Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona una referencia de las alertas generadas por Microsoft Defender para los sensores de red de IoT, incluida una lista de todos los tipos y descripciones de alertas. La referencia también muestra qué alertas se pueden evaluar como legibles o no, para obtener más información sobre el estado que se puede aprender, consulte Estado de alertas y opciones de triaging. Puede usar esta referencia para asignar alertas a cuadernos de estrategias, definir reglas de reenvío en un sensor de red de tecnología operativa (OT) u otra actividad personalizada.
Alertas de OT desactivadas de forma predeterminada
Varias alertas se desactivan de forma predeterminada, como se indica con asteriscos (*) en las tablas siguientes. El sensor OT Administración los usuarios pueden habilitar o deshabilitar alertas en la página Soporte técnico de un sensor de red OT específico.
Si desactiva las alertas a las que se hace referencia en otros lugares, como las reglas de reenvío de alertas, asegúrese de actualizar esas referencias según sea necesario.
Gravedades de alerta
Las alertas de Defender para IoT usan los siguientes niveles de gravedad:
| Portal de Azure | Sensor OT | Descripción |
|---|---|---|
| Alto | Crítica | Indica un ataque malintencionado que se debe controlar inmediatamente. |
| Medio | Principales | Indica una amenaza de seguridad que es importante abordar. |
| Baja | Menor, Advertencia | Indica alguna desviación del comportamiento de línea base que podría contener una amenaza de seguridad o que no contiene amenazas de seguridad. |
Las gravedades de alerta de esta página muestran la gravedad como se muestra en el Azure Portal.
Tipos de alerta admitidos
| Tipo de alerta | Descripción |
|---|---|
| Alertas de infracción de directiva | Se desencadena cuando el motor de infracción de directiva detecta una desviación del tráfico aprendido anteriormente. Por ejemplo: - Se detecta un nuevo dispositivo. - Se detecta una nueva configuración en un dispositivo. - Un dispositivo no definido como dispositivo de programación realiza un cambio de programación. - Se ha cambiado la versión del firmware. |
| Alertas de infracción de protocolo | Se desencadena cuando el motor de infracción de protocolo detecta estructuras de paquetes o valores de campo que no cumplen la especificación del protocolo. |
| Alertas operativas | Se desencadena cuando el motor operativo detecta incidentes operativos de red o un mal funcionamiento de un dispositivo. Por ejemplo, un dispositivo de red se detuvo a través de un comando Stop PLC o una interfaz en un sensor detuvo la supervisión del tráfico. |
| Alertas de malware | Se desencadena cuando el motor de malware detecta actividad de red malintencionada. Por ejemplo, el motor detecta un ataque conocido como Conficker. |
| Alertas de anomalías | Se desencadena cuando el motor de anomalías detecta una desviación. Por ejemplo, un dispositivo está realizando exámenes de red, pero no se define como un dispositivo de examen. |
La directiva de detección de alertas de Defender para IoT dirige los diferentes motores de alertas para desencadenar alertas basadas en el impacto empresarial y el contexto de red, y reduce las alertas relacionadas con TI de bajo valor. Para obtener más información, consulte Alertas centradas en entornos de OT/TI.
Categorías de alerta admitidas
Cada alerta tiene una de las siguientes categorías:
- Comportamiento de comunicación anómalo
- Comportamiento de comunicación HTTP anómalo
- Autenticación
- Copia de seguridad
- Anomalías de ancho de banda
- Desbordamiento de búfer
- Errores de comandos
- Cambios de configuración
- Alertas personalizadas
- Descubrimiento
- Cambio de firmware
- Comandos no válidos
- Acceso a Internet
- Errores de operación
- Problemas operativos
- Programación
- Acceso remoto
- Comandos restart/stop
- Examinar
- Tráfico del sensor
- Sospecha de actividad malintencionada
- Sospecha de malware
- Comportamiento de comunicación no autorizado
- No responde
Alertas del motor de directivas
Las alertas del motor de directivas describen las desviaciones detectadas del comportamiento de línea base aprendida.
La tabla de alertas del motor de directivas contiene el elemento agregado para indicar que varias alertas de este tipo se pueden agrupar y enumerar solo una vez en la página Alertas para reducir la fatiga de alertas. Para obtener más información, consulte alertas agregadas.
| Título | Descripción | Severity | Categoría | MITRE ATT&CK Tácticas y técnicas |
Se puede aprender | Infracciones agregadas |
|---|---|---|---|---|---|---|
| Beckhoff Software cambiado | El firmware se actualizó en un dispositivo de origen. Puede ser una actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. | Mediano | Cambio de firmware |
Tácticas: - Inhibir la función de respuesta - Persistencia Técnicas: - T0857: Firmware del sistema |
Se puede aprender | No |
| Error en el inicio de sesión de la base de datos | Se detectó un intento de inicio de sesión erróneo desde un dispositivo de origen a un servidor de destino. Esto podría ser el resultado de un error humano, pero también podría indicar un intento malintencionado de poner en peligro el servidor o los datos en él. Umbral: 2 errores de inicio de sesión en 5 minutos |
Mediano | Autenticación |
Tácticas: - Movimiento lateral - Colección Técnicas: - T0812: credenciales predeterminadas - T0811: Datos de repositorios de información |
No se puede aprender | No |
| Versión de firmware roc de Emerson modificada | El firmware se actualizó en un dispositivo de origen. Puede ser una actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. | Mediano | Cambio de firmware |
Tácticas: - Inhibir la función de respuesta - Persistencia Técnicas: - T0857: Firmware del sistema |
Se puede aprender | Sí |
| Dirección externa dentro de la red comunicada con Internet | Un dispositivo de Internet comunicado con otro dispositivo de Internet dentro de la red. | Alto | Acceso a Internet |
Tácticas: - Acceso inicial Técnicas: - T0883: Dispositivo accesible por Internet |
Se puede aprender | No |
| Dispositivo de campo detectado inesperadamente | Se detectó un nuevo dispositivo de origen en la red, pero no está autorizado. | Mediano | Descubrimiento |
Tácticas: - Detección Técnicas: - T0842: Examen de red |
No se puede aprender | No |
| Cambio de firmware detectado | El firmware se actualizó en un dispositivo de origen. Puede ser una actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. | Mediano | Cambio de firmware |
Tácticas: - Inhibir la función de respuesta - Persistencia Técnicas: - T0857: Firmware del sistema |
No se puede aprender | No |
| Versión del firmware cambiada | El firmware se actualizó en un dispositivo de origen. Puede ser una actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. | Mediano | Cambio de firmware |
Tácticas: - Inhibir la función de respuesta - Persistencia Técnicas: - T0857: Firmware del sistema |
Se puede aprender | Sí |
| Operación no autorizada de Foxboro I/A | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0836: Modificar parámetro |
Se puede aprender | Sí |
| Error de inicio de sesión ftp | Se detectó un intento de inicio de sesión erróneo desde un dispositivo de origen a un servidor de destino. Esta alerta podría ser el resultado de un error humano, pero también podría indicar un intento malintencionado de poner en peligro el servidor o los datos en él. | Mediano | Autenticación |
Tácticas: - Movimiento lateral - Comando y control Técnicas: - T0812: credenciales predeterminadas - T0869: protocolo de capa de aplicación Standard |
No se puede aprender | No |
| Excepción no autorizada desencadenada por código de función * | Un dispositivo de origen (secundario) devolvió una excepción a un dispositivo de destino (principal). | Mediano | Errores de comandos |
Tácticas: - Inhibir la función de respuesta Técnicas: - T0835: Manipular imagen de E/S |
Se puede aprender | Sí |
| Configuración del tipo de mensaje GOOSE | La configuración del mensaje (identificado por el identificador de protocolo) se cambió en un dispositivo de origen. | Bajo | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos Técnicas: - T0836: Modificar parámetro |
Se puede aprender | Sí |
| Versión del firmware de Honeywell modificada | El firmware se actualizó en un dispositivo de origen. Puede ser una actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. | Mediano | Cambio de firmware |
Tácticas: - Inhibir la función de respuesta - Persistencia Técnicas: - T0857: Firmware del sistema |
Se puede aprender | No |
| Comunicación HTTP no válida * | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación HTTP anómalo |
Tácticas: - Detección Técnicas: - T0846: Detección remota del sistema |
Se puede aprender | No |
| Acceso a Internet detectado | Un dispositivo interno hizo un intento inesperado de realizar una conexión saliente a Internet. | Mediano | Acceso a Internet |
Tácticas: - Acceso inicial Técnicas: - T0883: Dispositivo accesible por Internet |
Se puede aprender | No |
| Versión de firmware de Mitsubishi modificada | El firmware se actualizó en un dispositivo de origen. Puede ser una actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. | Mediano | Cambio de firmware |
Tácticas: - Inhibir la función de respuesta - Persistencia Técnicas: - T0857: Firmware del sistema |
Se puede aprender | No |
| Infracción del intervalo de direcciones de Modbus | Un dispositivo principal solicitó acceso a una nueva dirección de memoria secundaria. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Detección Técnicas: - T0842: Examen de red |
Se puede aprender | Sí |
| Se ha cambiado la versión del firmware de Modbus | El firmware se actualizó en un dispositivo de origen. Puede ser una actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. | Mediano | Cambio de firmware |
Tácticas: - Inhibir la función de respuesta - Persistencia Técnicas: - T0857: Firmware del sistema |
Se puede aprender | No |
| Nueva actividad detectada: clase CIP | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Detección Técnicas: - T0888: Detección remota de información del sistema |
Se puede aprender | Sí |
| Nueva actividad detectada: servicio de clase CIP | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Inhibir la función de respuesta Técnicas: - T0836: Modificar parámetro |
Se puede aprender | Sí |
| Nueva actividad detectada: comando CIP PCCC | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Inhibir la función de respuesta Técnicas: - T0836: Modificar parámetro |
Se puede aprender | Sí |
| Nueva actividad detectada: símbolo CIP | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos - Inhibir la función de respuesta Técnicas: - T0855: Mensaje de comando no autorizado - T0836: Modificar parámetro |
Se puede aprender | Sí |
| Nueva actividad detectada: conexión de E/S de EtherNet/IP | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Detección - Inhibir la función de respuesta Técnicas: - T0846: Detección remota del sistema - T0835: Manipular imagen de E/S |
Se puede aprender | Sí |
| Nueva actividad detectada: comando ethernet/IP protocol | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Inhibir la función de respuesta Técnicas: - T0836: Modificar parámetro |
Se puede aprender | Sí |
| Nueva actividad detectada: código de mensaje GSM | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - CommandAndControl Técnicas: - T0869: protocolo de capa de aplicación Standard |
Se puede aprender | Sí |
| Nueva actividad detectada: códigos de comando de LonTalk | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Colección - Deterioro del control de procesos Técnicas: - T0861: identificación de etiqueta de & de punto - T0855: Mensaje de comando no autorizado |
Se puede aprender | Sí |
| Nueva actividad detectada: variable de red de LonTalk | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado |
Se puede aprender | Sí |
| Nueva actividad detectada: solicitud de datos de ovación | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Colección - Detección Técnicas: - T0801: Supervisar el estado del proceso - T0888: Detección remota de información del sistema |
Se puede aprender | Sí |
| Se detectó una nueva actividad: comando de lectura y escritura (grupo de índices de AMS) | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Cambios de configuración |
Tácticas: - Deterioro del control de procesos - Inhibir la función de respuesta Técnicas: - T0855: Mensaje de comando no autorizado - T0836: Modificar parámetro |
Se puede aprender | Sí |
| Nueva actividad detectada: comando de lectura y escritura (desplazamiento de índice de AMS) | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Cambios de configuración |
Tácticas: - Deterioro del control de procesos - Inhibir la función de respuesta Técnicas: - T0855: Mensaje de comando no autorizado - T0836: Modificar parámetro |
Se puede aprender | Sí |
| Nueva actividad detectada: tipo de mensaje DeltaV no autorizado | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos - Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
Se puede aprender | Sí |
| Nueva actividad detectada: operación ROC de DeltaV no autorizada | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos - Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
Se puede aprender | Sí |
| Nueva actividad detectada: tipo de mensaje RPC no autorizado | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado |
Se puede aprender | Sí |
| Nueva actividad detectada: uso del comando de protocolo AMS | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos - Inhibir la función de respuesta - Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0836: Modificar parámetro - T0821: Modificar tareas del controlador |
Se puede aprender | Sí |
| Nueva actividad detectada: uso del comando SICAM de Siemens | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos - Inhibir la función de respuesta Técnicas: - T0855: Mensaje de comando no autorizado - T0836: Modificar parámetro |
Se puede aprender | Sí |
| Nueva actividad detectada: uso del comando Protocolo de vínculo de conjunto de aplicaciones | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos - Inhibir la función de respuesta Técnicas: - T0855: Mensaje de comando no autorizado - T0836: Modificar parámetro |
Se puede aprender | Sí |
| Nueva actividad detectada: uso de sesiones del protocolo Suitelink | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos Técnicas: - T0836: Modificar parámetro |
Se puede aprender | Sí |
| Nueva actividad detectada: uso del comando VNetIP de Yokogawa | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos - Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
Se puede aprender | Sí |
| Nuevo recurso detectado | Se detectó un nuevo dispositivo de origen en la red, pero no está autorizado. Esta alerta se aplica a los dispositivos detectados en subredes OT. Los nuevos dispositivos detectados en subredes de TI no desencadenan una alerta. |
Mediano | Descubrimiento |
Tácticas: - Detección Técnicas: - T0842: Examen de red |
Se puede aprender | No |
| Nueva configuración del dispositivo LLDP | Se detectó un nuevo dispositivo de origen en la red, pero no está autorizado. | Mediano | Cambios de configuración |
Tácticas: - Detección Técnicas: - T0842: Examen de red |
Se puede aprender | No |
| Comando no autorizado Omron FINS | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0836: Modificar parámetro |
Se puede aprender | Sí |
| Firmware del PLC S7 Plus cambiado | El firmware se actualizó en un dispositivo de origen. Puede ser una actividad autorizada, por ejemplo, un procedimiento de mantenimiento planeado. | Mediano | Cambio de firmware |
Tácticas: - Inhibir la función de respuesta - Persistencia Técnicas: - T0857: Firmware del sistema |
Se puede aprender | No |
| Configuración del tipo de mensaje Valores muestreados | La configuración del mensaje (identificado por el identificador de protocolo) se cambió en un dispositivo de origen. | Bajo | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos Técnicas: - T0836: Modificar parámetro |
No se puede aprender | Sí |
| Sospecha de examen de integridad ilegal * | Se detectó un examen en un dispositivo de origen DNP3 (outstation). Este examen no se autorizó como tráfico aprendido en la red. | Mediano | Examinar |
Tácticas: - Detección Técnicas: - T0842: Examen de red |
Se puede aprender | No |
| Comando no autorizado de Toshiba Computer Link | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Bajo | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos - Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
Se puede aprender | Sí |
| Operación de archivo de totalflow de ABB no autorizada | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos - Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
No se puede aprender | Sí |
| Operación de registro de totalflow de ABB no autorizado | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos - Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
No se puede aprender | Sí |
| Acceso no autorizado al bloque de datos de Siemens S7 | Un dispositivo de origen intentó acceder a un recurso en otro dispositivo. Un intento de acceso a este recurso entre estos dos dispositivos no está autorizado como tráfico aprendido en la red. | Bajo | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos - Acceso inicial Técnicas: - T0855: Mensaje de comando no autorizado - T0811: Datos de repositorios de información |
Se puede aprender | Sí |
| Acceso no autorizado al objeto Siemens S7 Plus | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos - Ejecución - Inhibir la función de respuesta Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador - T0809: Destrucción de datos |
Se puede aprender | Sí |
| Etiqueta de acceso no autorizado a Wonderware | Un dispositivo de origen intentó acceder a un recurso en otro dispositivo. Un intento de acceso a este recurso entre estos dos dispositivos no está autorizado como tráfico aprendido en la red. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Colección - Deterioro del control de procesos Técnicas: - T0861: Identificación de etiquetas & punto - T0855: Mensaje de comando no autorizado |
Se puede aprender | Sí |
| Acceso no autorizado a objetos BACNet | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos - Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
Se puede aprender | Sí |
| Ruta BACNet no autorizada | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos - Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
Se puede aprender | Sí |
| Inicio de sesión de base de datos no autorizado * | Se detectó un intento de inicio de sesión entre un cliente de origen y un servidor de destino. La comunicación entre estos dispositivos no está autorizada como tráfico aprendido en la red. | Mediano | Autenticación |
Tácticas: - Movimiento lateral - Persistencia - Colección Técnicas: - T0859: Cuentas válidas - T0811: Datos de repositorios de información |
Se puede aprender | No |
| Operación de base de datos no autorizada | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación anómalo |
Tácticas: - Deterioro del control de procesos - Acceso inicial Técnicas: - T0855: Mensaje de comando no autorizado - T0811: Datos de repositorios de información |
Se puede aprender | Sí |
| Operación ROC de Emerson no autorizada | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos - Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
Se puede aprender | Sí |
| Acceso no autorizado a archivos SRTP de GE | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Colección - Movimiento lateral - Persistencia Técnicas: - T0801: Supervisar el estado del proceso - T0859: Cuentas válidas |
Se puede aprender | Sí |
| Comando de protocolo SRTP de GE no autorizado | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
Se puede aprender | Sí |
| Operación de memoria del sistema GE SRTP no autorizada | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Detección - Deterioro del control de procesos Técnicas: - T0846: Detección remota del sistema - T0855: Mensaje de comando no autorizado |
Se puede aprender | Sí |
| Actividad HTTP no autorizada | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación HTTP anómalo |
Tácticas: - Acceso inicial - Comando y control Técnicas: - T0822: Servicios remotos externos - T0869: protocolo de capa de aplicación Standard |
Se puede aprender | No |
| Acción SOAP HTTP no autorizada * | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación HTTP anómalo |
Tácticas: - Comando y control - Ejecución Técnicas: - T0869: protocolo de capa de aplicación Standard - T0871: Ejecución a través de la API |
Se puede aprender | No |
| Agente de usuario HTTP no autorizado * | Se detectó una aplicación no autorizada en un dispositivo de origen. La aplicación no está autorizada como una aplicación aprendida en la red. | Mediano | Comportamiento de comunicación HTTP anómalo |
Tácticas: - Comando y control Técnicas: - T0869: protocolo de capa de aplicación Standard |
Se puede aprender | No |
| Conectividad a Internet no autorizada detectada | Un dispositivo interno se ha comunicado correctamente con Internet. | Alto | Acceso a Internet |
Tácticas: - Acceso inicial Técnicas: - T0883: Dispositivo accesible por Internet |
Se puede aprender | No |
| Comando melsec de Mitsubishi no autorizado | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos - Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
Se puede aprender | Sí |
| Acceso no autorizado al programa MMS | Un dispositivo de origen intentó acceder a un recurso en otro dispositivo. Un intento de acceso a este recurso entre estos dos dispositivos no está autorizado como tráfico aprendido en la red. | Mediano | Programación |
Tácticas: - Deterioro del control de procesos - Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
Se puede aprender | Sí |
| Servicio MMS no autorizado | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos - Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0821: Modificar tareas del controlador |
Se puede aprender | Sí |
| Conexión de difusión o multidifusión no autorizada | Se detectó una conexión multidifusión/difusión entre un dispositivo de origen y otros dispositivos. La comunicación multidifusión o difusión no está autorizada. | Alto | Comportamiento de comunicación anómalo |
Tácticas: - Detección Técnicas: - T0842: Examen de red |
Se puede aprender | Sí |
| Consulta de nombres no autorizados | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación anómalo |
Tácticas: - Deterioro del control de procesos Técnicas: - T0836: Modificar parámetro |
No se puede aprender | Sí |
| Actividad de OPC UA no autorizada | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos Técnicas: - T0836: Modificar parámetro |
Se puede aprender | Sí |
| Solicitud o respuesta no autorizada de OPC UA | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos Técnicas: - T0836: Modificar parámetro |
Se puede aprender | Sí |
| Una regla definida por el usuario detectó una operación no autorizada. | Se detectó tráfico entre dos dispositivos. Esta actividad no está autorizada, en función de una regla de alerta personalizada definida por un usuario. | Mediano | Alertas personalizadas |
Tácticas: - Detección Técnicas: - T0842: Examen de red |
No se puede aprender | No |
| Lectura de configuración de PLC no autorizada | El dispositivo de origen no se define como un dispositivo de programación, sino que realiza una operación de lectura y escritura en un controlador de destino. Los cambios de programación solo deben realizarse mediante dispositivos de programación. Es posible que se haya instalado una aplicación de programación en este dispositivo. | Bajo | Cambios de configuración |
Tácticas: - Colección Técnicas: - T0801: Supervisar el estado del proceso |
Se puede aprender | No |
| Escritura de configuración de PLC no autorizada | El dispositivo de origen envió un comando para leer y escribir el programa de un controlador de destino. Esta actividad no se ha visto anteriormente. | Mediano | Cambios de configuración |
Tácticas: - Deterioro del control de procesos - Persistencia - Impacto Técnicas: - T0839: Firmware del módulo - T0831: Manipulación del control - T0889: Modificar programa |
Se puede aprender | No |
| Carga no autorizada del programa PLC | El dispositivo de origen envió un comando para leer y escribir el programa de un controlador de destino. Esta actividad no se ha visto anteriormente. | Mediano | Programación |
Tácticas: - Deterioro del control de procesos - Persistencia - Colección Técnicas: - T0839: Firmware del módulo - T0845: Carga del programa |
Se puede aprender | No |
| Programación de PLC no autorizada | El dispositivo de origen no se define como un dispositivo de programación, sino que realiza una operación de lectura y escritura en un controlador de destino. Los cambios de programación solo deben realizarse mediante dispositivos de programación. Es posible que se haya instalado una aplicación de programación en este dispositivo. | Alto | Programación |
Tácticas: - Deterioro del control de procesos - Persistencia - Movimiento lateral Técnicas: - T0839: Firmware del módulo - T0889: Modificar programa - T0843: Descarga del programa |
Se puede aprender | No |
| Tipo de marco profinet no autorizado | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos Técnicas: - T0836: Modificar parámetro |
Se puede aprender | Sí |
| Comando S-Bus de SAIA no autorizado | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado |
Se puede aprender | Sí |
| Función de ejecución de control de Siemens S7 no autorizada | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos - Inhibir la función de respuesta Técnicas: - T0855: Mensaje de comando no autorizado - T0809: Destrucción de datos |
Se puede aprender | Sí |
| Ejecución no autorizada de Siemens S7 de la función definida por el usuario | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos - Ejecución Técnicas: - T0836: Modificar parámetro - T0863: Ejecución del usuario |
Se puede aprender | Sí |
| Acceso en bloque de Siemens S7 Plus no autorizado | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Inhibir la función de respuesta - Persistencia - Ejecución Técnicas: - T0803: bloquear mensaje de comando - T0889: Modificar programa - T0821: Modificar tareas del controlador |
Se puede aprender | Sí |
| Operación de Siemens S7 Plus no autorizada | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos - Ejecución Técnicas: - T0855: Mensaje de comando no autorizado - T0863: Ejecución del usuario |
Se puede aprender | Sí |
| Inicio de sesión SMB no autorizado | Se detectó un intento de inicio de sesión entre un cliente de origen y un servidor de destino. La comunicación entre estos dispositivos no está autorizada como tráfico aprendido en la red. | Mediano | Autenticación |
Tácticas: - Acceso inicial - Movimiento lateral - Persistencia Técnicas: - T0886: Servicios remotos - T0859: Cuentas válidas |
Se puede aprender | Sí |
| Operación SNMP no autorizada | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación anómalo |
Tácticas: - Detección - Comando y control Técnicas: - T0842: Examen de red - T0885: puerto de uso frecuente |
Se puede aprender | Sí |
| Acceso SSH no autorizado | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Acceso remoto |
Tácticas: - InitialAccess - Movimiento lateral - Comando y control Técnicas: - T0886: Servicios remotos - T0869: protocolo de capa de aplicación Standard |
Se puede aprender | No |
| Proceso de Windows no autorizado | Se detectó una aplicación no autorizada en un dispositivo de origen. La aplicación no está autorizada como una aplicación aprendida en la red. | Mediano | Comportamiento de comunicación anómalo |
Tácticas: - Ejecución - Escalación de privilegios - Comando y control Técnicas: - T0841: Enlace - T0885: puerto de uso frecuente |
Se puede aprender | Sí |
| Servicio de Windows no autorizado | Se detectó una aplicación no autorizada en un dispositivo de origen. La aplicación no está autorizada como una aplicación aprendida en la red. | Mediano | Comportamiento de comunicación anómalo |
Tácticas: - Acceso inicial - Movimiento lateral Técnicas: - T0866: Explotación de servicios remotos |
Se puede aprender | Sí |
| Una regla definida por el usuario detectó una operación no autorizada. | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros infringe una regla definida por el usuario | Mediano |
Tácticas: - Detección Técnicas: - T0842: Examen de red |
No se puede aprender | No | |
| Extensión Modbus Schneider Electric sin emitir | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado |
Se puede aprender | Sí |
| Uso no emitido de tipos ASDU | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado |
Se puede aprender | Sí |
| Uso no emitido del código de función DNP3 | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos Técnicas: - T0836: Modificar parámetro |
Se puede aprender | Sí |
| Uso no emitido de indicación interna (IIN) * | Un dispositivo de origen DNP3 (outstation) informó de una indicación interna (IIN) que no ha autorizado el tráfico como aprendido en la red. | Mediano | Comandos no válidos |
Tácticas: - Detección Técnicas: - T0842: Examen de red |
Se puede aprender | No |
| Uso no emitido del código de función Modbus | Se detectaron nuevos parámetros de tráfico. Esta combinación de parámetros no está autorizada como tráfico aprendido en la red. La siguiente combinación no está autorizada. | Mediano | Comportamiento de comunicación no autorizado |
Tácticas: - Deterioro del control de procesos Técnicas: - T0836: Modificar parámetro |
Se puede aprender | Sí |
Alertas del motor de anomalías
Nota:
Este artículo contiene referencias al término subordinado, un término que Microsoft ya no usa. Cuando se quite el término del software, lo quitaremos de este artículo.
Las alertas del motor de anomalías describen las anomalías detectadas en la actividad de red.
| Título | Descripción | Severity | Categoría | MITRE ATT&CK Tácticas y técnicas |
Se puede aprender |
|---|---|---|---|---|---|
| Patrón de excepción anómalo en subordinado * | Se detectó un número excesivo de errores en un dispositivo de origen. Esta alerta podría ser el resultado de un problema operativo. Umbral: 20 excepciones en 1 hora |
Bajo | Comportamiento de comunicación anómalo |
Tácticas: - Deterioro del control de procesos Técnicas: - T0806: E/S de fuerza bruta |
No se puede aprender |
| Longitud de encabezado HTTP anómala * | El dispositivo de origen envió un mensaje anómalo. Esta alerta podría indicar un intento de ataque al dispositivo de destino. | Alto | Comportamiento de comunicación HTTP anómalo |
Tácticas: - Acceso inicial - Movimiento lateral - Comando y control Técnicas: - T0866: Explotación de servicios remotos - T0869: protocolo de capa de aplicación Standard |
Se puede aprender |
| Número anómalo de parámetros en el encabezado HTTP * | El dispositivo de origen envió un mensaje anómalo. Esta alerta podría indicar un intento de ataque al dispositivo de destino. | Alto | Comportamiento de comunicación HTTP anómalo |
Tácticas: - Acceso inicial - Movimiento lateral - Comando y control Técnicas: - T0866: Explotación de servicios remotos - T0869: protocolo de capa de aplicación Standard |
Se puede aprender |
| Comportamiento periódico anómalo en el canal de comunicación | Se detectó un cambio en la frecuencia de comunicación entre los dispositivos de origen y destino. | Bajo | Comportamiento de comunicación anómalo |
Tácticas: - Detección Técnicas: - T0842: Examen de red |
Se puede aprender |
| Terminación anómala de las aplicaciones * | Se detectó un número excesivo de comandos de detención en un dispositivo de origen. Esta alerta puede ser el resultado de un problema operativo o de un intento de manipular el dispositivo. Umbral: 20 comandos de detención en 3 horas |
Mediano | Comportamiento de comunicación anómalo |
Tácticas: - Persistencia - Impacto Técnicas: - T0889: Modificar programa - T0831: Manipulación del control |
Se puede aprender |
| Ancho de banda de tráfico anómalo * | Se detectó ancho de banda anómalo en un canal. El ancho de banda parece ser menor o mayor que el detectado anteriormente. Para obtener más información, trabaje con el widget Ancho de banda total. | Bajo | Anomalías de ancho de banda |
Tácticas: - Detección Técnicas: - T0842: Examen de red |
Se puede aprender |
| Ancho de banda de tráfico anómalo entre dispositivos * | Se detectó ancho de banda anómalo en un canal. El ancho de banda parece ser menor o mayor que el detectado anteriormente. Para obtener más información, trabaje con el widget Ancho de banda total. | Bajo | Anomalías de ancho de banda |
Tácticas: - Detección Técnicas: - T0842: Examen de red |
No se puede aprender |
| Examen de direcciones detectado | Se detectó un dispositivo de origen que examinaba los dispositivos de red. Este dispositivo no está autorizado como dispositivo de examen de red. Umbral: 50 conexiones a la misma subred de clase B en 2 minutos |
Alto | Examinar |
Tácticas: - Detección Técnicas: - T0842: Examen de red |
Se puede aprender |
| Examen de direcciones ARP detectado * | Se detectó un dispositivo de origen que examinaba los dispositivos de red mediante el Protocolo de resolución de direcciones (ARP). Esta dirección del dispositivo no está autorizada como dirección de examen ARP válida. Umbral: 40 exámenes en 6 minutos |
Alto | Examinar |
Tácticas: - Detección - Colección Técnicas: - T0842: Examen de red - T0830: Hombre en el medio |
Se puede aprender |
| Suplantación de identidad de ARP * | Se detectó una cantidad anómala de paquetes en la red. Esta alerta podría indicar un ataque, por ejemplo, un ataque de suplantación de identidad arp o un ataque de inundación ICMP. Umbral: 60 paquetes en 1 minuto |
Bajo | Comportamiento de comunicación anómalo |
Tácticas: - Colección Técnicas: - T0830: Hombre en el medio |
No se puede aprender |
| Intentos de inicio de sesión excesivos | Se ha visto que un dispositivo de origen realiza intentos de inicio de sesión excesivos en un servidor de destino. Esta alerta podría indicar un ataque por fuerza bruta. Un actor malintencionado podría poner en peligro el servidor. Umbral: 20 intentos de inicio de sesión en 1 minuto |
Alto | Autenticación |
Tácticas: - Movimiento lateral - Deterioro del control de procesos Técnicas: - T0812: credenciales predeterminadas - T0806: E/S de fuerza bruta |
No se puede aprender |
| Número excesivo de sesiones | Se ha visto que un dispositivo de origen realiza intentos de inicio de sesión excesivos en un servidor de destino. Esto podría indicar un ataque por fuerza bruta. Un actor malintencionado podría poner en peligro el servidor. Umbral: 50 sesiones en 1 minuto |
Alto | Comportamiento de comunicación anómalo |
Tácticas: - Movimiento lateral - Deterioro del control de procesos Técnicas: - T0812: credenciales predeterminadas - T0806: E/S de fuerza bruta |
No se puede aprender |
| Velocidad de reinicio excesiva de una desestación * | Se detectó un número excesivo de comandos de reinicio en un dispositivo de origen. Estas alertas pueden ser el resultado de un problema operativo o de un intento de manipular el dispositivo. Umbral: 10 reinicios en 1 hora |
Mediano | Comandos restart/stop |
Tácticas: - Inhibir la función de respuesta - Deterioro del control de procesos Técnicas: - T0814: Denegación de servicio - T0806: E/S de fuerza bruta |
No se puede aprender |
| Intentos excesivos de inicio de sesión de SMB | Se ha visto que un dispositivo de origen realiza intentos de inicio de sesión excesivos en un servidor de destino. Esto podría indicar un ataque por fuerza bruta. Un actor malintencionado podría poner en peligro el servidor. Umbral: 10 intentos de inicio de sesión en 10 minutos |
Alto | Autenticación |
Tácticas: - Persistencia - Ejecución - Movimiento lateral Técnicas: - T0812: credenciales predeterminadas - T0853: Scripting - T0859: Cuentas válidas |
No se puede aprender |
| Inundación ICMP * | Se detectó una cantidad anómala de paquetes en la red. Esta alerta podría indicar un ataque, por ejemplo, un ataque de suplantación de identidad arp o un ataque de inundación ICMP. Umbral: 60 paquetes en 1 minuto |
Bajo | Comportamiento de comunicación anómalo |
Tácticas: - Detección - Colección Técnicas: - T0842: Examen de red - T0830: Hombre en el medio |
No se puede aprender |
| Contenido de encabezado HTTP no válido * | El dispositivo de origen inició una solicitud no válida. | Alto | Comportamiento de comunicación HTTP anómalo |
Tácticas: - Acceso inicial - Movimiento lateral Técnicas: - T0866: Explotación de servicios remotos |
No se puede aprender |
| Canal de comunicación inactivo * | Un canal de comunicación entre dos dispositivos estuvo inactivo durante un período en el que se observa normalmente la actividad. Esto podría indicar que el programa que genera este tráfico ha cambiado o que el programa podría no estar disponible. Se recomienda revisar la configuración del programa instalado y comprobar que está configurado correctamente. Umbral: 1 minuto |
Bajo | No responde |
Tácticas: - Inhibir la función de respuesta Técnicas: - T0881: Service Stop |
No se puede aprender |
| Examen de direcciones de larga duración detectado * | Se detectó un dispositivo de origen que examinaba los dispositivos de red. Este dispositivo no está autorizado como dispositivo de examen de red. Umbral: 50 conexiones a la misma subred de clase B en 10 minutos |
Alto | Examinar |
Tácticas: - Detección Técnicas: - T0842: Examen de red |
Se puede aprender |
| Intento de adivinación de contraseña detectado | Se ha visto que un dispositivo de origen realiza intentos de inicio de sesión excesivos en un servidor de destino. Esto podría indicar un ataque por fuerza bruta. Un actor malintencionado podría poner en peligro el servidor. Umbral: 100 intentos en 1 minuto |
Alto | Autenticación |
Tácticas: - Movimiento lateral Técnicas: - T0812: credenciales predeterminadas - T0806: E/S de fuerza bruta |
No se puede aprender |
| Examen de PLC detectado | Se detectó un dispositivo de origen que examinaba los dispositivos de red. Este dispositivo no está autorizado como dispositivo de examen de red. Umbral: 10 exámenes en 2 minutos |
Alto | Examinar |
Tácticas: - Detección Técnicas: - T0842: Examen de red |
Se puede aprender |
| Examen de puerto detectado | Se detectó un dispositivo de origen que examinaba los dispositivos de red. Este dispositivo no está autorizado como dispositivo de examen de red. Umbral: 25 exámenes en 2 minutos |
Alto | Examinar |
Tácticas: - Detección Técnicas: - T0842: Examen de red |
Se puede aprender |
| Longitud inesperada del mensaje | El dispositivo de origen envió un mensaje anómalo. Esta alerta podría indicar un intento de ataque al dispositivo de destino. Umbral: longitud del texto: 32768 |
Alto | Comportamiento de comunicación anómalo |
Tácticas: - InitialAccess - Movimiento lateral Técnicas: - T0869: Explotación de servicios remotos |
No se puede aprender |
| Tráfico inesperado para el puerto de Standard* | Se detectó tráfico en un dispositivo mediante un puerto reservado para otro protocolo. | Mediano | Comportamiento de comunicación anómalo |
Tácticas: - Comando y control - Detección Técnicas: - T0869: protocolo de capa de aplicación Standard - T0842: Examen de red |
No se puede aprender |
Alertas del motor de infracción de protocolo
Las alertas del motor de protocolo describen las desviaciones detectadas en la estructura de paquetes o los valores de campo en comparación con las especificaciones del protocolo.
| Título | Descripción | Severity | Categoría | MITRE ATT&CK Tácticas y técnicas |
Se puede aprender |
|---|---|---|---|---|---|
| Paquetes incorrectos excesivos en una sola sesión * | Un número anómalo de paquetes con formato incorrecto enviados desde el dispositivo de origen al dispositivo de destino. Esta alerta puede indicar comunicaciones erróneas o un intento de manipular el dispositivo de destino. Umbral: 2 paquetes con formato incorrecto en 10 minutos |
Mediano | Comandos no válidos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0806: E/S de fuerza bruta |
No se puede aprender |
| Actualización de firmware | Un dispositivo de origen envió un comando para actualizar el firmware en un dispositivo de destino. Compruebe que las actualizaciones recientes de programación, configuración y firmware realizadas en el dispositivo de destino son válidas. | Bajo | Cambio de firmware |
Tácticas: - Inhibir la función de respuesta - Persistencia Técnicas: - T0857: Firmware del sistema |
Se puede aprender |
| Código de función no compatible con outstation | El dispositivo de destino recibió una solicitud no válida. | Mediano | Comandos no válidos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado |
No se puede aprender |
| Mensaje BACNet no válido | El dispositivo de origen inició una solicitud no válida. | Mediano | Comandos no válidos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0836: Modificar parámetro |
No se puede aprender |
| Intento de conexión no válido en el puerto 0 | Un dispositivo de origen intentó conectarse al dispositivo de destino en el número de puerto cero (0). Para TCP, el puerto 0 está reservado y no se puede usar. Para UDP, el puerto es opcional y un valor de 0 significa que no hay ningún puerto. Normalmente no hay ningún servicio en un sistema que escuche en el puerto 0. Este evento puede indicar un intento de atacar el dispositivo de destino o indicar que una aplicación se programó incorrectamente. | Bajo | Comandos no válidos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0836: Modificar parámetro |
No se puede aprender |
| Operación DNP3 no válida | El dispositivo de origen inició una solicitud no válida. | Mediano | Comandos no válidos |
Tácticas: - Acceso inicial - Movimiento lateral Técnicas: - T0866: Explotación de servicios remotos |
No se puede aprender |
| Operación MODBUS no válida (excepción desencadenada por el maestro) | El dispositivo de origen inició una solicitud no válida. | Mediano | Comandos no válidos |
Tácticas: - Acceso inicial - Movimiento lateral Técnicas: - T0866: Explotación de servicios remotos |
No se puede aprender |
| Operación MODBUS no válida (código de función cero) * | El dispositivo de origen inició una solicitud no válida. | Mediano | Comandos no válidos |
Tácticas: - Acceso inicial - Movimiento lateral Técnicas: - T0866: Explotación de servicios remotos |
No se puede aprender |
| Versión de protocolo no válida * | El dispositivo de origen inició una solicitud no válida. | Mediano | Comandos no válidos |
Tácticas: - Acceso inicial - Movimiento lateral - Deterioro del control de procesos Técnicas: - T0820: Servicios remotos - T0836: Modificar parámetro |
No se puede aprender |
| Parámetro incorrecto enviado a outstation | El dispositivo de destino recibió una solicitud no válida. | Mediano | Comandos no válidos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0836: Modificar parámetro |
No se puede aprender |
| Iniciación de un código de función obsoleto (inicializar datos) | El dispositivo de origen inició una solicitud no válida. | Bajo | Comandos no válidos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado |
No se puede aprender |
| Iniciación de un código de función obsoleto (Guardar configuración) | El dispositivo de origen inició una solicitud no válida. | Bajo | Comandos no válidos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado |
No se puede aprender |
| Master Solicitó una confirmación de nivel de aplicación | El dispositivo de origen inició una solicitud no válida. | Bajo | Comandos no válidos |
Tácticas: - Comando y control Técnicas: - T0869: protocolo de capa de aplicación Standard |
No se puede aprender |
| Excepción modbus | Un dispositivo de origen (secundario) devolvió una excepción a un dispositivo de destino (principal). | Mediano | Comandos no válidos |
Tácticas: - Inhibir la función de respuesta Técnicas: - T0814: Denegación de servicio |
No se puede aprender |
| Dispositivo subordinado recibido tipo ASDU no válido | El dispositivo de destino recibió una solicitud no válida. | Mediano | Comandos no válidos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0836: Modificar parámetro |
No se puede aprender |
| Dispositivo esclavo recibido causa de transmisión de comandos ilegales | El dispositivo de destino recibió una solicitud no válida. | Mediano | Comandos no válidos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0836: Modificar parámetro |
No se puede aprender |
| El dispositivo esclavo recibió una dirección común no válida | El dispositivo de destino recibió una solicitud no válida. | Mediano | Comandos no válidos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0836: Modificar parámetro |
No se puede aprender |
| El dispositivo subordinado recibió un parámetro de dirección de datos no válido * | El dispositivo de destino recibió una solicitud no válida. | Mediano | Comandos no válidos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0836: Modificar parámetro |
No se puede aprender |
| El dispositivo subordinado recibió un parámetro de valor de datos no válido * | El dispositivo de destino recibió una solicitud no válida. | Mediano | Comandos no válidos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0836: Modificar parámetro |
No se puede aprender |
| El dispositivo esclavo recibió código de función no válido * | El dispositivo de destino recibió una solicitud no válida. | Mediano | Comandos no válidos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0836: Modificar parámetro |
No se puede aprender |
| El dispositivo subordinado recibió una dirección de objeto de información no válida | El dispositivo de destino recibió una solicitud no válida. | Mediano | Comandos no válidos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado - T0836: Modificar parámetro |
No se puede aprender |
| Objeto desconocido enviado a outstation | El dispositivo de destino recibió una solicitud no válida. | Mediano | Comandos no válidos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado |
No se puede aprender |
| Uso de un código de función reservada | El dispositivo de origen inició una solicitud no válida. | Mediano | Comandos no válidos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0836: Modificar parámetro |
No se puede aprender |
| Uso de formato incorrecto por desestación * | El dispositivo de origen inició una solicitud no válida. | Bajo | Comandos no válidos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado |
No se puede aprender |
| Uso de marcas de estado reservado (IIN) | Un dispositivo de origen DNP3 (outstation) usó el indicador interno reservado 2.6. Se recomienda comprobar la configuración del dispositivo. | Bajo | Comandos no válidos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0836: Modificar parámetro |
No se puede aprender |
Alertas del motor de malware
Las alertas del motor de malware describen la actividad de red malintencionada detectada.
| Título | Descripción | Severity | Categoría | MITRE ATT&CK Tácticas y técnicas |
Se puede aprender |
|---|---|---|---|---|---|
| Intento de conexión a una dirección IP malintencionada conocida | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que aprovecha un método utilizado por malware conocido. Desencadenado por los sensores de red ot. |
Alto | Sospecha de actividad malintencionada |
Tácticas: - Acceso inicial - Comando y control Técnicas: - T0883: Dispositivo accesible por Internet - T0884: Proxy de conexión |
No se puede aprender |
| Mensaje SMB no válido (implante de puerta trasera DoublePulsar) | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que aprovecha un método utilizado por malware conocido. | Alto | Sospecha de malware |
Tácticas: - Acceso inicial - Movimiento lateral Técnicas: - T0866: Explotación de servicios remotos |
No se puede aprender |
| Solicitud de nombre de dominio malintencionado | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que aprovecha un método utilizado por malware conocido. Desencadenado por los sensores de red ot. |
Alto | Sospecha de actividad malintencionada |
Tácticas: - Acceso inicial - Comando y control Técnicas: - T0883: Dispositivo accesible por Internet - T0884: Proxy de conexión |
Se puede aprender |
| Ruta de acceso url malintencionada | Se realizó una solicitud a una ruta de acceso de dirección URL malintencionada conocida. Las solicitudes realizadas para esta ruta de acceso url pueden indicar que el origen que realiza la solicitud está en peligro. | Alto | Sospecha de actividad malintencionada |
Tácticas: - Acceso inicial - Comando y control Técnicas: - T0883: Dispositivo accesible por Internet - T0884: Proxy de conexión |
No se puede aprender |
| Archivo de prueba de malware detectado: EICAR AV correcto | Se detectó un archivo de prueba EICAR AV en el tráfico entre dos dispositivos (a través de cualquier transporte: TCP o UDP). El archivo no es malware. Se usa para confirmar que el software antivirus está instalado correctamente. Demostrar lo que sucede cuando se encuentra un virus, y comprobar los procedimientos internos y las reacciones cuando se encuentra un virus. El software antivirus debe detectar EICAR como si fuera un virus real. | Alto | Sospecha de actividad malintencionada |
Tácticas: - Detección Técnicas: - T0842: Examen de red |
No se puede aprender |
| Sospecha de malware de Conficker | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que aprovecha un método utilizado por malware conocido. | Mediano | Sospecha de malware |
Tácticas: - Acceso inicial - Impacto Técnicas: - T0826: Pérdida de disponibilidad - T0828: Pérdida de productividad e ingresos - T0847: Replicación a través de medios extraíbles |
No se puede aprender |
| Sospecha de ataque por denegación de servicio | Un dispositivo de origen intentó iniciar un número excesivo de conexiones nuevas a un dispositivo de destino. Esto podría indicar un ataque de denegación de servicio (DOS) contra el dispositivo de destino y podría interrumpir la funcionalidad del dispositivo, afectar al rendimiento y la disponibilidad del servicio o provocar errores irrecuperables. Umbral: 3000 intentos en 1 minuto |
Alto | Sospecha de actividad malintencionada |
Tácticas: - Inhibir la función de respuesta Técnicas: - T0814: Denegación de servicio |
Se puede aprender |
| Sospecha de actividad malintencionada | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que desencadenó "Indicadores de compromiso" (IOC) conocidos. El equipo de seguridad debe revisar los metadatos de alerta. | Alto | Sospecha de actividad malintencionada |
Tácticas: - Movimiento lateral Técnicas: - T0867: Transferencia lateral de herramientas |
No se puede aprender |
| Sospecha de actividad malintencionada (BlackEnergy) | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que aprovecha un método utilizado por malware conocido. | Alto | Sospecha de malware |
Tácticas: - Comando y control Técnicas: - T0869: protocolo de capa de aplicación Standard |
No se puede aprender |
| Sospecha de actividad malintencionada (DarkComet) | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que aprovecha un método utilizado por malware conocido. | Alto | Sospecha de malware |
Tácticas: - Impacto Técnicas: - T0882: Robo de información operativa |
No se puede aprender |
| Sospecha de actividad malintencionada (Duqu) | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que aprovecha un método utilizado por malware conocido. | Alto | Sospecha de malware |
Tácticas: - Impacto Técnicas: - T0882: Robo de información operativa |
No se puede aprender |
| Sospecha de actividad malintencionada (llama) | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que aprovecha un método utilizado por malware conocido. | Alto | Sospecha de malware |
Tácticas: - Colección - Impacto Técnicas: - T0882: Robo de información operativa - T0811: Datos de repositorios de información |
No se puede aprender |
| Sospecha de actividad malintencionada (Havex) | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que aprovecha un método utilizado por malware conocido. | Alto | Sospecha de malware |
Tácticas: - Colección - Detección - Inhibir la función de respuesta Técnicas: - T0861: Identificación de etiquetas & punto - T0846: Detección remota del sistema - T0814: Denegación de servicio |
No se puede aprender |
| Sospecha de actividad malintencionada (Karagany) | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que aprovecha un método utilizado por malware conocido. | Alto | Sospecha de malware |
Tácticas: - Impacto Técnicas: - T0882: Robo de información operativa |
No se puede aprender |
| Sospecha de actividad malintencionada (LightsOut) | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que aprovecha un método utilizado por malware conocido. | Alto | Sospecha de malware |
Tácticas: - Evasión Técnicas: - T0849: Enmascaramiento |
No se puede aprender |
| Sospecha de actividad malintencionada (consultas de nombres) | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que aprovecha un método utilizado por malware conocido. Umbral: 25 consultas de nombres en 1 minuto |
Alto | Sospecha de actividad malintencionada |
Tácticas: - Comando y control Técnicas: - T0884: Proxy de conexión |
No se puede aprender |
| Sospecha de actividad malintencionada (hiedra venenosa) | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que aprovecha un método utilizado por malware conocido. | Alto | Sospecha de malware |
Tácticas: - Acceso inicial - Movimiento lateral Técnicas: - T0866: Explotación de servicios remotos |
No se puede aprender |
| Sospecha de actividad malintencionada (Regin) | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que aprovecha un método utilizado por malware conocido. | Alto | Sospecha de malware |
Tácticas: - Acceso inicial - Movimiento lateral - Impacto Técnicas: - T0866: Explotación de servicios remotos - T0882: Robo de información operativa |
No se puede aprender |
| Sospecha de actividad malintencionada (Stuxnet) | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que aprovecha un método utilizado por malware conocido. | Alto | Sospecha de malware |
Tácticas: - Acceso inicial - Movimiento lateral - Impacto Técnicas: - T0818: Compromiso de estación de trabajo de ingeniería - T0866: Explotación de servicios remotos - T0831: Manipulación del control |
No se puede aprender |
| Sospecha de actividad malintencionada (WannaCry) * | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que aprovecha un método utilizado por malware conocido. | Mediano | Sospecha de malware |
Tácticas: - Acceso inicial - Movimiento lateral Técnicas: - T0866: Explotación de servicios remotos - T0867: Transferencia lateral de herramientas |
No se puede aprender |
| Sospecha de malware NotPetya: se han detectado parámetros SMB no válidos | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que aprovecha un método utilizado por malware conocido. | Alto | Sospecha de malware |
Tácticas: - Acceso inicial - Movimiento lateral Técnicas: - T0866: Explotación de servicios remotos |
No se puede aprender |
| Sospecha de malware NotPetya: se detectó una transacción SMB no válida | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que aprovecha un método utilizado por malware conocido. | Alto | Sospecha de malware |
Tácticas: - Movimiento lateral Técnicas: - T0867: Transferencia lateral de herramientas |
No se puede aprender |
| Sospecha de ejecución remota de código con PsExec | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que aprovecha un método utilizado por malware conocido. | Alto | Sospecha de actividad malintencionada |
Tácticas: - Movimiento lateral - Acceso inicial Técnicas: - T0866: Explotación de servicios remotos |
No se puede aprender |
| Sospecha de administración remota de servicios de Windows * | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que aprovecha un método utilizado por malware conocido. | Alto | Sospecha de actividad malintencionada |
Tácticas: - Acceso inicial Técnicas: - T0822: NetworkExternal Remote Services |
No se puede aprender |
| Archivo ejecutable sospechoso detectado en el punto de conexión | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que aprovecha un método utilizado por malware conocido. | Alto | Sospecha de actividad malintencionada |
Tácticas: - Evasión - Inhibir la función de respuesta Técnicas: - T0851: Rootkit |
Se puede aprender |
| Tráfico sospechoso detectado * | Se detectó actividad de red sospechosa. Esta actividad podría estar asociada a un ataque que desencadenó "Indicadores de compromiso" (IOC) conocidos. El equipo de seguridad debe revisar los metadatos de alerta. | Alto | Sospecha de actividad malintencionada |
Tácticas: - Detección Técnicas: - T0842: Examen de red |
No se puede aprender |
| Actividad de copia de seguridad con firmas antivirus | El tráfico detectado entre el dispositivo de origen y el servidor de copia de seguridad de destino desencadenó esta alerta. El tráfico incluye la copia de seguridad del software antivirus que podría contener firmas de malware. Es muy probable que se trate de una actividad de copia de seguridad legítima. | Bajo | Copia de seguridad |
Tácticas: - Impacto Técnicas: - T0882: Robo de información operativa |
No se puede aprender |
Alertas del motor operativo
Las alertas del motor operativo describen los incidentes operativos detectados o las entidades que no funcionan correctamente.
| Título | Descripción | Severity | Categoría | MITRE ATT&CK Tácticas y técnicas |
Se puede aprender |
|---|---|---|---|---|---|
| Se envió un comando S7 Stop PLC | El dispositivo de origen envió un comando stop a un controlador de destino. El controlador deja de funcionar hasta que se envía un comando de inicio. | Bajo | Comandos restart/stop |
Tácticas: - Movimiento lateral - Evasión de defensa - Ejecución - Inhibir la función de respuesta Técnicas: - T0843: Descarga del programa - T0858: Cambiar modo de funcionamiento - T0814: Denegación de servicio |
No se puede aprender |
| Error en la operación BACNet | Un servidor devolvió un código de error. Esta alerta indica un error de servidor o una solicitud no válida por parte de un cliente. | Mediano | Errores de comandos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado |
No se puede aprender |
| Estado del dispositivo MMS incorrecto | Un dispositivo de fabricación virtual (VMD) MMS envió un mensaje de estado. El mensaje indica que es posible que el servidor no esté configurado correctamente, parcialmente operativo o no esté operativo en absoluto. | Mediano | Problemas operativos |
Tácticas: - Inhibir la función de respuesta Técnicas: - T0814: Denegación de servicio |
No se puede aprender |
| Cambio de la configuración del dispositivo * | Se detectó un cambio de configuración en un dispositivo de origen. | Bajo | Cambios de configuración |
Tácticas: - Deterioro del control de procesos Técnicas: - T0836: Modificar parámetro |
No se puede aprender |
| Desbordamiento continuo del búfer de eventos en la estación de salida * | Se detectó un evento de desbordamiento de búfer en un dispositivo de origen. El evento puede causar daños en los datos, bloqueos del programa o ejecución de código malintencionado. Umbral: 3 repeticiones en 10 minutos |
Mediano | Desbordamiento de búfer |
Tácticas: - Inhibir la función de respuesta - Deterioro del control de procesos - Persistencia Técnicas: - T0814: Denegación de servicio - T0806: E/S de fuerza bruta - T0839: Firmware del módulo |
No se puede aprender |
| Restablecimiento del controlador | Un dispositivo de origen envió un comando de restablecimiento a un controlador de destino. El controlador dejó de funcionar temporalmente e inició de nuevo automáticamente. | Bajo | Comandos restart/stop |
Tácticas: - Evasión de defensa - Ejecución - Inhibir la función de respuesta Técnicas: - T0858: Cambiar modo de funcionamiento - T0814: Denegación de servicio |
No se puede aprender |
| Detención del controlador | El dispositivo de origen envió un comando stop a un controlador de destino. El controlador deja de funcionar hasta que se envía un comando de inicio. | Bajo | Comandos restart/stop |
Tácticas: - Movimiento lateral - Evasión de defensa - Ejecución - Inhibir la función de respuesta Técnicas: - T0843: Descarga del programa - T0858: Cambiar modo de funcionamiento - T0814: Denegación de servicio |
No se puede aprender |
| No se pudo recibir una dirección IP dinámica del dispositivo | El dispositivo de origen está configurado para recibir una dirección IP dinámica de un servidor DHCP, pero no recibió una dirección. Esto indica un error de configuración en el dispositivo o un error operativo en el servidor DHCP. Se recomienda notificar al administrador de red del incidente. | Mediano | Errores de comandos |
Tácticas: - Detección Técnicas: - T0842: Examen de red |
No se puede aprender |
| Se sospecha que el dispositivo está desconectado (no responde) | Un dispositivo de origen no respondió a un comando que se le envió. Es posible que se haya desconectado cuando se envió el comando. Umbral: 8 intentos en 5 minutos |
Mediano | No responde |
Tácticas: - Inhibir la función de respuesta Técnicas: - T0881: Service Stop |
No se puede aprender |
| Error en la solicitud del servicio ETHERNET/IP CIP | Un servidor devolvió un código de error. Esto indica un error de servidor o una solicitud no válida por parte de un cliente. | Mediano | Errores de comandos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado |
No se puede aprender |
| Error en el comando del protocolo de encapsulación EtherNet/IP | Un servidor devolvió un código de error. Esto indica un error de servidor o una solicitud no válida por parte de un cliente. | Mediano | Errores de comandos |
Tácticas: - Colección Técnicas: - T0801: Supervisar el estado del proceso |
No se puede aprender |
| Desbordamiento del búfer de eventos en la estación de salida | Se detectó un evento de desbordamiento de búfer en un dispositivo de origen. El evento puede causar daños en los datos, bloqueos del programa o ejecución de código malintencionado. | Mediano | Desbordamiento de búfer |
Tácticas: - Inhibir la función de respuesta - Deterioro del control de procesos - Persistencia Técnicas: - T0814: Denegación de servicio - T0839: Firmware del módulo |
No se puede aprender |
| No se produjo la operación de copia de seguridad esperada | La actividad de copia de seguridad o transferencia de archivos esperada no se produjo entre dos dispositivos. Esta alerta podría indicar errores en el proceso de copia de seguridad o transferencia de archivos. Umbral: 100 segundos |
Mediano | Copia de seguridad |
Tácticas: - Inhibir la función de respuesta Técnicas: - T0809: Destrucción de datos |
Se puede aprender |
| Error del comando SRTP de GE | Un servidor devolvió un código de error. Esta alerta indica un error de servidor o una solicitud no válida por parte de un cliente. | Mediano | Errores de comandos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado |
No se puede aprender |
| Se envió el comando GE SRTP Stop PLC | El dispositivo de origen envió un comando stop a un controlador de destino. El controlador deja de funcionar hasta que se envía un comando de inicio. | Bajo | Comandos restart/stop |
Tácticas: - Movimiento lateral - Evasión de defensa - Ejecución - Inhibir la función de respuesta Técnicas: - T0843: Descarga del programa - T0858: Cambiar modo de funcionamiento - T0814: Denegación de servicio |
No se puede aprender |
| El bloque de control GOOSE requiere una configuración adicional | Un dispositivo de origen envió un mensaje GOOSE que indica que el dispositivo necesita puesta en marcha. Esto significa que el bloque de control GOOSE requiere una configuración adicional y los mensajes GOOSE son parcial o completamente no operativos. | Mediano | Cambios de configuración |
Tácticas: - Deterioro del control de procesos - Inhibir la función de respuesta Técnicas: - T0803: Bloquear mensaje de comando - T0821: Modificar tareas del controlador |
No se puede aprender |
| Se cambió la configuración del conjunto de datos GOOSE * | Se cambió un conjunto de datos de mensaje (identificado por identificador de protocolo) en un dispositivo de origen. Esto significa que el dispositivo notifica un conjunto de datos diferente para este mensaje. | Bajo | Cambios de configuración |
Tácticas: - Deterioro del control de procesos Técnicas: - T0836: Modificar parámetro |
No se puede aprender |
| Estado inesperado del controlador Honeywell | Un controlador honeywell envió un mensaje de diagnóstico inesperado que indica un cambio de estado. | Bajo | Problemas operativos |
Tácticas: - Evasión - Ejecución Técnicas: - T0858: Cambiar modo de funcionamiento |
No se puede aprender |
| Error de cliente HTTP * | El dispositivo de origen inició una solicitud no válida. | Bajo | Comportamiento de comunicación HTTP anómalo |
Tácticas: - Comando y control Técnicas: - T0869: protocolo de capa de aplicación Standard |
No se puede aprender |
| Dirección IP no válida | El sistema detectó tráfico entre un dispositivo de origen y una dirección IP que es una dirección no válida. Esto puede indicar una configuración incorrecta o un intento de generar tráfico no válido. | Bajo | Comportamiento de comunicación anómalo |
Tácticas: - Detección - Deterioro del control de procesos Técnicas: - T0842: Examen de red - T0836: Modificar parámetro |
No se puede aprender |
| Error de autenticación maestro-esclavo | Error en el proceso de autenticación entre un dispositivo de origen DNP3 (principal) y un dispositivo de destino (salida). | Bajo | Autenticación |
Tácticas: - Movimiento lateral - Persistencia Técnicas: - T0859: Cuentas válidas |
No se puede aprender |
| Error en la solicitud del servicio MMS | Un servidor devolvió un código de error. Esto indica un error de servidor o una solicitud no válida por parte de un cliente. | Mediano | Errores de comandos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado |
No se puede aprender |
| No se detectó tráfico en la interfaz del sensor | Un sensor dejó de detectar el tráfico de red en una interfaz de red. | Alto | Tráfico del sensor |
Tácticas: - Inhibir la función de respuesta Técnicas: - T0881: Service Stop |
No se puede aprender |
| El servidor de OPC UA generó un evento que requiere la atención del usuario | Un servidor de OPC UA envió una notificación de eventos a un cliente. Este tipo de evento requiere atención del usuario | Mediano | Problemas operativos |
Tácticas: - Inhibir la función de respuesta Técnicas: - T0838: Modificar la configuración de alarma |
No se puede aprender |
| Error en la solicitud de servicio de OPC UA | Un servidor devolvió un código de error. Esto indica un error de servidor o una solicitud no válida por parte de un cliente. | Mediano | Errores de comandos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado |
No se puede aprender |
| Fuera de la estación reiniciada | Se detectó un reinicio en frío en un dispositivo de origen. Esto significa que el dispositivo se ha apagado físicamente y se ha vuelto a activar. | Bajo | Comandos restart/stop |
Tácticas: - Inhibir la función de respuesta Técnicas: - T0816: Reinicio/apagado del dispositivo |
No se puede aprender |
| La estación de salida se reinicia con frecuencia | Se detectó un número excesivo de reinicios en frío en un dispositivo de origen. Esto significa que el dispositivo se ha apagado físicamente y ha vuelto a encenderse un número excesivo de veces. Umbral: 2 reinicios en 10 minutos |
Bajo | Comandos restart/stop |
Tácticas: - Inhibir la función de respuesta Técnicas: - T0814: Denegación de servicio - T0816: Reinicio/apagado del dispositivo |
No se puede aprender |
| Configuración de la estación de salida cambiada | Se detectó un cambio de configuración en un dispositivo de origen. | Mediano | Cambios de configuración |
Tácticas: - Inhibir la función de respuesta - Persistencia Técnicas: - T0857: Firmware del sistema |
No se puede aprender |
| Configuración dañada de la estación de salida detectada | Este dispositivo de origen DNP3 (salida) informó de una configuración dañada. | Mediano | Cambios de configuración |
Tácticas: - Inhibir la función de respuesta Técnicas: - T0809: Destrucción de datos |
No se puede aprender |
| Error en el comando DCP de Profinet | Un servidor devolvió un código de error. Esto indica un error de servidor o una solicitud no válida por parte de un cliente. | Mediano | Errores de comandos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado |
No se puede aprender |
| Profinet Device Factory Reset | Un dispositivo de origen envió un comando de restablecimiento de fábrica a un dispositivo de destino de Profinet. El comando reset borra las configuraciones del dispositivo Profinet y detiene su funcionamiento. | Bajo | Comandos restart/stop |
Tácticas: - Evasión de defensa - Ejecución - Inhibir la función de respuesta Técnicas: - T0858: Cambiar modo de funcionamiento - T0814: Denegación de servicio |
No se puede aprender |
| Error en la operación RPC * | Un servidor devolvió un código de error. Esta alerta indica un error de servidor o una solicitud no válida por parte de un cliente. | Mediano | Errores de comandos |
Tácticas: - Deterioro del control de procesos Técnicas: - T0855: Mensaje de comando no autorizado |
No se puede aprender |
| Se cambió la configuración del conjunto de datos de mensajes de valores muestreados * | Se cambió un conjunto de datos de mensaje (identificado por identificador de protocolo) en un dispositivo de origen. Esto significa que el dispositivo notifica un conjunto de datos diferente para este mensaje. | Bajo | Cambios de configuración |
Tácticas: - Deterioro del control de procesos Técnicas: - T0836: Modificar parámetro |
No se puede aprender |
| Error irrecuperable del dispositivo esclavo * | Se detectó un error de condición irrecuperable en un dispositivo de origen. Este tipo de error suele indicar un error de hardware o un error al realizar un comando específico. | Mediano | Errores de comandos |
Tácticas: - Inhibir la función de respuesta Técnicas: - T0814: Denegación de servicio |
No se puede aprender |
| Sospecha de problemas de hardware en la desestación | Se detectó un error de condición irrecuperable en un dispositivo de origen. Este tipo de error suele indicar un error de hardware o un error al realizar un comando específico. | Mediano | Problemas operativos |
Tácticas: - Inhibir la función de respuesta Técnicas: - T0814: Denegación de servicio - T0881: Service Stop |
No se puede aprender |
| Sospecha de dispositivo MODBUS sin respuesta | Un dispositivo de origen no respondió a un comando que se le envió. Es posible que se haya desconectado cuando se envió el comando. Umbral: mínimo de 1 respuesta válida para un mínimo de 3 solicitudes en un plazo de 5 minutos |
Bajo | No responde |
Tácticas: - Inhibir la función de respuesta Técnicas: - T0881: Service Stop |
No se puede aprender |
| Tráfico detectado en la interfaz del sensor | Un sensor reanudó la detección del tráfico de red en una interfaz de red. | Bajo | Tráfico del sensor |
Tácticas: - Detección Técnicas: - T0842: Examen de red |
No se puede aprender |
| Se ha cambiado el modo de funcionamiento del PLC | El modo de funcionamiento de este PLC ha cambiado. El nuevo modo podría indicar que el PLC no es seguro. Dejar el PLC en un modo de funcionamiento no seguro podría permitir a los adversarios realizar actividades malintencionadas en él, como una descarga de programa. Si el PLC está en peligro, los dispositivos y procesos que interactúan con él podrían verse afectados. Esto puede afectar a la seguridad general del sistema. | Bajo | Cambios de configuración |
Tácticas: - Ejecución - Evasión Técnicas: - T0858: Cambiar modo de funcionamiento |
No se puede aprender |
Siguientes pasos
Para más información, vea:
- Visualización y administración de alertas en el portal de Defender para IoT
- Visualización de alertas en el sensor
- Aceleración de flujos de trabajo de alertas
- Reenviar información de alertas
- Trabajar con alertas en la consola de administración local
- Referencia de api de administración de alertas para consolas de administración locales
- Referencia de la API de administración de alertas para sensores de supervisión de OT