informazioni di riferimento sugli avvisi Microsoft Defender per IoT

Questo articolo fornisce un riferimento agli avvisi generati da Microsoft Defender per i sensori di rete IoT, incluso un elenco di tutti i tipi di avviso e le descrizioni. Il riferimento mostra anche quali avvisi possono essere valutato come apprendibili o meno, per altre informazioni sullo stato di apprendimento, vedere Stato degli avvisi e opzioni di valutazione. È possibile usare questo riferimento per eseguire il mapping degli avvisi nei playbook, definire regole di inoltro in un sensore di rete OT (Operational Technology) o in altre attività personalizzate.

Avvisi OT disattivati per impostazione predefinita

Per impostazione predefinita, diversi avvisi vengono disattivati, come indicato dagli asterischi (*) nelle tabelle seguenti. Sensore OT Amministrazione gli utenti possono abilitare o disabilitare gli avvisi dalla pagina Supporto in un sensore di rete OT specifico.

Se si disattivano gli avvisi a cui si fa riferimento in altre posizioni, ad esempio le regole di inoltro degli avvisi, assicurarsi di aggiornare tali riferimenti in base alle esigenze.

Gravità degli avvisi

Gli avvisi di Defender per IoT usano i livelli di gravità seguenti:

Portale di Azure	Sensore OT	Descrizione
High	Critico	Indica un attacco dannoso che deve essere gestito immediatamente.
Medium	Principale	Indica una minaccia alla sicurezza che è importante risolvere.
Basso	Minore, Avviso	Indica una deviazione dal comportamento di base che potrebbe contenere una minaccia alla sicurezza o che non contiene minacce alla sicurezza.

Le gravità degli avvisi in questa pagina elencano la gravità come illustrato nella portale di Azure.

Tipi di avviso supportati

Tipo di avviso	Descrizione
Avvisi di violazione dei criteri	Attivato quando il motore di violazione dei criteri rileva una deviazione dal traffico appreso in precedenza. Ad esempio: - Viene rilevato un nuovo dispositivo. - Viene rilevata una nuova configurazione in un dispositivo. - Un dispositivo non definito come dispositivo di programmazione esegue una modifica di programmazione. - Versione del firmware modificata.
Avvisi di violazione del protocollo	Attivato quando il motore di violazione del protocollo rileva strutture di pacchetti o valori di campo non conformi alla specifica del protocollo.
Avvisi operativi	Attivato quando il motore operativo rileva eventi imprevisti operativi di rete o un malfunzionamento del dispositivo. Ad esempio, un dispositivo di rete è stato arrestato tramite un comando Stop PLC o un'interfaccia su un sensore ha arrestato il monitoraggio del traffico.
Avvisi di malware	Attivato quando il motore malware rileva attività di rete dannose. Ad esempio, il motore rileva un attacco noto, ad esempio Conficker.
Avvisi di anomalie	Attivato quando il motore anomalie rileva una deviazione. Ad esempio, un dispositivo esegue analisi di rete, ma non è definito come dispositivo di analisi.

I criteri di rilevamento degli avvisi di Defender per IoT indirizzano i diversi motori di avviso per attivare avvisi in base all'impatto aziendale e al contesto di rete e ridurre gli avvisi correlati all'IT di basso valore. Per altre informazioni, vedere Avvisi incentrati negli ambienti OT/IT.

Categorie di avvisi supportate

Ogni avviso include una delle categorie seguenti:

Comportamento di comunicazione anomalo
Comportamento anomalo della comunicazione HTTP
Autenticazione
Backup
Anomalie della larghezza di banda
Overflow del buffer
Errori di comando
Modifiche alla configurazione
Avvisi personalizzati
Individuazione
Modifica del firmware
Comandi non validi

Internet gratuito
Errori di operazione
Problemi operativi
Programmazione
Accesso remoto
Comandi di riavvio/arresto
Analisi
Traffico del sensore
Sospetto di attività dannose
Sospetto di malware
Comportamento di comunicazione non autorizzato
Insensibile

Avvisi del motore dei criteri

Gli avvisi del motore di criteri descrivono le deviazioni rilevate dal comportamento di base appreso.

La tabella degli avvisi del motore dei criteri contiene l'elemento Aggregato per indicare che più avvisi di questo tipo possono essere raggruppati ed elencati una sola volta nella pagina Avvisi per ridurre l'affaticamento degli avvisi. Per altre informazioni, vedere Avvisi aggregati.

Titolo	Descrizione	Gravità	Categoria	MITRE ATT&CK Tattiche e tecniche	Apprendibile	Violazioni aggregate
Beckhoff Software Modificato	Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata.	Medio	Modifica del firmware	Tattiche: - Funzione di risposta inibizione -Persistenza Tecniche: - T0857: Firmware di sistema	Apprendibile	No
Accesso al database non riuscito	È stato rilevato un tentativo di accesso non riuscito da un dispositivo di origine a un server di destinazione. Questo potrebbe essere il risultato di un errore umano, ma potrebbe anche indicare un tentativo dannoso di compromettere il server o i dati su di esso. Soglia: 2 errori di accesso in 5 minuti	Medio	Autenticazione	Tattiche: - Spostamento laterale -Collezione Tecniche: - T0812: credenziali predefinite - T0811: dati da repository di informazioni	Non apprendibile	No
Versione del firmware di Emerson ROC modificata	Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata.	Medio	Modifica del firmware	Tattiche: - Funzione di risposta inibizione -Persistenza Tecniche: - T0857: Firmware di sistema	Apprendibile	Sì
Indirizzo esterno all'interno della rete comunicato con Internet	Un dispositivo Internet comunicato con un altro dispositivo Internet all'interno della rete.	Alto	Internet gratuito	Tattiche: - Accesso iniziale Tecniche: - T0883: Dispositivo accessibile a Internet	Apprendibile	No
Dispositivo sul campo individuato in modo imprevisto	È stato rilevato un nuovo dispositivo di origine in rete ma non è autorizzato.	Medio	Individuazione	Tattiche: -Scoperta Tecniche: - T0842: Analisi di rete	Non apprendibile	No
Rilevata modifica del firmware	Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata.	Medio	Modifica del firmware	Tattiche: - Funzione di risposta inibizione -Persistenza Tecniche: - T0857: Firmware di sistema	Non apprendibile	No
Versione del firmware modificata	Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata.	Medio	Modifica del firmware	Tattiche: - Funzione di risposta inibizione -Persistenza Tecniche: - T0857: Firmware di sistema	Apprendibile	Sì
Operazione non autorizzata di Foxboro I/A	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Apprendibile	Sì
Accesso FTP non riuscito	È stato rilevato un tentativo di accesso non riuscito da un dispositivo di origine a un server di destinazione. Questo avviso potrebbe essere il risultato di un errore umano, ma potrebbe anche indicare un tentativo dannoso di compromettere il server o i dati su di esso.	Medio	Autenticazione	Tattiche: - Spostamento laterale - Comando e controllo Tecniche: - T0812: credenziali predefinite - T0869: Standard application layer protocol	Non apprendibile	No
Eccezione non autorizzata generata dal codice della funzione *	Un dispositivo di origine (secondario) ha restituito un'eccezione a un dispositivo di destinazione (primario).	Medio	Errori di comando	Tattiche: - Funzione di risposta inibizione Tecniche: - T0835: Manipola immagine I/O	Apprendibile	Sì
Impostazioni del tipo di messaggio GOOSE	Le impostazioni del messaggio (identificate dall'ID protocollo) sono state modificate in un dispositivo di origine.	Bassa	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo Tecniche: - T0836: Modifica parametro	Apprendibile	Sì
Versione del firmware honeywell modificata	Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata.	Medio	Modifica del firmware	Tattiche: - Funzione di risposta inibizione -Persistenza Tecniche: - T0857: Firmware di sistema	Apprendibile	No
Comunicazione HTTP non valida *	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento anomalo della comunicazione HTTP	Tattiche: -Scoperta Tecniche: - T0846: Individuazione remota del sistema	Apprendibile	No
Rilevato accesso a Internet	Un dispositivo interno ha effettuato un tentativo imprevisto di eseguire una connessione Internet in uscita.	Medio	Internet gratuito	Tattiche: - Accesso iniziale Tecniche: - T0883: Dispositivo accessibile a Internet	Apprendibile	No
Versione del firmware Di Mitsubishi modificata	Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata.	Medio	Modifica del firmware	Tattiche: - Funzione di risposta inibizione -Persistenza Tecniche: - T0857: Firmware di sistema	Apprendibile	No
Violazione dell'intervallo di indirizzi modbus	Un dispositivo primario ha richiesto l'accesso a un nuovo indirizzo di memoria secondario.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: -Scoperta Tecniche: - T0842: Analisi di rete	Apprendibile	Sì
Versione del firmware modbus modificata	Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata.	Medio	Modifica del firmware	Tattiche: - Funzione di risposta inibizione -Persistenza Tecniche: - T0857: Firmware di sistema	Apprendibile	No
Rilevata nuova attività - Classe CIP	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: -Scoperta Tecniche: - T0888: Individuazione remota delle informazioni di sistema	Apprendibile	Sì
Nuova attività rilevata - Servizio classe CIP	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Funzione di risposta inibizione Tecniche: - T0836: Modifica parametro	Apprendibile	Sì
Nuova attività rilevata - Comando CIP PCCC	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Funzione di risposta inibizione Tecniche: - T0836: Modifica parametro	Apprendibile	Sì
Nuova attività rilevata - Simbolo CIP	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo - Funzione di risposta inibizione Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Apprendibile	Sì
Nuova attività rilevata - Connessione I/O EtherNet/IP	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: -Scoperta - Funzione di risposta inibizione Tecniche: - T0846: Individuazione remota del sistema - T0835: Manipola immagine I/O	Apprendibile	Sì
Nuova attività rilevata - Comando del protocollo EtherNet/IP	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Funzione di risposta inibizione Tecniche: - T0836: Modifica parametro	Apprendibile	Sì
Nuova attività rilevata - Codice messaggio GSM	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - CommandAndControl Tecniche: - T0869: Standard application layer protocol	Apprendibile	Sì
Nuova attività rilevata - Codici di comando LonTalk	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: -Collezione - Compromettere il controllo del processo Tecniche: - T0861 - Identificazione tag & punto - T0855: Messaggio di comando non autorizzato	Apprendibile	Sì
Nuova attività rilevata - Variabile di rete LonTalk	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato	Apprendibile	Sì
Nuova attività rilevata - Richiesta di dati Ovation	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: -Collezione -Scoperta Tecniche: - T0801: Monitoraggio dello stato del processo - T0888: Individuazione remota delle informazioni di sistema	Apprendibile	Sì
Nuova attività rilevata - Comando di lettura/scrittura (gruppo di indici AMS)	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Modifiche alla configurazione	Tattiche: - Compromettere il controllo del processo - Funzione di risposta inibizione Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Apprendibile	Sì
Nuova attività rilevata - Comando di lettura/scrittura (offset dell'indice AMS)	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Modifiche alla configurazione	Tattiche: - Compromettere il controllo del processo - Funzione di risposta inibizione Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Apprendibile	Sì
Nuova attività rilevata - Tipo di messaggio DeltaV non autorizzato	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Apprendibile	Sì
Nuova attività rilevata - Operazione DeltaV ROC non autorizzata	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Apprendibile	Sì
Nuova attività rilevata - Tipo di messaggio RPC non autorizzato	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato	Apprendibile	Sì
Nuova attività rilevata - Uso del comando del protocollo AMS	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo - Funzione di risposta inibizione -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro - T0821: Modifica attività controller	Apprendibile	Sì
Nuova attività rilevata - Uso del comando SICAM di Siemens	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo - Funzione di risposta inibizione Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Apprendibile	Sì
Nuova attività rilevata - Uso del comando Del protocollo Suitelink	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo - Funzione di risposta inibizione Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Apprendibile	Sì
Nuova attività rilevata - Uso delle sessioni del protocollo Suitelink	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo Tecniche: - T0836: Modifica parametro	Apprendibile	Sì
Nuova attività rilevata - Uso del comando VNetIP yokogawa	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Apprendibile	Sì
Nuovo asset rilevato	È stato rilevato un nuovo dispositivo di origine in rete ma non è autorizzato. Questo avviso si applica ai dispositivi individuati nelle subnet OT. I nuovi dispositivi individuati nelle subnet IT non attivano un avviso.	Medio	Individuazione	Tattiche: -Scoperta Tecniche: - T0842: Analisi di rete	Apprendibile	No
Nuova configurazione del dispositivo LLDP	È stato rilevato un nuovo dispositivo di origine in rete ma non è autorizzato.	Medio	Modifiche alla configurazione	Tattiche: -Scoperta Tecniche: - T0842: Analisi di rete	Apprendibile	No
Comando omron FINS non autorizzato	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Apprendibile	Sì
Firmware S7 Plus PLC modificato	Il firmware è stato aggiornato in un dispositivo di origine. Questa potrebbe essere un'attività autorizzata, ad esempio una procedura di manutenzione pianificata.	Medio	Modifica del firmware	Tattiche: - Funzione di risposta inibizione -Persistenza Tecniche: - T0857: Firmware di sistema	Apprendibile	No
Impostazioni del tipo di messaggio valori campionati	Le impostazioni del messaggio (identificate dall'ID protocollo) sono state modificate in un dispositivo di origine.	Bassa	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo Tecniche: - T0836: Modifica parametro	Non apprendibile	Sì
Sospetto di analisi dell'integrità illegale *	È stata rilevata un'analisi in un dispositivo di origine DNP3 (outstation). Questa analisi non è stata autorizzata come traffico appreso nella rete.	Medio	Analisi	Tattiche: -Scoperta Tecniche: - T0842: Analisi di rete	Apprendibile	No
Toshiba Computer Link Unauthorized Command	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Bassa	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Apprendibile	Sì
Operazione non autorizzata del file ABB Totalflow	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Non apprendibile	Sì
Operazione di registrazione del flusso totale ABB non autorizzata	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Non apprendibile	Sì
Accesso non autorizzato a Siemens S7 Data Block	Un dispositivo di origine ha tentato di accedere a una risorsa in un altro dispositivo. Un tentativo di accesso a questa risorsa tra questi due dispositivi non è autorizzato come traffico appreso nella rete.	Bassa	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo - Accesso iniziale Tecniche: - T0855: Messaggio di comando non autorizzato - T0811: dati da repository di informazioni	Apprendibile	Sì
Accesso non autorizzato all'oggetto Siemens S7 Plus	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo -Esecuzione - Funzione di risposta inibizione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller - T0809: distruzione dei dati	Apprendibile	Sì
Accesso non autorizzato al tag Wonderware	Un dispositivo di origine ha tentato di accedere a una risorsa in un altro dispositivo. Un tentativo di accesso a questa risorsa tra questi due dispositivi non è autorizzato come traffico appreso nella rete.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: -Collezione - Compromettere il controllo del processo Tecniche: - T0861: Identificazione tag & punto - T0855: Messaggio di comando non autorizzato	Apprendibile	Sì
Accesso non autorizzato agli oggetti BACNet	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Apprendibile	Sì
Route BACNet non autorizzata	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Apprendibile	Sì
Accesso non autorizzato al database *	È stato rilevato un tentativo di accesso tra un client di origine e un server di destinazione. La comunicazione tra questi dispositivi non è autorizzata come traffico appreso nella rete.	Medio	Autenticazione	Tattiche: - Spostamento laterale -Persistenza -Collezione Tecniche: - T0859: account validi - T0811: dati da repository di informazioni	Apprendibile	No
Operazione di database non autorizzata	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione anomalo	Tattiche: - Compromettere il controllo del processo - Accesso iniziale Tecniche: - T0855: Messaggio di comando non autorizzato - T0811: dati da repository di informazioni	Apprendibile	Sì
Operazione ROC di Emerson non autorizzata	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Apprendibile	Sì
Accesso non autorizzato ai file GE SRTP	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: -Collezione - LateralMovement -Persistenza Tecniche: - T0801: Monitoraggio dello stato del processo - T0859: account validi	Apprendibile	Sì
Comando del protocollo SRTP GE non autorizzato	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Apprendibile	Sì
Operazione di memoria di sistema GE SRTP non autorizzata	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: -Scoperta - Compromettere il controllo del processo Tecniche: - T0846: Individuazione remota del sistema - T0855: Messaggio di comando non autorizzato	Apprendibile	Sì
Attività HTTP non autorizzata	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento anomalo della comunicazione HTTP	Tattiche: - Accesso iniziale - Comando e controllo Tecniche: - T0822: Servizi remoti esterni - T0869: Standard application layer protocol	Apprendibile	No
Azione SOAP HTTP non autorizzata *	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento anomalo della comunicazione HTTP	Tattiche: - Comando e controllo -Esecuzione Tecniche: - T0869: Standard application layer protocol - T0871: esecuzione tramite API	Apprendibile	No
Agente utente HTTP non autorizzato *	È stata rilevata un'applicazione non autorizzata in un dispositivo di origine. L'applicazione non è autorizzata come applicazione appresa nella rete.	Medio	Comportamento anomalo della comunicazione HTTP	Tattiche: - Comando e controllo Tecniche: - T0869: Standard application layer protocol	Apprendibile	No
Rilevata connettività Internet non autorizzata	Un dispositivo interno ha comunicato correttamente con Internet.	Alto	Internet gratuito	Tattiche: - Accesso iniziale Tecniche: - T0883: Dispositivo accessibile a Internet	Apprendibile	No
Comando NON autorizzato di Mitsubishi MELSEC	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Apprendibile	Sì
Accesso non autorizzato al programma MMS	Un dispositivo di origine ha tentato di accedere a una risorsa in un altro dispositivo. Un tentativo di accesso a questa risorsa tra questi due dispositivi non è autorizzato come traffico appreso nella rete.	Medio	Programmazione	Tattiche: - Compromettere il controllo del processo -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Apprendibile	Sì
Servizio MMS non autorizzato	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0821: Modifica attività controller	Apprendibile	Sì
Connessione multicast/broadcast non autorizzata	È stata rilevata una connessione Multicast/Broadcast tra un dispositivo di origine e altri dispositivi. La comunicazione multicast/broadcast non è autorizzata.	Alto	Comportamento di comunicazione anomalo	Tattiche: -Scoperta Tecniche: - T0842: Analisi di rete	Apprendibile	Sì
Query nome non autorizzata	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione anomalo	Tattiche: - Compromettere il controllo del processo Tecniche: - T0836: Modifica parametro	Non apprendibile	Sì
Attività OPC UA non autorizzata	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo Tecniche: - T0836: Modifica parametro	Apprendibile	Sì
Richiesta/risposta OPC UA non autorizzata	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo Tecniche: - T0836: Modifica parametro	Apprendibile	Sì
Operazione non autorizzata rilevata da una regola definita dall'utente	È stato rilevato traffico tra due dispositivi. Questa attività non è autorizzata, in base a una regola di avviso personalizzata definita da un utente.	Medio	Avvisi personalizzati	Tattiche: -Scoperta Tecniche: - T0842: Analisi di rete	Non apprendibile	No
Lettura configurazione PLC non autorizzata	Il dispositivo di origine non è definito come dispositivo di programmazione, ma ha eseguito un'operazione di lettura/scrittura su un controller di destinazione. Le modifiche di programmazione devono essere eseguite solo dai dispositivi di programmazione. Un'applicazione di programmazione potrebbe essere stata installata nel dispositivo.	Bassa	Modifiche alla configurazione	Tattiche: -Collezione Tecniche: - T0801: Monitoraggio dello stato del processo	Apprendibile	No
Scrittura configurazione PLC non autorizzata	Il dispositivo di origine ha inviato un comando per leggere/scrivere il programma di un controller di destinazione. Questa attività non è stata vista in precedenza.	Medio	Modifiche alla configurazione	Tattiche: - Compromettere il controllo del processo -Persistenza -Impatto Tecniche: - T0839: firmware del modulo - T0831: Manipolazione del controllo - T0889: Modifica programma	Apprendibile	No
Caricamento non autorizzato del programma PLC	Il dispositivo di origine ha inviato un comando per leggere/scrivere il programma di un controller di destinazione. Questa attività non è stata vista in precedenza.	Medio	Programmazione	Tattiche: - Compromettere il controllo del processo -Persistenza -Collezione Tecniche: - T0839: firmware del modulo - T0845: Caricamento programma	Apprendibile	No
Programmazione PLC non autorizzata	Il dispositivo di origine non è definito come dispositivo di programmazione, ma ha eseguito un'operazione di lettura/scrittura su un controller di destinazione. Le modifiche di programmazione devono essere eseguite solo dai dispositivi di programmazione. Un'applicazione di programmazione potrebbe essere stata installata nel dispositivo.	Alto	Programmazione	Tattiche: - Compromettere il controllo del processo -Persistenza - Spostamento laterale Tecniche: - T0839: firmware del modulo - T0889: Modifica programma - T0843: Download del programma	Apprendibile	No
Tipo di frame Profinet non autorizzato	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo Tecniche: - T0836: Modifica parametro	Apprendibile	Sì
Comando S-Bus SAIA non autorizzato	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato	Apprendibile	Sì
Esecuzione non autorizzata di Siemens S7 della funzione di controllo	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo - Funzione di risposta inibizione Tecniche: - T0855: Messaggio di comando non autorizzato - T0809: distruzione dei dati	Apprendibile	Sì
Esecuzione non autorizzata di Siemens S7 della funzione definita dall'utente	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo -Esecuzione Tecniche: - T0836: Modifica parametro - T0863: Esecuzione utente	Apprendibile	Sì
Accesso non autorizzato di Siemens S7 Plus Block	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Funzione di risposta inibizione -Persistenza -Esecuzione Tecniche: - T0803 - Messaggio di comando blocca - T0889: Modifica programma - T0821: Modifica attività controller	Apprendibile	Sì
Operazione Siemens S7 Plus non autorizzata	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo -Esecuzione Tecniche: - T0855: Messaggio di comando non autorizzato - T0863: Esecuzione utente	Apprendibile	Sì
Accesso SMB non autorizzato	È stato rilevato un tentativo di accesso tra un client di origine e un server di destinazione. La comunicazione tra questi dispositivi non è autorizzata come traffico appreso nella rete.	Medio	Autenticazione	Tattiche: - Accesso iniziale - Spostamento laterale -Persistenza Tecniche: - T0886: Servizi remoti - T0859: account validi	Apprendibile	Sì
Operazione SNMP non autorizzata	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione anomalo	Tattiche: -Scoperta - Comando e controllo Tecniche: - T0842: Analisi di rete - T0885: porta di uso comune	Apprendibile	Sì
Accesso SSH non autorizzato	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Accesso remoto	Tattiche: - InitialAccess - Spostamento laterale - Comando e controllo Tecniche: - T0886: Servizi remoti - T0869: Standard application layer protocol	Apprendibile	No
Processo di Windows non autorizzato	È stata rilevata un'applicazione non autorizzata in un dispositivo di origine. L'applicazione non è autorizzata come applicazione appresa nella rete.	Medio	Comportamento di comunicazione anomalo	Tattiche: -Esecuzione - Escalation dei privilegi - Comando e controllo Tecniche: - T0841: Hooking - T0885: porta di uso comune	Apprendibile	Sì
Servizio Windows non autorizzato	È stata rilevata un'applicazione non autorizzata in un dispositivo di origine. L'applicazione non è autorizzata come applicazione appresa nella rete.	Medio	Comportamento di comunicazione anomalo	Tattiche: - Accesso iniziale - Spostamento laterale Tecniche: - T0866: Sfruttamento dei servizi remoti	Apprendibile	Sì
Operazione non autorizzata rilevata da una regola definita dall'utente	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri viola una regola definita dall'utente	Medio		Tattiche: -Scoperta Tecniche: - T0842: Analisi di rete	Non apprendibile	No
Estensione Modbus Schneider Electric non messa	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato	Apprendibile	Sì
Utilizzo non consentito dei tipi ASDU	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato	Apprendibile	Sì
Utilizzo non consentito del codice della funzione DNP3	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo Tecniche: - T0836: Modifica parametro	Apprendibile	Sì
Utilizzo non consentito dell'indicazione interna (IIN) *	Un dispositivo di origine DNP3 (outstation) ha segnalato un'indicazione interna (IIN) che non è stata autorizzata come traffico appreso nella rete.	Medio	Comandi non validi	Tattiche: -Scoperta Tecniche: - T0842: Analisi di rete	Apprendibile	No
Utilizzo non consentito del codice della funzione Modbus	Sono stati rilevati nuovi parametri di traffico. Questa combinazione di parametri non è autorizzata come traffico appreso nella rete. La combinazione seguente non è autorizzata.	Medio	Comportamento di comunicazione non autorizzato	Tattiche: - Compromettere il controllo del processo Tecniche: - T0836: Modifica parametro	Apprendibile	Sì

Avvisi del motore anomalie

Nota

Questo articolo contiene riferimenti al termine slave, un termine che Microsoft non usa più. Quando il termine viene rimosso dal software, verrà rimosso da questo articolo.

Gli avvisi del motore anomalie descrivono le anomalie rilevate nell'attività di rete.

Titolo	Descrizione	Gravità	Categoria	MITRE ATT&CK Tattiche e tecniche	Apprendibile
Modello di eccezione anomalo nello slave *	È stato rilevato un numero eccessivo di errori in un dispositivo di origine. Questo avviso potrebbe essere il risultato di un problema operativo. Soglia: 20 eccezioni in 1 ora	Bassa	Comportamento di comunicazione anomalo	Tattiche: - Compromettere il controllo del processo Tecniche: - T0806: I/O di forza bruta	Non apprendibile
Lunghezza anomala dell'intestazione HTTP *	Il dispositivo di origine ha inviato un messaggio anomalo. Questo avviso potrebbe indicare un tentativo di attaccare il dispositivo di destinazione.	Alto	Comportamento anomalo della comunicazione HTTP	Tattiche: - Accesso iniziale - Spostamento laterale - Comando e controllo Tecniche: - T0866: Sfruttamento dei servizi remoti - T0869: Standard application layer protocol	Apprendibile
Numero anomalo di parametri nell'intestazione HTTP *	Il dispositivo di origine ha inviato un messaggio anomalo. Questo avviso potrebbe indicare un tentativo di attaccare il dispositivo di destinazione.	Alto	Comportamento anomalo della comunicazione HTTP	Tattiche: - Accesso iniziale - Spostamento laterale - Comando e controllo Tecniche: - T0866: Sfruttamento dei servizi remoti - T0869: Standard application layer protocol	Apprendibile
Comportamento periodico anomalo nel canale di comunicazione	È stata rilevata una modifica nella frequenza di comunicazione tra i dispositivi di origine e di destinazione.	Bassa	Comportamento di comunicazione anomalo	Tattiche: -Scoperta Tecniche: - T0842: Analisi di rete	Apprendibile
Terminazione anomala delle applicazioni *	È stato rilevato un numero eccessivo di comandi di arresto in un dispositivo di origine. Questo avviso potrebbe essere il risultato di un problema operativo o di un tentativo di modificare il dispositivo. Soglia: 20 comandi di arresto in 3 ore	Medio	Comportamento di comunicazione anomalo	Tattiche: -Persistenza -Impatto Tecniche: - T0889: Modifica programma - T0831: Manipolazione del controllo	Apprendibile
Larghezza di banda del traffico anomala *	Larghezza di banda anomala è stata rilevata in un canale. La larghezza di banda sembra essere inferiore/superiore a quella rilevata in precedenza. Per informazioni dettagliate, usare il widget Larghezza di banda totale.	Bassa	Anomalie della larghezza di banda	Tattiche: -Scoperta Tecniche: - T0842: Analisi di rete	Apprendibile
Larghezza di banda del traffico anomala tra dispositivi *	Larghezza di banda anomala è stata rilevata in un canale. La larghezza di banda sembra essere inferiore/superiore a quella rilevata in precedenza. Per informazioni dettagliate, usare il widget Larghezza di banda totale.	Bassa	Anomalie della larghezza di banda	Tattiche: -Scoperta Tecniche: - T0842: Analisi di rete	Non apprendibile
Rilevamento dell'analisi degli indirizzi	È stato rilevato un dispositivo di origine che analizza i dispositivi di rete. Questo dispositivo non è autorizzato come dispositivo di analisi di rete. Soglia: 50 connessioni alla stessa subnet della classe B in 2 minuti	Alto	Analisi	Tattiche: -Scoperta Tecniche: - T0842: Analisi di rete	Apprendibile
Rilevato rilevamento dell'analisi degli indirizzi ARP *	È stato rilevato un dispositivo di origine che analizza i dispositivi di rete usando il protocollo ARP (Address Resolution Protocol). Questo indirizzo del dispositivo non è autorizzato come indirizzo di analisi ARP valido. Soglia: 40 scansioni in 6 minuti	Alto	Analisi	Tattiche: -Scoperta -Collezione Tecniche: - T0842: Analisi di rete - T0830: Uomo nel mezzo	Apprendibile
ARP Spoofing *	Nella rete è stata rilevata una quantità anomala di pacchetti. Questo avviso potrebbe indicare un attacco, ad esempio uno spoofing ARP o un attacco di allagamento ICMP. Soglia: 60 pacchetti in 1 minuto	Bassa	Comportamento di comunicazione anomalo	Tattiche: -Collezione Tecniche: - T0830: Uomo nel mezzo	Non apprendibile
Tentativi di accesso eccessivi	È stato rilevato che un dispositivo di origine esegue tentativi di accesso eccessivi a un server di destinazione. Questo avviso potrebbe indicare un attacco di forza bruta. Il server potrebbe essere compromesso da un attore malintenzionato. Soglia: 20 tentativi di accesso in 1 minuto	Alto	Autenticazione	Tattiche: - LateralMovement - Compromettere il controllo del processo Tecniche: - T0812: credenziali predefinite - T0806: I/O di forza bruta	Non apprendibile
Numero eccessivo di sessioni	È stato rilevato che un dispositivo di origine esegue tentativi di accesso eccessivi a un server di destinazione. Questo potrebbe indicare un attacco di forza bruta. Il server potrebbe essere compromesso da un attore malintenzionato. Soglia: 50 sessioni in 1 minuto	Alto	Comportamento di comunicazione anomalo	Tattiche: - Spostamento laterale - Compromettere il controllo del processo Tecniche: - T0812: credenziali predefinite - T0806: I/O di forza bruta	Non apprendibile
Frequenza di riavvio eccessiva di un'outstation *	È stato rilevato un numero eccessivo di comandi di riavvio in un dispositivo di origine. Questi avvisi potrebbero essere il risultato di un problema operativo o di un tentativo di modificare il dispositivo. Soglia: 10 riavvii in 1 ora	Medio	Comandi di riavvio/arresto	Tattiche: - Funzione di risposta inibizione - Compromettere il controllo del processo Tecniche: - T0814: Denial of Service - T0806: I/O di forza bruta	Non apprendibile
Tentativi di accesso SMB eccessivi	È stato rilevato che un dispositivo di origine esegue tentativi di accesso eccessivi a un server di destinazione. Questo potrebbe indicare un attacco di forza bruta. Il server potrebbe essere compromesso da un attore malintenzionato. Soglia: 10 tentativi di accesso in 10 minuti	Alto	Autenticazione	Tattiche: -Persistenza -Esecuzione - LateralMovement Tecniche: - T0812: credenziali predefinite - T0853: Scripting - T0859: account validi	Non apprendibile
Allagamento ICMP *	Nella rete è stata rilevata una quantità anomala di pacchetti. Questo avviso potrebbe indicare un attacco, ad esempio uno spoofing ARP o un attacco di allagamento ICMP. Soglia: 60 pacchetti in 1 minuto	Bassa	Comportamento di comunicazione anomalo	Tattiche: -Scoperta -Collezione Tecniche: - T0842: Analisi di rete - T0830: Uomo nel mezzo	Non apprendibile
Contenuto dell'intestazione HTTP non valido *	Il dispositivo di origine ha avviato una richiesta non valida.	Alto	Comportamento anomalo della comunicazione HTTP	Tattiche: - Accesso iniziale - LateralMovement Tecniche: - T0866: Sfruttamento dei servizi remoti	Non apprendibile
Canale di comunicazione inattivo *	Un canale di comunicazione tra due dispositivi era inattivo durante un periodo in cui in genere viene osservata l'attività. Questo potrebbe indicare che il programma che genera questo traffico è stato modificato o che il programma potrebbe non essere disponibile. È consigliabile esaminare la configurazione del programma installato e verificare che sia configurato correttamente. Soglia: 1 minuto	Bassa	Insensibile	Tattiche: - Funzione di risposta inibizione Tecniche: - T0881: Service Stop	Non apprendibile
Rilevato rilevamento dell'analisi degli indirizzi di lunga durata *	È stato rilevato un dispositivo di origine che analizza i dispositivi di rete. Questo dispositivo non è autorizzato come dispositivo di analisi di rete. Soglia: 50 connessioni alla stessa subnet della classe B in 10 minuti	Alto	Analisi	Tattiche: -Scoperta Tecniche: - T0842: Analisi di rete	Apprendibile
Rilevato tentativo di individuazione password	È stato rilevato che un dispositivo di origine esegue tentativi di accesso eccessivi a un server di destinazione. Questo potrebbe indicare un attacco di forza bruta. Il server potrebbe essere compromesso da un attore malintenzionato. Soglia: 100 tentativi in 1 minuto	Alto	Autenticazione	Tattiche: - Spostamento laterale Tecniche: - T0812: credenziali predefinite - T0806: I/O di forza bruta	Non apprendibile
Rilevata analisi PLC	È stato rilevato un dispositivo di origine che analizza i dispositivi di rete. Questo dispositivo non è autorizzato come dispositivo di analisi di rete. Soglia: 10 scansioni in 2 minuti	Alto	Analisi	Tattiche: -Scoperta Tecniche: - T0842: Analisi di rete	Apprendibile
Rilevato rilevamento dell'analisi delle porte	È stato rilevato un dispositivo di origine che analizza i dispositivi di rete. Questo dispositivo non è autorizzato come dispositivo di analisi di rete. Soglia: 25 scansioni in 2 minuti	Alto	Analisi	Tattiche: -Scoperta Tecniche: - T0842: Analisi di rete	Apprendibile
Lunghezza del messaggio imprevista	Il dispositivo di origine ha inviato un messaggio anomalo. Questo avviso potrebbe indicare un tentativo di attaccare il dispositivo di destinazione. Soglia: lunghezza del testo - 32768	Alto	Comportamento di comunicazione anomalo	Tattiche: - InitialAccess - LateralMovement Tecniche: - T0869: Sfruttamento dei servizi remoti	Non apprendibile
Traffico imprevisto per la porta Standard*	Il traffico è stato rilevato in un dispositivo usando una porta riservata per un altro protocollo.	Medio	Comportamento di comunicazione anomalo	Tattiche: - Comando e controllo -Scoperta Tecniche: - T0869: Standard application layer protocol - T0842: Analisi di rete	Non apprendibile

Avvisi del motore di violazione del protocollo

Gli avvisi del motore di protocollo descrivono le deviazioni rilevate nella struttura dei pacchetti o i valori dei campi rispetto alle specifiche del protocollo.

Titolo	Descrizione	Gravità	Categoria	MITRE ATT&CK Tattiche e tecniche	Apprendibile
Pacchetti di formato non valido eccessivi in una singola sessione *	Numero anomalo di pacchetti non valido inviati dal dispositivo di origine al dispositivo di destinazione. Questo avviso potrebbe indicare comunicazioni errate o un tentativo di modificare il dispositivo di destinazione. Soglia: 2 pacchetti non valido in 10 minuti	Medio	Comandi non validi	Tattiche: - Compromettere il controllo del processo Tecniche: - T0806: I/O di forza bruta	Non apprendibile
Aggiornamento del firmware	Un dispositivo di origine ha inviato un comando per aggiornare il firmware in un dispositivo di destinazione. Verificare che gli aggiornamenti recenti di programmazione, configurazione e firmware apportati al dispositivo di destinazione siano validi.	Bassa	Modifica del firmware	Tattiche: - Funzione di risposta inibizione -Persistenza Tecniche: - T0857: Firmware di sistema	Apprendibile
Codice funzione non supportato da Outstation	Il dispositivo di destinazione ha ricevuto una richiesta non valida.	Medio	Comandi non validi	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato	Non apprendibile
Messaggio BACNet non valido	Il dispositivo di origine ha avviato una richiesta non valida.	Medio	Comandi non validi	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Non apprendibile
Tentativo di connessione non valido sulla porta 0	Un dispositivo di origine ha tentato di connettersi al dispositivo di destinazione sul numero di porta zero (0). Per TCP, la porta 0 è riservata e non può essere usata. Per UDP, la porta è facoltativa e il valore 0 indica che nessuna porta. In genere non è disponibile alcun servizio in un sistema in ascolto sulla porta 0. Questo evento potrebbe indicare un tentativo di attaccare il dispositivo di destinazione o indicare che un'applicazione è stata programmata in modo non corretto.	Bassa	Comandi non validi	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Non apprendibile
Operazione DNP3 non valida	Il dispositivo di origine ha avviato una richiesta non valida.	Medio	Comandi non validi	Tattiche: - Accesso iniziale - Spostamento laterale Tecniche: - T0866: Sfruttamento dei servizi remoti	Non apprendibile
Operazione MODBUS non valida (eccezione generata dal master)	Il dispositivo di origine ha avviato una richiesta non valida.	Medio	Comandi non validi	Tattiche: - Accesso iniziale - Spostamento laterale Tecniche: - T0866: Sfruttamento dei servizi remoti	Non apprendibile
Operazione MODBUS non valida (codice funzione zero) *	Il dispositivo di origine ha avviato una richiesta non valida.	Medio	Comandi non validi	Tattiche: - Accesso iniziale - Spostamento laterale Tecniche: - T0866: Sfruttamento dei servizi remoti	Non apprendibile
Versione del protocollo non valida *	Il dispositivo di origine ha avviato una richiesta non valida.	Medio	Comandi non validi	Tattiche: - Accesso iniziale - LateralMovement - Compromettere il controllo del processo Tecniche: - T0820: Servizi remoti - T0836: Modifica parametro	Non apprendibile
Parametro non corretto inviato a Outstation	Il dispositivo di destinazione ha ricevuto una richiesta non valida.	Medio	Comandi non validi	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Non apprendibile
Avvio di un codice di funzione obsoleto (Inizializza dati)	Il dispositivo di origine ha avviato una richiesta non valida.	Bassa	Comandi non validi	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato	Non apprendibile
Avvio di un codice di funzione obsoleto (salva configurazione)	Il dispositivo di origine ha avviato una richiesta non valida.	Bassa	Comandi non validi	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato	Non apprendibile
Il master ha richiesto una conferma del livello applicazione	Il dispositivo di origine ha avviato una richiesta non valida.	Bassa	Comandi non validi	Tattiche: - Comando e controllo Tecniche: - T0869: Standard application layer protocol	Non apprendibile
Eccezione Modbus	Un dispositivo di origine (secondario) ha restituito un'eccezione a un dispositivo di destinazione (primario).	Medio	Comandi non validi	Tattiche: - Funzione di risposta inibizione Tecniche: - T0814: Denial of Service	Non apprendibile
Tipo ASDU non valido ricevuto dal dispositivo Slave	Il dispositivo di destinazione ha ricevuto una richiesta non valida.	Medio	Comandi non validi	Tattiche: - Compromettere il controllo del processo Tecniche: - T0836: Modifica parametro	Non apprendibile
Slave Device Received Illegal Command Cause of Transmission	Il dispositivo di destinazione ha ricevuto una richiesta non valida.	Medio	Comandi non validi	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Non apprendibile
Dispositivo slave ricevuto indirizzo comune non valido	Il dispositivo di destinazione ha ricevuto una richiesta non valida.	Medio	Comandi non validi	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Non apprendibile
Parametro indirizzo dati non valido ricevuto dal dispositivo Slave *	Il dispositivo di destinazione ha ricevuto una richiesta non valida.	Medio	Comandi non validi	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Non apprendibile
Parametro valore dati non valido ricevuto dal dispositivo slave *	Il dispositivo di destinazione ha ricevuto una richiesta non valida.	Medio	Comandi non validi	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Non apprendibile
Codice funzione non valido ricevuto dal dispositivo slave *	Il dispositivo di destinazione ha ricevuto una richiesta non valida.	Medio	Comandi non validi	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Non apprendibile
Indirizzo dell'oggetto informazioni non valido ricevuto dal dispositivo slave	Il dispositivo di destinazione ha ricevuto una richiesta non valida.	Medio	Comandi non validi	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato - T0836: Modifica parametro	Non apprendibile
Oggetto sconosciuto inviato a Outstation	Il dispositivo di destinazione ha ricevuto una richiesta non valida.	Medio	Comandi non validi	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato	Non apprendibile
Utilizzo di un codice di funzione riservata	Il dispositivo di origine ha avviato una richiesta non valida.	Medio	Comandi non validi	Tattiche: - Compromettere il controllo del processo Tecniche: - T0836: Modifica parametro	Non apprendibile
Utilizzo della formattazione non corretta da parte di Outstation *	Il dispositivo di origine ha avviato una richiesta non valida.	Bassa	Comandi non validi	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato	Non apprendibile
Utilizzo dei flag di stato riservati (IIN)	Un dispositivo di origine DNP3 (outstation) ha usato l'indicatore interno riservato 2.6. È consigliabile controllare la configurazione del dispositivo.	Bassa	Comandi non validi	Tattiche: - Compromettere il controllo del processo Tecniche: - T0836: Modifica parametro	Non apprendibile

Avvisi del motore di malware

Gli avvisi del motore di malware descrivono le attività di rete dannose rilevate.

Titolo	Descrizione	Gravità	Categoria	MITRE ATT&CK Tattiche e tecniche	Apprendibile
Tentativo di connessione a IP dannoso noto	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Attivato dai sensori di rete OT.	Alto	Sospetto di attività dannose	Tattiche: - Accesso iniziale - Comando e controllo Tecniche: - T0883: Dispositivo accessibile a Internet - T0884: Proxy di connessione	Non apprendibile
Messaggio SMB non valido (impianto backdoor DoublePulsar)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	Alto	Sospetto di malware	Tattiche: - Accesso iniziale - LateralMovement Tecniche: - T0866: Sfruttamento dei servizi remoti	Non apprendibile
Richiesta di nome di dominio dannoso	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Attivato dai sensori di rete OT.	Alto	Sospetto di attività dannose	Tattiche: - Accesso iniziale - Comando e controllo Tecniche: - T0883: Dispositivo accessibile a Internet - T0884: Proxy di connessione	Apprendibile
Percorso URL dannoso	È stata effettuata una richiesta a un percorso URL dannoso noto. Le richieste effettuate per questo percorso URL possono indicare che l'origine che effettua la richiesta è compromessa.	Alto	Sospetto di attività dannose	Tattiche: - Accesso iniziale - Comando e controllo Tecniche: - T0883: Dispositivo accessibile a Internet - T0884: Proxy di connessione	Non apprendibile
Rilevato file di test del malware - Esito positivo di EICAR AV	È stato rilevato un file di test EICAR AV nel traffico tra due dispositivi (su qualsiasi trasporto, TCP o UDP). Il file non è malware. Viene usato per verificare che il software antivirus sia installato correttamente. Dimostrare cosa accade quando viene trovato un virus e controllare le procedure interne e le reazioni quando viene trovato un virus. Il software antivirus dovrebbe rilevare EICAR come se fosse un vero virus.	Alto	Sospetto di attività dannose	Tattiche: -Scoperta Tecniche: - T0842: Analisi di rete	Non apprendibile
Sospetto di malware Conficker	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	Medio	Sospetto di malware	Tattiche: - Accesso iniziale -Impatto Tecniche: - T0826: Perdita di disponibilità - T0828: Perdita di produttività e ricavi - T0847: replica tramite supporti rimovibili	Non apprendibile
Sospetto di attacco Denial of Service	Un dispositivo di origine ha tentato di avviare un numero eccessivo di nuove connessioni a un dispositivo di destinazione. Questo potrebbe indicare un attacco Denial Of Service (DOS) contro il dispositivo di destinazione e potrebbe interrompere la funzionalità del dispositivo, influire sulle prestazioni e sulla disponibilità del servizio o causare errori irrecuperabili. Soglia: 3000 tentativi in 1 minuto	Alto	Sospetto di attività dannose	Tattiche: - Funzione di risposta inibizione Tecniche: - T0814: Denial of Service	Apprendibile
Sospetto di attività dannose	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che ha attivato gli "indicatori di compromissione" noti.This activity might be associated with an attack that triggered known 'Indicators of Compromise' (IOC). I metadati degli avvisi devono essere esaminati dal team di sicurezza.	Alto	Sospetto di attività dannose	Tattiche: - Spostamento laterale Tecniche: - T0867: Trasferimento laterale degli strumenti	Non apprendibile
Sospetto di attività dannose (BlackEnergy)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	Alto	Sospetto di malware	Tattiche: - Comando e controllo Tecniche: - T0869: Standard application layer protocol	Non apprendibile
Sospetto di attività dannose (DarkComet)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	Alto	Sospetto di malware	Tattiche: -Impatto Tecniche: - T0882: Furto di informazioni operative	Non apprendibile
Sospetto di attività dannose (Duqu)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	Alto	Sospetto di malware	Tattiche: -Impatto Tecniche: - T0882: Furto di informazioni operative	Non apprendibile
Sospetto di attività dannose (fiamma)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	Alto	Sospetto di malware	Tattiche: -Collezione -Impatto Tecniche: - T0882: Furto di informazioni operative - T0811: dati da repository di informazioni	Non apprendibile
Sospetto di attività dannose (Havex)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	Alto	Sospetto di malware	Tattiche: -Collezione -Scoperta - Funzione di risposta inibizione Tecniche: - T0861: Identificazione tag & punto - T0846: Individuazione remota del sistema - T0814: Denial of Service	Non apprendibile
Sospetto di attività dannose (Karagany)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	Alto	Sospetto di malware	Tattiche: -Impatto Tecniche: - T0882: Furto di informazioni operative	Non apprendibile
Sospetto di attività dannose (LightsOut)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	Alto	Sospetto di malware	Tattiche: -Evasione Tecniche: - T0849: Mascheramento	Non apprendibile
Sospetto di attività dannose (query dei nomi)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto. Soglia: 25 query sul nome in 1 minuto	Alto	Sospetto di attività dannose	Tattiche: - Comando e controllo Tecniche: - T0884: Proxy di connessione	Non apprendibile
Sospetto di attività dannose (Poison Ivy)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	Alto	Sospetto di malware	Tattiche: - Accesso iniziale - Spostamento laterale Tecniche: - T0866: Sfruttamento dei servizi remoti	Non apprendibile
Sospetto di attività dannose (Regin)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	Alto	Sospetto di malware	Tattiche: - Accesso iniziale - Spostamento laterale -Impatto Tecniche: - T0866: Sfruttamento dei servizi remoti - T0882: Furto di informazioni operative	Non apprendibile
Sospetto di attività dannose (Stuxnet)	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	Alto	Sospetto di malware	Tattiche: - Accesso iniziale - Spostamento laterale -Impatto Tecniche: - T0818: Compromissione della workstation di progettazione - T0866: Sfruttamento dei servizi remoti - T0831: Manipolazione del controllo	Non apprendibile
Sospetto di attività dannose (WannaCry) *	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	Medio	Sospetto di malware	Tattiche: - Accesso iniziale - Spostamento laterale Tecniche: - T0866: Sfruttamento dei servizi remoti - T0867: Trasferimento laterale degli strumenti	Non apprendibile
Sospetto di malware NotPetya - Rilevato parametri SMB non validi	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	Alto	Sospetto di malware	Tattiche: - Accesso iniziale - Spostamento laterale Tecniche: - T0866: Sfruttamento dei servizi remoti	Non apprendibile
Sospetto di malware NotPetya - Rilevata transazione SMB non valida	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	Alto	Sospetto di malware	Tattiche: - Spostamento laterale Tecniche: - T0867: Trasferimento laterale degli strumenti	Non apprendibile
Sospetto di esecuzione di codice remoto con PsExec	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	Alto	Sospetto di attività dannose	Tattiche: - Spostamento laterale - Accesso iniziale Tecniche: - T0866: Sfruttamento dei servizi remoti	Non apprendibile
Sospetto di gestione remota dei servizi Windows *	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	Alto	Sospetto di attività dannose	Tattiche: - Accesso iniziale Tecniche: - T0822: Servizi remoti NetworkExternal	Non apprendibile
Rilevato file eseguibile sospetto nell'endpoint	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che sfrutta un metodo usato da malware noto.	Alto	Sospetto di attività dannose	Tattiche: -Evasione - Funzione di risposta inibizione Tecniche: - T0851: Rootkit	Apprendibile
Rilevato traffico sospetto *	È stata rilevata un'attività di rete sospetta. Questa attività potrebbe essere associata a un attacco che ha attivato gli "indicatori di compromissione" noti.This activity might be associated with an attack that triggered known 'Indicators of Compromise' (IOC). I metadati degli avvisi devono essere esaminati dal team di sicurezza	Alto	Sospetto di attività dannose	Tattiche: -Scoperta Tecniche: - T0842: Analisi di rete	Non apprendibile
Attività di backup con firme antivirus	Questo avviso è stato attivato dal traffico rilevato tra il dispositivo di origine e il server di backup di destinazione. Il traffico include il backup del software antivirus che potrebbe contenere firme di malware. Questa è probabilmente un'attività di backup legittima.	Bassa	Backup	Tattiche: -Impatto Tecniche: - T0882: Furto di informazioni operative	Non apprendibile

Avvisi del motore operativo

Gli avvisi del motore operativo descrivono eventi imprevisti operativi rilevati o entità non funzionanti.

Titolo	Descrizione	Gravità	Categoria	MITRE ATT&CK Tattiche e tecniche	Apprendibile
È stato inviato un comando S7 Stop PLC	Il dispositivo di origine ha inviato un comando stop a un controller di destinazione. Il controller smette di funzionare fino a quando non viene inviato un comando start.	Bassa	Comandi di riavvio/arresto	Tattiche: - Spostamento laterale - Evasione della difesa -Esecuzione - Funzione di risposta inibizione Tecniche: - T0843: Download del programma - T0858: Cambia modalità operativa - T0814: Denial of Service	Non apprendibile
Operazione BACNet non riuscita	Un server ha restituito un codice di errore. Questo avviso indica un errore del server o una richiesta non valida da parte di un client.	Medio	Errori di comando	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato	Non apprendibile
Stato dispositivo MMS non valido	Un dispositivo di produzione virtuale MMS (VMD) ha inviato un messaggio di stato. Il messaggio indica che il server potrebbe non essere configurato correttamente, parzialmente operativo o non operativo.	Medio	Problemi operativi	Tattiche: - Funzione di risposta inibizione Tecniche: - T0814: Denial of Service	Non apprendibile
Modifica della configurazione del dispositivo *	È stata rilevata una modifica della configurazione in un dispositivo di origine.	Bassa	Modifiche alla configurazione	Tattiche: - Compromettere il controllo del processo Tecniche: - T0836: Modifica parametro	Non apprendibile
Overflow del buffer eventi continuo in Outstation *	È stato rilevato un evento di overflow del buffer in un dispositivo di origine. L'evento potrebbe causare danneggiamento dei dati, arresti anomali del programma o esecuzione di codice dannoso. Soglia: 3 occorrenze in 10 minuti	Medio	Buffer Overflow	Tattiche: - Funzione di risposta inibizione - Compromettere il controllo del processo -Persistenza Tecniche: - T0814: Denial of Service - T0806: I/O di forza bruta - T0839: firmware del modulo	Non apprendibile
Reimpostazione del controller	Un dispositivo di origine ha inviato un comando di reimpostazione a un controller di destinazione. Il controller ha smesso di funzionare temporaneamente e si è avviato di nuovo automaticamente.	Bassa	Comandi di riavvio/arresto	Tattiche: - Evasione della difesa -Esecuzione - Funzione di risposta inibizione Tecniche: - T0858: Cambia modalità operativa - T0814: Denial of Service	Non apprendibile
Arresto del controller	Il dispositivo di origine ha inviato un comando stop a un controller di destinazione. Il controller smette di funzionare fino a quando non viene inviato un comando start.	Bassa	Comandi di riavvio/arresto	Tattiche: - Spostamento laterale - Evasione della difesa -Esecuzione - Funzione di risposta inibizione Tecniche: - T0843: Download del programma - T0858: Cambia modalità operativa - T0814: Denial of Service	Non apprendibile
Il dispositivo non è riuscito a ricevere un indirizzo IP dinamico	Il dispositivo di origine è configurato per ricevere un indirizzo IP dinamico da un server DHCP, ma non ha ricevuto un indirizzo. Indica un errore di configurazione nel dispositivo o un errore operativo nel server DHCP. È consigliabile notificare l'evento imprevisto all'amministratore di rete	Medio	Errori di comando	Tattiche: -Scoperta Tecniche: - T0842: Analisi di rete	Non apprendibile
Si sospetta che il dispositivo sia disconnesso (non risponde)	Un dispositivo di origine non ha risposto a un comando inviato. Potrebbe essere stato disconnesso quando è stato inviato il comando. Soglia: 8 tentativi in 5 minuti	Medio	Insensibile	Tattiche: - Funzione di risposta inibizione Tecniche: - T0881: Service Stop	Non apprendibile
Richiesta del servizio EtherNet/IP CIP non riuscita	Un server ha restituito un codice di errore. Indica un errore del server o una richiesta non valida da parte di un client.	Medio	Errori di comando	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato	Non apprendibile
Comando EtherNet/IP Encapsulation Protocol non riuscito	Un server ha restituito un codice di errore. Indica un errore del server o una richiesta non valida da parte di un client.	Medio	Errori di comando	Tattiche: -Collezione Tecniche: - T0801: Monitoraggio dello stato del processo	Non apprendibile
Overflow del buffer eventi in Outstation	È stato rilevato un evento di overflow del buffer in un dispositivo di origine. L'evento potrebbe causare danneggiamento dei dati, arresti anomali del programma o esecuzione di codice dannoso.	Medio	Buffer Overflow	Tattiche: - Funzione di risposta inibizione - Compromettere il controllo del processo -Persistenza Tecniche: - T0814: Denial of Service - T0839: firmware del modulo	Non apprendibile
Operazione di backup prevista non eseguita	L'attività di backup/trasferimento di file prevista non si è verificata tra due dispositivi. Questo avviso potrebbe indicare errori nel processo di backup/trasferimento di file. Soglia: 100 secondi	Medio	Backup	Tattiche: - Funzione di risposta inibizione Tecniche: - T0809: distruzione dei dati	Apprendibile
Errore del comando GE SRTP	Un server ha restituito un codice di errore. Questo avviso indica un errore del server o una richiesta non valida da parte di un client.	Medio	Errori di comando	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato	Non apprendibile
È stato inviato il comando DI ARRESTO PLC DI GE SRTP	Il dispositivo di origine ha inviato un comando stop a un controller di destinazione. Il controller smette di funzionare fino a quando non viene inviato un comando start.	Bassa	Comandi di riavvio/arresto	Tattiche: - Spostamento laterale - Evasione della difesa -Esecuzione - Funzione di risposta inibizione Tecniche: - T0843: Download del programma - T0858: Cambia modalità operativa - T0814: Denial of Service	Non apprendibile
Il blocco di controllo GOOSE richiede un'ulteriore configurazione	Un dispositivo di origine ha inviato un messaggio GOOSE che indica che il dispositivo deve essere commissionato. Ciò significa che il blocco di controllo GOOSE richiede un'ulteriore configurazione e i messaggi GOOSE sono parzialmente o completamente non operativi.	Medio	Modifiche alla configurazione	Tattiche: - Compromettere il controllo del processo - Funzione di risposta inibizione Tecniche: - T0803: Blocca messaggio di comando - T0821: Modifica attività controller	Non apprendibile
Configurazione del set di dati GOOSE modificata *	Un set di dati del messaggio (identificato dall'ID protocollo) è stato modificato in un dispositivo di origine. Ciò significa che il dispositivo segnala un set di dati diverso per questo messaggio.	Bassa	Modifiche alla configurazione	Tattiche: - Compromettere il controllo del processo Tecniche: - T0836: Modifica parametro	Non apprendibile
Stato imprevisto del controller Honeywell	Un controller Honeywell ha inviato un messaggio di diagnostica imprevisto che indica una modifica dello stato.	Bassa	Problemi operativi	Tattiche: -Evasione -Esecuzione Tecniche: - T0858: Cambia modalità operativa	Non apprendibile
Errore del client HTTP *	Il dispositivo di origine ha avviato una richiesta non valida.	Bassa	Comportamento anomalo della comunicazione HTTP	Tattiche: - Comando e controllo Tecniche: - T0869: Standard application layer protocol	Non apprendibile
Indirizzo IP non valido	Il sistema ha rilevato il traffico tra un dispositivo di origine e un indirizzo IP non valido. Ciò potrebbe indicare una configurazione errata o un tentativo di generare traffico non valido.	Bassa	Comportamento di comunicazione anomalo	Tattiche: -Scoperta - Compromettere il controllo del processo Tecniche: - T0842: Analisi di rete - T0836: Modifica parametro	Non apprendibile
Errore di autenticazione master-slave	Il processo di autenticazione tra un dispositivo di origine DNP3 (primario) e un dispositivo di destinazione (outstation) non è riuscito.	Bassa	Autenticazione	Tattiche: - Spostamento laterale -Persistenza Tecniche: - T0859: account validi	Non apprendibile
Richiesta del servizio MMS non riuscita	Un server ha restituito un codice di errore. Indica un errore del server o una richiesta non valida da parte di un client.	Medio	Errori di comando	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato	Non apprendibile
Nessun traffico rilevato nell'interfaccia del sensore	Un sensore ha arrestato il rilevamento del traffico di rete in un'interfaccia di rete.	Alto	Traffico del sensore	Tattiche: - Funzione di risposta inibizione Tecniche: - T0881: Service Stop	Non apprendibile
OPC UA Server ha generato un evento che richiede l'attenzione dell'utente	Un server OPC UA ha inviato una notifica di evento a un client. Questo tipo di evento richiede attenzione da parte dell'utente	Medio	Problemi operativi	Tattiche: - Funzione di risposta inibizione Tecniche: - T0838: Modificare le impostazioni di allarme	Non apprendibile
Richiesta di servizio OPC UA non riuscita	Un server ha restituito un codice di errore. Indica un errore del server o una richiesta non valida da parte di un client.	Medio	Errori di comando	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato	Non apprendibile
Outstation Riavviato	È stato rilevato un riavvio a freddo in un dispositivo di origine. Ciò significa che il dispositivo è stato fisicamente spento e riacceso.	Bassa	Comandi di riavvio/arresto	Tattiche: - Funzione di risposta inibizione Tecniche: - T0816: Riavvio/arresto del dispositivo	Non apprendibile
Riavvio frequente di Outstation	È stato rilevato un numero eccessivo di riavvii a freddo in un dispositivo di origine. Ciò significa che il dispositivo è stato fisicamente spento e riacceso un numero eccessivo di volte. Soglia: 2 riavvii in 10 minuti	Bassa	Comandi di riavvio/arresto	Tattiche: - Funzione di risposta inibizione Tecniche: - T0814: Denial of Service - T0816: Riavvio/arresto del dispositivo	Non apprendibile
Configurazione di Outstation modificata	È stata rilevata una modifica della configurazione in un dispositivo di origine.	Medio	Modifiche alla configurazione	Tattiche: - Funzione di risposta inibizione -Persistenza Tecniche: - T0857: Firmware di sistema	Non apprendibile
Rilevata configurazione danneggiata di Outstation	Questo dispositivo di origine DNP3 (outstation) ha segnalato una configurazione danneggiata.	Medio	Modifiche alla configurazione	Tattiche: - Funzione di risposta inibizione Tecniche: - T0809: distruzione dei dati	Non apprendibile
Comando DCP Profinet non riuscito	Un server ha restituito un codice di errore. Indica un errore del server o una richiesta non valida da parte di un client.	Medio	Errori di comando	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato	Non apprendibile
Ripristino di Profinet Device Factory	Un dispositivo di origine ha inviato un comando di reimpostazione delle impostazioni predefinite a un dispositivo di destinazione Profinet. Il comando reset cancella le configurazioni del dispositivo Profinet e ne interrompe il funzionamento.	Bassa	Comandi di riavvio/arresto	Tattiche: - Evasione della difesa -Esecuzione - Funzione di risposta inibizione Tecniche: - T0858: Cambia modalità operativa - T0814: Denial of Service	Non apprendibile
Operazione RPC non riuscita *	Un server ha restituito un codice di errore. Questo avviso indica un errore del server o una richiesta non valida da parte di un client.	Medio	Errori di comando	Tattiche: - Compromettere il controllo del processo Tecniche: - T0855: Messaggio di comando non autorizzato	Non apprendibile
La configurazione del set di dati del messaggio valori campionati è stata modificata *	Un set di dati del messaggio (identificato dall'ID protocollo) è stato modificato in un dispositivo di origine. Ciò significa che il dispositivo segnala un set di dati diverso per questo messaggio.	Bassa	Modifiche alla configurazione	Tattiche: - Compromettere il controllo del processo Tecniche: - T0836: Modifica parametro	Non apprendibile
Errore irreversibile del dispositivo slave *	È stato rilevato un errore di condizione irreversibile in un dispositivo di origine. Questo tipo di errore indica in genere un errore hardware o un errore di esecuzione di un comando specifico.	Medio	Errori di comando	Tattiche: - Funzione di risposta inibizione Tecniche: - T0814: Denial of Service	Non apprendibile
Sospetto di problemi hardware in Outstation	È stato rilevato un errore di condizione irreversibile in un dispositivo di origine. Questo tipo di errore indica in genere un errore hardware o un errore di esecuzione di un comando specifico.	Medio	Problemi operativi	Tattiche: - Funzione di risposta inibizione Tecniche: - T0814: Denial of Service - T0881: Service Stop	Non apprendibile
Sospetto di non rispondere al dispositivo MODBUS	Un dispositivo di origine non ha risposto a un comando inviato. Potrebbe essere stato disconnesso quando è stato inviato il comando. Soglia: minimo 1 risposta valida per un minimo di 3 richieste entro 5 minuti	Bassa	Insensibile	Tattiche: - Funzione di risposta inibizione Tecniche: - T0881: Service Stop	Non apprendibile
Traffico rilevato nell'interfaccia del sensore	Un sensore ha ripreso a rilevare il traffico di rete in un'interfaccia di rete.	Bassa	Traffico del sensore	Tattiche: -Scoperta Tecniche: - T0842: Analisi di rete	Non apprendibile
Modalità operativa PLC modificata	La modalità operativa in questo PLC è cambiata. La nuova modalità potrebbe indicare che il PLC non è sicuro. Lasciare il PLC in una modalità operativa non sicura potrebbe consentire agli avversari di eseguire attività dannose su di esso, ad esempio il download di un programma. Se il PLC è compromesso, i dispositivi e i processi che interagiscono con esso potrebbero essere interessati. Ciò potrebbe influire sulla sicurezza generale del sistema.	Bassa	Modifiche alla configurazione	Tattiche: -Esecuzione -Evasione Tecniche: - T0858: Cambia modalità operativa	Non apprendibile

Passaggi successivi

Per ulteriori informazioni, vedere:

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-04-29