この記事では、すべてのアラートの種類と説明の一覧など、IoT ネットワーク センサーのMicrosoft Defenderによって生成されるアラートのリファレンスを提供します。 また、学習可能な状態の詳細については、「 アラートの状態とトリアージ オプション」を参照してください。 この参照を使用して 、アラートをプレイブックにマップしたり、Operational Technology (OT) ネットワーク センサーで 転送ルールを定義 したり、その他のカスタム アクティビティを定義したりできます。
既定で無効になっている OT アラート
以下の表のアスタリスク (*) で示されているように、いくつかのアラートは既定でオフになっています。 OT センサー 管理ユーザーは、特定の OT ネットワーク センサーの [サポート] ページからアラートを有効または無効にすることができます。
アラート転送ルールなど、他の場所で参照されている アラートをオフにする場合は、必要に応じてそれらの参照を更新してください。
アラートの重大度
Defender for IoT アラートでは、次の重大度レベルが使用されます。
| Azure portal | OT センサー | 説明 |
|---|---|---|
| High | Critical | すぐに処理する必要がある悪意のある攻撃を示します。 |
| Medium | メジャー | 対処することが重要なセキュリティ上の脅威を示します。 |
| 低 | マイナー、 警告 | セキュリティ上の脅威が含まれている可能性がある、またはセキュリティ上の脅威が含まれている可能性があるベースライン動作からの逸脱を示します。 |
このページのアラート重大度には、Azure portalに示すように重大度が一覧表示されます。
サポートされているアラートの種類
| アラートの種類 | 説明 |
|---|---|
| ポリシー違反アラート | ポリシー違反エンジンが、以前に学習したトラフィックからの逸脱を検出したときにトリガーされます。 例: - 新しいデバイスが検出されました。 - デバイスで新しい構成が検出されます。 - プログラミング デバイスとして定義されていないデバイスは、プログラミングの変更を実行します。 - ファームウェアのバージョンが変更されました。 |
| プロトコル違反アラート | プロトコル違反エンジンが、プロトコル仕様に準拠していないパケット構造またはフィールド値を検出したときにトリガーされます。 |
| 運用アラート | 運用エンジンがネットワーク運用インシデントまたはデバイスの誤動作を検出したときにトリガーされます。 たとえば、PLC の停止コマンドを使用してネットワーク デバイスが停止した場合や、センサー上のインターフェイスがトラフィックの監視を停止した場合などです。 |
| マルウェア アラート | マルウェア エンジンが悪意のあるネットワーク アクティビティを検出したときにトリガーされます。 たとえば、エンジンは Conficker などの既知の攻撃を検出します。 |
| 異常アラート | 異常エンジンが偏差を検出したときにトリガーされます。 たとえば、デバイスはネットワーク スキャンを実行していますが、スキャン デバイスとして定義されていません。 |
Defender for IoT のアラート検出ポリシーは、さまざまなアラート エンジンを操作して、ビジネスへの影響とネットワーク コンテキストに基づいてアラートをトリガーし、価値の低い IT 関連のアラートを減らします。 詳細については、「 OT/IT 環境での集中型アラート」を参照してください。
サポートされているアラート カテゴリ
各アラートには、次のいずれかのカテゴリがあります。
- 異常な通信動作
- HTTP 通信の異常な動作
- 認証
- バックアップ
- 帯域幅の異常
- バッファオーバーフロー
- コマンド エラー
- 構成の変更
- カスタム アラート
- 検出
- ファームウェアの変更
- コマンドが正しくありません
- インターネット アクセス
- 操作エラー
- 運用上の問題
- プログラミング
- リモート アクセス
- 再起動/停止コマンド
- スキャン
- センサー トラフィック
- 悪意のあるアクティビティの疑い
- マルウェアの疑い
- 未承認の通信動作
- 応答
ポリシー エンジンアラート
ポリシー エンジンアラートは、学習されたベースライン動作からの検出された逸脱を記述します。
ポリシー エンジンアラートテーブルには、アラート疲労を軽減するために、この種類の複数のアラートをグループ化し、[アラート] ページに 1 回だけ一覧表示できることを示す 集計 項目が含まれています。 詳細については、「 集計されたアラート」を参照してください。
| Title | 説明 | 重要度 | カテゴリ | MITRE ATT&CK 戦術と手法 |
Learnable | 集約された違反 |
|---|---|---|---|---|---|---|
| Beckhoff ソフトウェアの変更 | ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 | 中 | ファームウェアの変更 |
戦術: - 応答を禁止する関数 -永続 化 技術: - T0857: システム ファームウェア |
Learnable | 不要 |
| データベース ログインに失敗しました | ソース デバイスから移行先サーバーへのサインイン試行に失敗しました。 これは人的エラーの結果である可能性がありますが、サーバーまたはサーバー上のデータを侵害しようとする悪意のある試みを示している可能性もあります。 しきい値: 5 分で 2 つのサインイン エラー |
中 | 認証 |
戦術: - 横移動 -コレクション 技術: - T0812: 既定の資格情報 - T0811: 情報リポジトリからのデータ |
学習できない | 不要 |
| Emerson ROC ファームウェアのバージョンが変更されました | ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 | 中 | ファームウェアの変更 |
戦術: - 応答を禁止する関数 -永続 化 技術: - T0857: システム ファームウェア |
Learnable | はい |
| インターネットと通信するネットワーク内の外部アドレス | ネットワーク内の別のインターネット デバイスと通信するインターネット デバイス。 | 高 | インターネット アクセス |
戦術: - 初期アクセス 技術: - T0883: インターネットにアクセス可能なデバイス |
Learnable | 不要 |
| フィールド デバイスが予期せず検出されました | ネットワーク上で新しいソース デバイスが検出されましたが、承認されていません。 | 中 | 検出 |
戦術: -発見 技術: - T0842: ネットワーク スニッフィング |
学習できない | 不要 |
| ファームウェアの変更が検出されました | ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 | 中 | ファームウェアの変更 |
戦術: - 応答を禁止する関数 -永続 化 技術: - T0857: システム ファームウェア |
学習できない | 不要 |
| ファームウェアのバージョンが変更されました | ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 | 中 | ファームウェアの変更 |
戦術: - 応答を禁止する関数 -永続 化 技術: - T0857: システム ファームウェア |
Learnable | はい |
| Foxboro I/A 不正な操作 | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ - T0836: パラメーターの変更 |
Learnable | はい |
| FTP ログインに失敗しました | ソース デバイスから移行先サーバーへのサインイン試行に失敗しました。 このアラートは、人的エラーの結果である可能性がありますが、サーバーまたはサーバー上のデータを侵害しようとする悪意のある試みを示している可能性もあります。 | 中 | 認証 |
戦術: - 横移動 - コマンドとコントロール 技術: - T0812: 既定の資格情報 - T0869: Standard アプリケーション層プロトコル |
学習できない | 不要 |
| 関数コードが未承認の例外を発生させた * | ソース デバイス (セカンダリ) から、宛先デバイス (プライマリ) に例外が返されました。 | 中 | コマンド エラー |
戦術: - 応答を禁止する関数 技術: - T0835: I/O イメージを操作する |
Learnable | はい |
| メッセージの種類の設定 | (プロトコル ID で識別される) メッセージの設定がソース デバイスで変更されました。 | 低 | 未承認の通信動作 |
戦術: - プロセス制御を損なう 技術: - T0836: パラメーターの変更 |
Learnable | はい |
| Honeywell ファームウェアのバージョンが変更されました | ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 | 中 | ファームウェアの変更 |
戦術: - 応答を禁止する関数 -永続 化 技術: - T0857: システム ファームウェア |
Learnable | 不要 |
| HTTP 通信が正しくありません * | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | HTTP 通信の異常な動作 |
戦術: -発見 技術: - T0846: リモート システム検出 |
Learnable | 不要 |
| インターネット アクセスが検出されました | 内部デバイスが、送信インターネット接続を実行しようと予期しない試行を行いました。 | 中 | インターネット アクセス |
戦術: - 初期アクセス 技術: - T0883: インターネットにアクセス可能なデバイス |
Learnable | 不要 |
| 三菱ファームウェアバージョン変更 | ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 | 中 | ファームウェアの変更 |
戦術: - 応答を禁止する関数 -永続 化 技術: - T0857: システム ファームウェア |
Learnable | 不要 |
| Modbus アドレス範囲違反 | プライマリ デバイスが新しいセカンダリ メモリ アドレスへのアクセスを要求しました。 | 中 | 未承認の通信動作 |
戦術: -発見 技術: - T0842: ネットワーク スニッフィング |
Learnable | はい |
| Modbus ファームウェアのバージョンが変更されました | ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 | 中 | ファームウェアの変更 |
戦術: - 応答を禁止する関数 -永続 化 技術: - T0857: システム ファームウェア |
Learnable | 不要 |
| 新しいアクティビティが検出されました - CIP クラス | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: -発見 技術: - T0888: リモート システム情報検出 |
Learnable | はい |
| 新しいアクティビティが検出されました - CIP クラス サービス | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - 応答を禁止する関数 技術: - T0836: パラメーターの変更 |
Learnable | はい |
| 新しいアクティビティが検出されました - CIP PCCC コマンド | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - 応答を禁止する関数 技術: - T0836: パラメーターの変更 |
Learnable | はい |
| 新しいアクティビティが検出されました - CIP シンボル | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう - 応答を禁止する関数 技術: - T0855: 未承認のコマンド メッセージ - T0836: パラメーターの変更 |
Learnable | はい |
| 新しいアクティビティが検出されました - EtherNet/IP I/O 接続 | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: -発見 - 応答を禁止する関数 技術: - T0846: リモート システム検出 - T0835: I/O イメージを操作する |
Learnable | はい |
| 新しいアクティビティが検出されました - EtherNet/IP プロトコル コマンド | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - 応答を禁止する関数 技術: - T0836: パラメーターの変更 |
Learnable | はい |
| 新しいアクティビティが検出されました - GSM メッセージ コード | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - CommandAndControl 技術: - T0869: Standard アプリケーション層プロトコル |
Learnable | はい |
| 新しいアクティビティが検出されました - LonTalk コマンド コード | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: -コレクション - プロセス制御を損なう 技術: - T0861 - ポイント & タグ識別 - T0855: 未承認のコマンド メッセージ |
Learnable | はい |
| 新しいアクティビティが検出されました - LonTalk ネットワーク変数 | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ |
Learnable | はい |
| 新しいアクティビティが検出されました - Ovation データ要求 | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: -コレクション -発見 技術: - T0801: プロセスの状態を監視する - T0888: リモート システム情報検出 |
Learnable | はい |
| 新しいアクティビティが検出されました - 読み取り/書き込みコマンド (AMS インデックス グループ) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 構成の変更 |
戦術: - プロセス制御を損なう - 応答を禁止する関数 技術: - T0855: 未承認のコマンド メッセージ - T0836: パラメーターの変更 |
Learnable | はい |
| 新しいアクティビティが検出されました - 読み取り/書き込みコマンド (AMS インデックス オフセット) | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 構成の変更 |
戦術: - プロセス制御を損なう - 応答を禁止する関数 技術: - T0855: 未承認のコマンド メッセージ - T0836: パラメーターの変更 |
Learnable | はい |
| 新しいアクティビティが検出されました - 未承認の DeltaV メッセージの種類 | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう -実行 技術: - T0855: 未承認のコマンド メッセージ - T0821: コントローラー のタスクを変更する |
Learnable | はい |
| 新しいアクティビティが検出されました - 未承認の DeltaV ROC 操作 | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう -実行 技術: - T0855: 未承認のコマンド メッセージ - T0821: コントローラー のタスクを変更する |
Learnable | はい |
| 新しいアクティビティが検出されました - 未承認の RPC メッセージの種類 | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ |
Learnable | はい |
| 新しいアクティビティが検出されました - AMS プロトコル コマンドを使用する | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう - 応答を禁止する関数 -実行 技術: - T0855: 未承認のコマンド メッセージ - T0836: パラメーターの変更 - T0821: コントローラー のタスクを変更する |
Learnable | はい |
| 新しいアクティビティが検出されました - Siemens SICAM コマンドを使用する | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう - 応答を禁止する関数 技術: - T0855: 未承認のコマンド メッセージ - T0836: パラメーターの変更 |
Learnable | はい |
| 新しいアクティビティが検出されました - Suitelink Protocol コマンドを使用する | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう - 応答を禁止する関数 技術: - T0855: 未承認のコマンド メッセージ - T0836: パラメーターの変更 |
Learnable | はい |
| 新しいアクティビティが検出されました - Suitelink プロトコル セッションの使用 | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう 技術: - T0836: パラメーターの変更 |
Learnable | はい |
| 新しいアクティビティが検出されました - 横川 VNetIP コマンドを使用する | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう -実行 技術: - T0855: 未承認のコマンド メッセージ - T0821: コントローラー のタスクを変更する |
Learnable | はい |
| 新しい資産が検出されました | ネットワーク上で新しいソース デバイスが検出されましたが、承認されていません。 このアラートは、OT サブネットで検出されたデバイスに適用されます。 IT サブネットで検出された新しいデバイスは、アラートをトリガーしません。 |
中 | 検出 |
戦術: -発見 技術: - T0842: ネットワーク スニッフィング |
Learnable | 不要 |
| 新しい LLDP デバイス構成 | ネットワーク上で新しいソース デバイスが検出されましたが、承認されていません。 | 中 | 構成の変更 |
戦術: -発見 技術: - T0842: ネットワーク スニッフィング |
Learnable | 不要 |
| Omron FINS 未承認コマンド | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ - T0836: パラメーターの変更 |
Learnable | はい |
| S7 Plus PLC ファームウェアの変更 | ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 | 中 | ファームウェアの変更 |
戦術: - 応答を禁止する関数 -永続 化 技術: - T0857: システム ファームウェア |
Learnable | 不要 |
| サンプリングされた値メッセージの種類の設定 | (プロトコル ID で識別される) メッセージの設定がソース デバイスで変更されました。 | 低 | 未承認の通信動作 |
戦術: - プロセス制御を損なう 技術: - T0836: パラメーターの変更 |
学習できない | はい |
| 不正な整合性スキャンの疑い * | DNP3 ソース デバイス (アウトステーション) でスキャンが検出されました。 このスキャンは、ネットワーク上の学習されたトラフィックとして承認されませんでした。 | 中 | スキャン |
戦術: -発見 技術: - T0842: ネットワーク スニッフィング |
Learnable | 不要 |
| 東芝コンピュータリンク未承認コマンド | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 低 | 未承認の通信動作 |
戦術: - プロセス制御を損なう -実行 技術: - T0855: 未承認のコマンド メッセージ - T0821: コントローラー のタスクを変更する |
Learnable | はい |
| 未承認の ABB Totalflow ファイル操作 | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう -実行 技術: - T0855: 未承認のコマンド メッセージ - T0821: コントローラー のタスクを変更する |
学習できない | はい |
| 未承認の ABB Totalflow Register 操作 | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう -実行 技術: - T0855: 未承認のコマンド メッセージ - T0821: コントローラー のタスクを変更する |
学習できない | はい |
| Siemens S7 データ ブロックへの不正アクセス | ソース デバイスが別のデバイス上のリソースにアクセスしようとしました。 これら 2 つのデバイス間でこのリソースに対するアクセス試行は、ネットワーク上の学習トラフィックとして承認されていません。 | 低 | 未承認の通信動作 |
戦術: - プロセス制御を損なう - 初期アクセス 技術: - T0855: 未承認のコマンド メッセージ - T0811: 情報リポジトリからのデータ |
Learnable | はい |
| Siemens S7 Plus オブジェクトへの不正アクセス | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう -実行 - 応答を禁止する関数 技術: - T0855: 未承認のコマンド メッセージ - T0821: コントローラー のタスクを変更する - T0809: データの破棄 |
Learnable | はい |
| Wonderware タグへの不正アクセス | ソース デバイスが別のデバイス上のリソースにアクセスしようとしました。 これら 2 つのデバイス間でこのリソースに対するアクセス試行は、ネットワーク上の学習トラフィックとして承認されていません。 | 中 | 未承認の通信動作 |
戦術: -コレクション - プロセス制御を損なう 技術: - T0861: ポイント & タグ識別 - T0855: 未承認のコマンド メッセージ |
Learnable | はい |
| 未承認の BACNet オブジェクト アクセス | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう -実行 技術: - T0855: 未承認のコマンド メッセージ - T0821: コントローラー のタスクを変更する |
Learnable | はい |
| 未承認の BACNet ルート | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう -実行 技術: - T0855: 未承認のコマンド メッセージ - T0821: コントローラー のタスクを変更する |
Learnable | はい |
| 未承認のデータベース ログイン * | ソース クライアントと移行先サーバーの間のサインイン試行が検出されました。 これらのデバイス間の通信は、ネットワーク上の学習トラフィックとして承認されていません。 | 中 | 認証 |
戦術: - 横移動 -永続 化 -コレクション 技術: - T0859: 有効なアカウント - T0811: 情報リポジトリからのデータ |
Learnable | 不要 |
| 未承認のデータベース操作 | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 異常な通信動作 |
戦術: - プロセス制御を損なう - 初期アクセス 技術: - T0855: 未承認のコマンド メッセージ - T0811: 情報リポジトリからのデータ |
Learnable | はい |
| 承認されていないエマーソン ROC 操作 | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう -実行 技術: - T0855: 未承認のコマンド メッセージ - T0821: コントローラー のタスクを変更する |
Learnable | はい |
| 承認されていない GE SRTP ファイル アクセス | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: -コレクション - LateralMovement -永続 化 技術: - T0801: プロセスの状態を監視する - T0859: 有効なアカウント |
Learnable | はい |
| 不正な GE SRTP プロトコル コマンド | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ - T0821: コントローラー のタスクを変更する |
Learnable | はい |
| 承認されていない GE SRTP システム メモリ操作 | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: -発見 - プロセス制御を損なう 技術: - T0846: リモート システム検出 - T0855: 未承認のコマンド メッセージ |
Learnable | はい |
| 未承認の HTTP アクティビティ | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | HTTP 通信の異常な動作 |
戦術: - 初期アクセス - コマンドとコントロール 技術: - T0822: 外部リモート サービス - T0869: Standard アプリケーション層プロトコル |
Learnable | 不要 |
| 未承認の HTTP SOAP アクション * | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | HTTP 通信の異常な動作 |
戦術: - コマンドとコントロール -実行 技術: - T0869: Standard アプリケーション層プロトコル - T0871: API を使用した実行 |
Learnable | 不要 |
| 未承認の HTTP ユーザー エージェント * | ソース デバイスで未承認のアプリケーションが検出されました。 アプリケーションは、ネットワーク上の学習済みアプリケーションとして承認されていません。 | 中 | HTTP 通信の異常な動作 |
戦術: - コマンドとコントロール 技術: - T0869: Standard アプリケーション層プロトコル |
Learnable | 不要 |
| 未承認のインターネット接続が検出されました | 内部デバイスがインターネットと正常に通信しました。 | 高 | インターネット アクセス |
戦術: - 初期アクセス 技術: - T0883: インターネットにアクセス可能なデバイス |
Learnable | 不要 |
| 承認されていない三菱 MELSEC コマンド | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう -実行 技術: - T0855: 未承認のコマンド メッセージ - T0821: コントローラー のタスクを変更する |
Learnable | はい |
| 承認されていない MMS プログラム へのアクセス | ソース デバイスが別のデバイス上のリソースにアクセスしようとしました。 これら 2 つのデバイス間でこのリソースに対するアクセス試行は、ネットワーク上の学習トラフィックとして承認されていません。 | 中 | プログラミング |
戦術: - プロセス制御を損なう -実行 技術: - T0855: 未承認のコマンド メッセージ - T0821: コントローラー のタスクを変更する |
Learnable | はい |
| 承認されていない MMS サービス | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう -実行 技術: - T0855: 未承認のコマンド メッセージ - T0821: コントローラー のタスクを変更する |
Learnable | はい |
| 未承認のマルチキャスト/ブロードキャスト接続 | 送信元デバイスと他のデバイスとの間でマルチキャスト/ブロードキャスト接続が検出されました。 マルチキャスト/ブロードキャスト通信が承認されていません。 | 高 | 異常な通信動作 |
戦術: -発見 技術: - T0842: ネットワーク スニッフィング |
Learnable | はい |
| 未承認の名前クエリ | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 異常な通信動作 |
戦術: - プロセス制御を損なう 技術: - T0836: パラメーターの変更 |
学習できない | はい |
| 承認されていない OPC UA アクティビティ | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう 技術: - T0836: パラメーターの変更 |
Learnable | はい |
| 未承認の OPC UA 要求/応答 | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう 技術: - T0836: パラメーターの変更 |
Learnable | はい |
| ユーザー定義ルールによって未承認の操作が検出されました | 2 つのデバイス間でトラフィックが検出されました。 このアクティビティは、ユーザーによって定義されたカスタム アラート ルールに基づいて承認されていません。 | 中 | カスタム アラート |
戦術: -発見 技術: - T0842: ネットワーク スニッフィング |
学習できない | 不要 |
| 不正な PLC 構成の読み取り | ソース デバイスはプログラミング デバイスとして定義されていませんが、宛先コントローラーで読み取り/書き込み操作を実行しました。 プログラミングの変更は、プログラミング デバイスによってのみ実行する必要があります。 プログラミング アプリケーションがこのデバイスにインストールされている可能性があります。 | 低 | 構成の変更 |
戦術: -コレクション 技術: - T0801: プロセスの状態を監視する |
Learnable | 不要 |
| 不正な PLC 構成書き込み | ソース デバイスは、宛先コントローラーのプログラムを読み取り/書き込むコマンドを送信しました。 このアクティビティは以前に表示されませんでした。 | 中 | 構成の変更 |
戦術: - プロセス制御を損なう -永続 化 -影響 技術: - T0839: モジュール ファームウェア - T0831: コントロールの操作 - T0889: プログラムの変更 |
Learnable | 不要 |
| 不正な PLC プログラムのアップロード | ソース デバイスは、宛先コントローラーのプログラムを読み取り/書き込むコマンドを送信しました。 このアクティビティは以前に表示されませんでした。 | 中 | プログラミング |
戦術: - プロセス制御を損なう -永続 化 -コレクション 技術: - T0839: モジュール ファームウェア - T0845: プログラムのアップロード |
Learnable | 不要 |
| 不正な PLC プログラミング | ソース デバイスはプログラミング デバイスとして定義されていませんが、宛先コントローラーで読み取り/書き込み操作を実行しました。 プログラミングの変更は、プログラミング デバイスによってのみ実行する必要があります。 プログラミング アプリケーションがこのデバイスにインストールされている可能性があります。 | 高 | プログラミング |
戦術: - プロセス制御を損なう -永続 化 - 横移動 技術: - T0839: モジュール ファームウェア - T0889: プログラムの変更 - T0843: プログラムのダウンロード |
Learnable | 不要 |
| 未承認の Profinet フレームの種類 | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう 技術: - T0836: パラメーターの変更 |
Learnable | はい |
| 未承認の SAIA S-Bus コマンド | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ |
Learnable | はい |
| 不正なシーメンスS7制御機能の実行 | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう - 応答を禁止する関数 技術: - T0855: 未承認のコマンド メッセージ - T0809: データの破棄 |
Learnable | はい |
| ユーザー定義関数の未承認の Siemens S7 実行 | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう -実行 技術: - T0836: パラメーターの変更 - T0863: ユーザーの実行 |
Learnable | はい |
| 承認されていないシーメンスS7プラスブロックアクセス | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - 応答を禁止する関数 -永続 化 -実行 技術: - T0803 - コマンド メッセージをブロックする - T0889: プログラムの変更 - T0821: コントローラー のタスクを変更する |
Learnable | はい |
| 承認されていないシーメンスS7プラス操作 | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう -実行 技術: - T0855: 未承認のコマンド メッセージ - T0863: ユーザーの実行 |
Learnable | はい |
| 未承認の SMB ログイン | ソース クライアントと移行先サーバーの間のサインイン試行が検出されました。 これらのデバイス間の通信は、ネットワーク上の学習トラフィックとして承認されていません。 | 中 | 認証 |
戦術: - 初期アクセス - 横移動 -永続 化 技術: - T0886: リモート サービス - T0859: 有効なアカウント |
Learnable | はい |
| 承認されていない SNMP 操作 | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 異常な通信動作 |
戦術: -発見 - コマンドとコントロール 技術: - T0842: ネットワーク スニッフィング - T0885: 一般的に使用されるポート |
Learnable | はい |
| 未承認の SSH アクセス | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | リモート アクセス |
戦術: - InitialAccess - 横移動 - コマンドとコントロール 技術: - T0886: リモート サービス - T0869: Standard アプリケーション層プロトコル |
Learnable | 不要 |
| 未承認の Windows プロセス | ソース デバイスで未承認のアプリケーションが検出されました。 アプリケーションは、ネットワーク上の学習済みアプリケーションとして承認されていません。 | 中 | 異常な通信動作 |
戦術: -実行 - 特権エスカレーション - コマンドとコントロール 技術: - T0841: フック - T0885: 一般的に使用されるポート |
Learnable | はい |
| 未承認の Windows サービス | ソース デバイスで未承認のアプリケーションが検出されました。 アプリケーションは、ネットワーク上の学習済みアプリケーションとして承認されていません。 | 中 | 異常な通信動作 |
戦術: - 初期アクセス - 横移動 技術: - T0866: リモート サービスの悪用 |
Learnable | はい |
| ユーザー定義ルールによって未承認の操作が検出されました | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ユーザー定義ルールに違反します | 中 |
戦術: -発見 技術: - T0842: ネットワーク スニッフィング |
学習できない | 不要 | |
| 非コミット Modbus Schneider Electric Extension | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ |
Learnable | はい |
| ASDU 型の無制限の使用 | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ |
Learnable | はい |
| DNP3 関数コードの無制限の使用 | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう 技術: - T0836: パラメーターの変更 |
Learnable | はい |
| 内部表示の無制限の使用 (IIN) * | DNP3 ソース デバイス (outstation) から、ネットワーク上の学習トラフィックとして承認されていない内部表示 (IIN) が報告されました。 | 中 | 無効なコマンド |
戦術: -発見 技術: - T0842: ネットワーク スニッフィング |
Learnable | 不要 |
| Modbus 関数コードの無制限の使用 | 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは承認されていません。 | 中 | 未承認の通信動作 |
戦術: - プロセス制御を損なう 技術: - T0836: パラメーターの変更 |
Learnable | はい |
異常エンジンアラート
注:
この記事には、 スレーブという用語 (Microsoft が使用しなくなった用語) への参照が含まれています。 この用語がソフトウェアから削除されたら、この記事から削除します。
異常エンジン アラートは、ネットワーク アクティビティで検出された異常について説明します。
| Title | 説明 | 重要度 | カテゴリ | MITRE ATT&CK 戦術と手法 |
Learnable |
|---|---|---|---|---|---|
| スレーブの異常例外パターン * | ソース デバイスで過剰な数のエラーが検出されました。 このアラートは、運用上の問題の結果である可能性があります。 しきい値: 1 時間で 20 個の例外 |
低 | 異常な通信動作 |
戦術: - プロセス制御を損なう 技術: - T0806: ブルート フォース I/O |
学習できない |
| HTTP ヘッダーの長さの異常 * | ソース デバイスが異常なメッセージを送信しました。 このアラートは、宛先デバイスへの攻撃の試行を示している可能性があります。 | 高 | HTTP 通信の異常な動作 |
戦術: - 初期アクセス - 横移動 - コマンドとコントロール 技術: - T0866: リモート サービスの悪用 - T0869: Standard アプリケーション層プロトコル |
Learnable |
| HTTP ヘッダーのパラメーターの異常な数 * | ソース デバイスが異常なメッセージを送信しました。 このアラートは、宛先デバイスへの攻撃の試行を示している可能性があります。 | 高 | HTTP 通信の異常な動作 |
戦術: - 初期アクセス - 横移動 - コマンドとコントロール 技術: - T0866: リモート サービスの悪用 - T0869: Standard アプリケーション層プロトコル |
Learnable |
| 通信チャネルでの異常な定期的な動作 | 送信元と宛先のデバイス間の通信頻度の変化が検出されました。 | 低 | 異常な通信動作 |
戦術: -発見 技術: - T0842: ネットワーク スニッフィング |
Learnable |
| アプリケーションの異常終了 * | ソース デバイスで過剰な数の停止コマンドが検出されました。 このアラートは、運用上の問題やデバイスの操作の試行の結果である可能性があります。 しきい値: 3 時間で 20 個の停止コマンド |
中 | 異常な通信動作 |
戦術: -永続 化 -影響 技術: - T0889: プログラムの変更 - T0831: コントロールの操作 |
Learnable |
| 異常なトラフィック帯域幅 * | チャネルで異常な帯域幅が検出されました。 帯域幅は、以前に検出された帯域幅よりも低い/高いようです。 詳細については、合計帯域幅ウィジェットを使用してください。 | 低 | 帯域幅の異常 |
戦術: -発見 技術: - T0842: ネットワーク スニッフィング |
Learnable |
| デバイス間の異常なトラフィック帯域幅 * | チャネルで異常な帯域幅が検出されました。 帯域幅は、以前に検出された帯域幅よりも低い/高いようです。 詳細については、合計帯域幅ウィジェットを使用してください。 | 低 | 帯域幅の異常 |
戦術: -発見 技術: - T0842: ネットワーク スニッフィング |
学習できない |
| アドレス スキャンが検出されました | ネットワーク デバイスのスキャン中にソース デバイスが検出されました。 このデバイスは、ネットワーク スキャン デバイスとして承認されていません。 しきい値: 同じ B クラス サブネットへの 50 接続 (2 分) |
高 | スキャン |
戦術: -発見 技術: - T0842: ネットワーク スニッフィング |
Learnable |
| ARP アドレス スキャンが検出されました * | アドレス解決プロトコル (ARP) を使用してネットワーク デバイスをスキャンするソース デバイスが検出されました。 このデバイス アドレスは、有効な ARP スキャン アドレスとして承認されていません。 しきい値: 6 分で 40 スキャン |
高 | スキャン |
戦術: -発見 -コレクション 技術: - T0842: ネットワーク スニッフィング - T0830: 中間の男 |
Learnable |
| ARP スプーフィング * | ネットワークで異常な量のパケットが検出されました。 このアラートは、ARP スプーフィング攻撃や ICMP フラッディング攻撃など、攻撃を示している可能性があります。 しきい値: 1 分で 60 パケット |
低 | 異常な通信動作 |
戦術: -コレクション 技術: - T0830: 中間の男 |
学習できない |
| ログイン試行回数が多すぎる | 移行元デバイスが、移行先サーバーへの過剰なサインイン試行を実行しているのが確認されました。 このアラートは、ブルート フォース攻撃を示している可能性があります。 悪意のあるアクターによってサーバーが侵害される可能性があります。 しきい値: 1 分で 20 回のサインイン試行 |
高 | 認証 |
戦術: - LateralMovement - プロセス制御を損なう 技術: - T0812: 既定の資格情報 - T0806: ブルート フォース I/O |
学習できない |
| セッション数が多すぎる | 移行元デバイスが、移行先サーバーへの過剰なサインイン試行を実行しているのが確認されました。 これはブルート フォース攻撃を示している可能性があります。 悪意のあるアクターによってサーバーが侵害される可能性があります。 しきい値: 1 分で 50 セッション |
高 | 異常な通信動作 |
戦術: - 横移動 - プロセス制御を損なう 技術: - T0812: 既定の資格情報 - T0806: ブルート フォース I/O |
学習できない |
| アウトステーションの再起動率が高すぎる * | ソース デバイスで過剰な数の再起動コマンドが検出されました。 これらのアラートは、運用上の問題やデバイスの操作の試行の結果である可能性があります。 しきい値: 1 時間で 10 再起動 |
中 | 再起動/停止コマンド |
戦術: - 応答を禁止する関数 - プロセス制御を損なう 技術: - T0814: サービス拒否 - T0806: ブルート フォース I/O |
学習できない |
| SMB ログイン試行回数が多すぎる | 移行元デバイスが、移行先サーバーへの過剰なサインイン試行を実行しているのが確認されました。 これはブルート フォース攻撃を示している可能性があります。 悪意のあるアクターによってサーバーが侵害される可能性があります。 しきい値: 10 分で 10 回のサインイン試行 |
高 | 認証 |
戦術: -永続 化 -実行 - LateralMovement 技術: - T0812: 既定の資格情報 - T0853: スクリプト - T0859: 有効なアカウント |
学習できない |
| ICMP フラッディング * | ネットワークで異常な量のパケットが検出されました。 このアラートは、ARP スプーフィング攻撃や ICMP フラッディング攻撃など、攻撃を示している可能性があります。 しきい値: 1 分で 60 パケット |
低 | 異常な通信動作 |
戦術: -発見 -コレクション 技術: - T0842: ネットワーク スニッフィング - T0830: 中間の男 |
学習できない |
| 不正な HTTP ヘッダー コンテンツ * | ソース デバイスが無効な要求を開始しました。 | 高 | HTTP 通信の異常な動作 |
戦術: - 初期アクセス - LateralMovement 技術: - T0866: リモート サービスの悪用 |
学習できない |
| 非アクティブな通信チャネル * | 2 つのデバイス間の通信チャネルは、通常、アクティビティが観察される期間中に非アクティブでした。 これは、このトラフィックを生成するプログラムが変更されたか、プログラムが使用できない可能性があることを示している可能性があります。 インストールされているプログラムの構成を確認し、正しく構成されていることを確認することをお勧めします。 しきい値: 1 分 |
低 | 応答 |
戦術: - 応答を禁止する関数 技術: - T0881: サービス停止 |
学習できない |
| 長い期間のアドレス スキャンが検出されました * | ネットワーク デバイスのスキャン中にソース デバイスが検出されました。 このデバイスは、ネットワーク スキャン デバイスとして承認されていません。 しきい値: 同じ B クラス サブネットへの 50 接続 (10 分) |
高 | スキャン |
戦術: -発見 技術: - T0842: ネットワーク スニッフィング |
Learnable |
| パスワード推測の試行が検出されました | 移行元デバイスが、移行先サーバーへの過剰なサインイン試行を実行しているのが確認されました。 これはブルート フォース攻撃を示している可能性があります。 悪意のあるアクターによってサーバーが侵害される可能性があります。 しきい値: 1 分で 100 回の試行 |
高 | 認証 |
戦術: - 横移動 技術: - T0812: 既定の資格情報 - T0806: ブルート フォース I/O |
学習できない |
| PLC スキャンが検出されました | ネットワーク デバイスのスキャン中にソース デバイスが検出されました。 このデバイスは、ネットワーク スキャン デバイスとして承認されていません。 しきい値: 2 分で 10 スキャン |
高 | スキャン |
戦術: -発見 技術: - T0842: ネットワーク スニッフィング |
Learnable |
| ポート スキャンが検出されました | ネットワーク デバイスのスキャン中にソース デバイスが検出されました。 このデバイスは、ネットワーク スキャン デバイスとして承認されていません。 しきい値: 2 分間で 25 スキャン |
高 | スキャン |
戦術: -発見 技術: - T0842: ネットワーク スニッフィング |
Learnable |
| 予期しないメッセージの長さ | ソース デバイスが異常なメッセージを送信しました。 このアラートは、宛先デバイスへの攻撃の試行を示している可能性があります。 しきい値: テキストの長さ - 32768 |
高 | 異常な通信動作 |
戦術: - InitialAccess - LateralMovement 技術: - T0869: リモート サービスの悪用 |
学習できない |
| Standard ポートの予期しないトラフィック* | 別のプロトコル用に予約されたポートを使用して、デバイスでトラフィックが検出されました。 | 中 | 異常な通信動作 |
戦術: - コマンドとコントロール -発見 技術: - T0869: Standard アプリケーション層プロトコル - T0842: ネットワーク スニッフィング |
学習できない |
プロトコル違反エンジンアラート
プロトコル エンジン アラートは、パケット構造の検出された偏差、またはプロトコル仕様と比較したフィールド値を記述します。
| Title | 説明 | 重要度 | カテゴリ | MITRE ATT&CK 戦術と手法 |
Learnable |
|---|---|---|---|---|---|
| 1 つのセッションで不正な形式のパケットが多すぎる * | 送信元デバイスから宛先デバイスに送信される形式の正しくないパケットの異常な数。 このアラートは、誤った通信、またはターゲット デバイスの操作試行を示している可能性があります。 しきい値: 10 分で形式が正しくないパケットが 2 つ |
中 | 無効なコマンド |
戦術: - プロセス制御を損なう 技術: - T0806: ブルート フォース I/O |
学習できない |
| ファームウェアの更新 | ソース デバイスから、宛先デバイスのファームウェアを更新するためのコマンドが送信されました。 宛先デバイスに対して行われた最近のプログラミング、構成、ファームウェアのアップグレードが有効であることを確認します。 | 低 | ファームウェアの変更 |
戦術: - 応答を禁止する関数 -永続 化 技術: - T0857: システム ファームウェア |
Learnable |
| Outstation でサポートされていない関数コード | 宛先デバイスが無効な要求を受け取った。 | 中 | 無効なコマンド |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ |
学習できない |
| BACNet メッセージが正しくありません | ソース デバイスが無効な要求を開始しました。 | 中 | 無効なコマンド |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ - T0836: パラメーターの変更 |
学習できない |
| ポート 0 での不正な接続試行 | 送信元デバイスがポート番号 0 (0) の宛先デバイスに接続しようとしました。 TCP の場合、ポート 0 は予約されており、使用できません。 UDP の場合、ポートは省略可能であり、値 0 はポートがないことを意味します。 通常、ポート 0 でリッスンするシステムにはサービスがありません。 このイベントは、ターゲット デバイスを攻撃しようとしたり、アプリケーションが正しくプログラムされていないことを示したりする可能性があります。 | 低 | 無効なコマンド |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ - T0836: パラメーターの変更 |
学習できない |
| DNP3 操作が正しくありません | ソース デバイスが無効な要求を開始しました。 | 中 | 無効なコマンド |
戦術: - 初期アクセス - 横移動 技術: - T0866: リモート サービスの悪用 |
学習できない |
| MODBUS 操作が正しくありません (マスターによって例外が発生しました) | ソース デバイスが無効な要求を開始しました。 | 中 | 無効なコマンド |
戦術: - 初期アクセス - 横移動 技術: - T0866: リモート サービスの悪用 |
学習できない |
| MODBUS 操作が正しくありません (関数コード 0) * | ソース デバイスが無効な要求を開始しました。 | 中 | 無効なコマンド |
戦術: - 初期アクセス - 横移動 技術: - T0866: リモート サービスの悪用 |
学習できない |
| プロトコルのバージョンが正しくありません * | ソース デバイスが無効な要求を開始しました。 | 中 | 無効なコマンド |
戦術: - 初期アクセス - LateralMovement - プロセス制御を損なう 技術: - T0820: リモート サービス - T0836: パラメーターの変更 |
学習できない |
| Outstation に送信されたパラメーターが正しくありません | 宛先デバイスが無効な要求を受け取った。 | 中 | 無効なコマンド |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ - T0836: パラメーターの変更 |
学習できない |
| 廃止された関数コードの開始 (データの初期化) | ソース デバイスが無効な要求を開始しました。 | 低 | 無効なコマンド |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ |
学習できない |
| 古い関数コードの開始 (構成の保存) | ソース デバイスが無効な要求を開始しました。 | 低 | 無効なコマンド |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ |
学習できない |
| マスターがアプリケーション層の確認を要求しました | ソース デバイスが無効な要求を開始しました。 | 低 | 無効なコマンド |
戦術: - コマンドとコントロール 技術: - T0869: Standard アプリケーション層プロトコル |
学習できない |
| Modbus 例外 | ソース デバイス (セカンダリ) から、宛先デバイス (プライマリ) に例外が返されました。 | 中 | 無効なコマンド |
戦術: - 応答を禁止する関数 技術: - T0814: サービス拒否 |
学習できない |
| スレーブ デバイスが不正な ASDU タイプを受け取った | 宛先デバイスが無効な要求を受け取った。 | 中 | 無効なコマンド |
戦術: - プロセス制御を損なう 技術: - T0836: パラメーターの変更 |
学習できない |
| スレーブデバイスが送信の不正なコマンド原因を受け取った | 宛先デバイスが無効な要求を受け取った。 | 中 | 無効なコマンド |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ - T0836: パラメーターの変更 |
学習できない |
| スレーブ デバイスが不正な共通アドレスを受信しました | 宛先デバイスが無効な要求を受け取った。 | 中 | 無効なコマンド |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ - T0836: パラメーターの変更 |
学習できない |
| スレーブ デバイスが不正なデータ アドレス パラメーターを受け取った * | 宛先デバイスが無効な要求を受け取った。 | 中 | 無効なコマンド |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ - T0836: パラメーターの変更 |
学習できない |
| スレーブ デバイスが不正なデータ値パラメーターを受け取った * | 宛先デバイスが無効な要求を受け取った。 | 中 | 無効なコマンド |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ - T0836: パラメーターの変更 |
学習できない |
| スレーブ デバイスが不正な関数コードを受け取った * | 宛先デバイスが無効な要求を受け取った。 | 中 | 無効なコマンド |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ - T0836: パラメーターの変更 |
学習できない |
| スレーブデバイスが不正な情報オブジェクトアドレスを受け取った | 宛先デバイスが無効な要求を受け取った。 | 中 | 無効なコマンド |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ - T0836: パラメーターの変更 |
学習できない |
| Outstation に送信された不明なオブジェクト | 宛先デバイスが無効な要求を受け取った。 | 中 | 無効なコマンド |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ |
学習できない |
| 予約関数コードの使用方法 | ソース デバイスが無効な要求を開始しました。 | 中 | 無効なコマンド |
戦術: - プロセス制御を損なう 技術: - T0836: パラメーターの変更 |
学習できない |
| Outstation による不適切な書式設定の使用 * | ソース デバイスが無効な要求を開始しました。 | 低 | 無効なコマンド |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ |
学習できない |
| 予約済み状態フラグ (IIN) の使用 | DNP3 ソース デバイス (アウトステーション) では、予約された内部インジケーター 2.6 が使用されました。 デバイスの構成をチェックすることをお勧めします。 | 低 | 無効なコマンド |
戦術: - プロセス制御を損なう 技術: - T0836: パラメーターの変更 |
学習できない |
マルウェア エンジンアラート
マルウェア エンジン アラートは、検出された悪意のあるネットワーク アクティビティについて説明します。
| Title | 説明 | 重要度 | カテゴリ | MITRE ATT&CK 戦術と手法 |
Learnable |
|---|---|---|---|---|---|
| 既知の悪意のある IP への接続試行 | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 OT ネットワーク センサーによってトリガーされます。 |
高 | 悪意のあるアクティビティの疑い |
戦術: - 初期アクセス - コマンドとコントロール 技術: - T0883: インターネットにアクセス可能なデバイス - T0884: 接続プロキシ |
学習できない |
| 無効な SMB メッセージ (DoublePulsar バックドア インプラント) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | 高 | マルウェアの疑い |
戦術: - 初期アクセス - LateralMovement 技術: - T0866: リモート サービスの悪用 |
学習できない |
| 悪意のあるドメイン名要求 | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 OT ネットワーク センサーによってトリガーされます。 |
高 | 悪意のあるアクティビティの疑い |
戦術: - 初期アクセス - コマンドとコントロール 技術: - T0883: インターネットにアクセス可能なデバイス - T0884: 接続プロキシ |
Learnable |
| 悪意のある URL パス | 既知の悪意のある URL パスに対して要求が行われました。 この URL パスに対して行われた要求は、要求を行うソースが侵害されていることを示している可能性があります。 | 高 | 悪意のあるアクティビティの疑い |
戦術: - 初期アクセス - コマンドとコントロール 技術: - T0883: インターネットにアクセス可能なデバイス - T0884: 接続プロキシ |
学習できない |
| マルウェア テスト ファイルが検出されました - EICAR AV の成功 | EICAR AV テスト ファイルは、2 つのデバイス間のトラフィック (任意のトランスポート ( TCP または UDP) を介して) で検出されました。 ファイルはマルウェアではありません。 ウイルス対策ソフトウェアが正しくインストールされていることを確認するために使用されます。 ウイルスが見つかったときに何が起こるかを示し、ウイルスが見つかったときに内部の手順と反応をチェックします。 ウイルス対策ソフトウェアは、EICAR を実際のウイルスであるかのように検出する必要があります。 | 高 | 悪意のあるアクティビティの疑い |
戦術: -発見 技術: - T0842: ネットワーク スニッフィング |
学習できない |
| Conficker マルウェアの疑い | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | 中 | マルウェアの疑い |
戦術: - 初期アクセス -影響 技術: - T0826: 可用性の損失 - T0828: 生産性と収益の損失 - T0847: リムーバブル メディアを使用したレプリケーション |
学習できない |
| サービス拒否攻撃の疑い | ソース デバイスが、宛先デバイスへの新しい接続の数を過剰に開始しようとしました。 これは、宛先デバイスに対するサービス拒否 (DOS) 攻撃を示し、デバイスの機能を中断したり、パフォーマンスとサービスの可用性に影響を与えたり、回復不可能なエラーを引き起こしたりする可能性があります。 しきい値: 1 分で 3,000 回試行 |
高 | 悪意のあるアクティビティの疑い |
戦術: - 応答を禁止する関数 技術: - T0814: サービス拒否 |
Learnable |
| 悪意のあるアクティビティの疑い | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知の "侵害のインジケーター" (IOC) をトリガーした攻撃に関連付けられている可能性があります。 アラート メタデータは、セキュリティ チームによって確認する必要があります。 | 高 | 悪意のあるアクティビティの疑い |
戦術: - 横移動 技術: - T0867: 横ツール転送 |
学習できない |
| 悪意のあるアクティビティの疑い (BlackEnergy) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | 高 | マルウェアの疑い |
戦術: - コマンドとコントロール 技術: - T0869: Standard アプリケーション層プロトコル |
学習できない |
| 悪意のあるアクティビティの疑い (DarkComet) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | 高 | マルウェアの疑い |
戦術: -影響 技術: - T0882: 運用情報の盗難 |
学習できない |
| 悪意のあるアクティビティの疑い (Duqu) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | 高 | マルウェアの疑い |
戦術: -影響 技術: - T0882: 運用情報の盗難 |
学習できない |
| 悪意のあるアクティビティの疑い (炎) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | 高 | マルウェアの疑い |
戦術: -コレクション -影響 技術: - T0882: 運用情報の盗難 - T0811: 情報リポジトリからのデータ |
学習できない |
| 悪意のあるアクティビティの疑い (Havex) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | 高 | マルウェアの疑い |
戦術: -コレクション -発見 - 応答を禁止する関数 技術: - T0861: ポイント & タグ識別 - T0846: リモート システム検出 - T0814: サービス拒否 |
学習できない |
| 悪意のある行為の疑い (カラガニー) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | 高 | マルウェアの疑い |
戦術: -影響 技術: - T0882: 運用情報の盗難 |
学習できない |
| 悪意のあるアクティビティの疑い (LightsOut) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | 高 | マルウェアの疑い |
戦術: -回避 技術: - T0849: マスカレード |
学習できない |
| 悪意のあるアクティビティの疑い (名前クエリ) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 しきい値: 1 分で 25 個の名前クエリ |
高 | 悪意のあるアクティビティの疑い |
戦術: - コマンドとコントロール 技術: - T0884: 接続プロキシ |
学習できない |
| 悪意のある行為の疑い(毒アイビー) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | 高 | マルウェアの疑い |
戦術: - 初期アクセス - 横移動 技術: - T0866: リモート サービスの悪用 |
学習できない |
| 悪意のあるアクティビティの疑い (Regin) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | 高 | マルウェアの疑い |
戦術: - 初期アクセス - 横移動 -影響 技術: - T0866: リモート サービスの悪用 - T0882: 運用情報の盗難 |
学習できない |
| 悪意のあるアクティビティの疑い (Stuxnet) | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | 高 | マルウェアの疑い |
戦術: - 初期アクセス - 横移動 -影響 技術: - T0818: エンジニアリング ワークステーションの侵害 - T0866: リモート サービスの悪用 - T0831: コントロールの操作 |
学習できない |
| 悪意のあるアクティビティの疑い (WannaCry) * | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | 中 | マルウェアの疑い |
戦術: - 初期アクセス - 横移動 技術: - T0866: リモート サービスの悪用 - T0867: 横ツール転送 |
学習できない |
| NotPetya マルウェアの疑い - 無効な SMB パラメーターが検出されました | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | 高 | マルウェアの疑い |
戦術: - 初期アクセス - 横移動 技術: - T0866: リモート サービスの悪用 |
学習できない |
| NotPetya マルウェアの疑い - 不正な SMB トランザクションが検出されました | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | 高 | マルウェアの疑い |
戦術: - 横移動 技術: - T0867: 横ツール転送 |
学習できない |
| PsExec を使用したリモート コード実行の疑い | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | 高 | 悪意のあるアクティビティの疑い |
戦術: - 横移動 - 初期アクセス 技術: - T0866: リモート サービスの悪用 |
学習できない |
| リモート Windows サービス管理の疑い * | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | 高 | 悪意のあるアクティビティの疑い |
戦術: - 初期アクセス 技術: - T0822: NetworkExternal Remote Services |
学習できない |
| エンドポイントで検出された疑わしい実行可能ファイル | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 | 高 | 悪意のあるアクティビティの疑い |
戦術: -回避 - 応答を禁止する関数 技術: - T0851: ルートキット |
Learnable |
| 疑わしいトラフィックが検出されました * | 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知の "侵害のインジケーター" (IOC) をトリガーした攻撃に関連付けられている可能性があります。 アラート メタデータは、セキュリティ チームによって確認する必要があります | 高 | 悪意のあるアクティビティの疑い |
戦術: -発見 技術: - T0842: ネットワーク スニッフィング |
学習できない |
| ウイルス対策署名を使用したバックアップ アクティビティ | 送信元デバイスと宛先バックアップ サーバーの間で検出されたトラフィックによって、このアラートがトリガーされました。 トラフィックには、マルウェアの署名が含まれている可能性があるウイルス対策ソフトウェアのバックアップが含まれます。 これは正当なバックアップ アクティビティである可能性が最も高いです。 | 低 | バックアップ |
戦術: -影響 技術: - T0882: 運用情報の盗難 |
学習できない |
運用エンジンアラート
運用エンジン アラートは、検出された運用インシデント、またはエンティティの誤動作について説明します。
| Title | 説明 | 重要度 | カテゴリ | MITRE ATT&CK 戦術と手法 |
Learnable |
|---|---|---|---|---|---|
| S7 Stop PLC コマンドが送信されました | ソース デバイスは、stop コマンドを宛先コントローラーに送信しました。 コントローラーは、start コマンドが送信されるまで動作を停止します。 | 低 | 再起動/停止コマンド |
戦術: - 横移動 - 防御回避 -実行 - 応答を禁止する関数 技術: - T0843: プログラムのダウンロード - T0858: 動作モードを変更する - T0814: サービス拒否 |
学習できない |
| BACNet 操作に失敗しました | サーバーからエラー コードが返されました。 このアラートは、サーバー エラーまたはクライアントによる無効な要求を示します。 | 中 | コマンド エラー |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ |
学習できない |
| MMS デバイスの状態が正しくありません | MMS Virtual Manufacturing Device (VMD) がステータス メッセージを送信しました。 メッセージは、サーバーが正しく構成されていないか、部分的に動作していないか、まったく動作しない可能性があることを示します。 | 中 | 運用上の問題 |
戦術: - 応答を禁止する関数 技術: - T0814: サービス拒否 |
学習できない |
| デバイス構成の変更 * | ソース デバイスで構成の変更が検出されました。 | 低 | 構成の変更 |
戦術: - プロセス制御を損なう 技術: - T0836: パラメーターの変更 |
学習できない |
| アウトステーションでの連続イベント バッファー オーバーフロー * | ソース デバイスでバッファー オーバーフロー イベントが検出されました。 このイベントにより、データの破損、プログラムのクラッシュ、または悪意のあるコードの実行が発生する可能性があります。 しきい値: 10 分で 3 回 |
中 | バッファオーバーフロー |
戦術: - 応答を禁止する関数 - プロセス制御を損なう -永続 化 技術: - T0814: サービス拒否 - T0806: ブルート フォース I/O - T0839: モジュール ファームウェア |
学習できない |
| コントローラーのリセット | ソース デバイスがリセット コマンドを宛先コントローラーに送信しました。 コントローラーは一時的に動作を停止し、再び自動的に起動しました。 | 低 | 再起動/停止コマンド |
戦術: - 防御回避 -実行 - 応答を禁止する関数 技術: - T0858: 動作モードを変更する - T0814: サービス拒否 |
学習できない |
| コントローラーの停止 | ソース デバイスは、stop コマンドを宛先コントローラーに送信しました。 コントローラーは、start コマンドが送信されるまで動作を停止します。 | 低 | 再起動/停止コマンド |
戦術: - 横移動 - 防御回避 -実行 - 応答を禁止する関数 技術: - T0843: プログラムのダウンロード - T0858: 動作モードを変更する - T0814: サービス拒否 |
学習できない |
| デバイスが動的 IP アドレスを受信できませんでした | ソース デバイスは、DHCP サーバーから動的 IP アドレスを受信するように構成されていますが、アドレスを受信しませんでした。 これは、デバイスの構成エラー、または DHCP サーバーの運用エラーを示します。 ネットワーク管理者にインシデントを通知することをお勧めします | 中 | コマンド エラー |
戦術: -発見 技術: - T0842: ネットワーク スニッフィング |
学習できない |
| デバイスが切断されている可能性がある (応答なし) | ソース デバイスが送信されたコマンドに応答しませんでした。 コマンドが送信されたときに切断された可能性があります。 しきい値: 5 分で 8 回の試行 |
中 | 応答 |
戦術: - 応答を禁止する関数 技術: - T0881: サービス停止 |
学習できない |
| EtherNet/IP CIP サービス要求が失敗しました | サーバーからエラー コードが返されました。 これは、サーバー エラーまたはクライアントによる無効な要求を示します。 | 中 | コマンド エラー |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ |
学習できない |
| EtherNet/IP カプセル化プロトコル コマンドが失敗しました | サーバーからエラー コードが返されました。 これは、サーバー エラーまたはクライアントによる無効な要求を示します。 | 中 | コマンド エラー |
戦術: -コレクション 技術: - T0801: プロセスの状態を監視する |
学習できない |
| Outstation でのイベント バッファー オーバーフロー | ソース デバイスでバッファー オーバーフロー イベントが検出されました。 このイベントにより、データの破損、プログラムのクラッシュ、または悪意のあるコードの実行が発生する可能性があります。 | 中 | バッファオーバーフロー |
戦術: - 応答を禁止する関数 - プロセス制御を損なう -永続 化 技術: - T0814: サービス拒否 - T0839: モジュール ファームウェア |
学習できない |
| 予想されるバックアップ操作が発生しませんでした | バックアップ/ファイル転送アクティビティが 2 つのデバイス間で発生しませんでした。 このアラートは、バックアップ/ファイル転送プロセスのエラーを示している可能性があります。 しきい値: 100 秒 |
中 | バックアップ |
戦術: - 応答を禁止する関数 技術: - T0809: データの破棄 |
Learnable |
| GE SRTP コマンド エラー | サーバーからエラー コードが返されました。 このアラートは、サーバー エラーまたはクライアントによる無効な要求を示します。 | 中 | コマンド エラー |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ |
学習できない |
| GE SRTP Stop PLC コマンドが送信されました | ソース デバイスは、stop コマンドを宛先コントローラーに送信しました。 コントローラーは、start コマンドが送信されるまで動作を停止します。 | 低 | 再起動/停止コマンド |
戦術: - 横移動 - 防御回避 -実行 - 応答を禁止する関数 技術: - T0843: プログラムのダウンロード - T0858: 動作モードを変更する - T0814: サービス拒否 |
学習できない |
| システム制御ブロックに追加の構成が必要 | ソース デバイスから、デバイスに試運転が必要であることを示すメッセージが送信されました。 つまり、OWL 制御ブロックには追加の構成が必要であり、また、完全または部分的に非操作のメッセージです。 | 中 | 構成の変更 |
戦術: - プロセス制御を損なう - 応答を禁止する関数 技術: - T0803: コマンド メッセージをブロックする - T0821: コントローラー のタスクを変更する |
学習できない |
| OWL データセットの構成が変更されました * | (プロトコル ID で識別される) メッセージ データセットがソース デバイスで変更されました。 つまり、デバイスは、このメッセージに対して別のデータセットを報告します。 | 低 | 構成の変更 |
戦術: - プロセス制御を損なう 技術: - T0836: パラメーターの変更 |
学習できない |
| Honeywell コントローラーの予期しない状態 | Honeywell コントローラーから、状態の変更を示す予期しない診断メッセージが送信されました。 | 低 | 運用上の問題 |
戦術: -回避 -実行 技術: - T0858: 動作モードを変更する |
学習できない |
| HTTP クライアント エラー * | ソース デバイスが無効な要求を開始しました。 | 低 | HTTP 通信の異常な動作 |
戦術: - コマンドとコントロール 技術: - T0869: Standard アプリケーション層プロトコル |
学習できない |
| IP アドレスが正しくありません | システムは、ソース デバイスと無効なアドレスである IP アドレスの間のトラフィックを検出しました。 これは、構成が間違っているか、不正なトラフィックを生成しようとする可能性があります。 | 低 | 異常な通信動作 |
戦術: -発見 - プロセス制御を損なう 技術: - T0842: ネットワーク スニッフィング - T0836: パラメーターの変更 |
学習できない |
| マスター スレーブ認証エラー | DNP3 ソース デバイス (プライマリ) と宛先デバイス (アウトステーション) の間の認証プロセスに失敗しました。 | 低 | 認証 |
戦術: - 横移動 -永続 化 技術: - T0859: 有効なアカウント |
学習できない |
| MMS サービス要求が失敗しました | サーバーからエラー コードが返されました。 これは、サーバー エラーまたはクライアントによる無効な要求を示します。 | 中 | コマンド エラー |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ |
学習できない |
| センサー インターフェイスでトラフィックが検出されない | センサーがネットワーク インターフェイス上のネットワーク トラフィックの検出を停止しました。 | 高 | センサー トラフィック |
戦術: - 応答を禁止する関数 技術: - T0881: サービス停止 |
学習できない |
| OPC UA サーバーでユーザーの注意が必要なイベントが発生しました | OPC UA サーバーがクライアントにイベント通知を送信しました。 この種類のイベントでは、ユーザーの注意が必要です | 中 | 運用上の問題 |
戦術: - 応答を禁止する関数 技術: - T0838: アラーム設定を変更する |
学習できない |
| OPC UA サービス要求が失敗しました | サーバーからエラー コードが返されました。 これは、サーバー エラーまたはクライアントによる無効な要求を示します。 | 中 | コマンド エラー |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ |
学習できない |
| Outstation Restarted | ソース デバイスでコールド 再起動が検出されました。 これは、デバイスが物理的にオフになっていて、もう一度オンに戻されたことを意味します。 | 低 | 再起動/停止コマンド |
戦術: - 応答を禁止する関数 技術: - T0816: デバイスの再起動/シャットダウン |
学習できない |
| アウトステーションの再起動が頻繁に行われる | ソース デバイスで過剰な数のコールド 再起動が検出されました。 これは、デバイスが物理的にオフになっていて、何度も再びオンに戻されたことを意味します。 しきい値: 10 分で 2 再起動 |
低 | 再起動/停止コマンド |
戦術: - 応答を禁止する関数 技術: - T0814: サービス拒否 - T0816: デバイスの再起動/シャットダウン |
学習できない |
| アウトステーションの構成の変更 | ソース デバイスで構成の変更が検出されました。 | 中 | 構成の変更 |
戦術: - 応答を禁止する関数 -永続 化 技術: - T0857: システム ファームウェア |
学習できない |
| アウトステーションの破損した構成が検出されました | この DNP3 ソース デバイス (outstation) によって、構成が破損していることが報告されました。 | 中 | 構成の変更 |
戦術: - 応答を禁止する関数 技術: - T0809: データの破棄 |
学習できない |
| Profinet DCP コマンドが失敗しました | サーバーからエラー コードが返されました。 これは、サーバー エラーまたはクライアントによる無効な要求を示します。 | 中 | コマンド エラー |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ |
学習できない |
| Profinet Device Factory Reset | ソース デバイスから Profinet 宛先デバイスにファクトリ リセット コマンドが送信されました。 reset コマンドは、Profinet デバイス構成をクリアし、その操作を停止します。 | 低 | 再起動/停止コマンド |
戦術: - 防御回避 -実行 - 応答を禁止する関数 技術: - T0858: 動作モードを変更する - T0814: サービス拒否 |
学習できない |
| RPC 操作に失敗しました * | サーバーからエラー コードが返されました。 このアラートは、サーバー エラーまたはクライアントによる無効な要求を示します。 | 中 | コマンド エラー |
戦術: - プロセス制御を損なう 技術: - T0855: 未承認のコマンド メッセージ |
学習できない |
| サンプリングされた値メッセージ データセットの構成が変更されました * | (プロトコル ID で識別される) メッセージ データセットがソース デバイスで変更されました。 つまり、デバイスは、このメッセージに対して別のデータセットを報告します。 | 低 | 構成の変更 |
戦術: - プロセス制御を損なう 技術: - T0836: パラメーターの変更 |
学習できない |
| スレーブ デバイスの回復不能なエラー * | ソース デバイスで回復不可能な条件エラーが検出されました。 この種のエラーは、通常、ハードウェアの障害または特定のコマンドの実行に失敗したことを示します。 | 中 | コマンド エラー |
戦術: - 応答を禁止する関数 技術: - T0814: サービス拒否 |
学習できない |
| アウトステーションにおけるハードウェア問題の疑い | ソース デバイスで回復不可能な条件エラーが検出されました。 この種のエラーは、通常、ハードウェアの障害または特定のコマンドの実行に失敗したことを示します。 | 中 | 運用上の問題 |
戦術: - 応答を禁止する関数 技術: - T0814: サービス拒否 - T0881: サービス停止 |
学習できない |
| 応答しない MODBUS デバイスの疑い | ソース デバイスが送信されたコマンドに応答しませんでした。 コマンドが送信されたときに切断された可能性があります。 しきい値: 5 分以内に少なくとも 3 つの要求に対して有効な応答が 1 つ以上 |
低 | 応答 |
戦術: - 応答を禁止する関数 技術: - T0881: サービス停止 |
学習できない |
| センサー インターフェイスで検出されたトラフィック | センサーは、ネットワーク インターフェイス上のネットワーク トラフィックの検出を再開しました。 | 低 | センサー トラフィック |
戦術: -発見 技術: - T0842: ネットワーク スニッフィング |
学習できない |
| PLC 動作モードの変更 | この PLC の動作モードが変更されました。 新しいモードは、PLC がセキュリティで保護されていないことを示している可能性があります。 PLC を安全でない動作モードのままにしておくと、敵対者がプログラムのダウンロードなど、悪意のあるアクティビティを実行できる可能性があります。 PLC が侵害された場合、PLC と対話するデバイスとプロセスが影響を受ける可能性があります。 これは、システムの全体的なセキュリティと安全性に影響する可能性があります。 | 低 | 構成の変更 |
戦術: -実行 -回避 技術: - T0858: 動作モードを変更する |
学習できない |
次の手順
詳細については、以下を参照してください。