支援函式程序代碼 | 目的地裝置收到無效的要求。 | 中 | 不合法的命令 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 |
無法學習 |
| 不合法的 BACNet 訊息 | 來源裝置起始了無效的要求。 | 中 | 不合法的命令 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 - T0836:Modify 參數 |
無法學習 |
| 埠 0 上的非法連線嘗試 | 來源裝置嘗試連線到埠號碼為零 (0) 的目的地裝置。 針對 TCP,埠 0 已保留且無法使用。 針對UDP,埠是選擇性的,值為0表示沒有埠。 系統上通常沒有接聽埠0的服務。 此事件可能表示嘗試攻擊目的地裝置,或表示應用程式未正確進行程序設計。 | 低 | 不合法的命令 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 - T0836:Modify 參數 |
無法學習 |
| 非法 DNP3 作業 | 來源裝置起始了無效的要求。 | 中 | 不合法的命令 | 手段: - 初始存取 - 橫向移動 技術: - T0866:遠端服務惡意探索 |
無法學習 |
| 非法MODBUS作業 (Master 引發的例外狀況) | 來源裝置起始了無效的要求。 | 中 | 不合法的命令 | 手段: - 初始存取 - 橫向移動 技術: - T0866:遠端服務惡意探索 |
無法學習 |
| 非法 MODBUS 作業 (函式代碼零) * | 來源裝置起始了無效的要求。 | 中 | 不合法的命令 | 手段: - 初始存取 - 橫向移動 技術: - T0866:遠端服務惡意探索 |
無法學習 |
| 不合法的通訊協定版本 * | 來源裝置起始了無效的要求。 | 中 | 不合法的命令 | 手段: - 初始存取 - LateralMovement - 損害程式控制 技術: - T0820:遠端服務 - T0836:Modify 參數 |
無法學習 |
| 傳送到輸出站的參數不正確 | 目的地裝置收到無效的要求。 | 中 | 不合法的命令 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 - T0836:Modify 參數 |
無法學習 |
| 初始化過時的函式程式代碼 (初始化資料) | 來源裝置起始了無效的要求。 | 低 | 不合法的命令 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 |
無法學習 |
| 初始化過時的函式程式代碼 (儲存組態) | 來源裝置起始了無效的要求。 | 低 | 不合法的命令 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 |
無法學習 |
| 主要要求應用層確認 | 來源裝置起始了無效的要求。 | 低 | 不合法的命令 | 手段: - 命令和控制 技術: - T0869:標準應用層通訊協定 |
無法學習 |
| Modbus 例外狀況 | 來源裝置 (次要) 傳回目的地裝置 (主要) 的例外狀況。 | 中 | 不合法的命令 | 手段: - 抑制回應函式 技術: - T0814:拒絕服務 |
無法學習 |
| 從屬裝置收到非法 ASDU 類型 | 目的地裝置收到無效的要求。 | 中 | 不合法的命令 | 手段: - 損害程式控制 技術: - T0836:Modify 參數 |
無法學習 |
| 從屬裝置收到非法命令傳輸原因 | 目的地裝置收到無效的要求。 | 中 | 不合法的命令 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 - T0836:Modify 參數 |
無法學習 |
| 從屬裝置收到不合法的常見位址 | 目的地裝置收到無效的要求。 | 中 | 不合法的命令 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 - T0836:Modify 參數 |
無法學習 |
| 從屬裝置收到非法數據地址參數 * | 目的地裝置收到無效的要求。 | 中 | 不合法的命令 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 - T0836:Modify 參數 |
無法學習 |
| 從屬裝置收到不合法的數據值參數 * | 目的地裝置收到無效的要求。 | 中 | 不合法的命令 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 - T0836:Modify 參數 |
無法學習 |
| 從屬裝置收到不合法的函式程序代碼 * | 目的地裝置收到無效的要求。 | 中 | 不合法的命令 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 - T0836:Modify 參數 |
無法學習 |
| 從屬裝置收到非法信息物件位址 | 目的地裝置收到無效的要求。 | 中 | 不合法的命令 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 - T0836:Modify 參數 |
無法學習 |
| 傳送至輸出站的未知物件 | 目的地裝置收到無效的要求。 | 中 | 不合法的命令 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 |
無法學習 |
| 保留函式程式碼的使用方式 | 來源裝置起始了無效的要求。 | 中 | 不合法的命令 | 手段: - 損害程式控制 技術: - T0836:Modify 參數 |
無法學習 |
| 依外站使用格式不正確 * | 來源裝置起始了無效的要求。 | 低 | 不合法的命令 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 |
無法學習 |
| 保留狀態旗標的使用方式 (IIN) | DNP3 來源裝置 (Outstation) 使用保留的內部指示器 2.6。 建議您檢查裝置的設定。 | 低 | 不合法的命令 | 手段: - 損害程式控制 技術: - T0836:Modify 參數 |
無法學習 |
惡意程式碼引擎警示 (部分機器翻譯)
惡意代碼引擎警示描述偵測到的惡意網路活動。
| 標題 | 描述 | 嚴重性 | 類別 | MITRE ATT&CK 戰術和技術 |
Learnable |
|---|---|---|---|---|---|
| 嘗試連線至已知的惡意 IP | 偵測到可疑的網路活動。 此活動可能與攻擊利用已知惡意代碼所使用的方法相關聯。 由 OT 和企業 IoT 網路感測器觸發。 |
高 | 可疑惡意活動 | 手段: - 初始存取 - 命令和控制 技術: - T0883:可存取因特網的裝置 - T0884:連線 Proxy |
無法學習 |
| 無效的 SMB 訊息 (DoublePulsar 後門植入物) | 偵測到可疑的網路活動。 此活動可能與攻擊利用已知惡意代碼所使用的方法相關聯。 | 高 | 可疑惡意代碼 | 手段: - 初始存取 - LateralMovement 技術: - T0866:遠端服務惡意探索 |
無法學習 |
| 惡意網域名稱要求 | 偵測到可疑的網路活動。 此活動可能與攻擊利用已知惡意代碼所使用的方法相關聯。 由 OT 和企業 IoT 網路感測器觸發。 |
高 | 可疑惡意活動 | 手段: - 初始存取 - 命令和控制 技術: - T0883:可存取因特網的裝置 - T0884:連線 Proxy |
Learnable |
| 惡意 URL 路徑 | 已對已知的惡意 URL 路徑提出要求。 針對此 URL 路徑提出的要求可能表示發出要求的來源遭到入侵。 | 高 | 可疑惡意活動 | 手段: - 初始存取 - 命令和控制 技術: - T0883:可存取因特網的裝置 - T0884:連線 Proxy |
無法學習 |
| 偵測到惡意代碼測試檔案 - EICAR AV 成功 | 在兩個裝置之間的流量中偵測到 EICAR AV 測試檔案(透過任何傳輸 - TCP 或 UDP)。 檔案不是惡意代碼。 它用來確認已正確安裝防病毒軟體。 示範找到病毒時會發生什麼情況,並在找到病毒時檢查內部程序和反應。 防病毒軟體應該會偵測 EICAR,就好像是真正的病毒一樣。 | 高 | 可疑惡意活動 | 手段: -發現 技術: - T0842:網路探查 |
無法學習 |
| 懷疑 Conficker 惡意代碼 | 偵測到可疑的網路活動。 此活動可能與攻擊利用已知惡意代碼所使用的方法相關聯。 | 中 | 可疑惡意代碼 | 手段: - 初始存取 -衝擊 技術: - T0826:可用性遺失 - T0828:生產力和收入損失 - T0847:透過卸除式媒體複寫 |
無法學習 |
| 涉嫌阻斷服務攻擊 | 來源裝置嘗試起始與目的地裝置的大量新連線。 這可能表示對目的地裝置的阻斷服務 (DOS) 攻擊,並可能會中斷裝置功能、影響效能和服務可用性,或造成無法復原的錯誤。 閾值:1 分鐘內 3000 次嘗試 |
高 | 可疑惡意活動 | 手段: - 抑制回應函式 技術: - T0814:拒絕服務 |
Learnable |
| 可疑惡意活動 | 偵測到可疑的網路活動。 此活動可能與觸發已知「入侵指標」(IOC)的攻擊相關聯。 安全性小組應該檢閱警示元數據。 | 高 | 可疑惡意活動 | 手段: - 橫向移動 技術: - T0867:橫向工具傳輸 |
無法學習 |
| 懷疑惡意活動 (BlackEnergy) | 偵測到可疑的網路活動。 此活動可能與攻擊利用已知惡意代碼所使用的方法相關聯。 | 高 | 可疑惡意代碼 | 手段: - 命令和控制 技術: - T0869:標準應用層通訊協定 |
無法學習 |
| 懷疑惡意活動 (DarkComet) | 偵測到可疑的網路活動。 此活動可能與攻擊利用已知惡意代碼所使用的方法相關聯。 | 高 | 可疑惡意代碼 | 手段: -衝擊 技術: - T0882:竊取操作資訊 |
無法學習 |
| 涉嫌惡意活動(杜曲) | 偵測到可疑的網路活動。 此活動可能與攻擊利用已知惡意代碼所使用的方法相關聯。 | 高 | 可疑惡意代碼 | 手段: -衝擊 技術: - T0882:竊取操作資訊 |
無法學習 |
| 涉嫌惡意活動(火焰) | 偵測到可疑的網路活動。 此活動可能與攻擊利用已知惡意代碼所使用的方法相關聯。 | 高 | 可疑惡意代碼 | 手段: -收集 -衝擊 技術: - T0882:竊取操作資訊 - T0811:來自資訊存放庫的數據 |
無法學習 |
| 懷疑惡意活動(Havex) | 偵測到可疑的網路活動。 此活動可能與攻擊利用已知惡意代碼所使用的方法相關聯。 | 高 | 可疑惡意代碼 | 手段: -收集 -發現 - 抑制回應函式 技術: - T0861:點和標記識別 - T0846:遠端系統探索 - T0814:拒絕服務 |
無法學習 |
| 涉嫌惡意活動(卡拉加尼) | 偵測到可疑的網路活動。 此活動可能與攻擊利用已知惡意代碼所使用的方法相關聯。 | 高 | 可疑惡意代碼 | 手段: -衝擊 技術: - T0882:竊取操作資訊 |
無法學習 |
| 懷疑惡意活動(燈出) | 偵測到可疑的網路活動。 此活動可能與攻擊利用已知惡意代碼所使用的方法相關聯。 | 高 | 可疑惡意代碼 | 手段: -規避 技術: - T0849: 偽裝 |
無法學習 |
| 可疑惡意活動(名稱查詢) | 偵測到可疑的網路活動。 此活動可能與攻擊利用已知惡意代碼所使用的方法相關聯。 閾值:1 分鐘內 25 個名稱查詢 |
高 | 可疑惡意活動 | 手段: - 命令和控制 技術: - T0884:連線 Proxy |
無法學習 |
| 涉嫌惡意活動(毒常春藤) | 偵測到可疑的網路活動。 此活動可能與攻擊利用已知惡意代碼所使用的方法相關聯。 | 高 | 可疑惡意代碼 | 手段: - 初始存取 - 橫向移動 技術: - T0866:遠端服務惡意探索 |
無法學習 |
| 懷疑惡意活動(雷金) | 偵測到可疑的網路活動。 此活動可能與攻擊利用已知惡意代碼所使用的方法相關聯。 | 高 | 可疑惡意代碼 | 手段: - 初始存取 - 橫向移動 -衝擊 技術: - T0866:遠端服務惡意探索 - T0882:竊取操作資訊 |
無法學習 |
| 涉嫌惡意活動(Stuxnet) | 偵測到可疑的網路活動。 此活動可能與攻擊利用已知惡意代碼所使用的方法相關聯。 | 高 | 可疑惡意代碼 | 手段: - 初始存取 - 橫向移動 -衝擊 技術: - T0818:工程工作站入侵 - T0866:遠端服務惡意探索 - T0831:控制操作 |
無法學習 |
| 涉嫌惡意活動(WannaCry) * | 偵測到可疑的網路活動。 此活動可能與攻擊利用已知惡意代碼所使用的方法相關聯。 | 中 | 可疑惡意代碼 | 手段: - 初始存取 - 橫向移動 技術: - T0866:遠端服務惡意探索 - T0867:橫向工具傳輸 |
無法學習 |
| 懷疑 NotPetya 惡意代碼 - 偵測到非法 SMB 參數 | 偵測到可疑的網路活動。 此活動可能與攻擊利用已知惡意代碼所使用的方法相關聯。 | 高 | 可疑惡意代碼 | 手段: - 初始存取 - 橫向移動 技術: - T0866:遠端服務惡意探索 |
無法學習 |
| 懷疑 NotPetya 惡意代碼 - 偵測到非法 SMB 交易 | 偵測到可疑的網路活動。 此活動可能與攻擊利用已知惡意代碼所使用的方法相關聯。 | 高 | 可疑惡意代碼 | 手段: - 橫向移動 技術: - T0867:橫向工具傳輸 |
無法學習 |
| 懷疑使用 PsExec 執行遠端程式代碼 | 偵測到可疑的網路活動。 此活動可能與攻擊利用已知惡意代碼所使用的方法相關聯。 | 高 | 可疑惡意活動 | 手段: - 橫向移動 - 初始存取 技術: - T0866:遠端服務惡意探索 |
無法學習 |
| 懷疑遠端 Windows 服務管理 * | 偵測到可疑的網路活動。 此活動可能與攻擊利用已知惡意代碼所使用的方法相關聯。 | 高 | 可疑惡意活動 | 手段: - 初始存取 技術: - T0822:NetworkExternal Remote Services |
無法學習 |
| 在端點上偵測到可疑的可執行檔 | 偵測到可疑的網路活動。 此活動可能與攻擊利用已知惡意代碼所使用的方法相關聯。 | 高 | 可疑惡意活動 | 手段: -規避 - 抑制回應函式 技術: - T0851:Rootkit |
Learnable |
| 偵測到可疑的流量 * | 偵測到可疑的網路活動。 此活動可能與觸發已知「入侵指標」(IOC)的攻擊相關聯。 安全性小組應檢閱警示元數據 | 高 | 可疑惡意活動 | 手段: -發現 技術: - T0842:網路探查 |
無法學習 |
| 使用防毒簽章的備份活動 | 來源裝置與目的地備份伺服器之間偵測到的流量觸發了此警示。 流量包含可能包含惡意代碼簽章的防病毒軟體備份。 這很可能是合法的備份活動。 | 低 | Backup | 手段: -衝擊 技術: - T0882:竊取操作資訊 |
無法學習 |
操作引擎警示
操作引擎警示描述偵測到的操作事件或故障的實體。
| 標題 | 描述 | 嚴重性 | 類別 | MITRE ATT&CK 戰術和技術 |
Learnable |
|---|---|---|---|---|---|
| 已傳送 S7 Stop PLC 命令 | 來源裝置已將停止命令傳送至目的地控制器。 控制器會停止運作,直到傳送啟動命令為止。 | 低 | 重新啟動/停止命令 | 手段: - 橫向移動 - 防禦逃避 -執行 - 抑制回應函式 技術: - T0843:程序下載 - T0858:變更作業模式 - T0814:拒絕服務 |
無法學習 |
| BACNet 作業失敗 | 伺服器傳回錯誤碼。 此警示表示客戶端的伺服器錯誤或無效的要求。 | 中 | 命令失敗 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 |
無法學習 |
| 不正確的多媒體簡訊裝置狀態 | 多媒體簡訊虛擬製造裝置 (VMD) 傳送狀態消息。 訊息指出伺服器可能未正確設定、部分運作或完全無法運作。 | 中 | 操作問題 | 手段: - 抑制回應函式 技術: - T0814:拒絕服務 |
無法學習 |
| 裝置設定的變更 * | 在來源裝置上偵測到組態變更。 | 低 | 設定變更 | 手段: - 損害程式控制 技術: - T0836:Modify 參數 |
無法學習 |
| Outstation 的連續事件緩衝區溢位 * | 在來源裝置上偵測到緩衝區溢位事件。 此事件可能會導致數據損毀、程式損毀或執行惡意代碼。 臨界值:10 分鐘內出現 3 次 |
中 | 緩衝區溢位 | 手段: - 抑制回應函式 - 損害程式控制 -堅持 技術: - T0814:拒絕服務 - T0806:暴力密碼破解 I/O - T0839:模組韌體 |
無法學習 |
| 控制器重設 | 來源裝置將重設命令傳送至目的地控制器。 控制器已暫時停止運作,並自動重新啟動。 | 低 | 重新啟動/停止命令 | 手段: - 防禦逃避 -執行 - 抑制回應函式 技術: - T0858:變更作業模式 - T0814:拒絕服務 |
無法學習 |
| 控制器停止 | 來源裝置已將停止命令傳送至目的地控制器。 控制器會停止運作,直到傳送啟動命令為止。 | 低 | 重新啟動/停止命令 | 手段: - 橫向移動 - 防禦逃避 -執行 - 抑制回應函式 技術: - T0843:程序下載 - T0858:變更作業模式 - T0814:拒絕服務 |
無法學習 |
| 裝置無法接收動態IP位址 | 來源裝置已設定為從 DHCP 伺服器接收動態 IP 位址,但未收到位址。 這表示裝置上的設定錯誤,或 DHCP 伺服器中的操作錯誤。 建議通知網路管理員事件 | 中 | 命令失敗 | 手段: -發現 技術: - T0842:網路探查 |
無法學習 |
| 裝置疑似已中斷連線(沒有回應) | 來源裝置未回應傳送給來源裝置的命令。 當命令傳送時,它可能已中斷連線。 閾值:5 分鐘內 8 次嘗試 |
中 | 無回應 | 手段: - 抑制回應函式 技術: - T0881:服務停止 |
無法學習 |
| 乙太網路/IP CIP 服務要求失敗 | 伺服器傳回錯誤碼。 這表示伺服器錯誤或用戶端的要求無效。 | 中 | 命令失敗 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 |
無法學習 |
| 乙太網路/IP 封裝通訊協定命令失敗 | 伺服器傳回錯誤碼。 這表示伺服器錯誤或用戶端的要求無效。 | 中 | 命令失敗 | 手段: -收集 技術: - T0801:監視進程狀態 |
無法學習 |
| Outstation 中的事件緩衝區溢位 | 在來源裝置上偵測到緩衝區溢位事件。 此事件可能會導致數據損毀、程式損毀或執行惡意代碼。 | 中 | 緩衝區溢位 | 手段: - 抑制回應函式 - 損害程式控制 -堅持 技術: - T0814:拒絕服務 - T0839:模組韌體 |
無法學習 |
| 未發生預期的備份作業 | 兩個裝置之間沒有發生預期的備份/檔案傳輸活動。 此警示可能表示備份/檔案傳輸程式中的錯誤。 閾值:100 秒 |
中 | Backup | 手段: - 抑制回應函式 技術: - T0809:數據解構 |
Learnable |
| GE SRTP 命令失敗 | 伺服器傳回錯誤碼。 此警示表示客戶端的伺服器錯誤或無效的要求。 | 中 | 命令失敗 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 |
無法學習 |
| 已傳送 GE SRTP Stop PLC 命令 | 來源裝置已將停止命令傳送至目的地控制器。 控制器會停止運作,直到傳送啟動命令為止。 | 低 | 重新啟動/停止命令 | 手段: - 橫向移動 - 防禦逃避 -執行 - 抑制回應函式 技術: - T0843:程序下載 - T0858:變更作業模式 - T0814:拒絕服務 |
無法學習 |
| GOOSE 控制區塊需要進一步的設定 | 來源裝置傳送了 GOOSE 訊息,指出裝置需要調試。 這表示 GOOSE 控制區塊需要進一步的設定,且 GOOSE 訊息部分或完全無法運作。 | 中 | 設定變更 | 手段: - 損害程式控制 - 抑制回應函式 技術: - T0803:封鎖命令訊息 - T0821:修改控制器工作 |
無法學習 |
| GOOSE 資料集設定已變更 * | 來源裝置上已變更訊息(由通訊協定標識碼識別)數據集。 這表示裝置會報告此訊息的不同數據集。 | 低 | 設定變更 | 手段: - 損害程式控制 技術: - T0836:Modify 參數 |
無法學習 |
| Honeywell 控制器非預期狀態 | Honeywell 控制器傳送了非預期的診斷訊息,指出狀態變更。 | 低 | 操作問題 | 手段: -規避 -執行 技術: - T0858:變更作業模式 |
無法學習 |
| HTTP 用戶端錯誤 * | 來源裝置起始了無效的要求。 | 低 | 異常 HTTP 通訊行為 | 手段: - 命令和控制 技術: - T0869:標準應用層通訊協定 |
無法學習 |
| 不合法的IP位址 | 系統偵測到來源裝置與IP位址之間的流量無效。 這可能表示設定錯誤,或嘗試產生非法流量。 | 低 | 異常通訊行為 | 手段: -發現 - 損害程式控制 技術: - T0842:網路探查 - T0836:Modify 參數 |
無法學習 |
| Master-從屬驗證錯誤 | DNP3 來源裝置(主要)與目的地裝置(外站)之間的驗證程序失敗。 | 低 | 驗證 | 手段: - 橫向移動 -堅持 技術: - T0859:有效的帳戶 |
無法學習 |
| MMS 服務要求失敗 | 伺服器傳回錯誤碼。 這表示伺服器錯誤或用戶端的要求無效。 | 中 | 命令失敗 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 |
無法學習 |
| 感測器介面上未偵測到流量 | 感測器已停止偵測網路介面上的網路流量。 | 高 | 感測器流量 | 手段: - 抑制回應函式 技術: - T0881:服務停止 |
無法學習 |
| OPC UA 伺服器引發需要使用者注意的事件 | OPC UA 伺服器已將事件通知傳送給用戶端。 這種類型的事件需要使用者注意 | 中 | 操作問題 | 手段: - 抑制回應函式 技術: - T0838:修改警示設定 |
無法學習 |
| OPC UA 服務要求失敗 | 伺服器傳回錯誤碼。 這表示伺服器錯誤或用戶端的要求無效。 | 中 | 命令失敗 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 |
無法學習 |
| Outstation Restarted | 在來源裝置上偵測到冷重新啟動。 這表示裝置已實際關閉並重新開啟。 | 低 | 重新啟動/停止命令 | 手段: - 抑制回應函式 技術: - T0816:裝置重新啟動/關機 |
無法學習 |
| 輸出站經常重新啟動 | 在來源裝置上偵測到過多的冷重新啟動。 這表示裝置實際上已關閉,並再次重新開啟過多次數。 臨界值:10 分鐘內 2 次重新啟動 |
低 | 重新啟動/停止命令 | 手段: - 抑制回應函式 技術: - T0814:拒絕服務 - T0816:裝置重新啟動/關機 |
無法學習 |
| Outstation 的組態已變更 | 在來源裝置上偵測到組態變更。 | 中 | 設定變更 | 手段: - 抑制回應函式 -堅持 技術: - T0857:系統韌體 |
無法學習 |
| 偵測到外站損毀的組態 | 此 DNP3 來源裝置 (Outstation) 回報損毀的組態。 | 中 | 設定變更 | 手段: - 抑制回應函式 技術: - T0809:數據解構 |
無法學習 |
| Profinet DCP 命令失敗 | 伺服器傳回錯誤碼。 這表示伺服器錯誤或用戶端的要求無效。 | 中 | 命令失敗 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 |
無法學習 |
| Profinet Device Factory Reset | 來源裝置將原廠重設命令傳送至 Profinet 目的地裝置。 重設命令會清除 Profinet 裝置組態並停止其作業。 | 低 | 重新啟動/停止命令 | 手段: - 防禦逃避 -執行 - 抑制回應函式 技術: - T0858:變更作業模式 - T0814:拒絕服務 |
無法學習 |
| RPC 作業失敗 * | 伺服器傳回錯誤碼。 此警示表示客戶端的伺服器錯誤或無效的要求。 | 中 | 命令失敗 | 手段: - 損害程式控制 技術: - T0855:未經授權的命令訊息 |
無法學習 |
| 取樣值訊息數據集設定已變更 * | 來源裝置上已變更訊息(由通訊協定標識碼識別)數據集。 這表示裝置會報告此訊息的不同數據集。 | 低 | 設定變更 | 手段: - 損害程式控制 技術: - T0836:Modify 參數 |
無法學習 |
| 從屬裝置無法復原失敗 * | 在來源裝置上偵測到無法復原的條件錯誤。 這類錯誤通常表示硬體故障或無法執行特定命令。 | 中 | 命令失敗 | 手段: - 抑制回應函式 技術: - T0814:拒絕服務 |
無法學習 |
| 懷疑外站的硬體問題 | 在來源裝置上偵測到無法復原的條件錯誤。 這類錯誤通常表示硬體故障或無法執行特定命令。 | 中 | 操作問題 | 手段: - 抑制回應函式 技術: - T0814:拒絕服務 - T0881:服務停止 |
無法學習 |
| 懷疑沒有回應的MODBUS裝置 | 來源裝置未回應傳送給來源裝置的命令。 當命令傳送時,它可能已中斷連線。 閾值:在 5 分鐘內至少 3 個要求 1 個有效回應 |
低 | 無回應 | 手段: - 抑制回應函式 技術: - T0881:服務停止 |
無法學習 |
| 感測器介面上偵測到的流量 | 感測器繼續偵測網路介面上的網路流量。 | 低 | 感測器流量 | 手段: -發現 技術: - T0842:網路探查 |
無法學習 |
| 已變更的 PLC 操作模式 | 此 PLC 上的作業模式已變更。 新的模式可能表示PLC不安全。 讓PLC處於不安全的作業模式,可能會讓敵人對它執行惡意活動,例如程序下載。 如果公司遭到入侵,與它互動的裝置和進程可能會受到影響。 這可能會影響整體系統安全性和安全性。 | 低 | 組態變更 | 手段: -執行 -規避 技術: - T0858:變更作業模式 |
無法學習 |
下一步
如需詳細資訊,請參閱
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: