Referenz zu Microsoft Defender für IoT-Warnungen

Dieser Artikel enthält eine Referenz zu den Warnungen, die von Microsoft Defender für IoT-Netzwerksensoren generiert werden, einschließlich einer Liste aller Warnungstypen und Beschreibungen. Die Referenz zeigt auch, welche Warnungen als erlernbar oder nicht selektiert werden können. Weitere Informationen zu den lernbaren status finden Sie unter Warnungsstatus und Selektierungsoptionen. Sie können diesen Verweis verwenden, um Warnungen playbooks zuzuordnen, Weiterleitungsregeln für einen OT-Netzwerksensor (Operational Technology) oder andere benutzerdefinierte Aktivitäten zu definieren.

OT-Warnungen standardmäßig deaktiviert

Mehrere Warnungen sind standardmäßig deaktiviert, wie durch Sternchen (*) in den folgenden Tabellen angegeben. OT-Sensor Admin Benutzer können Warnungen auf der Seite Support auf einem bestimmten OT-Netzwerksensor aktivieren oder deaktivieren.

Wenn Sie Warnungen deaktivieren, auf die an anderen Stellen verwiesen wird, z. B. Warnungsweiterleitungsregeln, sollten Sie diese Verweise nach Bedarf aktualisieren.

Warnungsschweregrade

Defender für IoT-Warnungen verwenden die folgenden Schweregrade:

Azure-Portal	OT-Sensor	Beschreibung
High	Critical	Gibt einen böswilligen Angriff an, der sofort behandelt werden sollte.
Medium	Major	Gibt eine Sicherheitsgefahr an, deren Behebung wichtig ist.
Niedrig	Neben,Warnung	Gibt eine Abweichung vom baseline-Verhalten an, das möglicherweise eine Sicherheitsbedrohung oder keine Sicherheitsbedrohungen enthält.

Warnungsschweregrade auf dieser Seite listen den Schweregrad auf, wie im Azure-Portal.

Unterstützte Warnungstypen

Alarmtyp	Beschreibung
Warnungen zu Richtlinienverstößen	Wird ausgelöst, wenn das Richtlinienverletzungsmodul eine Abweichung vom zuvor gelernten Datenverkehr erkennt. Zum Beispiel: – Ein neues Gerät wird erkannt. – Auf einem Gerät wird eine neue Konfiguration erkannt. – Ein Gerät, das nicht als Programmiergerät definiert ist, führt eine Programmieränderung aus. – Eine geänderte Firmwareversion.
Warnungen zu Protokollverletzungen	Wird ausgelöst, wenn die Protokollverletzungs-Engine Paketstrukturen oder Feldwerte erkennt, die nicht der Protokollspezifikation entsprechen.
Betriebswarnungen	Wird ausgelöst, wenn die Betriebs-Engine Netzwerkbetriebsvorfälle oder eine Fehlfunktion eines Geräts erkennt. Beispielsweise wurde ein Netzwerkgerät über den Befehl SPS beenden angehalten, oder eine Schnittstelle auf einem Sensor hat den Datenverkehr nicht mehr überwacht.
Schadsoftwarewarnungen	Wird ausgelöst, wenn die Malware-Engine schädliche Netzwerkaktivitäten erkennt. Die Engine erkennt beispielsweise einen bekannten Angriff wie Conficker.
Anomaliewarnungen	Wird ausgelöst, wenn die Anomalie-Engine eine Abweichung erkennt. Ein Gerät führt beispielsweise Netzwerkscans durch, ist aber nicht als Scangerät definiert.

Die Warnungserkennungsrichtlinie von Defender für IoT steuert die verschiedenen Warnungs-Engines, um Warnungen basierend auf geschäftlichen Auswirkungen und Netzwerkkontext auszulösen und IT-bezogene Warnungen mit geringem Wert zu reduzieren. Weitere Informationen finden Sie unter Fokussierte Warnungen in OT/IT-Umgebungen.

Unterstützte Warnungskategorien

Jede Warnung weist eine der folgenden Kategorien auf:

Ungewöhnliches Kommunikationsverhalten
Ungewöhnliches HTTP-Kommunikationsverhalten
Authentifizierung
Sicherung
Bandbreitenanomalien
Pufferüberlauf
Befehlsfehler
Konfigurationsänderungen
Benutzerdefinierte Warnungen
Suche
Firmwareänderung
Unzulässige Befehle

Internetzugang
Vorgangsfehler
Betriebsprobleme
Programmierung
Remotezugriff
Neustart/Beenden von Befehlen
Überprüfung
Sensordatenverkehr
Verdacht auf böswillige Aktivität
Verdacht auf Schadsoftware
Nicht autorisiertes Kommunikationsverhalten
Reagiert

Warnungen der Richtlinien-Engine

Warnungen der Richtlinien-Engine beschreiben erkannte Abweichungen vom gelernten Baselineverhalten.

Die Warnungstabelle der Richtlinien-Engine enthält das Aggregierte Element, um anzugeben, dass mehrere Warnungen dieses Typs gruppiert und nur einmal auf der Seite Warnungen aufgelistet werden können, um die Warnungsermüdung zu reduzieren. Weitere Informationen finden Sie unter Aggregierte Warnungen.

Titel	Beschreibung	Severity	Kategorie	MITRE ATT&CK Taktiken und Techniken	Lernfähige	Aggregierte Verstöße
Beckhoff Software geändert	Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren.	Mittel	Firmwareänderung	Taktik: - Hemmung der Antwortfunktion -Persistenz Techniken: - T0857: Systemfirmware	Lernfähige	Nein
Fehler bei der Datenbankanmeldung	Es wurde ein fehlgeschlagener Anmeldeversuch von einem Quellgerät bei einem Zielserver erkannt. Dies kann das Ergebnis eines menschlichen Fehlers sein, kann aber auch auf einen böswilligen Versuch hinweisen, den Server oder die Daten darauf zu kompromittieren. Schwellenwert: 2 Anmeldefehler in 5 Minuten	Mittel	Authentifizierung	Taktik: -Lateralverschiebung -Auflistung Techniken: – T0812: Standardanmeldeinformationen - T0811: Daten aus Informationsrepositorys	Nicht erlernbar	Nein
Emerson ROC Firmware-Version geändert	Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren.	Mittel	Firmwareänderung	Taktik: - Hemmung der Antwortfunktion -Persistenz Techniken: - T0857: Systemfirmware	Lernfähige	Ja
Externe Adresse innerhalb des Netzwerks, die mit dem Internet kommuniziert wird	Ein Internetgerät, das mit einem anderen Internetgerät im Netzwerk kommuniziert.	Hoch	Internetzugang	Taktik: – Erstzugriff Techniken: - T0883: Gerät mit Internetzugriff	Lernfähige	Nein
Feldgerät unerwartet erkannt	Im Netzwerk wurde ein neues Quellgerät erkannt, ist aber nicht autorisiert.	Mittel	Suche	Taktik: -Entdeckung Techniken: - T0842: Netzwerkermittlung	Nicht erlernbar	Nein
Firmwareänderung erkannt	Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren.	Mittel	Firmwareänderung	Taktik: - Hemmung der Antwortfunktion -Persistenz Techniken: - T0857: Systemfirmware	Nicht erlernbar	Nein
Firmwareversion geändert	Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren.	Mittel	Firmwareänderung	Taktik: - Hemmung der Antwortfunktion -Persistenz Techniken: - T0857: Systemfirmware	Lernfähige	Ja
Foxboro-I/A-Nicht autorisierter Vorgang	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Lernfähige	Ja
Fehler bei der FTP-Anmeldung	Es wurde ein fehlgeschlagener Anmeldeversuch von einem Quellgerät bei einem Zielserver erkannt. Diese Warnung kann das Ergebnis eines menschlichen Fehlers sein, kann aber auch auf einen böswilligen Versuch hinweisen, den Server oder die darin gespeicherten Daten zu kompromittieren.	Mittel	Authentifizierung	Taktik: -Lateralverschiebung - Befehl und Kontrolle Techniken: – T0812: Standardanmeldeinformationen – T0869: Standard Application Layer Protocol	Nicht erlernbar	Nein
Funktionscode hat nicht autorisierte Ausnahme ausgelöst *	Ein Quellgerät (sekundär) hat eine Ausnahme an ein Zielgerät (primär) zurückgegeben.	Mittel	Befehlsfehler	Taktik: - Hemmung der Antwortfunktion Techniken: - T0835: E/A-Bild bearbeiten	Lernfähige	Ja
Einstellungen für den GOOSE-Nachrichtentyp	Nachrichteneinstellungen (identifiziert durch Protokoll-ID) wurden auf einem Quellgerät geändert.	Niedrig	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0836: Parameter ändern	Lernfähige	Ja
Honeywell Firmware-Version geändert	Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren.	Mittel	Firmwareänderung	Taktik: - Hemmung der Antwortfunktion -Persistenz Techniken: - T0857: Systemfirmware	Lernfähige	Nein
Unzulässige HTTP-Kommunikation *	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Ungewöhnliches HTTP-Kommunikationsverhalten	Taktik: -Entdeckung Techniken: - T0846: Remotesystemermittlung	Lernfähige	Nein
Internetzugriff erkannt	Ein internes Gerät hat unerwartet versucht, eine ausgehende Internetverbindung herzustellen.	Mittel	Internetzugang	Taktik: – Erstzugriff Techniken: - T0883: Gerät mit Internetzugriff	Lernfähige	Nein
Mitsubishi Firmware-Version geändert	Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren.	Mittel	Firmwareänderung	Taktik: - Hemmung der Antwortfunktion -Persistenz Techniken: - T0857: Systemfirmware	Lernfähige	Nein
Modbus-Adressbereichsverletzung	Ein primäres Gerät hat Zugriff auf eine neue sekundäre Speicheradresse angefordert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: -Entdeckung Techniken: - T0842: Netzwerkermittlung	Lernfähige	Ja
Modbus Firmware-Version geändert	Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren.	Mittel	Firmwareänderung	Taktik: - Hemmung der Antwortfunktion -Persistenz Techniken: - T0857: Systemfirmware	Lernfähige	Nein
Neue Aktivität erkannt: CIP-Klasse	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: -Entdeckung Techniken: - T0888: Remote System Information Discovery	Lernfähige	Ja
Neue Aktivität erkannt – CIP-Klassendienst	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Hemmung der Antwortfunktion Techniken: - T0836: Parameter ändern	Lernfähige	Ja
Neue Aktivität erkannt : CIP PCCC-Befehl	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Hemmung der Antwortfunktion Techniken: - T0836: Parameter ändern	Lernfähige	Ja
Neue Aktivität erkannt: CIP-Symbol	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung - Hemmung der Antwortfunktion Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Lernfähige	Ja
Neue Aktivität erkannt: EtherNet/IP-E/A-Verbindung	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: -Entdeckung - Hemmung der Antwortfunktion Techniken: - T0846: Remotesystemermittlung - T0835: E/A-Bild bearbeiten	Lernfähige	Ja
Neue Aktivität erkannt: EtherNet/IP-Protokollbefehl	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Hemmung der Antwortfunktion Techniken: - T0836: Parameter ändern	Lernfähige	Ja
Neue Aktivität erkannt – GSM-Nachrichtencode	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: – CommandAndControl Techniken: – T0869: Standard Application Layer Protocol	Lernfähige	Ja
Neue Aktivität erkannt – LonTalk-Befehlscodes	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: -Auflistung - Beeinträchtigung der Prozesssteuerung Techniken: - T0861 – Punkt & Tagidentifikation - T0855: Nicht autorisierte Befehlsnachricht	Lernfähige	Ja
Neue Aktivität erkannt– LonTalk-Netzwerkvariable	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht	Lernfähige	Ja
Neue Aktivität erkannt – Ovation Data Request	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: -Auflistung -Entdeckung Techniken: - T0801: Überwachen des Prozesszustands - T0888: Remote System Information Discovery	Lernfähige	Ja
Neue Aktivität erkannt – Befehl mit Lese-/Schreibzugriff (AMS-Indexgruppe)	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Konfigurationsänderungen	Taktik: - Beeinträchtigung der Prozesssteuerung - Hemmung der Antwortfunktion Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Lernfähige	Ja
Neue Aktivität erkannt – Befehl mit Lese-/Schreibzugriff (AMS-Indexoffset)	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Konfigurationsänderungen	Taktik: - Beeinträchtigung der Prozesssteuerung - Hemmung der Antwortfunktion Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Lernfähige	Ja
Neue Aktivität erkannt – Nicht autorisierter DeltaV-Nachrichtentyp	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertaskvorgang ändern	Lernfähige	Ja
Neue Aktivität erkannt – Nicht autorisierter DeltaV-ROC-Vorgang	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertaskvorgang ändern	Lernfähige	Ja
Neue Aktivität erkannt : Nicht autorisierter RPC-Nachrichtentyp	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht	Lernfähige	Ja
Neue Aktivität erkannt: Verwenden des AMS-Protokollbefehls	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung - Hemmung der Antwortfunktion -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern - T0821: Controllertaskvorgang ändern	Lernfähige	Ja
Neue Aktivität erkannt – Verwenden des Siemens SICAM-Befehls	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung - Hemmung der Antwortfunktion Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Lernfähige	Ja
Neue Aktivität erkannt: Verwenden des Suitelink-Protokollbefehls	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung - Hemmung der Antwortfunktion Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Lernfähige	Ja
Neue Aktivität erkannt: Verwenden von Suitelink-Protokollsitzungen	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0836: Parameter ändern	Lernfähige	Ja
Neue Aktivität erkannt: Verwenden des Yokogawa-VNetIP-Befehls	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertaskvorgang ändern	Lernfähige	Ja
Neues Medienobjekt erkannt	Im Netzwerk wurde ein neues Quellgerät erkannt, ist aber nicht autorisiert. Diese Warnung gilt für Geräte, die in OT-Subnetzen ermittelt werden. Neue Geräte, die in IT-Subnetzen entdeckt werden, lösen keine Warnung aus.	Mittel	Suche	Taktik: -Entdeckung Techniken: - T0842: Netzwerkermittlung	Lernfähige	Nein
Neue LLDP-Gerätekonfiguration	Im Netzwerk wurde ein neues Quellgerät erkannt, ist aber nicht autorisiert.	Mittel	Konfigurationsänderungen	Taktik: -Entdeckung Techniken: - T0842: Netzwerkermittlung	Lernfähige	Nein
Omron FINS Unauthorized-Befehl	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Lernfähige	Ja
S7 Plus PLC Firmware geändert	Firmware wurde auf einem Quellgerät aktualisiert. Dies kann eine autorisierte Aktivität sein, z. B. ein geplantes Wartungsverfahren.	Mittel	Firmwareänderung	Taktik: - Hemmung der Antwortfunktion -Persistenz Techniken: - T0857: Systemfirmware	Lernfähige	Nein
Nachrichtentypeinstellungen für Stichprobenwerte	Nachrichteneinstellungen (identifiziert durch Protokoll-ID) wurden auf einem Quellgerät geändert.	Niedrig	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0836: Parameter ändern	Nicht erlernbar	Ja
Verdacht auf illegale Integritätsüberprüfung *	Auf einem DNP3-Quellgerät (Outstation) wurde eine Überprüfung erkannt. Diese Überprüfung wurde nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert.	Mittel	Überprüfung	Taktik: -Entdeckung Techniken: - T0842: Netzwerkermittlung	Lernfähige	Nein
Befehl "Toshiba Computer Link Unauthorized" (Nicht autorisiert)	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Niedrig	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertaskvorgang ändern	Lernfähige	Ja
Nicht autorisierter ABB Totalflow-Dateivorgang	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertaskvorgang ändern	Nicht erlernbar	Ja
Nicht autorisierter ABB Totalflow-Registervorgang	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertaskvorgang ändern	Nicht erlernbar	Ja
Nicht autorisierter Zugriff auf Siemens S7-Datenblock	Ein Quellgerät hat versucht, auf eine Ressource auf einem anderen Gerät zuzugreifen. Ein Zugriffsversuch auf diese Ressource zwischen diesen beiden Geräten ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert.	Niedrig	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung – Erstzugriff Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0811: Daten aus Informationsrepositorys	Lernfähige	Ja
Nicht autorisierter Zugriff auf Siemens S7 Plus-Objekt	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung -Ausführung - Hemmung der Antwortfunktion Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertaskvorgang ändern - T0809: Datenvernichtung	Lernfähige	Ja
Nicht autorisierter Zugriff auf das Wonderware-Tag	Ein Quellgerät hat versucht, auf eine Ressource auf einem anderen Gerät zuzugreifen. Ein Zugriffsversuch auf diese Ressource zwischen diesen beiden Geräten ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: -Auflistung - Beeinträchtigung der Prozesssteuerung Techniken: - T0861: Point & Tag Identification - T0855: Nicht autorisierte Befehlsnachricht	Lernfähige	Ja
Nicht autorisierter BACNet-Objektzugriff	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertaskvorgang ändern	Lernfähige	Ja
Nicht autorisierte BACNet-Route	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertaskvorgang ändern	Lernfähige	Ja
Nicht autorisierte Datenbankanmeldung *	Es wurde ein Anmeldeversuch zwischen einem Quellclient und einem Zielserver erkannt. Die Kommunikation zwischen diesen Geräten ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert.	Mittel	Authentifizierung	Taktik: -Lateralverschiebung -Persistenz -Auflistung Techniken: - T0859: Gültige Konten - T0811: Daten aus Informationsrepositorys	Lernfähige	Nein
Nicht autorisierter Datenbankvorgang	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Ungewöhnliches Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung – Erstzugriff Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0811: Daten aus Informationsrepositorys	Lernfähige	Ja
Nicht autorisierter Emerson-ROC-Vorgang	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertaskvorgang ändern	Lernfähige	Ja
Nicht autorisierter GE SRTP-Dateizugriff	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: -Auflistung - LateralMovement -Persistenz Techniken: - T0801: Überwachen des Prozesszustands - T0859: Gültige Konten	Lernfähige	Ja
Nicht autorisierter GE SRTP-Protokollbefehl	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertaskvorgang ändern	Lernfähige	Ja
Nicht autorisierter GE SRTP-Systemspeichervorgang	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: -Entdeckung - Beeinträchtigung der Prozesssteuerung Techniken: - T0846: Remotesystemermittlung - T0855: Nicht autorisierte Befehlsnachricht	Lernfähige	Ja
Nicht autorisierte HTTP-Aktivität	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Ungewöhnliches HTTP-Kommunikationsverhalten	Taktik: – Erstzugriff - Befehl und Kontrolle Techniken: – T0822: Externe Remotedienste – T0869: Standard Application Layer Protocol	Lernfähige	Nein
Nicht autorisierte HTTP-SOAP-Aktion *	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Ungewöhnliches HTTP-Kommunikationsverhalten	Taktik: - Befehl und Kontrolle -Ausführung Techniken: – T0869: Standard Application Layer Protocol – T0871: Ausführung über DIE API	Lernfähige	Nein
Nicht autorisierter HTTP-Benutzer-Agent *	Auf einem Quellgerät wurde eine nicht autorisierte Anwendung erkannt. Die Anwendung ist nicht als erlernte Anwendung in Ihrem Netzwerk autorisiert.	Mittel	Ungewöhnliches HTTP-Kommunikationsverhalten	Taktik: - Befehl und Kontrolle Techniken: – T0869: Standard Application Layer Protocol	Lernfähige	Nein
Nicht autorisierte Internetverbindung erkannt	Ein internes Gerät hat erfolgreich mit dem Internet kommuniziert.	Hoch	Internetzugang	Taktik: – Erstzugriff Techniken: - T0883: Gerät mit Internetzugriff	Lernfähige	Nein
Nicht autorisierter Mitsubishi MELSEC-Befehl	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertaskvorgang ändern	Lernfähige	Ja
Nicht autorisierter MMS-Programmzugriff	Ein Quellgerät hat versucht, auf eine Ressource auf einem anderen Gerät zuzugreifen. Ein Zugriffsversuch auf diese Ressource zwischen diesen beiden Geräten ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert.	Mittel	Programmierung	Taktik: - Beeinträchtigung der Prozesssteuerung -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertaskvorgang ändern	Lernfähige	Ja
Nicht autorisierter MMS-Dienst	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0821: Controllertaskvorgang ändern	Lernfähige	Ja
Nicht autorisierte Multicast-/Broadcastverbindung	Zwischen einem Quellgerät und anderen Geräten wurde eine Multicast-/Broadcastverbindung erkannt. Die Multicast-/Broadcastkommunikation ist nicht autorisiert.	Hoch	Ungewöhnliches Kommunikationsverhalten	Taktik: -Entdeckung Techniken: - T0842: Netzwerkermittlung	Lernfähige	Ja
Nicht autorisierte Namensabfrage	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Ungewöhnliches Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0836: Parameter ändern	Nicht erlernbar	Ja
Nicht autorisierte OPC UA-Aktivität	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0836: Parameter ändern	Lernfähige	Ja
Nicht autorisierte OPC UA-Anforderung/Antwort	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0836: Parameter ändern	Lernfähige	Ja
Nicht autorisierter Vorgang wurde von einer benutzerdefinierten Regel erkannt.	Datenverkehr zwischen zwei Geräten wurde erkannt. Diese Aktivität ist nicht autorisiert, basierend auf einer benutzerdefinierten Warnungsregel, die von einem Benutzer definiert wird.	Mittel	Benutzerdefinierte Warnungen	Taktik: -Entdeckung Techniken: - T0842: Netzwerkermittlung	Nicht erlernbar	Nein
Nicht autorisierter PLC-Konfigurationslesevorgang	Das Quellgerät ist nicht als Programmiergerät definiert, sondern hat einen Lese-/Schreibvorgang auf einem Zielcontroller ausgeführt. Programmieränderungen sollten nur von Programmiergeräten vorgenommen werden. Möglicherweise wurde auf diesem Gerät eine Programmieranwendung installiert.	Niedrig	Konfigurationsänderungen	Taktik: -Auflistung Techniken: - T0801: Überwachen des Prozesszustands	Lernfähige	Nein
Nicht autorisierter PLC-Konfigurationsschreibvorgang	Das Quellgerät hat einen Befehl gesendet, um das Programm eines Zielcontrollers zu lesen/zu schreiben. Diese Aktivität wurde zuvor nicht gesehen.	Mittel	Konfigurationsänderungen	Taktik: - Beeinträchtigung der Prozesssteuerung -Persistenz -Auswirkungen Techniken: - T0839: Modulfirmware - T0831: Manipulation der Steuerung - T0889: Programm ändern	Lernfähige	Nein
Nicht autorisierter PLC-Programmupload	Das Quellgerät hat einen Befehl gesendet, um das Programm eines Zielcontrollers zu lesen/zu schreiben. Diese Aktivität wurde zuvor nicht gesehen.	Mittel	Programmierung	Taktik: - Beeinträchtigung der Prozesssteuerung -Persistenz -Auflistung Techniken: - T0839: Modulfirmware - T0845: Programmupload	Lernfähige	Nein
Nicht autorisierte SPS-Programmierung	Das Quellgerät ist nicht als Programmiergerät definiert, sondern hat einen Lese-/Schreibvorgang auf einem Zielcontroller ausgeführt. Programmieränderungen sollten nur von Programmiergeräten vorgenommen werden. Möglicherweise wurde auf diesem Gerät eine Programmieranwendung installiert.	Hoch	Programmierung	Taktik: - Beeinträchtigung der Prozesssteuerung -Persistenz -Lateralverschiebung Techniken: - T0839: Modulfirmware - T0889: Programm ändern - T0843: Programmdownload	Lernfähige	Nein
Nicht autorisierter Profinet-Frametyp	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0836: Parameter ändern	Lernfähige	Ja
Nicht autorisierter SAIA-S-Bus-Befehl	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht	Lernfähige	Ja
Nicht autorisierte Siemens S7 Ausführung der Steuerungsfunktion	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung - Hemmung der Antwortfunktion Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0809: Datenvernichtung	Lernfähige	Ja
Nicht autorisierte Ausführung der benutzerdefinierten Funktion von Siemens S7	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung -Ausführung Techniken: - T0836: Parameter ändern - T0863: Benutzerausführung	Lernfähige	Ja
Nicht autorisierter Siemens S7 Plus-Zugriff blockieren	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Hemmung der Antwortfunktion -Persistenz -Ausführung Techniken: – T0803 – Blockbefehlsmeldung - T0889: Programm ändern - T0821: Controllertaskvorgang ändern	Lernfähige	Ja
Nicht autorisierter Siemens S7 Plus-Betrieb	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung -Ausführung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0863: Benutzerausführung	Lernfähige	Ja
Nicht autorisierte SMB-Anmeldung	Es wurde ein Anmeldeversuch zwischen einem Quellclient und einem Zielserver erkannt. Die Kommunikation zwischen diesen Geräten ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert.	Mittel	Authentifizierung	Taktik: – Erstzugriff -Lateralverschiebung -Persistenz Techniken: – T0886: Remotedienste - T0859: Gültige Konten	Lernfähige	Ja
Nicht autorisierter SNMP-Vorgang	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Ungewöhnliches Kommunikationsverhalten	Taktik: -Entdeckung - Befehl und Kontrolle Techniken: - T0842: Netzwerkermittlung - T0885: Häufig verwendeter Port	Lernfähige	Ja
Nicht autorisierter SSH-Zugriff	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Remotezugriff	Taktik: – InitialAccess -Lateralverschiebung - Befehl und Kontrolle Techniken: – T0886: Remotedienste – T0869: Standard Application Layer Protocol	Lernfähige	Nein
Nicht autorisierter Windows-Prozess	Auf einem Quellgerät wurde eine nicht autorisierte Anwendung erkannt. Die Anwendung ist nicht als erlernte Anwendung in Ihrem Netzwerk autorisiert.	Mittel	Ungewöhnliches Kommunikationsverhalten	Taktik: -Ausführung – Rechteausweitung - Befehl und Kontrolle Techniken: - T0841: Hooking - T0885: Häufig verwendeter Port	Lernfähige	Ja
Nicht autorisierter Windows-Dienst	Auf einem Quellgerät wurde eine nicht autorisierte Anwendung erkannt. Die Anwendung ist nicht als erlernte Anwendung in Ihrem Netzwerk autorisiert.	Mittel	Ungewöhnliches Kommunikationsverhalten	Taktik: – Erstzugriff -Lateralverschiebung Techniken: - T0866: Ausnutzung von Remotediensten	Lernfähige	Ja
Nicht autorisierter Vorgang wurde von einer benutzerdefinierten Regel erkannt.	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination verstößt gegen eine benutzerdefinierte Regel.	Mittel		Taktik: -Entdeckung Techniken: - T0842: Netzwerkermittlung	Nicht erlernbar	Nein
Nicht emittierte Modbus Schneider Elektro-Erweiterung	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht	Lernfähige	Ja
Nicht ausgegebene Verwendung von ASDU-Typen	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht	Lernfähige	Ja
Nicht ausgegebene Verwendung des DNP3-Funktionscodes	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0836: Parameter ändern	Lernfähige	Ja
Nicht ausgegebene Verwendung der internen Angabe (IIN) *	Ein DNP3-Quellgerät (Outstation) hat eine interne Anzeige (INTERNAL Indication, IIN) gemeldet, die nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert wurde.	Mittel	Unzulässige Befehle	Taktik: -Entdeckung Techniken: - T0842: Netzwerkermittlung	Lernfähige	Nein
Nicht ausgegebene Verwendung des Modbus-Funktionscodes	Es wurden neue Datenverkehrsparameter erkannt. Diese Parameterkombination ist nicht als gelernter Datenverkehr in Ihrem Netzwerk autorisiert. Die folgende Kombination ist nicht autorisiert.	Mittel	Nicht autorisiertes Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0836: Parameter ändern	Lernfähige	Ja

Warnungen der Anomalie-Engine

Hinweis

Dieser Artikel enthält Verweise auf den Begriff Slave, einen Begriff, den Microsoft nicht mehr verwendet. Wenn der Begriff aus der Software entfernt wird, entfernen wir ihn aus diesem Artikel.

Warnungen der Anomalie-Engine beschreiben erkannte Anomalien in der Netzwerkaktivität.

Titel	Beschreibung	Severity	Kategorie	MITRE ATT&CK Taktiken und Techniken	Lernfähige
Ungewöhnliches Ausnahmemuster in Slave *	Auf einem Quellgerät wurde eine übermäßige Anzahl von Fehlern erkannt. Diese Warnung kann das Ergebnis eines Betriebsproblems sein. Schwellenwert: 20 Ausnahmen in einer Stunde	Niedrig	Ungewöhnliches Kommunikationsverhalten	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0806: Brute-Force-E/A	Nicht erlernbar
Ungewöhnliche Länge des HTTP-Headers *	Das Quellgerät hat eine ungewöhnliche Nachricht gesendet. Diese Warnung kann auf einen Angriff auf das Zielgerät hindeuten.	Hoch	Ungewöhnliches HTTP-Kommunikationsverhalten	Taktik: – Erstzugriff -Lateralverschiebung - Befehl und Kontrolle Techniken: - T0866: Ausnutzung von Remotediensten – T0869: Standard Application Layer Protocol	Lernfähige
Ungewöhnliche Anzahl von Parametern im HTTP-Header *	Das Quellgerät hat eine ungewöhnliche Nachricht gesendet. Diese Warnung kann auf einen Angriff auf das Zielgerät hindeuten.	Hoch	Ungewöhnliches HTTP-Kommunikationsverhalten	Taktik: – Erstzugriff -Lateralverschiebung - Befehl und Kontrolle Techniken: - T0866: Ausnutzung von Remotediensten – T0869: Standard Application Layer Protocol	Lernfähige
Ungewöhnliches regelmäßiges Verhalten im Kommunikationskanal	Es wurde eine Änderung der Häufigkeit der Kommunikation zwischen den Quell- und Zielgeräten erkannt.	Niedrig	Ungewöhnliches Kommunikationsverhalten	Taktik: -Entdeckung Techniken: - T0842: Netzwerkermittlung	Lernfähige
Ungewöhnliche Beendigung von Anwendungen *	Auf einem Quellgerät wurde eine übermäßige Anzahl von Stoppbefehlen erkannt. Diese Warnung kann das Ergebnis eines Betriebsproblems oder des Versuchs sein, das Gerät zu bearbeiten. Schwellenwert: 20 Stoppbefehle in 3 Stunden	Mittel	Ungewöhnliches Kommunikationsverhalten	Taktik: -Persistenz -Auswirkungen Techniken: - T0889: Programm ändern - T0831: Manipulation der Steuerung	Lernfähige
Ungewöhnliche Datenverkehrsbandbreite *	In einem Kanal wurde eine ungewöhnliche Bandbreite erkannt. Die Bandbreite scheint niedriger/höher als zuvor erkannt zu sein. Weitere Informationen finden Sie unter Verwendung des Widgets Gesamtbandbreite.	Niedrig	Bandbreitenanomalien	Taktik: -Entdeckung Techniken: - T0842: Netzwerkermittlung	Lernfähige
Ungewöhnliche Datenverkehrsbandbreite zwischen Geräten *	In einem Kanal wurde eine ungewöhnliche Bandbreite erkannt. Die Bandbreite scheint niedriger/höher als zuvor erkannt zu sein. Weitere Informationen finden Sie unter Verwendung des Widgets Gesamtbandbreite.	Niedrig	Bandbreitenanomalien	Taktik: -Entdeckung Techniken: - T0842: Netzwerkermittlung	Nicht erlernbar
Adressscan erkannt	Es wurde ein Quellgerät erkannt, das Netzwerkgeräte überprüft. Dieses Gerät ist nicht als Netzwerkscangerät autorisiert. Schwellenwert: 50 Verbindungen mit demselben Subnetz der B-Klasse in 2 Minuten	Hoch	Überprüfung	Taktik: -Entdeckung Techniken: - T0842: Netzwerkermittlung	Lernfähige
ARP-Adressscan erkannt *	Es wurde ein Quellgerät erkannt, das Netzwerkgeräte mithilfe des Adressauflösungsprotokolls (Address Resolution Protocol, ARP) überprüft. Diese Geräteadresse ist nicht als gültige ARP-Scanadresse autorisiert. Schwellenwert: 40 Scans in 6 Minuten	Hoch	Überprüfung	Taktik: -Entdeckung -Auflistung Techniken: - T0842: Netzwerkermittlung - T0830: Man in the Middle	Lernfähige
ARP-Spoofing *	Im Netzwerk wurde eine ungewöhnliche Menge von Paketen erkannt. Diese Warnung kann auf einen Angriff hinweisen, z. B. einen ARP-Spoofing- oder ICMP-Überflutungsangriff. Schwellenwert: 60 Pakete in 1 Minute	Niedrig	Ungewöhnliches Kommunikationsverhalten	Taktik: -Auflistung Techniken: - T0830: Man in the Middle	Nicht erlernbar
Übermäßige Anmeldeversuche	Ein Quellgerät hat übermäßige Anmeldeversuche bei einem Zielserver durchgeführt. Diese Warnung kann auf einen Brute-Force-Angriff hinweisen. Der Server kann von einem böswilligen Akteur kompromittiert werden. Schwellenwert: 20 Anmeldeversuche in 1 Minute	Hoch	Authentifizierung	Taktik: - LateralMovement - Beeinträchtigung der Prozesssteuerung Techniken: – T0812: Standardanmeldeinformationen - T0806: Brute-Force-E/A	Nicht erlernbar
Übermäßige Anzahl von Sitzungen	Ein Quellgerät hat übermäßige Anmeldeversuche bei einem Zielserver durchgeführt. Dies kann auf einen Brute-Force-Angriff hinweisen. Der Server kann von einem böswilligen Akteur kompromittiert werden. Schwellenwert: 50 Sitzungen in 1 Minute	Hoch	Ungewöhnliches Kommunikationsverhalten	Taktik: -Lateralverschiebung - Beeinträchtigung der Prozesssteuerung Techniken: – T0812: Standardanmeldeinformationen - T0806: Brute-Force-E/A	Nicht erlernbar
Übermäßige Neustartrate einer Outstation *	Auf einem Quellgerät wurde eine übermäßige Anzahl von Neustartbefehlen erkannt. Diese Warnungen können das Ergebnis eines Betriebsproblems oder eines Versuchs sein, das Gerät zu manipulieren. Schwellenwert: 10 Neustarts in einer Stunde	Mittel	Neustart-/Stoppbefehle	Taktik: - Hemmung der Antwortfunktion - Beeinträchtigung der Prozesssteuerung Techniken: - T0814: Denial of Service - T0806: Brute-Force-E/A	Nicht erlernbar
Übermäßige SMB-Anmeldeversuche	Ein Quellgerät hat übermäßige Anmeldeversuche bei einem Zielserver durchgeführt. Dies kann auf einen Brute-Force-Angriff hinweisen. Der Server kann von einem böswilligen Akteur kompromittiert werden. Schwellenwert: 10 Anmeldeversuche in 10 Minuten	Hoch	Authentifizierung	Taktik: -Persistenz -Ausführung - LateralMovement Techniken: – T0812: Standardanmeldeinformationen - T0853: Skripterstellung - T0859: Gültige Konten	Nicht erlernbar
ICMP-Überflutung *	Im Netzwerk wurde eine ungewöhnliche Menge von Paketen erkannt. Diese Warnung kann auf einen Angriff hinweisen, z. B. einen ARP-Spoofing- oder ICMP-Überflutungsangriff. Schwellenwert: 60 Pakete in 1 Minute	Niedrig	Ungewöhnliches Kommunikationsverhalten	Taktik: -Entdeckung -Auflistung Techniken: - T0842: Netzwerkermittlung - T0830: Man in the Middle	Nicht erlernbar
Ungültiger HTTP-Headerinhalt *	Das Quellgerät hat eine ungültige Anforderung initiiert.	Hoch	Ungewöhnliches HTTP-Kommunikationsverhalten	Taktik: – Erstzugriff - LateralMovement Techniken: - T0866: Ausnutzung von Remotediensten	Nicht erlernbar
Inaktiver Kommunikationskanal *	Ein Kommunikationskanal zwischen zwei Geräten war in einem Zeitraum inaktiv, in dem normalerweise Aktivität beobachtet wird. Dies kann darauf hindeuten, dass das Programm, das diesen Datenverkehr generiert, geändert wurde, oder dass das Programm möglicherweise nicht verfügbar ist. Es wird empfohlen, die Konfiguration des installierten Programms zu überprüfen und sicherzustellen, dass es ordnungsgemäß konfiguriert ist. Schwellenwert: 1 Minute	Niedrig	Reagiert	Taktik: - Hemmung der Antwortfunktion Techniken: - T0881: Dienst beendet	Nicht erlernbar
Long Duration Address Scan Detected *	Es wurde ein Quellgerät erkannt, das Netzwerkgeräte überprüft. Dieses Gerät ist nicht als Netzwerkscangerät autorisiert. Schwellenwert: 50 Verbindungen mit demselben Subnetz der B-Klasse in 10 Minuten	Hoch	Überprüfung	Taktik: -Entdeckung Techniken: - T0842: Netzwerkermittlung	Lernfähige
Kennworterratenversuch erkannt	Ein Quellgerät hat übermäßige Anmeldeversuche bei einem Zielserver durchgeführt. Dies kann auf einen Brute-Force-Angriff hinweisen. Der Server kann von einem böswilligen Akteur kompromittiert werden. Schwellenwert: 100 Versuche in 1 Minute	Hoch	Authentifizierung	Taktik: -Lateralverschiebung Techniken: – T0812: Standardanmeldeinformationen - T0806: Brute-Force-E/A	Nicht erlernbar
SPS-Scan erkannt	Es wurde ein Quellgerät erkannt, das Netzwerkgeräte überprüft. Dieses Gerät ist nicht als Netzwerkscangerät autorisiert. Schwellenwert: 10 Scans in 2 Minuten	Hoch	Überprüfung	Taktik: -Entdeckung Techniken: - T0842: Netzwerkermittlung	Lernfähige
Portscan erkannt	Es wurde ein Quellgerät erkannt, das Netzwerkgeräte überprüft. Dieses Gerät ist nicht als Netzwerkscangerät autorisiert. Schwellenwert: 25 Scans in 2 Minuten	Hoch	Überprüfung	Taktik: -Entdeckung Techniken: - T0842: Netzwerkermittlung	Lernfähige
Unerwartete Nachrichtenlänge	Das Quellgerät hat eine ungewöhnliche Nachricht gesendet. Diese Warnung kann auf einen Angriff auf das Zielgerät hindeuten. Schwellenwert: Textlänge – 32768	Hoch	Ungewöhnliches Kommunikationsverhalten	Taktik: – InitialAccess - LateralMovement Techniken: - T0869: Ausnutzung von Remotediensten	Nicht erlernbar
Unerwarteter Datenverkehr für Standard Port*	Datenverkehr wurde auf einem Gerät mithilfe eines Ports erkannt, der für ein anderes Protokoll reserviert ist.	Mittel	Ungewöhnliches Kommunikationsverhalten	Taktik: - Befehl und Kontrolle -Entdeckung Techniken: – T0869: Standard Application Layer Protocol - T0842: Netzwerkermittlung	Nicht erlernbar

Warnungen der Protokollverletzungs-Engine

Protokoll-Engine-Warnungen beschreiben erkannte Abweichungen in der Paketstruktur oder Feldwerte im Vergleich zu Protokollspezifikationen.

Titel	Beschreibung	Severity	Kategorie	MITRE ATT&CK Taktiken und Techniken	Lernfähige
Übermäßige falsch formatierte Pakete in einer einzelnen Sitzung *	Eine ungewöhnliche Anzahl falsch formatierter Pakete, die vom Quellgerät an das Zielgerät gesendet werden. Diese Warnung kann auf eine fehlerhafte Kommunikation oder den Versuch hinweisen, das Zielgerät zu manipulieren. Schwellenwert: 2 falsch formatierte Pakete in 10 Minuten	Mittel	Unzulässige Befehle	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0806: Brute-Force-E/A	Nicht erlernbar
Firmwareupdate	Ein Quellgerät hat einen Befehl zum Aktualisieren der Firmware auf einem Zielgerät gesendet. Vergewissern Sie sich, dass die zuletzt am Zielgerät vorgenommenen Programmier-, Konfigurations- und Firmwareupgrades gültig sind.	Niedrig	Firmwareänderung	Taktik: - Hemmung der Antwortfunktion -Persistenz Techniken: - T0857: Systemfirmware	Lernfähige
Funktionscode wird von Outstation nicht unterstützt	Das Zielgerät hat eine ungültige Anforderung empfangen.	Mittel	Unzulässige Befehle	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht	Nicht erlernbar
Ungültige BACNet-Nachricht	Das Quellgerät hat eine ungültige Anforderung initiiert.	Mittel	Unzulässige Befehle	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Nicht erlernbar
Unzulässiger Verbindungsversuch an Port 0	Ein Quellgerät hat versucht, eine Verbindung mit dem Zielgerät an Port 0 (0) herzustellen. Für TCP ist Port 0 reserviert und kann nicht verwendet werden. Für UDP ist der Port optional, und der Wert 0 bedeutet, dass kein Port vorhanden ist. In der Regel gibt es keinen Dienst auf einem System, der an Port 0 lauscht. Dieses Ereignis kann auf einen Angriff auf das Zielgerät hindeuten oder darauf hinweisen, dass eine Anwendung falsch programmiert wurde.	Niedrig	Unzulässige Befehle	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Nicht erlernbar
Unzulässiger DNP3-Vorgang	Das Quellgerät hat eine ungültige Anforderung initiiert.	Mittel	Unzulässige Befehle	Taktik: – Erstzugriff -Lateralverschiebung Techniken: - T0866: Ausnutzung von Remotediensten	Nicht erlernbar
Unzulässiger MODBUS-Vorgang (Vom Master ausgelöste Ausnahme)	Das Quellgerät hat eine ungültige Anforderung initiiert.	Mittel	Unzulässige Befehle	Taktik: – Erstzugriff -Lateralverschiebung Techniken: - T0866: Ausnutzung von Remotediensten	Nicht erlernbar
Unzulässiger MODBUS-Vorgang (Funktionscode 0) *	Das Quellgerät hat eine ungültige Anforderung initiiert.	Mittel	Unzulässige Befehle	Taktik: – Erstzugriff -Lateralverschiebung Techniken: - T0866: Ausnutzung von Remotediensten	Nicht erlernbar
Ungültige Protokollversion *	Das Quellgerät hat eine ungültige Anforderung initiiert.	Mittel	Unzulässige Befehle	Taktik: – Erstzugriff - LateralMovement - Beeinträchtigung der Prozesssteuerung Techniken: - T0820: Remotedienste - T0836: Parameter ändern	Nicht erlernbar
Falscher Parameter, der an Outstation gesendet wurde	Das Zielgerät hat eine ungültige Anforderung empfangen.	Mittel	Unzulässige Befehle	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Nicht erlernbar
Initiierung eines veralteten Funktionscodes (Initialisieren von Daten)	Das Quellgerät hat eine ungültige Anforderung initiiert.	Niedrig	Unzulässige Befehle	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht	Nicht erlernbar
Initiierung eines veralteten Funktionscodes (Konfiguration speichern)	Das Quellgerät hat eine ungültige Anforderung initiiert.	Niedrig	Unzulässige Befehle	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht	Nicht erlernbar
Master hat eine Bestätigung auf Anwendungsebene angefordert	Das Quellgerät hat eine ungültige Anforderung initiiert.	Niedrig	Unzulässige Befehle	Taktik: - Befehl und Kontrolle Techniken: – T0869: Standard Application Layer Protocol	Nicht erlernbar
Modbus-Ausnahme	Ein Quellgerät (sekundär) hat eine Ausnahme an ein Zielgerät (primär) zurückgegeben.	Mittel	Unzulässige Befehle	Taktik: - Hemmung der Antwortfunktion Techniken: - T0814: Denial of Service	Nicht erlernbar
Untergeordnetes Gerät hat einen unzulässigen ASDU-Typ empfangen	Das Zielgerät hat eine ungültige Anforderung empfangen.	Mittel	Unzulässige Befehle	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0836: Parameter ändern	Nicht erlernbar
Untergeordnetes Gerät erhielt unzulässige Befehlsursache der Übertragung	Das Zielgerät hat eine ungültige Anforderung empfangen.	Mittel	Unzulässige Befehle	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Nicht erlernbar
Untergeordnetes Gerät erhält ungültige allgemeine Adresse	Das Zielgerät hat eine ungültige Anforderung empfangen.	Mittel	Unzulässige Befehle	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Nicht erlernbar
Parameter für die ungültige Datenadresse des untergeordneten Geräts empfangen *	Das Zielgerät hat eine ungültige Anforderung empfangen.	Mittel	Unzulässige Befehle	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Nicht erlernbar
Untergeordnetes Gerät hat einen ungültigen Datenwertparameter empfangen *	Das Zielgerät hat eine ungültige Anforderung empfangen.	Mittel	Unzulässige Befehle	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Nicht erlernbar
Untergeordnetes Gerät hat ungültigen Funktionscode erhalten *	Das Zielgerät hat eine ungültige Anforderung empfangen.	Mittel	Unzulässige Befehle	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Nicht erlernbar
Objektadresse des untergeordneten Geräts, das ungültige Informationen erhalten hat	Das Zielgerät hat eine ungültige Anforderung empfangen.	Mittel	Unzulässige Befehle	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht - T0836: Parameter ändern	Nicht erlernbar
Unbekanntes Objekt, das an Outstation gesendet wird	Das Zielgerät hat eine ungültige Anforderung empfangen.	Mittel	Unzulässige Befehle	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht	Nicht erlernbar
Verwendung eines reservierten Funktionscodes	Das Quellgerät hat eine ungültige Anforderung initiiert.	Mittel	Unzulässige Befehle	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0836: Parameter ändern	Nicht erlernbar
Verwendung von unsachgemäßer Formatierung durch Outstation *	Das Quellgerät hat eine ungültige Anforderung initiiert.	Niedrig	Unzulässige Befehle	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht	Nicht erlernbar
Verwendung von reservierten Statusflags (IIN)	Ein DNP3-Quellgerät (Outstation) hat den reservierten internen Indikator 2.6 verwendet. Es wird empfohlen, die Konfiguration des Geräts zu überprüfen.	Niedrig	Unzulässige Befehle	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0836: Parameter ändern	Nicht erlernbar

Warnungen der Malware-Engine

Warnungen der Malware-Engine beschreiben erkannte schädliche Netzwerkaktivitäten.

Titel	Beschreibung	Severity	Kategorie	MITRE ATT&CK Taktiken und Techniken	Lernfähige
Verbindungsversuch mit bekannter schädlicher IP-Adresse	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine Methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Wird von den OT-Netzwerksensoren ausgelöst.	Hoch	Verdacht auf böswillige Aktivität	Taktik: – Erstzugriff - Befehl und Kontrolle Techniken: - T0883: Gerät mit Internetzugriff - T0884: Verbindungsproxy	Nicht erlernbar
Ungültige SMB-Nachricht (DoublePulsar Backdoor Implant)	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine Methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	Hoch	Verdacht auf Schadsoftware	Taktik: – Erstzugriff - LateralMovement Techniken: - T0866: Ausnutzung von Remotediensten	Nicht erlernbar
Anforderung eines schädlichen Domänennamens	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine Methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Wird von den OT-Netzwerksensoren ausgelöst.	Hoch	Verdacht auf böswillige Aktivität	Taktik: – Erstzugriff - Befehl und Kontrolle Techniken: - T0883: Gerät mit Internetzugriff - T0884: Verbindungsproxy	Lernfähige
Schädlicher URL-Pfad	Eine Anforderung wurde an einen bekannten schädlichen URL-Pfad gestellt. Anforderungen für diesen URL-Pfad können darauf hindeuten, dass die Quelle, die die Anforderung sendet, kompromittiert ist.	Hoch	Verdacht auf böswillige Aktivität	Taktik: – Erstzugriff - Befehl und Kontrolle Techniken: - T0883: Gerät mit Internetzugriff - T0884: Verbindungsproxy	Nicht erlernbar
Schadsoftware-Testdatei erkannt – EICAR AV Success	Eine EICAR AV-Testdatei wurde im Datenverkehr zwischen zwei Geräten (über einen beliebigen Transport - TCP oder UDP) erkannt. Die Datei ist keine Schadsoftware. Es wird verwendet, um zu bestätigen, dass die Antivirensoftware ordnungsgemäß installiert ist. Zeigen Sie, was passiert, wenn ein Virus gefunden wird, und überprüfen Sie interne Verfahren und Reaktionen, wenn ein Virus gefunden wird. Antivirensoftware sollte EICAR erkennen, als wäre es ein echter Virus.	Hoch	Verdacht auf böswillige Aktivität	Taktik: -Entdeckung Techniken: - T0842: Netzwerkermittlung	Nicht erlernbar
Verdacht auf Conficker Malware	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine Methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	Mittel	Verdacht auf Schadsoftware	Taktik: – Erstzugriff -Auswirkungen Techniken: - T0826: Verlust der Verfügbarkeit - T0828: Produktivitäts- und Umsatzverlust – T0847: Replikation über Wechselmedien	Nicht erlernbar
Verdacht auf Denial-of-Service-Angriff	Ein Quellgerät hat versucht, eine übermäßige Anzahl neuer Verbindungen mit einem Zielgerät zu initiieren. Dies kann auf einen DoS-Angriff (Denial Of Service) auf das Zielgerät hindeuten und die Gerätefunktionalität unterbrechen, die Leistung und Dienstverfügbarkeit beeinträchtigen oder zu nicht behebbaren Fehlern führen. Schwellenwert: 3000 Versuche in 1 Minute	Hoch	Verdacht auf böswillige Aktivität	Taktik: - Hemmung der Antwortfunktion Techniken: - T0814: Denial of Service	Lernfähige
Verdacht auf böswillige Aktivität	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verknüpft sein, der bekannte "Indicators of Compromise" (IOCs) ausgelöst hat. Warnungsmetadaten sollten vom Sicherheitsteam überprüft werden.	Hoch	Verdacht auf böswillige Aktivität	Taktik: -Lateralverschiebung Techniken: - T0867: Lateral Tool Transfer	Nicht erlernbar
Verdacht auf böswillige Aktivität (BlackEnergy)	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine Methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	Hoch	Verdacht auf Schadsoftware	Taktik: - Befehl und Kontrolle Techniken: – T0869: Standard Application Layer Protocol	Nicht erlernbar
Verdacht auf böswillige Aktivität (DarkComet)	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine Methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	Hoch	Verdacht auf Schadsoftware	Taktik: -Auswirkungen Techniken: - T0882: Diebstahl operativer Informationen	Nicht erlernbar
Verdacht auf böswillige Aktivität (Duqu)	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine Methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	Hoch	Verdacht auf Schadsoftware	Taktik: -Auswirkungen Techniken: - T0882: Diebstahl operativer Informationen	Nicht erlernbar
Verdacht auf böswillige Aktivität (Flame)	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine Methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	Hoch	Verdacht auf Schadsoftware	Taktik: -Auflistung -Auswirkungen Techniken: - T0882: Diebstahl operativer Informationen - T0811: Daten aus Informationsrepositorys	Nicht erlernbar
Verdacht auf böswillige Aktivität (Havex)	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine Methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	Hoch	Verdacht auf Schadsoftware	Taktik: -Auflistung -Entdeckung - Hemmung der Antwortfunktion Techniken: - T0861: Point & Tag Identification - T0846: Remotesystemermittlung - T0814: Denial of Service	Nicht erlernbar
Verdacht auf böswillige Aktivität (Karagany)	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine Methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	Hoch	Verdacht auf Schadsoftware	Taktik: -Auswirkungen Techniken: - T0882: Diebstahl operativer Informationen	Nicht erlernbar
Verdacht auf böswillige Aktivität (LightsOut)	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine Methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	Hoch	Verdacht auf Schadsoftware	Taktik: -Evasion Techniken: - T0849: Maskequerading	Nicht erlernbar
Verdacht auf böswillige Aktivität (Namensabfragen)	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine Methode ausnutzt, die von bekannter Schadsoftware verwendet wird. Schwellenwert: 25 Namensabfragen in 1 Minute	Hoch	Verdacht auf böswillige Aktivität	Taktik: - Befehl und Kontrolle Techniken: - T0884: Verbindungsproxy	Nicht erlernbar
Verdacht auf böswillige Aktivität (Poison Ivy)	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine Methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	Hoch	Verdacht auf Schadsoftware	Taktik: – Erstzugriff -Lateralverschiebung Techniken: - T0866: Ausnutzung von Remotediensten	Nicht erlernbar
Verdacht auf böswillige Aktivität (Regin)	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine Methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	Hoch	Verdacht auf Schadsoftware	Taktik: – Erstzugriff -Lateralverschiebung -Auswirkungen Techniken: - T0866: Ausnutzung von Remotediensten - T0882: Diebstahl operativer Informationen	Nicht erlernbar
Verdacht auf böswillige Aktivität (Stuxnet)	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine Methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	Hoch	Verdacht auf Schadsoftware	Taktik: – Erstzugriff -Lateralverschiebung -Auswirkungen Techniken: - T0818: Engineering Workstation Compromise - T0866: Ausnutzung von Remotediensten - T0831: Manipulation der Steuerung	Nicht erlernbar
Verdacht auf böswillige Aktivität (WannaCry) *	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine Methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	Mittel	Verdacht auf Schadsoftware	Taktik: – Erstzugriff -Lateralverschiebung Techniken: - T0866: Ausnutzung von Remotediensten - T0867: Lateral Tool Transfer	Nicht erlernbar
Verdacht auf NotPetya Malware - Illegale SMB-Parameter erkannt	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine Methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	Hoch	Verdacht auf Schadsoftware	Taktik: – Erstzugriff -Lateralverschiebung Techniken: - T0866: Ausnutzung von Remotediensten	Nicht erlernbar
Verdacht auf NotPetya Malware - Illegale SMB-Transaktion erkannt	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine Methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	Hoch	Verdacht auf Schadsoftware	Taktik: -Lateralverschiebung Techniken: - T0867: Lateral Tool Transfer	Nicht erlernbar
Verdacht auf Remotecodeausführung mit PsExec	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine Methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	Hoch	Verdacht auf böswillige Aktivität	Taktik: -Lateralverschiebung – Erstzugriff Techniken: - T0866: Ausnutzung von Remotediensten	Nicht erlernbar
Verdacht auf Remote-Windows-Dienstverwaltung *	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine Methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	Hoch	Verdacht auf böswillige Aktivität	Taktik: – Erstzugriff Techniken: – T0822: NetworkExterne Remotedienste	Nicht erlernbar
Verdächtige ausführbare Datei am Endpunkt erkannt	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verbunden sein, der eine Methode ausnutzt, die von bekannter Schadsoftware verwendet wird.	Hoch	Verdacht auf böswillige Aktivität	Taktik: -Evasion - Hemmung der Antwortfunktion Techniken: - T0851: Rootkit	Lernfähige
Verdächtiger Datenverkehr erkannt *	Verdächtige Netzwerkaktivitäten wurden erkannt. Diese Aktivität kann mit einem Angriff verknüpft sein, der bekannte "Indicators of Compromise" (IOCs) ausgelöst hat. Warnungsmetadaten sollten vom Sicherheitsteam überprüft werden	Hoch	Verdacht auf böswillige Aktivität	Taktik: -Entdeckung Techniken: - T0842: Netzwerkermittlung	Nicht erlernbar
Sicherungsaktivität mit Antivirensignaturen	Der zwischen dem Quellgerät und dem Zielsicherungsserver erkannte Datenverkehr hat diese Warnung ausgelöst. Der Datenverkehr umfasst die Sicherung von Antivirensoftware, die Schadsoftwaresignaturen enthalten kann. Dies ist höchstwahrscheinlich eine legitime Sicherungsaktivität.	Niedrig	Sicherung	Taktik: -Auswirkungen Techniken: - T0882: Diebstahl operativer Informationen	Nicht erlernbar

Warnungen der Betriebs-Engine

Operational Engine-Warnungen beschreiben erkannte betriebliche Vorfälle oder fehlerhafte Entitäten.

Titel	Beschreibung	Severity	Kategorie	MITRE ATT&CK Taktiken und Techniken	Lernfähige
Ein S7 Stop PLC-Befehl wurde gesendet.	Das Quellgerät hat einen Stoppbefehl an einen Zielcontroller gesendet. Der Controller funktioniert nicht mehr, bis ein Startbefehl gesendet wird.	Niedrig	Neustart-/Stoppbefehle	Taktik: -Lateralverschiebung - Verteidigungsumgehung -Ausführung - Hemmung der Antwortfunktion Techniken: - T0843: Programmdownload - T0858: Ändern des Betriebsmodus - T0814: Denial of Service	Nicht erlernbar
Fehler beim BACNet-Vorgang	Ein Server hat einen Fehlercode zurückgegeben. Diese Warnung weist auf einen Serverfehler oder eine ungültige Anforderung eines Clients hin.	Mittel	Befehlsfehler	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht	Nicht erlernbar
Ungültiger MMS-Gerätestatus	Ein MMS Virtual Manufacturing Device (VMD) hat eine status Nachricht gesendet. Die Meldung gibt an, dass der Server möglicherweise nicht ordnungsgemäß konfiguriert, teilweise betriebsbereit oder gar nicht betriebsbereit ist.	Mittel	Betriebsprobleme	Taktik: - Hemmung der Antwortfunktion Techniken: - T0814: Denial of Service	Nicht erlernbar
Änderung der Gerätekonfiguration *	Auf einem Quellgerät wurde eine Konfigurationsänderung erkannt.	Niedrig	Konfigurationsänderungen	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0836: Parameter ändern	Nicht erlernbar
Kontinuierlicher Ereignispufferüberlauf an der Outstation *	Auf einem Quellgerät wurde ein Pufferüberlaufereignis erkannt. Das Ereignis kann datenbeschädigungen, Programmabstürze oder die Ausführung von schädlichem Code verursachen. Schwellenwert: 3 Vorkommen in 10 Minuten	Mittel	Pufferüberlauf	Taktik: - Hemmung der Antwortfunktion - Beeinträchtigung der Prozesssteuerung -Persistenz Techniken: - T0814: Denial of Service - T0806: Brute-Force-E/A - T0839: Modulfirmware	Nicht erlernbar
Controllerzurücksetzung	Ein Quellgerät hat einen Zurücksetzungsbefehl an einen Zielcontroller gesendet. Der Controller hat den Betrieb vorübergehend beendet und automatisch wieder gestartet.	Niedrig	Neustart-/Stoppbefehle	Taktik: - Verteidigungsumgehung -Ausführung - Hemmung der Antwortfunktion Techniken: - T0858: Ändern des Betriebsmodus - T0814: Denial of Service	Nicht erlernbar
Controller beenden	Das Quellgerät hat einen Stoppbefehl an einen Zielcontroller gesendet. Der Controller funktioniert nicht mehr, bis ein Startbefehl gesendet wird.	Niedrig	Neustart-/Stoppbefehle	Taktik: -Lateralverschiebung - Verteidigungsumgehung -Ausführung - Hemmung der Antwortfunktion Techniken: - T0843: Programmdownload - T0858: Ändern des Betriebsmodus - T0814: Denial of Service	Nicht erlernbar
Gerät konnte keine dynamische IP-Adresse empfangen	Das Quellgerät ist so konfiguriert, dass es eine dynamische IP-Adresse von einem DHCP-Server empfängt, aber keine Adresse empfangen hat. Dies weist auf einen Konfigurationsfehler auf dem Gerät oder einen Betriebsfehler auf dem DHCP-Server hin. Es wird empfohlen, den Netzwerkadministrator über den Vorfall zu benachrichtigen.	Mittel	Befehlsfehler	Taktik: -Entdeckung Techniken: - T0842: Netzwerkermittlung	Nicht erlernbar
Es wird vermutet, dass das Gerät getrennt ist (reagiert nicht)	Ein Quellgerät hat nicht auf einen befehl reagiert, der an es gesendet wurde. Möglicherweise wurde die Verbindung getrennt, als der Befehl gesendet wurde. Schwellenwert: 8 Versuche in 5 Minuten	Mittel	Reagiert	Taktik: - Hemmung der Antwortfunktion Techniken: - T0881: Dienst beendet	Nicht erlernbar
EtherNet/IP CIP Service Request Failed	Ein Server hat einen Fehlercode zurückgegeben. Dies weist auf einen Serverfehler oder eine ungültige Anforderung eines Clients hin.	Mittel	Befehlsfehler	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht	Nicht erlernbar
Fehler beim Befehl zum EtherNet/IP-Kapselungsprotokoll	Ein Server hat einen Fehlercode zurückgegeben. Dies weist auf einen Serverfehler oder eine ungültige Anforderung eines Clients hin.	Mittel	Befehlsfehler	Taktik: -Auflistung Techniken: - T0801: Überwachen des Prozesszustands	Nicht erlernbar
Ereignispufferüberlauf in outstation	Auf einem Quellgerät wurde ein Pufferüberlaufereignis erkannt. Das Ereignis kann datenbeschädigungen, Programmabstürze oder die Ausführung von schädlichem Code verursachen.	Mittel	Pufferüberlauf	Taktik: - Hemmung der Antwortfunktion - Beeinträchtigung der Prozesssteuerung -Persistenz Techniken: - T0814: Denial of Service - T0839: Modulfirmware	Nicht erlernbar
Erwarteter Sicherungsvorgang nicht aufgetreten	Die erwartete Sicherungs-/Dateiübertragungsaktivität ist zwischen zwei Geräten nicht aufgetreten. Diese Warnung kann auf Fehler beim Sicherungs-/Dateiübertragungsprozess hinweisen. Schwellenwert: 100 Sekunden	Mittel	Sicherung	Taktik: - Hemmung der Antwortfunktion Techniken: - T0809: Datenvernichtung	Lernfähige
GE SRTP-Befehlsfehler	Ein Server hat einen Fehlercode zurückgegeben. Diese Warnung weist auf einen Serverfehler oder eine ungültige Anforderung eines Clients hin.	Mittel	Befehlsfehler	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht	Nicht erlernbar
GE SRTP Stop PLC-Befehl wurde gesendet	Das Quellgerät hat einen Stoppbefehl an einen Zielcontroller gesendet. Der Controller funktioniert nicht mehr, bis ein Startbefehl gesendet wird.	Niedrig	Neustart-/Stoppbefehle	Taktik: -Lateralverschiebung - Verteidigungsumgehung -Ausführung - Hemmung der Antwortfunktion Techniken: - T0843: Programmdownload - T0858: Ändern des Betriebsmodus - T0814: Denial of Service	Nicht erlernbar
GOOSE-Kontrollblock erfordert weitere Konfiguration	Ein Quellgerät hat eine GOOSE-Nachricht gesendet, die angibt, dass das Gerät in Betrieb genommen werden muss. Dies bedeutet, dass der GOOSE-Kontrollblock eine weitere Konfiguration erfordert und GOOSE-Nachrichten teilweise oder vollständig nicht betriebsbereit sind.	Mittel	Konfigurationsänderungen	Taktik: - Beeinträchtigung der Prozesssteuerung - Hemmung der Antwortfunktion Techniken: - T0803: Blockbefehlsmeldung - T0821: Controllertaskvorgang ändern	Nicht erlernbar
Konfiguration des GOOSE-Datasets wurde geändert *	Ein Nachrichtendataset (identifiziert durch die Protokoll-ID) wurde auf einem Quellgerät geändert. Dies bedeutet, dass das Gerät ein anderes Dataset für diese Nachricht meldet.	Niedrig	Konfigurationsänderungen	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0836: Parameter ändern	Nicht erlernbar
Honeywell Controller – Unerwarteter Status	Ein Honeywell-Controller hat eine unerwartete Diagnosemeldung gesendet, die auf eine status Änderung hinweist.	Niedrig	Betriebsprobleme	Taktik: -Evasion -Ausführung Techniken: - T0858: Ändern des Betriebsmodus	Nicht erlernbar
HTTP-Clientfehler *	Das Quellgerät hat eine ungültige Anforderung initiiert.	Niedrig	Ungewöhnliches HTTP-Kommunikationsverhalten	Taktik: - Befehl und Kontrolle Techniken: – T0869: Standard Application Layer Protocol	Nicht erlernbar
Ungültige IP-Adresse	Vom System erkannter Datenverkehr zwischen einem Quellgerät und einer IP-Adresse, bei der es sich um eine ungültige Adresse handelt. Dies kann auf eine falsche Konfiguration oder den Versuch hinweisen, illegalen Datenverkehr zu generieren.	Niedrig	Ungewöhnliches Kommunikationsverhalten	Taktik: -Entdeckung - Beeinträchtigung der Prozesssteuerung Techniken: - T0842: Netzwerkermittlung - T0836: Parameter ändern	Nicht erlernbar
Master-Slave-Authentifizierungsfehler	Fehler beim Authentifizierungsprozess zwischen einem DNP3-Quellgerät (primär) und einem Zielgerät (Outstation).	Niedrig	Authentifizierung	Taktik: -Lateralverschiebung -Persistenz Techniken: - T0859: Gültige Konten	Nicht erlernbar
Fehler bei der MMS-Dienstanforderung	Ein Server hat einen Fehlercode zurückgegeben. Dies weist auf einen Serverfehler oder eine ungültige Anforderung eines Clients hin.	Mittel	Befehlsfehler	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht	Nicht erlernbar
Kein Datenverkehr auf Sensorschnittstelle erkannt	Ein Sensor hat den Netzwerkdatenverkehr auf einer Netzwerkschnittstelle nicht mehr erkannt.	Hoch	Sensordatenverkehr	Taktik: - Hemmung der Antwortfunktion Techniken: - T0881: Dienst beendet	Nicht erlernbar
OPC UA-Server hat ein Ereignis ausgelöst, das die Aufmerksamkeit des Benutzers erfordert	Ein OPC UA-Server hat eine Ereignisbenachrichtigung an einen Client gesendet. Diese Art von Ereignis erfordert Die Aufmerksamkeit des Benutzers	Mittel	Betriebsprobleme	Taktik: - Hemmung der Antwortfunktion Techniken: - T0838: Alarmeinstellungen ändern	Nicht erlernbar
Fehler bei OPC UA-Dienstanforderung	Ein Server hat einen Fehlercode zurückgegeben. Dies weist auf einen Serverfehler oder eine ungültige Anforderung eines Clients hin.	Mittel	Befehlsfehler	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht	Nicht erlernbar
Outstation neu gestartet	Auf einem Quellgerät wurde ein kalter Neustart erkannt. Dies bedeutet, dass das Gerät physisch ausgeschaltet und wieder eingeschaltet wurde.	Niedrig	Neustart-/Stoppbefehle	Taktik: - Hemmung der Antwortfunktion Techniken: – T0816: Geräteneustart/Herunterfahren	Nicht erlernbar
Outstation wird häufig neu gestartet	Auf einem Quellgerät wurde eine übermäßige Anzahl kalter Neustarts erkannt. Dies bedeutet, dass das Gerät übermäßig oft physisch ausgeschaltet und wieder eingeschaltet wurde. Schwellenwert: 2 Neustarts in 10 Minuten	Niedrig	Neustart-/Stoppbefehle	Taktik: - Hemmung der Antwortfunktion Techniken: - T0814: Denial of Service – T0816: Geräteneustart/Herunterfahren	Nicht erlernbar
Konfiguration der Outstation geändert	Auf einem Quellgerät wurde eine Konfigurationsänderung erkannt.	Mittel	Konfigurationsänderungen	Taktik: - Hemmung der Antwortfunktion -Persistenz Techniken: - T0857: Systemfirmware	Nicht erlernbar
Beschädigte Konfiguration der Outstation erkannt	Dieses DNP3-Quellgerät (Outstation) hat eine beschädigte Konfiguration gemeldet.	Mittel	Konfigurationsänderungen	Taktik: - Hemmung der Antwortfunktion Techniken: - T0809: Datenvernichtung	Nicht erlernbar
Fehler beim Profinet DCP-Befehl	Ein Server hat einen Fehlercode zurückgegeben. Dies weist auf einen Serverfehler oder eine ungültige Anforderung eines Clients hin.	Mittel	Befehlsfehler	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht	Nicht erlernbar
Profinet Device Factory Reset	Ein Quellgerät hat einen Befehl zum Zurücksetzen auf Werkseinstellungen an ein Profinet-Zielgerät gesendet. Der Befehl zum Zurücksetzen löscht Profinet-Gerätekonfigurationen und beendet den Betrieb.	Niedrig	Neustart-/Stoppbefehle	Taktik: - Verteidigungsumgehung -Ausführung - Hemmung der Antwortfunktion Techniken: - T0858: Ändern des Betriebsmodus - T0814: Denial of Service	Nicht erlernbar
Fehler beim RPC-Vorgang *	Ein Server hat einen Fehlercode zurückgegeben. Diese Warnung weist auf einen Serverfehler oder eine ungültige Anforderung eines Clients hin.	Mittel	Befehlsfehler	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0855: Nicht autorisierte Befehlsnachricht	Nicht erlernbar
Stichprobenwerte: Konfiguration des Nachrichtendatasets wurde geändert *	Ein Nachrichtendataset (identifiziert durch die Protokoll-ID) wurde auf einem Quellgerät geändert. Dies bedeutet, dass das Gerät ein anderes Dataset für diese Nachricht meldet.	Niedrig	Konfigurationsänderungen	Taktik: - Beeinträchtigung der Prozesssteuerung Techniken: - T0836: Parameter ändern	Nicht erlernbar
Nicht behebbarer Fehler des untergeordneten Geräts *	Auf einem Quellgerät wurde ein nicht behebbarer Bedingungsfehler erkannt. Diese Art von Fehler weist in der Regel auf einen Hardwarefehler oder einen Fehler beim Ausführen eines bestimmten Befehls hin.	Mittel	Befehlsfehler	Taktik: - Hemmung der Antwortfunktion Techniken: - T0814: Denial of Service	Nicht erlernbar
Verdacht auf Hardwareprobleme in outstation	Auf einem Quellgerät wurde ein nicht behebbarer Bedingungsfehler erkannt. Diese Art von Fehler weist in der Regel auf einen Hardwarefehler oder einen Fehler beim Ausführen eines bestimmten Befehls hin.	Mittel	Betriebsprobleme	Taktik: - Hemmung der Antwortfunktion Techniken: - T0814: Denial of Service - T0881: Dienst beendet	Nicht erlernbar
Verdacht auf nicht reagierendes MODBUS-Gerät	Ein Quellgerät hat nicht auf einen befehl reagiert, der an es gesendet wurde. Möglicherweise wurde die Verbindung getrennt, als der Befehl gesendet wurde. Schwellenwert: Mindestens 1 gültige Antwort für mindestens 3 Anforderungen innerhalb von 5 Minuten	Niedrig	Reagiert	Taktik: - Hemmung der Antwortfunktion Techniken: - T0881: Dienst beendet	Nicht erlernbar
Datenverkehr auf Sensorschnittstelle erkannt	Ein Sensor hat die Erkennung von Netzwerkdatenverkehr auf einer Netzwerkschnittstelle fortgesetzt.	Niedrig	Sensordatenverkehr	Taktik: -Entdeckung Techniken: - T0842: Netzwerkermittlung	Nicht erlernbar
SPS-Betriebsmodus geändert	Der Betriebsmodus auf dieser SPS wurde geändert. Der neue Modus weist möglicherweise darauf hin, dass die SPS nicht sicher ist. Wenn Sie die SPS in einem unsicheren Betriebsmodus belassen, können Angreifer möglicherweise böswillige Aktivitäten daran ausführen, z. B. einen Programmdownload. Wenn die SPS kompromittiert wird, können Geräte und Prozesse, die mit ihr interagieren, beeinträchtigt werden. Dies kann sich auf die allgemeine Systemsicherheit und -sicherheit auswirken.	Niedrig	Konfigurationsänderungen	Taktik: -Ausführung -Evasion Techniken: - T0858: Ändern des Betriebsmodus	Nicht erlernbar

Nächste Schritte

Weitere Informationen finden Sie unter:

Feedback

War diese Seite hilfreich?

Last updated on 2026-04-29