Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Denne artikel indeholder en reference til de beskeder, der genereres af Microsoft Defender for IoT-netværkssensorer, herunder en liste over alle beskedtyper og beskrivelser. Referencen viser også, hvilke beskeder der kan behandles som lærenem eller ej. Du kan finde flere oplysninger om status for læring under Beskedstatusser og indstillinger for triaging. Du kan bruge denne reference til at knytte beskeder til playbooks, definere regler for videresendelse på en OT-netværkssensor (Operational Technology) eller andre brugerdefinerede aktiviteter.
OT-beskeder er som standard slået fra
Flere beskeder er som standard slået fra, som angivet med stjerner (*) i nedenstående tabeller. OT-sensor Administration brugere kan aktivere eller deaktivere beskeder fra siden Support på en bestemt OT-netværkssensor.
Hvis du slår beskeder, der refereres til andre steder, f.eks regler for videresendelse af beskeder, fra, skal du sørge for at opdatere disse referencer efter behov.
Vigtige beskeder
Defender for IoT-beskeder bruger følgende alvorsgradsniveauer:
| Azure Portal | OT-sensor | Beskrivelse |
|---|---|---|
| Høj | Kritisk | Angiver et ondsindet angreb, der skal håndteres med det samme. |
| Middel | Store | Angiver en sikkerhedstrussel, der er vigtig at håndtere. |
| Lav | Underordnet, advarsel | Angiver en vis afvigelse fra den oprindelige funktionsmåde, der kan indeholde en sikkerhedstrussel, eller som ikke indeholder nogen sikkerhedstrusler. |
De forskellige beskeder på denne side viser alvorsgraden som vist i Azure Portal.
Understøttede beskedtyper
| Beskedtype | Beskrivelse |
|---|---|
| Beskeder om overtrædelse af politik | Udløses, når programmet til politikovertrædelse registrerer en afvigelse fra den trafik, der tidligere er blevet lært. Det kan f.eks. være: - Der registreres en ny enhed. – Der registreres en ny konfiguration på en enhed. - En enhed, der ikke er defineret som en programmeringsenhed, udfører en programmeringsændring. - En firmwareversion er ændret. |
| Beskeder om protokolovertrædelse | Udløses, når protokolovertrædelsesprogrammet registrerer pakkestrukturer eller feltværdier, der ikke overholder protokolspecifikationen. |
| Handlingsbeskeder | Udløses, når handlingsprogrammet registrerer netværksrelaterede hændelser eller en enheds funktionsfejl. En netværksenhed blev f.eks. stoppet via en Stop PLC-kommando, eller en grænseflade på en sensor stoppede med at overvåge trafik. |
| Malwarebeskeder | Udløses, når malwareprogrammet registrerer skadelig netværksaktivitet. For eksempel registrerer motoren et kendt angreb som Conficker. |
| Beskeder om uregelmæssigheder | Udløses, når programmet Uregelmæssigheder registrerer en afvigelse. En enhed udfører f.eks. netværksscanninger, men er ikke defineret som en scanningsenhed. |
Defender for IoT's politik for registrering af beskeder styrer de forskellige beskedprogrammer for at udløse beskeder baseret på virksomhedens indvirkning og netværkskontekst og reducere it-relaterede beskeder med lav værdi. Du kan få flere oplysninger under Fokuserede beskeder i OT/IT-miljøer.
Understøttede beskedkategorier
Hver besked har en af følgende kategorier:
- Unormal kommunikationsfunktionsmåde
- Unormal funktionsmåde for HTTP-kommunikation
- Godkendelse
- Backup
- Uregelmæssigheder i båndbredde
- Bufferoverløb
- Kommandofejl
- Konfigurationsændringer
- Brugerdefinerede beskeder
- Opdagelse
- Firmwareændring
- Ugyldige kommandoer
- Internetadgang
- Handlingsfejl
- Driftsproblemer
- Programmering
- Fjernadgang
- Kommandoer til genstart/stop
- Skan
- Sensortrafik
- Mistanke om ondsindet aktivitet
- Mistanke om malware
- Uautoriseret kommunikationsmåde
- Unresponsive
Politikprogrambeskeder
Beskeder i politikprogrammet beskriver registrerede afvigelser fra den lærte oprindelige funktionsmåde.
Beskedtabellen for politikprogrammet indeholder det aggregerede element, der angiver, at flere beskeder af denne type kan grupperes og kun vises én gang på siden Beskeder for at reducere påmindelsestræthed. Du kan få flere oplysninger under aggregerede beskeder.
| Titel | Beskrivelse | Sværhedsgraden | Kategori | MITRE ATT&CK Taktik og teknikker |
Learnable | Aggregerede overtrædelser |
|---|---|---|---|---|---|---|
| Beckhoff Software Ændret | Firmwaren blev opdateret på en kildeenhed. Dette kan være godkendt aktivitet, f.eks. en planlagt vedligeholdelsesprocedure. | Middel | Firmwareændring |
Taktik: - Hæmmende responsfunktion -Persistens Teknikker: - T0857: Systemfirmware |
Learnable | Nej |
| Databaselogon mislykkedes | Der blev registreret et mislykket logonforsøg fra en kildeenhed til en destinationsserver. Dette kan skyldes menneskelige fejl, men kan også indikere et ondsindet forsøg på at kompromittere serveren eller dataene på den. Tærskel: 2 logonfejl på 5 minutter |
Middel | Godkendelse |
Taktik: - Tværgående bevægelse -Samling Teknikker: - T0812: Standardlegitimationsoplysninger - T0811: Data fra informationslagre |
Kan ikke læres | Nej |
| Emerson ROC-firmwareversionen er ændret | Firmwaren blev opdateret på en kildeenhed. Dette kan være godkendt aktivitet, f.eks. en planlagt vedligeholdelsesprocedure. | Middel | Firmwareændring |
Taktik: - Hæmmende responsfunktion -Persistens Teknikker: - T0857: Systemfirmware |
Learnable | Ja |
| Ekstern adresse i netværket kommunikeret med internettet | En internetenhed kommunikeret med en anden internetenhed i netværket. | Høj | Internetadgang |
Taktik: - Indledende adgang Teknikker: - T0883: Internettilgængelig enhed |
Learnable | Nej |
| Feltenheden blev uventet fundet | Der blev fundet en ny kildeenhed på netværket, men den er ikke godkendt. | Middel | Opdagelse |
Taktik: -Opdagelse Teknikker: - T0842: Netværkssnøftning |
Kan ikke læres | Nej |
| Firmwareændring fundet | Firmwaren blev opdateret på en kildeenhed. Dette kan være godkendt aktivitet, f.eks. en planlagt vedligeholdelsesprocedure. | Middel | Firmwareændring |
Taktik: - Hæmmende responsfunktion -Persistens Teknikker: - T0857: Systemfirmware |
Kan ikke læres | Nej |
| Firmwareversionen er ændret | Firmwaren blev opdateret på en kildeenhed. Dette kan være godkendt aktivitet, f.eks. en planlagt vedligeholdelsesprocedure. | Middel | Firmwareændring |
Taktik: - Hæmmende responsfunktion -Persistens Teknikker: - T0857: Systemfirmware |
Learnable | Ja |
| Foxboro I/A Uautoriseret handling | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0836: Rediger parameter |
Learnable | Ja |
| FTP-logon mislykkedes | Der blev registreret et mislykket logonforsøg fra en kildeenhed til en destinationsserver. Denne besked kan skyldes en menneskelig fejl, men kan også indikere et ondsindet forsøg på at kompromittere serveren eller dataene på den. | Middel | Godkendelse |
Taktik: - Tværgående bevægelse - Kommando og kontrol Teknikker: - T0812: Standardlegitimationsoplysninger - T0869: Standard programlagsprotokol |
Kan ikke læres | Nej |
| Funktionskode udløste en uautoriseret undtagelse * | En kildeenhed (sekundær) returnerede en undtagelse til en destinationsenhed (primær). | Middel | Kommandofejl |
Taktik: - Hæmmende responsfunktion Teknikker: - T0835: Manipuler I/O-billede |
Learnable | Ja |
| Indstillinger for GOOSE-meddelelsestype | Indstillingerne for meddelelse (identificeret af protokol-id) blev ændret på en kildeenhed. | Lav | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring Teknikker: - T0836: Rediger parameter |
Learnable | Ja |
| Honeywell Firmware version ændret | Firmwaren blev opdateret på en kildeenhed. Dette kan være godkendt aktivitet, f.eks. en planlagt vedligeholdelsesprocedure. | Middel | Firmwareændring |
Taktik: - Hæmmende responsfunktion -Persistens Teknikker: - T0857: Systemfirmware |
Learnable | Nej |
| Ugyldig HTTP-kommunikation * | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Unormal funktionsmåde for HTTP-kommunikation |
Taktik: -Opdagelse Teknikker: - T0846: Fjernsystemregistrering |
Learnable | Nej |
| Der er registreret internetadgang | En intern enhed gjorde et uventet forsøg på at udføre en udgående internetforbindelse. | Middel | Internetadgang |
Taktik: - Indledende adgang Teknikker: - T0883: Internettilgængelig enhed |
Learnable | Nej |
| Mitsubishi-firmwareversionen er ændret | Firmwaren blev opdateret på en kildeenhed. Dette kan være godkendt aktivitet, f.eks. en planlagt vedligeholdelsesprocedure. | Middel | Firmwareændring |
Taktik: - Hæmmende responsfunktion -Persistens Teknikker: - T0857: Systemfirmware |
Learnable | Nej |
| Overtrædelse af adresseområde for modbus | En primær enhed anmodede om adgang til en ny sekundær hukommelsesadresse. | Middel | Uautoriseret kommunikationsmåde |
Taktik: -Opdagelse Teknikker: - T0842: Netværkssnøftning |
Learnable | Ja |
| Ændring af Modbus-firmwareversion | Firmwaren blev opdateret på en kildeenhed. Dette kan være godkendt aktivitet, f.eks. en planlagt vedligeholdelsesprocedure. | Middel | Firmwareændring |
Taktik: - Hæmmende responsfunktion -Persistens Teknikker: - T0857: Systemfirmware |
Learnable | Nej |
| Ny aktivitet registreret - CIP-klasse | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: -Opdagelse Teknikker: - T0888: Registrering af fjernsystemoplysninger |
Learnable | Ja |
| Ny aktivitet registreret - CIP-klassetjeneste | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Hæmmende responsfunktion Teknikker: - T0836: Rediger parameter |
Learnable | Ja |
| Ny aktivitet registreret - CIP PCCC-kommando | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Hæmmende responsfunktion Teknikker: - T0836: Rediger parameter |
Learnable | Ja |
| Ny aktivitet registreret - CIP-symbol | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring - Hæmmende responsfunktion Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0836: Rediger parameter |
Learnable | Ja |
| Ny aktivitet registreret - EtherNet/IP I/O-forbindelse | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: -Opdagelse - Hæmmende responsfunktion Teknikker: - T0846: Fjernsystemregistrering - T0835: Manipuler I/O-billede |
Learnable | Ja |
| Ny aktivitet registreret - EtherNet/IP-protokolkommando | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Hæmmende responsfunktion Teknikker: - T0836: Rediger parameter |
Learnable | Ja |
| Ny aktivitet registreret - GSM-meddelelseskode | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - CommandAndControl Teknikker: - T0869: Standard programlagsprotokol |
Learnable | Ja |
| Ny aktivitet registreret - LonTalk-kommandokoder | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: -Samling - Forringet processtyring Teknikker: - T0861 - Point & Mærke Identifikation - T0855: Uautoriseret kommandomeddelelse |
Learnable | Ja |
| Ny aktivitet registreret - LonTalk-netværksvariabel | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse |
Learnable | Ja |
| Ny aktivitet registreret - anmodning om ægløsningsdata | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: -Samling -Opdagelse Teknikker: - T0801: Overvåg procestilstand - T0888: Registrering af fjernsystemoplysninger |
Learnable | Ja |
| Ny aktivitet registreret - kommandoen Læs/skriv (AMS-indeksgruppe) | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Konfigurationsændringer |
Taktik: - Forringet processtyring - Hæmmende responsfunktion Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0836: Rediger parameter |
Learnable | Ja |
| Ny aktivitet registreret - kommandoen Læs/skriv (AMS-indeksforskydning) | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Konfigurationsændringer |
Taktik: - Forringet processtyring - Hæmmende responsfunktion Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0836: Rediger parameter |
Learnable | Ja |
| Ny aktivitet registreret - Uautoriseret DeltaV-meddelelsestype | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring -Udførelse Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0821: Rediger controlleropgave |
Learnable | Ja |
| Ny aktivitet registreret - Uautoriseret DeltaV ROC-handling | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring -Udførelse Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0821: Rediger controlleropgave |
Learnable | Ja |
| Ny aktivitet registreret - Uautoriseret RPC-meddelelsestype | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse |
Learnable | Ja |
| Ny aktivitet registreret - ved hjælp af AMS-protokolkommandoen | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring - Hæmmende responsfunktion -Udførelse Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0836: Rediger parameter - T0821: Rediger controlleropgave |
Learnable | Ja |
| Ny aktivitet registreret – ved hjælp af Siemens SICAM-kommando | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring - Hæmmende responsfunktion Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0836: Rediger parameter |
Learnable | Ja |
| Ny aktivitet registreret - Bruger kommandoen Suitelink Protocol | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring - Hæmmende responsfunktion Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0836: Rediger parameter |
Learnable | Ja |
| Ny aktivitet registreret - Bruger Suitelink Protocol-sessioner | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring Teknikker: - T0836: Rediger parameter |
Learnable | Ja |
| Ny aktivitet registreret – Ved hjælp af kommandoen Yokogawa VNetIP | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring -Udførelse Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0821: Rediger controlleropgave |
Learnable | Ja |
| Nyt aktiv registreret | Der blev fundet en ny kildeenhed på netværket, men den er ikke godkendt. Denne besked gælder for enheder, der registreres i OT-undernet. Nye enheder, der registreres i it-undernet, udløser ikke en besked. |
Middel | Opdagelse |
Taktik: -Opdagelse Teknikker: - T0842: Netværkssnøftning |
Learnable | Nej |
| Ny LLDP-enhedskonfiguration | Der blev fundet en ny kildeenhed på netværket, men den er ikke godkendt. | Middel | Konfigurationsændringer |
Taktik: -Opdagelse Teknikker: - T0842: Netværkssnøftning |
Learnable | Nej |
| Omron FINS uautoriseret kommando | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0836: Rediger parameter |
Learnable | Ja |
| S7 Plus PLC-firmware ændret | Firmwaren blev opdateret på en kildeenhed. Dette kan være godkendt aktivitet, f.eks. en planlagt vedligeholdelsesprocedure. | Middel | Firmwareændring |
Taktik: - Hæmmende responsfunktion -Persistens Teknikker: - T0857: Systemfirmware |
Learnable | Nej |
| Indstillinger for meddelelsestype for eksempelværdier | Indstillingerne for meddelelse (identificeret af protokol-id) blev ændret på en kildeenhed. | Lav | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring Teknikker: - T0836: Rediger parameter |
Kan ikke læres | Ja |
| Mistanke om ulovlig integritetsscanning * | Der blev fundet en scanning på en DNP3-kildeenhed (outstation). Denne scanning blev ikke godkendt som lært trafik på dit netværk. | Middel | Skan |
Taktik: -Opdagelse Teknikker: - T0842: Netværkssnøftning |
Learnable | Nej |
| Toshiba Computer Link Unauthorized Command | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Lav | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring -Udførelse Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0821: Rediger controlleropgave |
Learnable | Ja |
| Uautoriseret ABB-handling for totalflowfil | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring -Udførelse Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0821: Rediger controlleropgave |
Kan ikke læres | Ja |
| Uautoriseret ABB-registreringshandling for totalflow | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring -Udførelse Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0821: Rediger controlleropgave |
Kan ikke læres | Ja |
| Uautoriseret adgang til Siemens S7-datablok | En kildeenhed forsøgte at få adgang til en ressource på en anden enhed. Et forsøg på at få adgang til denne ressource mellem disse to enheder er ikke godkendt som lært trafik på netværket. | Lav | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring - Indledende adgang Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0811: Data fra informationslagre |
Learnable | Ja |
| Uautoriseret adgang til Siemens S7 Plus-objekt | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring -Udførelse - Hæmmende responsfunktion Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0821: Rediger controlleropgave - T0809: Ødelæggelse af data |
Learnable | Ja |
| Uautoriseret adgang til Wonderware-mærke | En kildeenhed forsøgte at få adgang til en ressource på en anden enhed. Et forsøg på at få adgang til denne ressource mellem disse to enheder er ikke godkendt som lært trafik på netværket. | Middel | Uautoriseret kommunikationsmåde |
Taktik: -Samling - Forringet processtyring Teknikker: - T0861: Nummer & mærkeidentifikation - T0855: Uautoriseret kommandomeddelelse |
Learnable | Ja |
| Uautoriseret adgang til BACNet-objekt | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring -Udførelse Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0821: Rediger controlleropgave |
Learnable | Ja |
| Uautoriseret BACNet-rute | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring -Udførelse Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0821: Rediger controlleropgave |
Learnable | Ja |
| Uautoriseret databaselogon * | Der blev registreret et logonforsøg mellem en kildeklient og destinationsserveren. Kommunikation mellem disse enheder er ikke godkendt som lært trafik på dit netværk. | Middel | Godkendelse |
Taktik: - Tværgående bevægelse -Persistens -Samling Teknikker: - T0859: Gyldige konti - T0811: Data fra informationslagre |
Learnable | Nej |
| Uautoriseret databasehandling | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Unormal kommunikationsfunktionsmåde |
Taktik: - Forringet processtyring - Indledende adgang Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0811: Data fra informationslagre |
Learnable | Ja |
| Uautoriseret Emerson ROC-handling | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring -Udførelse Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0821: Rediger controlleropgave |
Learnable | Ja |
| Uautoriseret adgang til GE SRTP-fil | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: -Samling - LateralMovement -Persistens Teknikker: - T0801: Overvåg procestilstand - T0859: Gyldige konti |
Learnable | Ja |
| Uautoriseret GE SRTP-protokolkommando | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0821: Rediger controlleropgave |
Learnable | Ja |
| Uautoriseret GE SRTP-systemhukommelseshandling | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: -Opdagelse - Forringet processtyring Teknikker: - T0846: Fjernsystemregistrering - T0855: Uautoriseret kommandomeddelelse |
Learnable | Ja |
| Uautoriseret HTTP-aktivitet | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Unormal funktionsmåde for HTTP-kommunikation |
Taktik: - Indledende adgang - Kommando og kontrol Teknikker: - T0822: Eksterne fjerntjenester - T0869: Standard programlagsprotokol |
Learnable | Nej |
| Uautoriseret HTTP SOAP-handling * | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Unormal funktionsmåde for HTTP-kommunikation |
Taktik: - Kommando og kontrol -Udførelse Teknikker: - T0869: Standard programlagsprotokol - T0871: Udførelse via API |
Learnable | Nej |
| Uautoriseret HTTP-brugeragent * | Der blev fundet et uautoriseret program på en kildeenhed. Programmet er ikke godkendt som et lært program på dit netværk. | Middel | Unormal funktionsmåde for HTTP-kommunikation |
Taktik: - Kommando og kontrol Teknikker: - T0869: Standard programlagsprotokol |
Learnable | Nej |
| Der blev fundet uautoriseret internetforbindelse | En intern enhed kommunikeres med internettet. | Høj | Internetadgang |
Taktik: - Indledende adgang Teknikker: - T0883: Internettilgængelig enhed |
Learnable | Nej |
| Uautoriseret Mitsubishi MELSEC-kommando | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring -Udførelse Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0821: Rediger controlleropgave |
Learnable | Ja |
| Uautoriseret adgang til MMS-program | En kildeenhed forsøgte at få adgang til en ressource på en anden enhed. Et forsøg på at få adgang til denne ressource mellem disse to enheder er ikke godkendt som lært trafik på netværket. | Middel | Programmering |
Taktik: - Forringet processtyring -Udførelse Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0821: Rediger controlleropgave |
Learnable | Ja |
| Uautoriseret MMS-tjeneste | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring -Udførelse Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0821: Rediger controlleropgave |
Learnable | Ja |
| Uautoriseret multicast-/udsendelsesforbindelse | Der blev fundet en Multicast/Broadcast-forbindelse mellem en kildeenhed og andre enheder. Multicast/broadcast-kommunikation er ikke godkendt. | Høj | Unormal kommunikationsfunktionsmåde |
Taktik: -Opdagelse Teknikker: - T0842: Netværkssnøftning |
Learnable | Ja |
| Uautoriseret navneforespørgsel | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Unormal kommunikationsfunktionsmåde |
Taktik: - Forringet processtyring Teknikker: - T0836: Rediger parameter |
Kan ikke læres | Ja |
| Uautoriseret OPC UA-aktivitet | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring Teknikker: - T0836: Rediger parameter |
Learnable | Ja |
| Uautoriseret OPC UA-anmodning/-svar | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring Teknikker: - T0836: Rediger parameter |
Learnable | Ja |
| En uautoriseret handling blev registreret af en brugerdefineret regel | Der blev registreret trafik mellem to enheder. Denne aktivitet er uautoriseret baseret på en brugerdefineret beskedregel, der er defineret af en bruger. | Middel | Brugerdefinerede beskeder |
Taktik: -Opdagelse Teknikker: - T0842: Netværkssnøftning |
Kan ikke læres | Nej |
| Uautoriseret PLC-konfiguration læst | Kildeenheden er ikke defineret som en programmeringsenhed, men har udført en læse-/skrivehandling på en destinationscontroller. Programmeringsændringer bør kun udføres af programmeringsenheder. Der kan være installeret et programmeringsprogram på denne enhed. | Lav | Konfigurationsændringer |
Taktik: -Samling Teknikker: - T0801: Overvåg procestilstand |
Learnable | Nej |
| Skrivning af uautoriseret PLC-konfiguration | Kildeenheden sendte en kommando til at læse/skrive programmet for en destinationscontroller. Denne aktivitet blev ikke tidligere set. | Middel | Konfigurationsændringer |
Taktik: - Forringet processtyring -Persistens -Indvirkning Teknikker: - T0839: Modulfirmware - T0831: Manipulation af kontrol - T0889: Rediger program |
Learnable | Nej |
| Uautoriseret PLC-programoverførsel | Kildeenheden sendte en kommando til at læse/skrive programmet for en destinationscontroller. Denne aktivitet blev ikke tidligere set. | Middel | Programmering |
Taktik: - Forringet processtyring -Persistens -Samling Teknikker: - T0839: Modulfirmware - T0845: Programoverførsel |
Learnable | Nej |
| Uautoriseret PLC-programmering | Kildeenheden er ikke defineret som en programmeringsenhed, men har udført en læse-/skrivehandling på en destinationscontroller. Programmeringsændringer bør kun udføres af programmeringsenheder. Der kan være installeret et programmeringsprogram på denne enhed. | Høj | Programmering |
Taktik: - Forringet processtyring -Persistens - Tværgående bevægelse Teknikker: - T0839: Modulfirmware - T0889: Rediger program - T0843: Programdownload |
Learnable | Nej |
| Uautoriseret profinetrammetype | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring Teknikker: - T0836: Rediger parameter |
Learnable | Ja |
| Uautoriseret SAIA S-Bus-kommando | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse |
Learnable | Ja |
| Uautoriseret Siemens S7 Udførelse af kontrolfunktion | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring - Hæmmende responsfunktion Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0809: Ødelæggelse af data |
Learnable | Ja |
| Uautoriseret Siemens S7 Udførelse af brugerdefineret funktion | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring -Udførelse Teknikker: - T0836: Rediger parameter - T0863: Brugerudførelse |
Learnable | Ja |
| Uautoriseret Adgang til Siemens S7 Plus-blok | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Hæmmende responsfunktion -Persistens -Udførelse Teknikker: - T0803 - Bloker kommandomeddelelse - T0889: Rediger program - T0821: Rediger controlleropgave |
Learnable | Ja |
| Uautoriseret Siemens S7 Plus-handling | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring -Udførelse Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0863: Brugerudførelse |
Learnable | Ja |
| Uautoriseret SMB-logon | Der blev registreret et logonforsøg mellem en kildeklient og destinationsserveren. Kommunikation mellem disse enheder er ikke godkendt som lært trafik på dit netværk. | Middel | Godkendelse |
Taktik: - Indledende adgang - Tværgående bevægelse -Persistens Teknikker: - T0886: Fjerntjenester - T0859: Gyldige konti |
Learnable | Ja |
| Uautoriseret SNMP-handling | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Unormal kommunikationsfunktionsmåde |
Taktik: -Opdagelse - Kommando og kontrol Teknikker: - T0842: Netværkssnøftning - T0885: Almindeligt brugt port |
Learnable | Ja |
| Uautoriseret SSH-adgang | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Fjernadgang |
Taktik: - InitialAccess - Tværgående bevægelse - Kommando og kontrol Teknikker: - T0886: Fjerntjenester - T0869: Standard programlagsprotokol |
Learnable | Nej |
| Uautoriseret Windows-proces | Der blev fundet et uautoriseret program på en kildeenhed. Programmet er ikke godkendt som et lært program på dit netværk. | Middel | Unormal kommunikationsfunktionsmåde |
Taktik: -Udførelse - Rettighedseskalering - Kommando og kontrol Teknikker: - T0841: Hooking - T0885: Almindeligt brugt port |
Learnable | Ja |
| Uautoriseret Windows-tjeneste | Der blev fundet et uautoriseret program på en kildeenhed. Programmet er ikke godkendt som et lært program på dit netværk. | Middel | Unormal kommunikationsfunktionsmåde |
Taktik: - Indledende adgang - Tværgående bevægelse Teknikker: - T0866: Udnyttelse af fjerntjenester |
Learnable | Ja |
| En uautoriseret handling blev registreret af en brugerdefineret regel | Der blev fundet nye trafikparametre. Denne parameterkombination overtræder en brugerdefineret regel | Middel |
Taktik: -Opdagelse Teknikker: - T0842: Netværkssnøftning |
Kan ikke læres | Nej | |
| Uppermitted Modbus Schneider Electric Extension | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse |
Learnable | Ja |
| Ikke-permitted brug af ASDU-typer | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse |
Learnable | Ja |
| Ikke-permitted brug af DNP3-funktionskode | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring Teknikker: - T0836: Rediger parameter |
Learnable | Ja |
| Uudnyttet brug af intern indikation (IIN) * | En DNP3-kildeenhed (outstation) rapporterede en intern indikation (IIN), der ikke har godkendt som lært trafik på dit netværk. | Middel | Ugyldige kommandoer |
Taktik: -Opdagelse Teknikker: - T0842: Netværkssnøftning |
Learnable | Nej |
| Ikke-permitted brug af modbus-funktionskode | Der blev fundet nye trafikparametre. Denne parameterkombination er ikke godkendt som lært trafik på dit netværk. Følgende kombination er uautoriseret. | Middel | Uautoriseret kommunikationsmåde |
Taktik: - Forringet processtyring Teknikker: - T0836: Rediger parameter |
Learnable | Ja |
Beskeder i programmet Til uregelmæssigheder
Bemærk!
Denne artikel indeholder referencer til udtrykket slave, et ord, som Microsoft ikke længere bruger. Når ordet fjernes fra softwaren, fjerner vi det fra denne artikel.
Beskeder i programmet til uregelmæssigheder beskriver registrerede uregelmæssigheder i netværksaktivitet.
| Titel | Beskrivelse | Sværhedsgraden | Kategori | MITRE ATT&CK Taktik og teknikker |
Learnable |
|---|---|---|---|---|---|
| Unormalt undtagelsesmønster i slave * | Der blev fundet et stort antal fejl på en kildeenhed. Denne besked kan skyldes et driftsmæssig problem. Tærskel: 20 undtagelser på 1 time |
Lav | Unormal kommunikationsfunktionsmåde |
Taktik: - Forringet processtyring Teknikker: - T0806: Brute Force I/O |
Kan ikke læres |
| Unormal længde på HTTP-header * | Kildeenheden sendte en unormal meddelelse. Denne besked kan indikere et forsøg på at angribe destinationsenheden. | Høj | Unormal funktionsmåde for HTTP-kommunikation |
Taktik: - Indledende adgang - Tværgående bevægelse - Kommando og kontrol Teknikker: - T0866: Udnyttelse af fjerntjenester - T0869: Standard programlagsprotokol |
Learnable |
| Unormalt antal parametre i HTTP-header * | Kildeenheden sendte en unormal meddelelse. Denne besked kan indikere et forsøg på at angribe destinationsenheden. | Høj | Unormal funktionsmåde for HTTP-kommunikation |
Taktik: - Indledende adgang - Tværgående bevægelse - Kommando og kontrol Teknikker: - T0866: Udnyttelse af fjerntjenester - T0869: Standard programlagsprotokol |
Learnable |
| Unormal periodisk funktionsmåde i kommunikationskanal | Der blev registreret en ændring i kommunikationshyppigheden mellem kilde- og destinationsenhederne. | Lav | Unormal kommunikationsfunktionsmåde |
Taktik: -Opdagelse Teknikker: - T0842: Netværkssnøftning |
Learnable |
| Unormal afslutning af ansøgninger * | Der blev fundet et stort antal stopkommandoer på en kildeenhed. Denne besked kan skyldes et handlingsproblem eller et forsøg på at manipulere enheden. Tærskel: 20 stopkommandoer på 3 timer |
Middel | Unormal kommunikationsfunktionsmåde |
Taktik: -Persistens -Indvirkning Teknikker: - T0889: Rediger program - T0831: Manipulation af kontrol |
Learnable |
| Unormal trafikbåndbredde * | Der blev registreret unormal båndbredde på en kanal. Båndbredden ser ud til at være lavere/højere end tidligere registreret. Du kan finde flere oplysninger ved at arbejde med widgetten Samlet båndbredde. | Lav | Uregelmæssigheder i båndbredde |
Taktik: -Opdagelse Teknikker: - T0842: Netværkssnøftning |
Learnable |
| Unormal trafikbåndbredde mellem enheder * | Der blev registreret unormal båndbredde på en kanal. Båndbredden ser ud til at være lavere/højere end tidligere registreret. Du kan finde flere oplysninger ved at arbejde med widgetten Samlet båndbredde. | Lav | Uregelmæssigheder i båndbredde |
Taktik: -Opdagelse Teknikker: - T0842: Netværkssnøftning |
Kan ikke læres |
| Der blev fundet en adressescanning | Der blev registreret en kildeenhed, der scanner netværksenheder. Denne enhed er ikke godkendt som en netværksscanningsenhed. Tærskel: 50 forbindelser til det samme B-klasseundernet på 2 minutter |
Høj | Skan |
Taktik: -Opdagelse Teknikker: - T0842: Netværkssnøftning |
Learnable |
| Der blev fundet en ARP-adressescanning * | Der blev registreret en kildeenhed, der scanner netværksenheder ved hjælp af ARP (Address Resolution Protocol). Denne enhedsadresse er ikke godkendt som en gyldig ARP-scanningsadresse. Tærskel: 40 scanninger på 6 minutter |
Høj | Skan |
Taktik: -Opdagelse -Samling Teknikker: - T0842: Netværkssnøftning - T0830: Mand i midten |
Learnable |
| ARP-efterligning * | Der blev registreret en unormal mængde pakker i netværket. Denne advarsel kan indikere et angreb, f.eks. et ARP-spoofing- eller ICMP-oversvømmelsesangreb. Tærskel: 60 pakker på 1 minut |
Lav | Unormal kommunikationsfunktionsmåde |
Taktik: -Samling Teknikker: - T0830: Mand i midten |
Kan ikke læres |
| Overdrevne logonforsøg | En kildeenhed blev set udføre overdrevne logonforsøg på en destinationsserver. Denne advarsel kan indikere et brutalt angreb. Serveren kan være kompromitteret af en skadelig agent. Tærskel: 20 logonforsøg på 1 minut |
Høj | Godkendelse |
Taktik: - LateralMovement - Forringet processtyring Teknikker: - T0812: Standardlegitimationsoplysninger - T0806: Brute Force I/O |
Kan ikke læres |
| Stort antal sessioner | En kildeenhed blev set udføre overdrevne logonforsøg på en destinationsserver. Dette kan indikere et angreb på en brutal styrke. Serveren kan være kompromitteret af en skadelig agent. Grænse: 50 sessioner på 1 minut |
Høj | Unormal kommunikationsfunktionsmåde |
Taktik: - Tværgående bevægelse - Forringet processtyring Teknikker: - T0812: Standardlegitimationsoplysninger - T0806: Brute Force I/O |
Kan ikke læres |
| Overdreven genstartshastighed for en outstation * | Der blev fundet et stort antal genstartskommandoer på en kildeenhed. Disse beskeder kan skyldes et handlingsproblem eller et forsøg på at manipulere enheden. Tærskel: 10 genstarter på 1 time |
Middel | Kommandoer til genstart/stop |
Taktik: - Hæmmende responsfunktion - Forringet processtyring Teknikker: - T0814: Denial of Service - T0806: Brute Force I/O |
Kan ikke læres |
| Overdrevne SMB-logonforsøg | En kildeenhed blev set udføre overdrevne logonforsøg på en destinationsserver. Dette kan indikere et angreb på en brutal styrke. Serveren kan være kompromitteret af en skadelig agent. Tærskel: 10 logonforsøg på 10 minutter |
Høj | Godkendelse |
Taktik: -Persistens -Udførelse - LateralMovement Teknikker: - T0812: Standardlegitimationsoplysninger - T0853: Scripting - T0859: Gyldige konti |
Kan ikke læres |
| ICMP-oversvømmelse * | Der blev registreret en unormal mængde pakker i netværket. Denne advarsel kan indikere et angreb, f.eks. et ARP-spoofing- eller ICMP-oversvømmelsesangreb. Tærskel: 60 pakker på 1 minut |
Lav | Unormal kommunikationsfunktionsmåde |
Taktik: -Opdagelse -Samling Teknikker: - T0842: Netværkssnøftning - T0830: Mand i midten |
Kan ikke læres |
| Ugyldigt HTTP-headerindhold * | Kildeenheden har startet en ugyldig anmodning. | Høj | Unormal funktionsmåde for HTTP-kommunikation |
Taktik: - Indledende adgang - LateralMovement Teknikker: - T0866: Udnyttelse af fjerntjenester |
Kan ikke læres |
| Inaktiv kommunikationskanal * | En kommunikationskanal mellem to enheder var inaktiv i en periode, hvor der normalt observeres aktivitet. Dette kan indikere, at det program, der genererer denne trafik, er ændret, eller at programmet muligvis ikke er tilgængeligt. Det anbefales at gennemse konfigurationen af det installerede program og kontrollere, at det er konfigureret korrekt. Tærskel: 1 minut |
Lav | Unresponsive |
Taktik: - Hæmmende responsfunktion Teknikker: - T0881: Servicestop |
Kan ikke læres |
| Der blev fundet en adressescanning med lang varighed * | Der blev registreret en kildeenhed, der scanner netværksenheder. Denne enhed er ikke godkendt som en netværksscanningsenhed. Tærskel: 50 forbindelser til det samme B-klasseundernet på 10 minutter |
Høj | Skan |
Taktik: -Opdagelse Teknikker: - T0842: Netværkssnøftning |
Learnable |
| Der blev registreret et forsøg på at gætte adgangskoden | En kildeenhed blev set udføre overdrevne logonforsøg på en destinationsserver. Dette kan indikere et angreb på en brutal styrke. Serveren kan være kompromitteret af en skadelig agent. Tærskel: 100 forsøg på 1 minut |
Høj | Godkendelse |
Taktik: - Tværgående bevægelse Teknikker: - T0812: Standardlegitimationsoplysninger - T0806: Brute Force I/O |
Kan ikke læres |
| PLC-scanning registreret | Der blev registreret en kildeenhed, der scanner netværksenheder. Denne enhed er ikke godkendt som en netværksscanningsenhed. Tærskel: 10 scanninger på 2 minutter |
Høj | Skan |
Taktik: -Opdagelse Teknikker: - T0842: Netværkssnøftning |
Learnable |
| Portscanning registreret | Der blev registreret en kildeenhed, der scanner netværksenheder. Denne enhed er ikke godkendt som en netværksscanningsenhed. Tærskel: 25 scanninger på 2 minutter |
Høj | Skan |
Taktik: -Opdagelse Teknikker: - T0842: Netværkssnøftning |
Learnable |
| Uventet meddelelseslængde | Kildeenheden sendte en unormal meddelelse. Denne besked kan indikere et forsøg på at angribe destinationsenheden. Tærskel: tekstlængde - 32768 |
Høj | Unormal kommunikationsfunktionsmåde |
Taktik: - InitialAccess - LateralMovement Teknikker: - T0869: Udnyttelse af fjerntjenester |
Kan ikke læres |
| Uventet trafik for Standard port* | Der blev registreret trafik på en enhed ved hjælp af en port, der er reserveret til en anden protokol. | Middel | Unormal kommunikationsfunktionsmåde |
Taktik: - Kommando og kontrol -Opdagelse Teknikker: - T0869: Standard programlagsprotokol - T0842: Netværkssnøftning |
Kan ikke læres |
Programbeskeder om protokolovertrædelse
Beskeder om protokolprogrammer beskriver registrerede afvigelser i pakkestrukturen eller feltværdier sammenlignet med protokolspecifikationer.
| Titel | Beskrivelse | Sværhedsgraden | Kategori | MITRE ATT&CK Taktik og teknikker |
Learnable |
|---|---|---|---|---|---|
| Overdrevne forkert udformede pakker i en enkelt session * | Et unormalt antal forkert udformede pakker, der er sendt fra kildeenheden til destinationsenheden. Denne besked kan indikere fejlagtig kommunikation eller et forsøg på at manipulere den målrettede enhed. Tærskel: 2 forkert udformede pakker på 10 minutter |
Middel | Ugyldige kommandoer |
Taktik: - Forringet processtyring Teknikker: - T0806: Brute Force I/O |
Kan ikke læres |
| Firmwareopdatering | En kildeenhed sendte en kommando til opdatering af firmware på en destinationsenhed. Kontrollér, at de seneste opgraderinger af programmering, konfiguration og firmware, der er foretaget til destinationsenheden, er gyldige. | Lav | Firmwareændring |
Taktik: - Hæmmende responsfunktion -Persistens Teknikker: - T0857: Systemfirmware |
Learnable |
| Funktionskode understøttes ikke af Outstation | Destinationsenheden modtog en ugyldig anmodning. | Middel | Ugyldige kommandoer |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse |
Kan ikke læres |
| Ugyldig BACNet-meddelelse | Kildeenheden har startet en ugyldig anmodning. | Middel | Ugyldige kommandoer |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0836: Rediger parameter |
Kan ikke læres |
| Ugyldigt forbindelsesforsøg på port 0 | En kildeenhed forsøgte at oprette forbindelse til destinationsenheden på portnummer nul (0). For TCP er port 0 reserveret og kan ikke bruges. For UDP er porten valgfri, og værdien 0 betyder ingen port. Der er normalt ingen tjeneste på et system, der lytter på port 0. Denne hændelse kan indikere et forsøg på at angribe destinationsenheden eller angive, at et program er programmeret forkert. | Lav | Ugyldige kommandoer |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0836: Rediger parameter |
Kan ikke læres |
| Ugyldig DNP3-handling | Kildeenheden har startet en ugyldig anmodning. | Middel | Ugyldige kommandoer |
Taktik: - Indledende adgang - Tværgående bevægelse Teknikker: - T0866: Udnyttelse af fjerntjenester |
Kan ikke læres |
| Ugyldig MODBUS-handling (undtagelse udløst af master) | Kildeenheden har startet en ugyldig anmodning. | Middel | Ugyldige kommandoer |
Taktik: - Indledende adgang - Tværgående bevægelse Teknikker: - T0866: Udnyttelse af fjerntjenester |
Kan ikke læres |
| Ugyldig MODBUS-handling (funktionskode nul) * | Kildeenheden har startet en ugyldig anmodning. | Middel | Ugyldige kommandoer |
Taktik: - Indledende adgang - Tværgående bevægelse Teknikker: - T0866: Udnyttelse af fjerntjenester |
Kan ikke læres |
| Ugyldig protokolversion * | Kildeenheden har startet en ugyldig anmodning. | Middel | Ugyldige kommandoer |
Taktik: - Indledende adgang - LateralMovement - Forringet processtyring Teknikker: - T0820: Fjerntjenester - T0836: Rediger parameter |
Kan ikke læres |
| Forkert parameter sendt til Outstation | Destinationsenheden modtog en ugyldig anmodning. | Middel | Ugyldige kommandoer |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0836: Rediger parameter |
Kan ikke læres |
| Initiering af en forældet funktionskode (initialiser data) | Kildeenheden har startet en ugyldig anmodning. | Lav | Ugyldige kommandoer |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse |
Kan ikke læres |
| Initiering af en forældet funktionskode (Gem konfiguration) | Kildeenheden har startet en ugyldig anmodning. | Lav | Ugyldige kommandoer |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse |
Kan ikke læres |
| Masteren anmodede om en bekræftelse af programlag | Kildeenheden har startet en ugyldig anmodning. | Lav | Ugyldige kommandoer |
Taktik: - Kommando og kontrol Teknikker: - T0869: Standard programlagsprotokol |
Kan ikke læres |
| Modbusundtagelse | En kildeenhed (sekundær) returnerede en undtagelse til en destinationsenhed (primær). | Middel | Ugyldige kommandoer |
Taktik: - Hæmmende responsfunktion Teknikker: - T0814: Denial of Service |
Kan ikke læres |
| Slaveenhed modtaget ulovlig ASDU-type | Destinationsenheden modtog en ugyldig anmodning. | Middel | Ugyldige kommandoer |
Taktik: - Forringet processtyring Teknikker: - T0836: Rediger parameter |
Kan ikke læres |
| Slaveenhed modtog ulovlig kommandoårsag til overførsel | Destinationsenheden modtog en ugyldig anmodning. | Middel | Ugyldige kommandoer |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0836: Rediger parameter |
Kan ikke læres |
| Slaveenhed modtog ulovlig fælles adresse | Destinationsenheden modtog en ugyldig anmodning. | Middel | Ugyldige kommandoer |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0836: Rediger parameter |
Kan ikke læres |
| Parameter for ugyldig dataadresse for slaveenhed modtaget * | Destinationsenheden modtog en ugyldig anmodning. | Middel | Ugyldige kommandoer |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0836: Rediger parameter |
Kan ikke læres |
| Parameter for ugyldig dataværdi for slaveenhed modtaget * | Destinationsenheden modtog en ugyldig anmodning. | Middel | Ugyldige kommandoer |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0836: Rediger parameter |
Kan ikke læres |
| Slaveenheden modtog en ugyldig funktionskode * | Destinationsenheden modtog en ugyldig anmodning. | Middel | Ugyldige kommandoer |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0836: Rediger parameter |
Kan ikke læres |
| Slaveenheden har modtaget en ugyldig adresse på informationsobjektet | Destinationsenheden modtog en ugyldig anmodning. | Middel | Ugyldige kommandoer |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse - T0836: Rediger parameter |
Kan ikke læres |
| Ukendt objekt sendt til outstation | Destinationsenheden modtog en ugyldig anmodning. | Middel | Ugyldige kommandoer |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse |
Kan ikke læres |
| Brug af en reserveret funktionskode | Kildeenheden har startet en ugyldig anmodning. | Middel | Ugyldige kommandoer |
Taktik: - Forringet processtyring Teknikker: - T0836: Rediger parameter |
Kan ikke læres |
| Brug af forkert formatering fra Outstation * | Kildeenheden har startet en ugyldig anmodning. | Lav | Ugyldige kommandoer |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse |
Kan ikke læres |
| Brug af IIN (Reserved Status Flags) | En DNP3-kildeenhed (outstation) brugte den reserverede interne indikator 2.6. Det anbefales at kontrollere enhedens konfiguration. | Lav | Ugyldige kommandoer |
Taktik: - Forringet processtyring Teknikker: - T0836: Rediger parameter |
Kan ikke læres |
Beskeder om malwareprogram
Beskeder om malwareprogram beskriver registreret skadelig netværksaktivitet.
| Titel | Beskrivelse | Sværhedsgraden | Kategori | MITRE ATT&CK Taktik og teknikker |
Learnable |
|---|---|---|---|---|---|
| Forbindelsesforsøg til kendt skadelig IP | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udnytter en metode, der bruges af kendt malware. Udløst af OT-netværkssensorerne. |
Høj | Mistanke om skadelig aktivitet |
Taktik: - Indledende adgang - Kommando og kontrol Teknikker: - T0883: Internettilgængelig enhed - T0884: Forbindelsesproxy |
Kan ikke læres |
| Ugyldig SMB-meddelelse (DoublePulsar-bagdørsimplantat) | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udnytter en metode, der bruges af kendt malware. | Høj | Mistanke om malware |
Taktik: - Indledende adgang - LateralMovement Teknikker: - T0866: Udnyttelse af fjerntjenester |
Kan ikke læres |
| Anmodning om skadeligt domænenavn | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udnytter en metode, der bruges af kendt malware. Udløst af OT-netværkssensorerne. |
Høj | Mistanke om skadelig aktivitet |
Taktik: - Indledende adgang - Kommando og kontrol Teknikker: - T0883: Internettilgængelig enhed - T0884: Forbindelsesproxy |
Learnable |
| Skadelig URL-sti | Der blev foretaget en anmodning til en kendt skadelig URL-sti. Anmodninger, der er foretaget for denne URL-sti, kan angive, at den kilde, der foretager anmodningen, er kompromitteret. | Høj | Mistanke om skadelig aktivitet |
Taktik: - Indledende adgang - Kommando og kontrol Teknikker: - T0883: Internettilgængelig enhed - T0884: Forbindelsesproxy |
Kan ikke læres |
| Registreret testfil til malware – EICAR AV-succes | Der blev registreret en EICAR AV-testfil i trafik mellem to enheder (via enhver transport - TCP eller UDP). Filen er ikke malware. Den bruges til at bekræfte, at antivirussoftwaren er installeret korrekt. Demonstrer, hvad der sker, når der findes en virus, og kontrollér interne procedurer og reaktioner, når der findes en virus. Antivirus software bør opdage EICAR som om det var en rigtig virus. | Høj | Mistanke om skadelig aktivitet |
Taktik: -Opdagelse Teknikker: - T0842: Netværkssnøftning |
Kan ikke læres |
| Mistanke om Conficker Malware | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udnytter en metode, der bruges af kendt malware. | Middel | Mistanke om malware |
Taktik: - Indledende adgang -Indvirkning Teknikker: - T0826: Manglende tilgængelighed - T0828: Tab af produktivitet og indtægter - T0847: Replikering via flytbare medier |
Kan ikke læres |
| Mistanke om Denial Of Service-angreb | En kildeenhed forsøgte at starte et stort antal nye forbindelser til en destinationsenhed. Dette kan indikere et DOS-angreb (Denial Of Service) mod destinationsenheden, og det kan forstyrre enhedens funktionalitet, påvirke ydeevnen og tjenestens tilgængelighed eller forårsage uoprettelige fejl. Tærskel: 3000 forsøg på 1 minut |
Høj | Mistanke om skadelig aktivitet |
Taktik: - Hæmmende responsfunktion Teknikker: - T0814: Denial of Service |
Learnable |
| Mistanke om skadelig aktivitet | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udløste kendte 'Indikatorer for kompromis' (IOCs). Beskedmetadata skal gennemses af sikkerhedsteamet. | Høj | Mistanke om skadelig aktivitet |
Taktik: - Tværgående bevægelse Teknikker: - T0867: Tværgående værktøjsoverførsel |
Kan ikke læres |
| Mistanke om skadelig aktivitet (BlackEnergy) | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udnytter en metode, der bruges af kendt malware. | Høj | Mistanke om malware |
Taktik: - Kommando og kontrol Teknikker: - T0869: Standard programlagsprotokol |
Kan ikke læres |
| Mistanke om skadelig aktivitet (DarkComet) | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udnytter en metode, der bruges af kendt malware. | Høj | Mistanke om malware |
Taktik: -Indvirkning Teknikker: - T0882: Tyveri af driftsoplysninger |
Kan ikke læres |
| Mistanke om skadelig aktivitet (Duqu) | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udnytter en metode, der bruges af kendt malware. | Høj | Mistanke om malware |
Taktik: -Indvirkning Teknikker: - T0882: Tyveri af driftsoplysninger |
Kan ikke læres |
| Mistanke om ondsindet aktivitet (Flame) | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udnytter en metode, der bruges af kendt malware. | Høj | Mistanke om malware |
Taktik: -Samling -Indvirkning Teknikker: - T0882: Tyveri af driftsoplysninger - T0811: Data fra informationslagre |
Kan ikke læres |
| Mistanke om skadelig aktivitet (Havex) | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udnytter en metode, der bruges af kendt malware. | Høj | Mistanke om malware |
Taktik: -Samling -Opdagelse - Hæmmende responsfunktion Teknikker: - T0861: Nummer & mærkeidentifikation - T0846: Fjernsystemregistrering - T0814: Denial of Service |
Kan ikke læres |
| Mistanke om ondsindet aktivitet (Karagany) | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udnytter en metode, der bruges af kendt malware. | Høj | Mistanke om malware |
Taktik: -Indvirkning Teknikker: - T0882: Tyveri af driftsoplysninger |
Kan ikke læres |
| Mistanke om skadelig aktivitet (LightsOut) | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udnytter en metode, der bruges af kendt malware. | Høj | Mistanke om malware |
Taktik: -Unddragelse Teknikker: - T0849: Masquerading |
Kan ikke læres |
| Mistanke om skadelig aktivitet (navneforespørgsler) | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udnytter en metode, der bruges af kendt malware. Tærskel: 25 navneforespørgsler på 1 minut |
Høj | Mistanke om skadelig aktivitet |
Taktik: - Kommando og kontrol Teknikker: - T0884: Forbindelsesproxy |
Kan ikke læres |
| Mistanke om ondsindet aktivitet (Poison Ivy) | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udnytter en metode, der bruges af kendt malware. | Høj | Mistanke om malware |
Taktik: - Indledende adgang - Tværgående bevægelse Teknikker: - T0866: Udnyttelse af fjerntjenester |
Kan ikke læres |
| Mistanke om skadelig aktivitet (Regin) | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udnytter en metode, der bruges af kendt malware. | Høj | Mistanke om malware |
Taktik: - Indledende adgang - Tværgående bevægelse -Indvirkning Teknikker: - T0866: Udnyttelse af fjerntjenester - T0882: Tyveri af driftsoplysninger |
Kan ikke læres |
| Mistanke om skadelig aktivitet (Stuxnet) | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udnytter en metode, der bruges af kendt malware. | Høj | Mistanke om malware |
Taktik: - Indledende adgang - Tværgående bevægelse -Indvirkning Teknikker: - T0818: Kompromis med engineeringsarbejdsstation - T0866: Udnyttelse af fjerntjenester - T0831: Manipulation af kontrol |
Kan ikke læres |
| Mistanke om skadelig aktivitet (WannaCry) * | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udnytter en metode, der bruges af kendt malware. | Middel | Mistanke om malware |
Taktik: - Indledende adgang - Tværgående bevægelse Teknikker: - T0866: Udnyttelse af fjerntjenester - T0867: Tværgående værktøjsoverførsel |
Kan ikke læres |
| Mistanke om NotPetya Malware - Ulovlige registrerede SMB-parametre | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udnytter en metode, der bruges af kendt malware. | Høj | Mistanke om malware |
Taktik: - Indledende adgang - Tværgående bevægelse Teknikker: - T0866: Udnyttelse af fjerntjenester |
Kan ikke læres |
| Mistanke om NotPetya Malware - Ulovlig SMB Transaktion registreret | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udnytter en metode, der bruges af kendt malware. | Høj | Mistanke om malware |
Taktik: - Tværgående bevægelse Teknikker: - T0867: Tværgående værktøjsoverførsel |
Kan ikke læres |
| Mistanke om fjernudførelse af kode med PsExec | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udnytter en metode, der bruges af kendt malware. | Høj | Mistanke om skadelig aktivitet |
Taktik: - Tværgående bevægelse - Indledende adgang Teknikker: - T0866: Udnyttelse af fjerntjenester |
Kan ikke læres |
| Mistanke om fjernadministration af Windows-tjeneste * | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udnytter en metode, der bruges af kendt malware. | Høj | Mistanke om skadelig aktivitet |
Taktik: - Indledende adgang Teknikker: - T0822: Netværk Eksterne fjerntjenester |
Kan ikke læres |
| Mistænkelig eksekverbar fil fundet på slutpunktet | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udnytter en metode, der bruges af kendt malware. | Høj | Mistanke om skadelig aktivitet |
Taktik: -Unddragelse - Hæmmende responsfunktion Teknikker: - T0851: Rootkit |
Learnable |
| Mistænkelig trafik registreret * | Der blev registreret mistænkelig netværksaktivitet. Denne aktivitet kan være knyttet til et angreb, der udløste kendte 'Indikatorer for kompromis' (IOCs). Beskedmetadata skal gennemses af sikkerhedsteamet | Høj | Mistanke om skadelig aktivitet |
Taktik: -Opdagelse Teknikker: - T0842: Netværkssnøftning |
Kan ikke læres |
| Sikkerhedskopieringsaktivitet med antivirussignaturer | Den trafik, der blev registreret mellem kildeenheden og destinationssikkerhedsserveren, udløste denne besked. Trafikken omfatter sikkerhedskopiering af antivirussoftware, der kan indeholde malwaresignaturer. Dette er sandsynligvis legitim sikkerhedskopieringsaktivitet. | Lav | Backup |
Taktik: -Indvirkning Teknikker: - T0882: Tyveri af driftsoplysninger |
Kan ikke læres |
Beskeder om driftsprogram
Beskeder om driftsprogram beskriver registrerede driftshændelser eller enheder, der ikke fungerer korrekt.
| Titel | Beskrivelse | Sværhedsgraden | Kategori | MITRE ATT&CK Taktik og teknikker |
Learnable |
|---|---|---|---|---|---|
| Der blev sendt en S7 Stop PLC-kommando | Kildeenheden sendte en stopkommando til en destinationscontroller. Controlleren holder op med at fungere, indtil der sendes en startkommando. | Lav | Kommandoer til genstart/stop |
Taktik: - Tværgående bevægelse - Forsvarsunddragelse -Udførelse - Hæmmende responsfunktion Teknikker: - T0843: Programdownload - T0858: Skift driftstilstand - T0814: Denial of Service |
Kan ikke læres |
| BACNet-handlingen mislykkedes | En server returnerede en fejlkode. Denne besked angiver en serverfejl eller en ugyldig anmodning fra en klient. | Middel | Kommandofejl |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse |
Kan ikke læres |
| Dårlig MMS-enhedstilstand | En VMD (Virtual Manufacturing Device) til MMS sendte en statusmeddelelse. Meddelelsen angiver, at serveren muligvis ikke er konfigureret korrekt, delvist driftsmæssigt eller slet ikke fungerer korrekt. | Middel | Driftsproblemer |
Taktik: - Hæmmende responsfunktion Teknikker: - T0814: Denial of Service |
Kan ikke læres |
| Ændring af enhedskonfiguration * | Der blev fundet en konfigurationsændring på en kildeenhed. | Lav | Konfigurationsændringer |
Taktik: - Forringet processtyring Teknikker: - T0836: Rediger parameter |
Kan ikke læres |
| Fortløbende hændelsesbufferoverløb ved outstation * | Der blev fundet en bufferoverløbshændelse på en kildeenhed. Hændelsen kan medføre beskadigelse af data, programnedbrud eller udførelse af skadelig kode. Tærskel: 3 forekomster på 10 minutter |
Middel | Bufferoverløb |
Taktik: - Hæmmende responsfunktion - Forringet processtyring -Persistens Teknikker: - T0814: Denial of Service - T0806: Brute Force I/O - T0839: Modulfirmware |
Kan ikke læres |
| Nulstilling af controller | En kildeenhed sendte en nulstillingskommando til en destinationscontroller. Controlleren stoppede midlertidigt og startede igen automatisk. | Lav | Kommandoer til genstart/stop |
Taktik: - Forsvarsunddragelse -Udførelse - Hæmmende responsfunktion Teknikker: - T0858: Skift driftstilstand - T0814: Denial of Service |
Kan ikke læres |
| Controller Stop | Kildeenheden sendte en stopkommando til en destinationscontroller. Controlleren holder op med at fungere, indtil der sendes en startkommando. | Lav | Kommandoer til genstart/stop |
Taktik: - Tværgående bevægelse - Forsvarsunddragelse -Udførelse - Hæmmende responsfunktion Teknikker: - T0843: Programdownload - T0858: Skift driftstilstand - T0814: Denial of Service |
Kan ikke læres |
| Enheden kunne ikke modtage en dynamisk IP-adresse | Kildeenheden er konfigureret til at modtage en dynamisk IP-adresse fra en DHCP-server, men har ikke modtaget en adresse. Dette angiver en konfigurationsfejl på enheden eller en driftsfejl på DHCP-serveren. Det anbefales at give netværksadministratoren besked om hændelsen | Middel | Kommandofejl |
Taktik: -Opdagelse Teknikker: - T0842: Netværkssnøftning |
Kan ikke læres |
| Enheden mistænkes for at være afbrudt (svarer ikke) | En kildeenhed svarede ikke på en kommando, der blev sendt til den. Forbindelsen blev muligvis afbrudt, da kommandoen blev sendt. Tærskel: 8 forsøg på 5 minutter |
Middel | Unresponsive |
Taktik: - Hæmmende responsfunktion Teknikker: - T0881: Servicestop |
Kan ikke læres |
| EtherNet/IP CIP-tjenesteanmodningen mislykkedes | En server returnerede en fejlkode. Dette angiver en serverfejl eller en ugyldig anmodning fra en klient. | Middel | Kommandofejl |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse |
Kan ikke læres |
| EtherNet/IP-indkapslingsprotokolkommandoen mislykkedes | En server returnerede en fejlkode. Dette angiver en serverfejl eller en ugyldig anmodning fra en klient. | Middel | Kommandofejl |
Taktik: -Samling Teknikker: - T0801: Overvåg procestilstand |
Kan ikke læres |
| Hændelsesbufferoverløb i outstation | Der blev fundet en bufferoverløbshændelse på en kildeenhed. Hændelsen kan medføre beskadigelse af data, programnedbrud eller udførelse af skadelig kode. | Middel | Bufferoverløb |
Taktik: - Hæmmende responsfunktion - Forringet processtyring -Persistens Teknikker: - T0814: Denial of Service - T0839: Modulfirmware |
Kan ikke læres |
| Den forventede sikkerhedskopiering blev ikke udført | Den forventede sikkerhedskopierings-/filoverførselsaktivitet fandt ikke sted mellem to enheder. Denne besked kan indikere fejl i processen til sikkerhedskopiering/filoverførsel. Tærskel: 100 sekunder |
Middel | Backup |
Taktik: - Hæmmende responsfunktion Teknikker: - T0809: Ødelæggelse af data |
Learnable |
| FEJL i GE SRTP-kommando | En server returnerede en fejlkode. Denne besked angiver en serverfejl eller en ugyldig anmodning fra en klient. | Middel | Kommandofejl |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse |
Kan ikke læres |
| KOMMANDOEN GE SRTP Stop PLC blev sendt | Kildeenheden sendte en stopkommando til en destinationscontroller. Controlleren holder op med at fungere, indtil der sendes en startkommando. | Lav | Kommandoer til genstart/stop |
Taktik: - Tværgående bevægelse - Forsvarsunddragelse -Udførelse - Hæmmende responsfunktion Teknikker: - T0843: Programdownload - T0858: Skift driftstilstand - T0814: Denial of Service |
Kan ikke læres |
| GOOSE-kontrolblok kræver yderligere konfiguration | En kildeenhed sendte en GOOSE-meddelelse, der angiver, at enheden skal idriftsættelse. Det betyder, at GOOSE-kontrolblokken kræver yderligere konfiguration, og GOOSE-meddelelser er helt eller delvist ikke driftsklare. | Middel | Konfigurationsændringer |
Taktik: - Forringet processtyring - Hæmmende responsfunktion Teknikker: - T0803: Bloker kommandomeddelelse - T0821: Rediger controlleropgave |
Kan ikke læres |
| Konfigurationen af GOOSE-datasæt blev ændret * | En meddelelse (identificeret af protokol-id) datasæt blev ændret på en kildeenhed. Det betyder, at enheden rapporterer et andet datasæt for denne meddelelse. | Lav | Konfigurationsændringer |
Taktik: - Forringet processtyring Teknikker: - T0836: Rediger parameter |
Kan ikke læres |
| Honeywell Controller Uventet status | En Honeywell Controller sendte en uventet diagnosticeringsmeddelelse, der angiver en statusændring. | Lav | Driftsproblemer |
Taktik: -Unddragelse -Udførelse Teknikker: - T0858: Skift driftstilstand |
Kan ikke læres |
| HTTP-klientfejl * | Kildeenheden har startet en ugyldig anmodning. | Lav | Unormal funktionsmåde for HTTP-kommunikation |
Taktik: - Kommando og kontrol Teknikker: - T0869: Standard programlagsprotokol |
Kan ikke læres |
| Ugyldig IP-adresse | Systemet har registreret trafik mellem en kildeenhed og en IP-adresse, der er en ugyldig adresse. Dette kan indikere en forkert konfiguration eller et forsøg på at generere ulovlig trafik. | Lav | Unormal kommunikationsfunktionsmåde |
Taktik: -Opdagelse - Forringet processtyring Teknikker: - T0842: Netværkssnøftning - T0836: Rediger parameter |
Kan ikke læres |
| Fejl ved master-slave-godkendelse | Godkendelsesprocessen mellem en DNP3-kildeenhed (primær) og en destinationsenhed (outstation) mislykkedes. | Lav | Godkendelse |
Taktik: - Tværgående bevægelse -Persistens Teknikker: - T0859: Gyldige konti |
Kan ikke læres |
| MMS-tjenesteanmodningen mislykkedes | En server returnerede en fejlkode. Dette angiver en serverfejl eller en ugyldig anmodning fra en klient. | Middel | Kommandofejl |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse |
Kan ikke læres |
| Der blev ikke registreret trafik på sensorgrænsefladen | En sensor stoppede med at registrere netværkstrafik på en netværksgrænseflade. | Høj | Sensortrafik |
Taktik: - Hæmmende responsfunktion Teknikker: - T0881: Servicestop |
Kan ikke læres |
| OPC UA-server har rejst en hændelse, der kræver brugerens opmærksomhed | En OPC UA-server sendte en hændelsesmeddelelse til en klient. Denne type hændelse kræver bruger opmærksomhed | Middel | Driftsproblemer |
Taktik: - Hæmmende responsfunktion Teknikker: - T0838: Rediger alarmindstillinger |
Kan ikke læres |
| OPC UA-tjenesteanmodningen mislykkedes | En server returnerede en fejlkode. Dette angiver en serverfejl eller en ugyldig anmodning fra en klient. | Middel | Kommandofejl |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse |
Kan ikke læres |
| Outstation genstartet | Der blev fundet en kold genstart på en kildeenhed. Det betyder, at enheden fysisk blev slukket og tændt igen. | Lav | Kommandoer til genstart/stop |
Taktik: - Hæmmende responsfunktion Teknikker: - T0816: Genstart/lukning af enhed |
Kan ikke læres |
| Outstation genstartes ofte | Der blev registreret et stort antal kolde genstart på en kildeenhed. Det betyder, at enheden fysisk blev slukket og tændt igen et stort antal gange. Tærskel: 2 genstarter på 10 minutter |
Lav | Kommandoer til genstart/stop |
Taktik: - Hæmmende responsfunktion Teknikker: - T0814: Denial of Service - T0816: Genstart/lukning af enhed |
Kan ikke læres |
| Konfigurationen af outstation er ændret | Der blev fundet en konfigurationsændring på en kildeenhed. | Middel | Konfigurationsændringer |
Taktik: - Hæmmende responsfunktion -Persistens Teknikker: - T0857: Systemfirmware |
Kan ikke læres |
| Der blev registreret en beskadiget konfiguration for outstation | Denne DNP3-kildeenhed (outstation) rapporterede en beskadiget konfiguration. | Middel | Konfigurationsændringer |
Taktik: - Hæmmende responsfunktion Teknikker: - T0809: Ødelæggelse af data |
Kan ikke læres |
| Profinet DCP-kommandoen mislykkedes | En server returnerede en fejlkode. Dette angiver en serverfejl eller en ugyldig anmodning fra en klient. | Middel | Kommandofejl |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse |
Kan ikke læres |
| Nulstil profinetenhedsfabrik | En kildeenhed sendte en fabriksnulstillingskommando til en Profinet-destinationsenhed. Nulstillingskommandoen rydder Profinet-enhedskonfigurationer og stopper handlingen. | Lav | Kommandoer til genstart/stop |
Taktik: - Forsvarsunddragelse -Udførelse - Hæmmende responsfunktion Teknikker: - T0858: Skift driftstilstand - T0814: Denial of Service |
Kan ikke læres |
| RPC-handlingen mislykkedes * | En server returnerede en fejlkode. Denne besked angiver en serverfejl eller en ugyldig anmodning fra en klient. | Middel | Kommandofejl |
Taktik: - Forringet processtyring Teknikker: - T0855: Uautoriseret kommandomeddelelse |
Kan ikke læres |
| Konfiguration af eksempelværdier Meddelelsesdatasæt blev ændret * | En meddelelse (identificeret af protokol-id) datasæt blev ændret på en kildeenhed. Det betyder, at enheden rapporterer et andet datasæt for denne meddelelse. | Lav | Konfigurationsændringer |
Taktik: - Forringet processtyring Teknikker: - T0836: Rediger parameter |
Kan ikke læres |
| Der opstod en uoprettelig slaveenhedsfejl * | Der blev fundet en uoprettelig tilstandsfejl på en kildeenhed. Denne type fejl angiver normalt en hardwarefejl eller en fejl under udførelse af en bestemt kommando. | Middel | Kommandofejl |
Taktik: - Hæmmende responsfunktion Teknikker: - T0814: Denial of Service |
Kan ikke læres |
| Mistanke om hardwareproblemer i Outstation | Der blev fundet en uoprettelig tilstandsfejl på en kildeenhed. Denne type fejl angiver normalt en hardwarefejl eller en fejl under udførelse af en bestemt kommando. | Middel | Driftsproblemer |
Taktik: - Hæmmende responsfunktion Teknikker: - T0814: Denial of Service - T0881: Servicestop |
Kan ikke læres |
| Mistanke om, at MODBUS-enheden ikke svarer | En kildeenhed svarede ikke på en kommando, der blev sendt til den. Forbindelsen blev muligvis afbrudt, da kommandoen blev sendt. Tærskel: Mindst 1 gyldigt svar i mindst 3 anmodninger inden for 5 minutter |
Lav | Unresponsive |
Taktik: - Hæmmende responsfunktion Teknikker: - T0881: Servicestop |
Kan ikke læres |
| Trafik, der er registreret på sensorgrænsefladen | En sensor genoptog registreringen af netværkstrafik på en netværksgrænseflade. | Lav | Sensortrafik |
Taktik: -Opdagelse Teknikker: - T0842: Netværkssnøftning |
Kan ikke læres |
| PLC-driftstilstand ændret | Driftstilstanden på denne PLC er ændret. Den nye tilstand kan indikere, at PLC'en ikke er sikker. Hvis plc'en efterlades i en usikker driftstilstand, kan det give modstandere mulighed for at udføre skadelige aktiviteter på den, f.eks. et programdownload. Hvis PLC'en kompromitteres, kan enheder og processer, der interagerer med den, blive påvirket. Dette kan påvirke den overordnede systemsikkerhed og -sikkerhed. | Lav | Konfigurationsændringer |
Taktik: -Udførelse -Unddragelse Teknikker: - T0858: Skift driftstilstand |
Kan ikke læres |
Næste trin
Du kan finde flere oplysninger under:
- Få vist og administrer beskeder på Defender for IoT-portalen
- Få vist beskeder på din sensor
- Sæt fart på arbejdsprocesser for beskeder
- Videresend beskedoplysninger
- Arbejd med beskeder i administrationskonsollen i det lokale miljø
- API-reference til administration af beskeder for administrationskonsoller i det lokale miljø
- API-reference til administration af advarsler for OT-overvågningssensorer