Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo fornece uma referência dos alertas gerados pelo Microsoft Defender para sensores de rede IoT, incluindo uma lista de todos os tipos e descrições de alertas. A referência também mostra quais os alertas que podem ser triagidos como apreciáveis ou não. Para obter mais informações sobre o estado de aprendizagem, veja Estados de alerta e opções de triagem. Pode utilizar esta referência para mapear alertas para manuais de procedimentos, definir regras de reencaminhamento num sensor de rede de Tecnologia Operacional (OT) ou outra atividade personalizada.
Alertas OT desativados por predefinição
Vários alertas são desativados por predefinição, conforme indicado pelos asteriscos (*) nas tabelas abaixo. O sensor OT Administração os utilizadores podem ativar ou desativar alertas a partir da página Suporte num sensor de rede OT específico.
Se desativar os alertas referenciados noutros locais, como regras de reencaminhamento de alertas, certifique-se de que atualiza essas referências conforme necessário.
Gravidades do alerta
Os alertas do Defender para IoT utilizam os seguintes níveis de gravidade:
| portal do Azure | Sensor OT | Descrição |
|---|---|---|
| High | Crítica | Indica um ataque malicioso que deve ser processado imediatamente. |
| Média | Principal | Indica uma ameaça de segurança que é importante de resolver. |
| Baixo | Menor, Aviso | Indica algum desvio do comportamento da linha de base que pode conter uma ameaça de segurança ou não contém ameaças de segurança. |
As gravidades dos alertas nesta página listam a gravidade, conforme mostrado no portal do Azure.
Tipos de alerta suportados
| Tipo de alerta | Descrição |
|---|---|
| Alertas de violação de política | Acionado quando o motor de Violação de Política deteta um desvio do tráfego aprendido anteriormente. Por exemplo: - É detetado um novo dispositivo. - É detetada uma nova configuração num dispositivo. - Um dispositivo não definido como um dispositivo de programação realiza uma alteração de programação. - Uma versão de firmware alterada. |
| Alertas de violação de protocolo | Acionado quando o motor de Violação de Protocolo deteta estruturas de pacotes ou valores de campo que não estão em conformidade com a especificação do protocolo. |
| Alertas operacionais | Acionado quando o motor Operacional deteta incidentes operacionais de rede ou um mau funcionamento do dispositivo. Por exemplo, um dispositivo de rede foi parado através de um comando Parar PLC ou uma interface num sensor deixou de monitorizar o tráfego. |
| Alertas de software maligno | Acionado quando o motor de Software Maligno deteta atividade de rede maliciosa. Por exemplo, o motor deteta um ataque conhecido, como o Conficker. |
| Alertas de anomalias | Acionado quando o motor de Anomalias deteta um desvio. Por exemplo, um dispositivo está a efetuar análises de rede, mas não é definido como um dispositivo de análise. |
A política de deteção de alertas do Defender para IoT orienta os diferentes motores de alerta para acionar alertas com base no impacto empresarial e no contexto de rede e reduzir alertas relacionados com TI de baixo valor. Para obter mais informações, veja Alertas focados em ambientes OT/TI.
Categorias de alertas suportadas
Cada alerta tem uma das seguintes categorias:
- Comportamento Anormal da Comunicação
- Comportamento Anormal de Comunicação HTTP
- Autenticação
- Cópia de segurança
- Anomalias de Largura de Banda
- Capacidade excedida da memória intermé
- Falhas de Comandos
- Alterações de configuração
- Alertas Personalizados
- Deteção
- Alteração de firmware
- Comandos ilegais
- Acesso à Internet
- Falhas de Operação
- Problemas operacionais
- Programação
- Acesso remoto
- Reiniciar/Parar Comandos
- Analisar
- Tráfego do sensor
- Suspeita de atividade maliciosa
- Suspeita de Software Maligno
- Comportamento de Comunicação Não Autorizado
- Sem resposta
Alertas do motor de política
Os alertas do motor de política descrevem os desvios detetados do comportamento de linha de base aprendido.
A tabela de alertas do motor de política contém o item Agregado para indicar que vários alertas deste tipo podem ser agrupados e listados apenas uma vez na página Alertas para reduzir a fadiga dos alertas. Para obter mais informações, veja Alertas agregados.
| Cargo | Descrição | Gravidade | Categoria | MITRE ATT&CK Táticas e técnicas |
Passível de aprendizagem | Violações agregadas |
|---|---|---|---|---|---|---|
| Software Beckhoff Alterado | O firmware foi atualizado num dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeada. | Média | Alteração de Firmware |
Táticas: - Inibir a Função de Resposta - Persistência Técnicas: - T0857: Firmware do Sistema |
Passível de aprendizagem | Não |
| Falha no Início de Sessão da Base de Dados | Foi detetada uma tentativa de início de sessão falhada de um dispositivo de origem para um servidor de destino. Isto pode ser o resultado de um erro humano, mas também pode indicar uma tentativa maliciosa de comprometer o servidor ou os dados no mesmo. Limiar: 2 falhas de início de sessão em 5 minutos |
Média | Autenticação |
Táticas: - Movimento Lateral - Coleção Técnicas: - T0812: Credenciais Predefinidas - T0811: Dados de Repositórios de Informações |
Não aprendeu | Não |
| Versão do Firmware Emerson ROC Alterada | O firmware foi atualizado num dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeada. | Média | Alteração de Firmware |
Táticas: - Inibir a Função de Resposta - Persistência Técnicas: - T0857: Firmware do Sistema |
Passível de aprendizagem | Sim |
| Endereço externo na rede comunicado com a Internet | Um dispositivo de Internet comunicado com outro dispositivo da Internet dentro da rede. | High | Acesso à Internet |
Táticas: - Acesso Inicial Técnicas: - T0883: Dispositivo Acessível pela Internet |
Passível de aprendizagem | Não |
| Dispositivo de Campo Detetado Inesperadamente | Foi detetado um novo dispositivo de origem na rede, mas não está autorizado. | Média | Deteção |
Táticas: - Deteção Técnicas: - T0842: Farejador de Rede |
Não aprendeu | Não |
| Alteração de Firmware Detetada | O firmware foi atualizado num dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeada. | Média | Alteração de Firmware |
Táticas: - Inibir a Função de Resposta - Persistência Técnicas: - T0857: Firmware do Sistema |
Não aprendeu | Não |
| Versão de Firmware Alterada | O firmware foi atualizado num dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeada. | Média | Alteração de Firmware |
Táticas: - Inibir a Função de Resposta - Persistência Técnicas: - T0857: Firmware do Sistema |
Passível de aprendizagem | Sim |
| Operação Não Autorizada foxboro I/A | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0836: Modificar Parâmetro |
Passível de aprendizagem | Sim |
| Falha no Início de Sessão de FTP | Foi detetada uma tentativa de início de sessão falhada de um dispositivo de origem para um servidor de destino. Este alerta pode ser o resultado de um erro humano, mas também pode indicar uma tentativa maliciosa de comprometer o servidor ou os dados no mesmo. | Média | Autenticação |
Táticas: - Movimento Lateral - Comando e controlo Técnicas: - T0812: Credenciais Predefinidas - T0869: Protocolo Standard de Camada de Aplicação |
Não aprendeu | Não |
| Exceção Não Autorizada gerada pelo Código de Função * | Um dispositivo de origem (secundário) devolveu uma exceção a um dispositivo de destino (primário). | Média | Falhas de Comandos |
Táticas: - Inibir a Função de Resposta Técnicas: - T0835: Manipular a Imagem de E/S |
Passível de aprendizagem | Sim |
| Definições do Tipo de Mensagem GOOSE | As definições da mensagem (identificadas pelo ID do protocolo) foram alteradas num dispositivo de origem. | Baixo | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0836: Modificar Parâmetro |
Passível de aprendizagem | Sim |
| Versão do Firmware Honeywell Alterada | O firmware foi atualizado num dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeada. | Média | Alteração de Firmware |
Táticas: - Inibir a Função de Resposta - Persistência Técnicas: - T0857: Firmware do Sistema |
Passível de aprendizagem | Não |
| Comunicação HTTP Ilegal * | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento Anormal de Comunicação HTTP |
Táticas: - Deteção Técnicas: - T0846: Deteção Remota do Sistema |
Passível de aprendizagem | Não |
| Acesso à Internet Detetado | Um dispositivo interno efetuou uma tentativa inesperada de efetuar uma ligação à Internet de saída. | Média | Acesso à Internet |
Táticas: - Acesso Inicial Técnicas: - T0883: Dispositivo Acessível pela Internet |
Passível de aprendizagem | Não |
| Versão do Firmware mitsubishi alterada | O firmware foi atualizado num dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeada. | Média | Alteração de Firmware |
Táticas: - Inibir a Função de Resposta - Persistência Técnicas: - T0857: Firmware do Sistema |
Passível de aprendizagem | Não |
| Violação do Intervalo de Endereços modbus | Um dispositivo primário pediu acesso a um novo endereço de memória secundária. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Deteção Técnicas: - T0842: Farejador de Rede |
Passível de aprendizagem | Sim |
| Versão de Firmware do Modbus Alterada | O firmware foi atualizado num dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeada. | Média | Alteração de Firmware |
Táticas: - Inibir a Função de Resposta - Persistência Técnicas: - T0857: Firmware do Sistema |
Passível de aprendizagem | Não |
| Nova Atividade Detetada - Classe CIP | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Deteção Técnicas: - T0888: Deteção remota de informações do sistema |
Passível de aprendizagem | Sim |
| Nova Atividade Detetada - Serviço de Classe CIP | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Inibir a Função de Resposta Técnicas: - T0836: Modificar Parâmetro |
Passível de aprendizagem | Sim |
| Nova Atividade Detetada - Comando CIP PCCC | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Inibir a Função de Resposta Técnicas: - T0836: Modificar Parâmetro |
Passível de aprendizagem | Sim |
| Nova Atividade Detetada - Símbolo CIP | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos - Inibir a Função de Resposta Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0836: Modificar Parâmetro |
Passível de aprendizagem | Sim |
| Nova Atividade Detetada – Ligação EtherNet/IP de E/S | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Deteção - Inibir a Função de Resposta Técnicas: - T0846: Deteção Remota do Sistema - T0835: Manipular a Imagem de E/S |
Passível de aprendizagem | Sim |
| Nova Atividade Detetada - Comando de Protocolo EtherNet/IP | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Inibir a Função de Resposta Técnicas: - T0836: Modificar Parâmetro |
Passível de aprendizagem | Sim |
| Nova Atividade Detetada - Código de Mensagem GSM | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - CommandAndControl Técnicas: - T0869: Protocolo Standard de Camada de Aplicação |
Passível de aprendizagem | Sim |
| Nova Atividade Detetada - Códigos de Comando LonTalk | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Coleção - Prejudicar o Controlo de Processos Técnicas: - T0861 - Identificação de Etiquetas de Ponto & - T0855: Mensagem de Comando Não Autorizada |
Passível de aprendizagem | Sim |
| Nova Atividade Detetada - Variável de Rede LonTalk | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada |
Passível de aprendizagem | Sim |
| Nova Atividade Detetada – Pedido de Dados de Ovação | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Coleção - Deteção Técnicas: - T0801: Monitorizar o Estado do Processo - T0888: Deteção remota de informações do sistema |
Passível de aprendizagem | Sim |
| Nova Atividade Detetada – Comando de Leitura/Escrita (Grupo de Índices do AMS) | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Alterações de Configuração |
Táticas: - Prejudicar o Controlo de Processos - Inibir a Função de Resposta Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0836: Modificar Parâmetro |
Passível de aprendizagem | Sim |
| Nova Atividade Detetada – Comando de Leitura/Escrita (Desvio do Índice AMS) | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Alterações de Configuração |
Táticas: - Prejudicar o Controlo de Processos - Inibir a Função de Resposta Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0836: Modificar Parâmetro |
Passível de aprendizagem | Sim |
| Nova Atividade Detetada – Tipo de Mensagem DeltaV Não Autorizado | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos - Execução Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0821: Modificar Tarefas do Controlador |
Passível de aprendizagem | Sim |
| Nova Atividade Detetada – Operação ROC DeltaV Não Autorizada | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos - Execução Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0821: Modificar Tarefas do Controlador |
Passível de aprendizagem | Sim |
| Nova Atividade Detetada – Tipo de Mensagem RPC Não Autorizado | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada |
Passível de aprendizagem | Sim |
| Nova Atividade Detetada – Utilizar o Comando do Protocolo AMS | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos - Inibir a Função de Resposta - Execução Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0836: Modificar Parâmetro - T0821: Modificar Tarefas do Controlador |
Passível de aprendizagem | Sim |
| Nova Atividade Detetada – Utilizar o Comando SICAM da Siemens | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos - Inibir a Função de Resposta Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0836: Modificar Parâmetro |
Passível de aprendizagem | Sim |
| Nova Atividade Detetada – Utilizar o comando Do Protocolo Suitelink | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos - Inibir a Função de Resposta Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0836: Modificar Parâmetro |
Passível de aprendizagem | Sim |
| Nova Atividade Detetada – Utilizar sessões do Protocolo Suitelink | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0836: Modificar Parâmetro |
Passível de aprendizagem | Sim |
| Nova Atividade Detetada – Utilizar o Comando Yokogawa VNetIP | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos - Execução Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0821: Modificar Tarefas do Controlador |
Passível de aprendizagem | Sim |
| Novo Recurso Detetado | Foi detetado um novo dispositivo de origem na rede, mas não está autorizado. Este alerta aplica-se a dispositivos detetados em sub-redes OT. Os novos dispositivos detetados em sub-redes de TI não acionam um alerta. |
Média | Deteção |
Táticas: - Deteção Técnicas: - T0842: Farejador de Rede |
Passível de aprendizagem | Não |
| Nova Configuração do Dispositivo LLDP | Foi detetado um novo dispositivo de origem na rede, mas não está autorizado. | Média | Alterações de Configuração |
Táticas: - Deteção Técnicas: - T0842: Farejador de Rede |
Passível de aprendizagem | Não |
| Comando Não Autorizado Omron FINS | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0836: Modificar Parâmetro |
Passível de aprendizagem | Sim |
| S7 Plus PLC Firmware Alterado | O firmware foi atualizado num dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeada. | Média | Alteração de Firmware |
Táticas: - Inibir a Função de Resposta - Persistência Técnicas: - T0857: Firmware do Sistema |
Passível de aprendizagem | Não |
| Definições de Tipo de Mensagem de Valores Amostrados | As definições da mensagem (identificadas pelo ID do protocolo) foram alteradas num dispositivo de origem. | Baixo | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0836: Modificar Parâmetro |
Não aprendeu | Sim |
| Suspeita de Análise de Integridade Ilegal * | Foi detetada uma análise num dispositivo de origem DNP3 (estação de saída). Esta análise não foi autorizada como tráfego aprendido na sua rede. | Média | Analisar |
Táticas: - Deteção Técnicas: - T0842: Farejador de Rede |
Passível de aprendizagem | Não |
| Toshiba Computer Link Unauthorized Command | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Baixo | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos - Execução Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0821: Modificar Tarefas do Controlador |
Passível de aprendizagem | Sim |
| Operação de Ficheiro de Fluxo Total de ABB não autorizada | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos - Execução Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0821: Modificar Tarefas do Controlador |
Não aprendeu | Sim |
| Operação de Registo de Fluxo Total do ABB não autorizada | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos - Execução Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0821: Modificar Tarefas do Controlador |
Não aprendeu | Sim |
| Acesso Não Autorizado ao Bloco de Dados Siemens S7 | Um dispositivo de origem tentou aceder a um recurso noutro dispositivo. Uma tentativa de acesso a este recurso entre estes dois dispositivos não está autorizada como tráfego aprendido na sua rede. | Baixo | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos - Acesso Inicial Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0811: Dados de Repositórios de Informações |
Passível de aprendizagem | Sim |
| Acesso Não Autorizado ao Objeto Siemens S7 Plus | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos - Execução - Inibir a Função de Resposta Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0821: Modificar Tarefas do Controlador - T0809: Destruição de Dados |
Passível de aprendizagem | Sim |
| Acesso Não Autorizado à Etiqueta Wonderware | Um dispositivo de origem tentou aceder a um recurso noutro dispositivo. Uma tentativa de acesso a este recurso entre estes dois dispositivos não está autorizada como tráfego aprendido na sua rede. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Coleção - Prejudicar o Controlo de Processos Técnicas: - T0861: Identificação de Etiquetas de Ponto & - T0855: Mensagem de Comando Não Autorizada |
Passível de aprendizagem | Sim |
| Acesso a Objetos BACNet não autorizados | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos - Execução Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0821: Modificar Tarefas do Controlador |
Passível de aprendizagem | Sim |
| Rota BACNet não autorizada | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos - Execução Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0821: Modificar Tarefas do Controlador |
Passível de aprendizagem | Sim |
| Início de Sessão de Base de Dados Não Autorizado * | Foi detetada uma tentativa de início de sessão entre um cliente de origem e um servidor de destino. A comunicação entre estes dispositivos não é autorizada como tráfego aprendido na sua rede. | Média | Autenticação |
Táticas: - Movimento Lateral - Persistência - Coleção Técnicas: - T0859: Contas Válidas - T0811: Dados de Repositórios de Informações |
Passível de aprendizagem | Não |
| Operação de Base de Dados Não Autorizada | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento Anormal da Comunicação |
Táticas: - Prejudicar o Controlo de Processos - Acesso Inicial Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0811: Dados de Repositórios de Informações |
Passível de aprendizagem | Sim |
| Operação Emerson ROC não autorizada | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos - Execução Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0821: Modificar Tarefas do Controlador |
Passível de aprendizagem | Sim |
| Acesso a Ficheiros SRTP ge não autorizado | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Coleção - LateralMovement - Persistência Técnicas: - T0801: Monitorizar o Estado do Processo - T0859: Contas Válidas |
Passível de aprendizagem | Sim |
| Comando de Protocolo SRTP GE não autorizado | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0821: Modificar Tarefas do Controlador |
Passível de aprendizagem | Sim |
| Operação de Memória do Sistema GE SRTP não autorizada | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Deteção - Prejudicar o Controlo de Processos Técnicas: - T0846: Deteção Remota do Sistema - T0855: Mensagem de Comando Não Autorizada |
Passível de aprendizagem | Sim |
| Atividade HTTP não autorizada | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento Anormal de Comunicação HTTP |
Táticas: - Acesso Inicial - Comando e controlo Técnicas: - T0822: Serviços Remotos Externos - T0869: Protocolo Standard de Camada de Aplicação |
Passível de aprendizagem | Não |
| Ação SOAP DE HTTP não autorizada * | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento Anormal de Comunicação HTTP |
Táticas: - Comando e controlo - Execução Técnicas: - T0869: Protocolo Standard de Camada de Aplicação - T0871: Execução através da API |
Passível de aprendizagem | Não |
| Agente de Utilizador HTTP não autorizado * | Foi detetada uma aplicação não autorizada num dispositivo de origem. A aplicação não está autorizada como uma aplicação aprendida na sua rede. | Média | Comportamento Anormal de Comunicação HTTP |
Táticas: - Comando e controlo Técnicas: - T0869: Protocolo Standard de Camada de Aplicação |
Passível de aprendizagem | Não |
| Conectividade Internet Não Autorizada Detetada | Um dispositivo interno com comunicação com êxito com a Internet. | High | Acesso à Internet |
Táticas: - Acesso Inicial Técnicas: - T0883: Dispositivo Acessível pela Internet |
Passível de aprendizagem | Não |
| Comando Mitsubishi MELSEC não autorizado | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos - Execução Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0821: Modificar Tarefas do Controlador |
Passível de aprendizagem | Sim |
| Acesso não autorizado ao Programa MMS | Um dispositivo de origem tentou aceder a um recurso noutro dispositivo. Uma tentativa de acesso a este recurso entre estes dois dispositivos não está autorizada como tráfego aprendido na sua rede. | Média | Programação |
Táticas: - Prejudicar o Controlo de Processos - Execução Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0821: Modificar Tarefas do Controlador |
Passível de aprendizagem | Sim |
| Serviço MMS não autorizado | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos - Execução Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0821: Modificar Tarefas do Controlador |
Passível de aprendizagem | Sim |
| Ligação Multicast/Difusão Não Autorizada | Foi detetada uma ligação Multicast/Difusão entre um dispositivo de origem e outros dispositivos. A comunicação multicast/difusão não está autorizada. | High | Comportamento Anormal da Comunicação |
Táticas: - Deteção Técnicas: - T0842: Farejador de Rede |
Passível de aprendizagem | Sim |
| Consulta de Nome Não Autorizado | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento Anormal da Comunicação |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0836: Modificar Parâmetro |
Não aprendeu | Sim |
| Atividade OPC UA não autorizada | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0836: Modificar Parâmetro |
Passível de aprendizagem | Sim |
| Pedido/Resposta OPC UA não autorizado | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0836: Modificar Parâmetro |
Passível de aprendizagem | Sim |
| A Operação Não Autorizada foi detetada por uma Regra Definida pelo Utilizador | Foi detetado tráfego entre dois dispositivos. Esta atividade não é autorizada, com base numa Regra de Alerta Personalizada definida por um utilizador. | Média | Alertas Personalizados |
Táticas: - Deteção Técnicas: - T0842: Farejador de Rede |
Não aprendeu | Não |
| Leitura da Configuração plc não autorizada | O dispositivo de origem não está definido como um dispositivo de programação, mas executou uma operação de leitura/escrita num controlador de destino. As alterações de programação só devem ser efetuadas por dispositivos de programação. Uma aplicação de programação pode ter sido instalada neste dispositivo. | Baixo | Alterações de Configuração |
Táticas: - Coleção Técnicas: - T0801: Monitorizar o Estado do Processo |
Passível de aprendizagem | Não |
| Escrita de Configuração plc não autorizada | O dispositivo de origem enviou um comando para ler/escrever o programa de um controlador de destino. Esta atividade não foi vista anteriormente. | Média | Alterações de Configuração |
Táticas: - Prejudicar o Controlo de Processos - Persistência - Impacto Técnicas: - T0839: Firmware do Módulo - T0831: Manipulação do Controlo - T0889: Modificar Programa |
Passível de aprendizagem | Não |
| Carregamento não autorizado do Programa PLC | O dispositivo de origem enviou um comando para ler/escrever o programa de um controlador de destino. Esta atividade não foi vista anteriormente. | Média | Programação |
Táticas: - Prejudicar o Controlo de Processos - Persistência - Coleção Técnicas: - T0839: Firmware do Módulo - T0845: Carregamento do Programa |
Passível de aprendizagem | Não |
| Programação PLC não autorizada | O dispositivo de origem não está definido como um dispositivo de programação, mas executou uma operação de leitura/escrita num controlador de destino. As alterações de programação só devem ser efetuadas por dispositivos de programação. Uma aplicação de programação pode ter sido instalada neste dispositivo. | High | Programação |
Táticas: - Prejudicar o Controlo de Processos - Persistência - Movimento Lateral Técnicas: - T0839: Firmware do Módulo - T0889: Modificar Programa - T0843: Transferência do Programa |
Passível de aprendizagem | Não |
| Tipo de Moldura Profinet Não Autorizado | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0836: Modificar Parâmetro |
Passível de aprendizagem | Sim |
| Comando saia S-Bus não autorizado | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada |
Passível de aprendizagem | Sim |
| Execução não autorizada da Função de Controlo Siemens S7 | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos - Inibir a Função de Resposta Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0809: Destruição de Dados |
Passível de aprendizagem | Sim |
| Execução não autorizada do Siemens S7 da Função Definida pelo Utilizador | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos - Execução Técnicas: - T0836: Modificar Parâmetro - T0863: Execução do Utilizador |
Passível de aprendizagem | Sim |
| Siemens S7 Plus Block Access não autorizado | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Inibir a Função de Resposta - Persistência - Execução Técnicas: - T0803 - Bloquear Mensagem de Comando - T0889: Modificar Programa - T0821: Modificar Tarefas do Controlador |
Passível de aprendizagem | Sim |
| Operação Siemens S7 Plus não autorizada | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos - Execução Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0863: Execução do Utilizador |
Passível de aprendizagem | Sim |
| Início de Sessão SMB não autorizado | Foi detetada uma tentativa de início de sessão entre um cliente de origem e um servidor de destino. A comunicação entre estes dispositivos não é autorizada como tráfego aprendido na sua rede. | Média | Autenticação |
Táticas: - Acesso Inicial - Movimento Lateral - Persistência Técnicas: - T0886: Serviços Remotos - T0859: Contas Válidas |
Passível de aprendizagem | Sim |
| Operação SNMP não autorizada | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento Anormal da Comunicação |
Táticas: - Deteção - Comando e controlo Técnicas: - T0842: Farejador de Rede - T0885: Porta Utilizada Frequentemente |
Passível de aprendizagem | Sim |
| Acesso SSH não autorizado | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Acesso Remoto |
Táticas: - InitialAccess - Movimento Lateral - Comando e controlo Técnicas: - T0886: Serviços Remotos - T0869: Protocolo Standard de Camada de Aplicação |
Passível de aprendizagem | Não |
| Processo não autorizado do Windows | Foi detetada uma aplicação não autorizada num dispositivo de origem. A aplicação não está autorizada como uma aplicação aprendida na sua rede. | Média | Comportamento Anormal da Comunicação |
Táticas: - Execução - Escalamento de Privilégios - Comando e controlo Técnicas: - T0841: Hooking - T0885: Porta Utilizada Frequentemente |
Passível de aprendizagem | Sim |
| Serviço Windows não autorizado | Foi detetada uma aplicação não autorizada num dispositivo de origem. A aplicação não está autorizada como uma aplicação aprendida na sua rede. | Média | Comportamento Anormal da Comunicação |
Táticas: - Acesso Inicial - Movimento Lateral Técnicas: - T0866: Exploração dos Serviços Remotos |
Passível de aprendizagem | Sim |
| A Operação Não Autorizada foi detetada por uma Regra Definida pelo Utilizador | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros viola uma regra definida pelo utilizador | Média |
Táticas: - Deteção Técnicas: - T0842: Farejador de Rede |
Não aprendeu | Não | |
| Extensão Elétrica Modbus Schneider não autorizada | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada |
Passível de aprendizagem | Sim |
| Utilização Não Autorizada de Tipos de ASDU | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada |
Passível de aprendizagem | Sim |
| Utilização Não Autorizada do Código de Função DNP3 | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0836: Modificar Parâmetro |
Passível de aprendizagem | Sim |
| Utilização Não Autorizada da Indicação Interna (IIN) * | Um dispositivo de origem (outstation) DNP3 comunicou uma indicação interna (IIN) que não autorizou como tráfego aprendido na sua rede. | Média | Comandos Ilegais |
Táticas: - Deteção Técnicas: - T0842: Farejador de Rede |
Passível de aprendizagem | Não |
| Utilização Não Autorizada do Código de Função Modbus | Foram detetados novos parâmetros de tráfego. Esta combinação de parâmetros não está autorizada como tráfego aprendido na sua rede. A seguinte combinação não é autorizada. | Média | Comportamento de Comunicação Não Autorizado |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0836: Modificar Parâmetro |
Passível de aprendizagem | Sim |
Alertas do motor de anomalias
Nota
Este artigo contém referências ao termo slave, um termo que a Microsoft já não utiliza. Quando o termo for removido do software, iremos removê-lo deste artigo.
Os alertas do motor de anomalias descrevem anomalias detetadas na atividade de rede.
| Cargo | Descrição | Gravidade | Categoria | MITRE ATT&CK Táticas e técnicas |
Passível de aprendizagem |
|---|---|---|---|---|---|
| Padrão de Exceção Anormal no Slave * | Foi detetado um número excessivo de erros num dispositivo de origem. Este alerta pode ser o resultado de um problema operacional. Limiar: 20 exceções em 1 hora |
Baixo | Comportamento Anormal da Comunicação |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0806: E/S de Força Bruta |
Não aprendeu |
| Comprimento anormal do cabeçalho HTTP * | O dispositivo de origem enviou uma mensagem anormal. Este alerta pode indicar uma tentativa de ataque ao dispositivo de destino. | High | Comportamento Anormal de Comunicação HTTP |
Táticas: - Acesso Inicial - Movimento Lateral - Comando e controlo Técnicas: - T0866: Exploração dos Serviços Remotos - T0869: Protocolo Standard de Camada de Aplicação |
Passível de aprendizagem |
| Número Anormal de Parâmetros no Cabeçalho HTTP * | O dispositivo de origem enviou uma mensagem anormal. Este alerta pode indicar uma tentativa de ataque ao dispositivo de destino. | High | Comportamento Anormal de Comunicação HTTP |
Táticas: - Acesso Inicial - Movimento Lateral - Comando e controlo Técnicas: - T0866: Exploração dos Serviços Remotos - T0869: Protocolo Standard de Camada de Aplicação |
Passível de aprendizagem |
| Comportamento Periódico Anormal no Canal de Comunicação | Foi detetada uma alteração na frequência de comunicação entre os dispositivos de origem e de destino. | Baixo | Comportamento Anormal da Comunicação |
Táticas: - Deteção Técnicas: - T0842: Farejador de Rede |
Passível de aprendizagem |
| Terminação Anormal de Aplicações * | Foi detetado um número excessivo de comandos de paragem num dispositivo de origem. Este alerta pode ser o resultado de um problema operacional ou de uma tentativa de manipular o dispositivo. Limiar: 20 comandos de paragem em 3 horas |
Média | Comportamento Anormal da Comunicação |
Táticas: - Persistência - Impacto Técnicas: - T0889: Modificar Programa - T0831: Manipulação do Controlo |
Passível de aprendizagem |
| Largura de Banda de Tráfego Anormal * | Foi detetada largura de banda anormal num canal. A largura de banda parece ser inferior/superior à detetada anteriormente. Para obter detalhes, trabalhe com o widget Largura de Banda Total. | Baixo | Anomalias de Largura de Banda |
Táticas: - Deteção Técnicas: - T0842: Farejador de Rede |
Passível de aprendizagem |
| Largura de Banda de Tráfego Anormal Entre Dispositivos * | Foi detetada largura de banda anormal num canal. A largura de banda parece ser inferior/superior à detetada anteriormente. Para obter detalhes, trabalhe com o widget Largura de Banda Total. | Baixo | Anomalias de Largura de Banda |
Táticas: - Deteção Técnicas: - T0842: Farejador de Rede |
Não aprendeu |
| Análise de Endereços Detetada | Foi detetado um dispositivo de origem a analisar dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de análise de rede. Limiar: 50 ligações à mesma sub-rede de classe B em 2 minutos |
High | Analisar |
Táticas: - Deteção Técnicas: - T0842: Farejador de Rede |
Passível de aprendizagem |
| Análise de Endereços ARP Detetada * | Foi detetado um dispositivo de origem a analisar dispositivos de rede com o Protocolo ARP (Address Resolution Protocol). Este endereço de dispositivo não está autorizado como endereço de análise ARP válido. Limiar: 40 análises em 6 minutos |
High | Analisar |
Táticas: - Deteção - Coleção Técnicas: - T0842: Farejador de Rede - T0830: Homem no Meio |
Passível de aprendizagem |
| ARP Spoofing * | Foi detetada uma quantidade anormal de pacotes na rede. Este alerta pode indicar um ataque, por exemplo, um ataque de spoofing de ARP ou inundação ICMP. Limiar: 60 pacotes em 1 minuto |
Baixo | Comportamento Anormal da Comunicação |
Táticas: - Coleção Técnicas: - T0830: Homem no Meio |
Não aprendeu |
| Tentativas de Início de Sessão Excessivas | Um dispositivo de origem foi visto a executar tentativas excessivas de início de sessão num servidor de destino. Este alerta pode indicar um ataque de força bruta. O servidor pode ser comprometido por um ator malicioso. Limiar: 20 tentativas de início de sessão em 1 minuto |
High | Autenticação |
Táticas: - LateralMovement - Prejudicar o Controlo de Processos Técnicas: - T0812: Credenciais Predefinidas - T0806: E/S de Força Bruta |
Não aprendeu |
| Número Excessivo de Sessões | Um dispositivo de origem foi visto a executar tentativas excessivas de início de sessão num servidor de destino. Isto pode indicar um ataque de força bruta. O servidor pode ser comprometido por um ator malicioso. Limiar: 50 sessões em 1 minuto |
High | Comportamento Anormal da Comunicação |
Táticas: - Movimento Lateral - Prejudicar o Controlo de Processos Técnicas: - T0812: Credenciais Predefinidas - T0806: E/S de Força Bruta |
Não aprendeu |
| Taxa de Reinício Excessivo de uma Estação de Saída * | Foi detetado um número excessivo de comandos de reinício num dispositivo de origem. Estes alertas podem ser o resultado de um problema operacional ou de uma tentativa de manipulação do dispositivo. Limiar: 10 reinícios em 1 hora |
Média | Reiniciar/Parar Comandos |
Táticas: - Inibir a Função de Resposta - Prejudicar o Controlo de Processos Técnicas: - T0814: Denial of Service - T0806: E/S de Força Bruta |
Não aprendeu |
| Tentativas excessivas de início de sessão SMB | Um dispositivo de origem foi visto a executar tentativas excessivas de início de sessão num servidor de destino. Isto pode indicar um ataque de força bruta. O servidor pode ser comprometido por um ator malicioso. Limiar: 10 tentativas de início de sessão em 10 minutos |
High | Autenticação |
Táticas: - Persistência - Execução - LateralMovement Técnicas: - T0812: Credenciais Predefinidas - T0853: Scripting - T0859: Contas Válidas |
Não aprendeu |
| Inundação ICMP * | Foi detetada uma quantidade anormal de pacotes na rede. Este alerta pode indicar um ataque, por exemplo, um ataque de spoofing de ARP ou inundação ICMP. Limiar: 60 pacotes em 1 minuto |
Baixo | Comportamento Anormal da Comunicação |
Táticas: - Deteção - Coleção Técnicas: - T0842: Farejador de Rede - T0830: Homem no Meio |
Não aprendeu |
| Conteúdo de Cabeçalho HTTP Ilegal * | O dispositivo de origem iniciou um pedido inválido. | High | Comportamento Anormal de Comunicação HTTP |
Táticas: - Acesso Inicial - LateralMovement Técnicas: - T0866: Exploração dos Serviços Remotos |
Não aprendeu |
| Canal de Comunicação Inativo * | Um canal de comunicação entre dois dispositivos esteve inativo durante um período em que a atividade é geralmente observada. Isto pode indicar que o programa que gera este tráfego foi alterado ou que o programa pode estar indisponível. Recomenda-se que reveja a configuração do programa instalado e verifique se está configurado corretamente. Limiar: 1 minuto |
Baixo | Sem resposta |
Táticas: - Inibir a Função de Resposta Técnicas: - T0881: Paragem de Serviço |
Não aprendeu |
| Análise de Endereços de Longa Duração Detetada * | Foi detetado um dispositivo de origem a analisar dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de análise de rede. Limiar: 50 ligações à mesma sub-rede de classe B em 10 minutos |
High | Analisar |
Táticas: - Deteção Técnicas: - T0842: Farejador de Rede |
Passível de aprendizagem |
| Tentativa de Adivinhação de Palavra-passe Detetada | Um dispositivo de origem foi visto a executar tentativas excessivas de início de sessão num servidor de destino. Isto pode indicar um ataque de força bruta. O servidor pode ser comprometido por um ator malicioso. Limiar: 100 tentativas em 1 minuto |
High | Autenticação |
Táticas: - Movimento Lateral Técnicas: - T0812: Credenciais Predefinidas - T0806: E/S de Força Bruta |
Não aprendeu |
| Análise PLC Detetada | Foi detetado um dispositivo de origem a analisar dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de análise de rede. Limiar: 10 análises em 2 minutos |
High | Analisar |
Táticas: - Deteção Técnicas: - T0842: Farejador de Rede |
Passível de aprendizagem |
| Análise de Portas Detetada | Foi detetado um dispositivo de origem a analisar dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de análise de rede. Limiar: 25 análises em 2 minutos |
High | Analisar |
Táticas: - Deteção Técnicas: - T0842: Farejador de Rede |
Passível de aprendizagem |
| Comprimento inesperado da mensagem | O dispositivo de origem enviou uma mensagem anormal. Este alerta pode indicar uma tentativa de ataque ao dispositivo de destino. Limiar: comprimento do texto - 32768 |
High | Comportamento Anormal da Comunicação |
Táticas: - InitialAccess - LateralMovement Técnicas: - T0869: Exploração dos Serviços Remotos |
Não aprendeu |
| Tráfego Inesperado para a Porta Standard * | O tráfego foi detetado num dispositivo através de uma porta reservada para outro protocolo. | Média | Comportamento Anormal da Comunicação |
Táticas: - Comando e controlo - Deteção Técnicas: - T0869: Protocolo Standard de Camada de Aplicação - T0842: Farejador de Rede |
Não aprendeu |
Alertas do motor de violação de protocolo
Os alertas do motor de protocolo descrevem desvios detetados na estrutura do pacote ou valores de campo em comparação com as especificações do protocolo.
| Cargo | Descrição | Gravidade | Categoria | MITRE ATT&CK Táticas e técnicas |
Passível de aprendizagem |
|---|---|---|---|---|---|
| Pacotes Incorretos Excessivos numa Única Sessão * | Um número anormal de pacotes com formato incorreto enviados do dispositivo de origem para o dispositivo de destino. Este alerta pode indicar comunicações erróneas ou uma tentativa de manipular o dispositivo de destino. Limiar: 2 pacotes com formato incorreto em 10 minutos |
Média | Comandos Ilegais |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0806: E/S de Força Bruta |
Não aprendeu |
| Atualização de Firmware | Um dispositivo de origem enviou um comando para atualizar o firmware num dispositivo de destino. Verifique se as atualizações recentes de programação, configuração e firmware feitas para o dispositivo de destino são válidas. | Baixo | Alteração de Firmware |
Táticas: - Inibir a Função de Resposta - Persistência Técnicas: - T0857: Firmware do Sistema |
Passível de aprendizagem |
| Código de Função Não Suportado pela Estação de Saída | O dispositivo de destino recebeu um pedido inválido. | Média | Comandos Ilegais |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada |
Não aprendeu |
| Mensagem BACNet ilegal | O dispositivo de origem iniciou um pedido inválido. | Média | Comandos Ilegais |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0836: Modificar Parâmetro |
Não aprendeu |
| Tentativa de Ligação Ilegal na Porta 0 | Um dispositivo de origem tentou ligar-se ao dispositivo de destino no número de porta zero (0). Para TCP, a porta 0 está reservada e não pode ser utilizada. Para UDP, a porta é opcional e um valor de 0 significa que não existe nenhuma porta. Normalmente, não existe nenhum serviço num sistema que escuta na porta 0. Este evento pode indicar uma tentativa de ataque ao dispositivo de destino ou indicar que uma aplicação foi programada incorretamente. | Baixo | Comandos Ilegais |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0836: Modificar Parâmetro |
Não aprendeu |
| Operação DNP3 Ilegal | O dispositivo de origem iniciou um pedido inválido. | Média | Comandos Ilegais |
Táticas: - Acesso Inicial - Movimento Lateral Técnicas: - T0866: Exploração dos Serviços Remotos |
Não aprendeu |
| Operação MODBUS Ilegal (Exceção Gerada pelo Mestre) | O dispositivo de origem iniciou um pedido inválido. | Média | Comandos Ilegais |
Táticas: - Acesso Inicial - Movimento Lateral Técnicas: - T0866: Exploração dos Serviços Remotos |
Não aprendeu |
| Operação MODBUS Ilegal (Código de Função Zero) * | O dispositivo de origem iniciou um pedido inválido. | Média | Comandos Ilegais |
Táticas: - Acesso Inicial - Movimento Lateral Técnicas: - T0866: Exploração dos Serviços Remotos |
Não aprendeu |
| Versão do Protocolo Ilegal * | O dispositivo de origem iniciou um pedido inválido. | Média | Comandos Ilegais |
Táticas: - Acesso Inicial - LateralMovement - Prejudicar o Controlo de Processos Técnicas: - T0820: Serviços Remotos - T0836: Modificar Parâmetro |
Não aprendeu |
| Parâmetro Incorreto Enviado para a Estação de Saída | O dispositivo de destino recebeu um pedido inválido. | Média | Comandos Ilegais |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0836: Modificar Parâmetro |
Não aprendeu |
| Iniciação de um Código de Função Obsoleto (Inicializar Dados) | O dispositivo de origem iniciou um pedido inválido. | Baixo | Comandos Ilegais |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada |
Não aprendeu |
| Iniciação de um Código de Função Obsoleto (Guardar Configuração) | O dispositivo de origem iniciou um pedido inválido. | Baixo | Comandos Ilegais |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada |
Não aprendeu |
| Mestre Pediu uma Confirmação da Camada da Aplicação | O dispositivo de origem iniciou um pedido inválido. | Baixo | Comandos Ilegais |
Táticas: - Comando e controlo Técnicas: - T0869: Protocolo Standard de Camada de Aplicação |
Não aprendeu |
| Exceção modbus | Um dispositivo de origem (secundário) devolveu uma exceção a um dispositivo de destino (primário). | Média | Comandos Ilegais |
Táticas: - Inibir a Função de Resposta Técnicas: - T0814: Denial of Service |
Não aprendeu |
| Dispositivo escravo recebido tipo ASDU ilegal | O dispositivo de destino recebeu um pedido inválido. | Média | Comandos Ilegais |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0836: Modificar Parâmetro |
Não aprendeu |
| Dispositivo escravo recebido ilegal causa de comando de transmissão | O dispositivo de destino recebeu um pedido inválido. | Média | Comandos Ilegais |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0836: Modificar Parâmetro |
Não aprendeu |
| Slave Device Received Illegal Common Address | O dispositivo de destino recebeu um pedido inválido. | Média | Comandos Ilegais |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0836: Modificar Parâmetro |
Não aprendeu |
| O dispositivo slave recebeu o parâmetro de endereço de dados ilegal * | O dispositivo de destino recebeu um pedido inválido. | Média | Comandos Ilegais |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0836: Modificar Parâmetro |
Não aprendeu |
| Slave Device Received Illegal Data Value Parameter * | O dispositivo de destino recebeu um pedido inválido. | Média | Comandos Ilegais |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0836: Modificar Parâmetro |
Não aprendeu |
| Slave Device Received Illegal Function Code * | O dispositivo de destino recebeu um pedido inválido. | Média | Comandos Ilegais |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0836: Modificar Parâmetro |
Não aprendeu |
| Slave Device Received Illegal Information Object Address | O dispositivo de destino recebeu um pedido inválido. | Média | Comandos Ilegais |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada - T0836: Modificar Parâmetro |
Não aprendeu |
| Objeto Desconhecido Enviado para a Estação de Saída | O dispositivo de destino recebeu um pedido inválido. | Média | Comandos Ilegais |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada |
Não aprendeu |
| Utilização de um Código de Função Reservado | O dispositivo de origem iniciou um pedido inválido. | Média | Comandos Ilegais |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0836: Modificar Parâmetro |
Não aprendeu |
| Utilização de Formatação Inadequada por Outstation * | O dispositivo de origem iniciou um pedido inválido. | Baixo | Comandos Ilegais |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada |
Não aprendeu |
| Utilização de Sinalizadores de Estado Reservado (IIN) | Um dispositivo de origem DNP3 (estação de saída) utilizou o Indicador Interno reservado 2.6. Recomenda-se que verifique a configuração do dispositivo. | Baixo | Comandos Ilegais |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0836: Modificar Parâmetro |
Não aprendeu |
Alertas do motor de software maligno
Os alertas do motor de software maligno descrevem a atividade de rede maliciosa detetada.
| Cargo | Descrição | Gravidade | Categoria | MITRE ATT&CK Táticas e técnicas |
Passível de aprendizagem |
|---|---|---|---|---|---|
| Tentativa de Ligação a IP Malicioso Conhecido | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método utilizado por software maligno conhecido. Acionado pelos sensores de rede OT. |
High | Suspeita de Atividade Maliciosa |
Táticas: - Acesso Inicial - Comando e controlo Técnicas: - T0883: Dispositivo Acessível pela Internet - T0884: Proxy de Ligação |
Não aprendeu |
| Mensagem SMB Inválida (Implante DoublePulsar Backdoor) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método utilizado por software maligno conhecido. | High | Suspeita de Software Maligno |
Táticas: - Acesso Inicial - LateralMovement Técnicas: - T0866: Exploração dos Serviços Remotos |
Não aprendeu |
| Pedido de Nome de Domínio Malicioso | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método utilizado por software maligno conhecido. Acionado pelos sensores de rede OT. |
High | Suspeita de Atividade Maliciosa |
Táticas: - Acesso Inicial - Comando e controlo Técnicas: - T0883: Dispositivo Acessível pela Internet - T0884: Proxy de Ligação |
Passível de aprendizagem |
| Caminho do URL Malicioso | Foi feito um pedido para um caminho de URL malicioso conhecido. Os pedidos feitos para este caminho de URL podem indicar que a origem que está a fazer o pedido está comprometida. | High | Suspeita de Atividade Maliciosa |
Táticas: - Acesso Inicial - Comando e controlo Técnicas: - T0883: Dispositivo Acessível pela Internet - T0884: Proxy de Ligação |
Não aprendeu |
| Ficheiro de Teste de Software Maligno Detetado – EICAR AV Success | Foi detetado um ficheiro de teste EICAR AV no tráfego entre dois dispositivos (através de qualquer transporte – TCP ou UDP). O ficheiro não é software maligno. É utilizado para confirmar que o software antivírus está instalado corretamente. Demonstre o que acontece quando um vírus é encontrado e verifique os procedimentos internos e as reações quando um vírus é encontrado. O software antivírus deve detetar o EICAR como se fosse um vírus real. | High | Suspeita de Atividade Maliciosa |
Táticas: - Deteção Técnicas: - T0842: Farejador de Rede |
Não aprendeu |
| Suspeita de Software Maligno de Configuração | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método utilizado por software maligno conhecido. | Média | Suspeita de Software Maligno |
Táticas: - Acesso Inicial - Impacto Técnicas: - T0826: Perda de Disponibilidade - T0828: Perda de Produtividade e Receita - T0847: Replicação através de Suporte de Dados Amovível |
Não aprendeu |
| Suspeita de Ataque Denial Of Service | Um dispositivo de origem tentou iniciar um número excessivo de novas ligações a um dispositivo de destino. Isto pode indicar um ataque Denial Of Service (DOS) contra o dispositivo de destino e pode interromper a funcionalidade do dispositivo, afetar o desempenho e a disponibilidade do serviço ou causar erros irrecuperáveis. Limiar: 3000 tentativas em 1 minuto |
High | Suspeita de Atividade Maliciosa |
Táticas: - Inibir a Função de Resposta Técnicas: - T0814: Denial of Service |
Passível de aprendizagem |
| Suspeita de Atividade Maliciosa | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que acionou "Indicadores de Compromisso" (IOCs) conhecidos. Os metadados de alerta devem ser revistos pela equipa de segurança. | High | Suspeita de Atividade Maliciosa |
Táticas: - Movimento Lateral Técnicas: - T0867: Transferência de Ferramentas Laterais |
Não aprendeu |
| Suspeita de Atividade Maliciosa (BlackEnergy) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método utilizado por software maligno conhecido. | High | Suspeita de Software Maligno |
Táticas: - Comando e controlo Técnicas: - T0869: Protocolo Standard de Camada de Aplicação |
Não aprendeu |
| Suspeita de Atividade Maliciosa (DarkComet) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método utilizado por software maligno conhecido. | High | Suspeita de Software Maligno |
Táticas: - Impacto Técnicas: - T0882: Roubo de Informações Operacionais |
Não aprendeu |
| Suspeita de Atividade Maliciosa (Duqu) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método utilizado por software maligno conhecido. | High | Suspeita de Software Maligno |
Táticas: - Impacto Técnicas: - T0882: Roubo de Informações Operacionais |
Não aprendeu |
| Suspeita de Atividade Maliciosa (Chama) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método utilizado por software maligno conhecido. | High | Suspeita de Software Maligno |
Táticas: - Coleção - Impacto Técnicas: - T0882: Roubo de Informações Operacionais - T0811: Dados de Repositórios de Informações |
Não aprendeu |
| Suspeita de Atividade Maliciosa (Havex) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método utilizado por software maligno conhecido. | High | Suspeita de Software Maligno |
Táticas: - Coleção - Deteção - Inibir a Função de Resposta Técnicas: - T0861: Identificação de Etiquetas de Ponto & - T0846: Deteção Remota do Sistema - T0814: Denial of Service |
Não aprendeu |
| Suspeita de Atividade Maliciosa (Karagany) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método utilizado por software maligno conhecido. | High | Suspeita de Software Maligno |
Táticas: - Impacto Técnicas: - T0882: Roubo de Informações Operacionais |
Não aprendeu |
| Suspeita de Atividade Maliciosa (LightsOut) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método utilizado por software maligno conhecido. | High | Suspeita de Software Maligno |
Táticas: - Evasão Técnicas: - T0849: Máscara |
Não aprendeu |
| Suspeita de Atividade Maliciosa (Consultas de Nome) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método utilizado por software maligno conhecido. Limiar: 25 consultas de nome em 1 minuto |
High | Suspeita de Atividade Maliciosa |
Táticas: - Comando e controlo Técnicas: - T0884: Proxy de Ligação |
Não aprendeu |
| Suspeita de Atividade Maliciosa (Hera Envenenada) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método utilizado por software maligno conhecido. | High | Suspeita de Software Maligno |
Táticas: - Acesso Inicial - Movimento Lateral Técnicas: - T0866: Exploração dos Serviços Remotos |
Não aprendeu |
| Suspeita de Atividade Maliciosa (Regin) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método utilizado por software maligno conhecido. | High | Suspeita de Software Maligno |
Táticas: - Acesso Inicial - Movimento Lateral - Impacto Técnicas: - T0866: Exploração dos Serviços Remotos - T0882: Roubo de Informações Operacionais |
Não aprendeu |
| Suspeita de Atividade Maliciosa (Stuxnet) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método utilizado por software maligno conhecido. | High | Suspeita de Software Maligno |
Táticas: - Acesso Inicial - Movimento Lateral - Impacto Técnicas: - T0818: Compromisso da Estação de Trabalho de Engenharia - T0866: Exploração dos Serviços Remotos - T0831: Manipulação do Controlo |
Não aprendeu |
| Suspeita de Atividade Maliciosa (WannaCry) * | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método utilizado por software maligno conhecido. | Média | Suspeita de Software Maligno |
Táticas: - Acesso Inicial - Movimento Lateral Técnicas: - T0866: Exploração dos Serviços Remotos - T0867: Transferência de Ferramentas Laterais |
Não aprendeu |
| Suspeita de Software Maligno NotPetya – Parâmetros SMB Ilegais Detetados | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método utilizado por software maligno conhecido. | High | Suspeita de Software Maligno |
Táticas: - Acesso Inicial - Movimento Lateral Técnicas: - T0866: Exploração dos Serviços Remotos |
Não aprendeu |
| Suspeita de Software Maligno NotPetya – Transação SMB Ilegal Detetada | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método utilizado por software maligno conhecido. | High | Suspeita de Software Maligno |
Táticas: - Movimento Lateral Técnicas: - T0867: Transferência de Ferramentas Laterais |
Não aprendeu |
| Suspeita de Execução de Código Remoto com PsExec | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método utilizado por software maligno conhecido. | High | Suspeita de Atividade Maliciosa |
Táticas: - Movimento Lateral - Acesso Inicial Técnicas: - T0866: Exploração dos Serviços Remotos |
Não aprendeu |
| Suspeita de Gestão remota do Serviço Windows * | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método utilizado por software maligno conhecido. | High | Suspeita de Atividade Maliciosa |
Táticas: - Acesso Inicial Técnicas: - T0822: Serviços Remotos NetworkExternal |
Não aprendeu |
| Ficheiro Executável Suspeito Detetado no Ponto Final | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método utilizado por software maligno conhecido. | High | Suspeita de Atividade Maliciosa |
Táticas: - Evasão - Inibir a Função de Resposta Técnicas: - T0851: Rootkit |
Passível de aprendizagem |
| Tráfego Suspeito Detetado * | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que acionou "Indicadores de Compromisso" (IOCs) conhecidos. Os metadados de alerta devem ser revistos pela equipa de segurança | High | Suspeita de Atividade Maliciosa |
Táticas: - Deteção Técnicas: - T0842: Farejador de Rede |
Não aprendeu |
| Atividade de Cópia de Segurança com Assinaturas antivírus | O tráfego detetado entre o dispositivo de origem e o servidor de cópia de segurança de destino acionou este alerta. O tráfego inclui a cópia de segurança do software antivírus que pode conter assinaturas de software maligno. Esta é provavelmente uma atividade de cópia de segurança legítima. | Baixo | Cópia de segurança |
Táticas: - Impacto Técnicas: - T0882: Roubo de Informações Operacionais |
Não aprendeu |
Alertas do motor operacional
Os alertas do motor operacional descrevem incidentes operacionais detetados ou entidades com mau funcionamento.
| Cargo | Descrição | Gravidade | Categoria | MITRE ATT&CK Táticas e técnicas |
Passível de aprendizagem |
|---|---|---|---|---|---|
| Foi enviado um comando S7 Stop PLC | O dispositivo de origem enviou um comando stop para um controlador de destino. O controlador deixa de funcionar até ser enviado um comando de início. | Baixo | Reiniciar/Parar Comandos |
Táticas: - Movimento Lateral - Evasão de Defesa - Execução - Inibir a Função de Resposta Técnicas: - T0843: Transferência do Programa - T0858: Alterar o Modo Operacional - T0814: Denial of Service |
Não aprendeu |
| Falha na Operação BACNet | Um servidor devolveu um código de erro. Este alerta indica um erro do servidor ou um pedido inválido de um cliente. | Média | Falhas de Comandos |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada |
Não aprendeu |
| Estado do Dispositivo MMS Incorreto | Um Dispositivo de Fabrico Virtual (VMD) MMS enviou uma mensagem de estado. A mensagem indica que o servidor pode não estar configurado corretamente, parcialmente operacional ou não estar operacional. | Média | Problemas Operacionais |
Táticas: - Inibir a Função de Resposta Técnicas: - T0814: Denial of Service |
Não aprendeu |
| Alteração da Configuração do Dispositivo * | Foi detetada uma alteração de configuração num dispositivo de origem. | Baixo | Alterações de Configuração |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0836: Modificar Parâmetro |
Não aprendeu |
| Capacidade Excedida da Memória Intermédia de Eventos Contínua no Outstation * | Foi detetado um evento de capacidade excedida da memória intermédia num dispositivo de origem. O evento pode causar danos nos dados, falhas de programas ou execução de código malicioso. Limiar: 3 ocorrências em 10 minutos |
Média | Memória Intermédia Excedida |
Táticas: - Inibir a Função de Resposta - Prejudicar o Controlo de Processos - Persistência Técnicas: - T0814: Denial of Service - T0806: E/S de Força Bruta - T0839: Firmware do Módulo |
Não aprendeu |
| Reposição do Controlador | Um dispositivo de origem enviou um comando de reposição para um controlador de destino. O controlador deixou de funcionar temporariamente e voltou a ser iniciado automaticamente. | Baixo | Reiniciar/Parar Comandos |
Táticas: - Evasão de Defesa - Execução - Inibir a Função de Resposta Técnicas: - T0858: Alterar o Modo Operacional - T0814: Denial of Service |
Não aprendeu |
| Paragem do Controlador | O dispositivo de origem enviou um comando stop para um controlador de destino. O controlador deixa de funcionar até ser enviado um comando de início. | Baixo | Reiniciar/Parar Comandos |
Táticas: - Movimento Lateral - Evasão de Defesa - Execução - Inibir a Função de Resposta Técnicas: - T0843: Transferência do Programa - T0858: Alterar o Modo Operacional - T0814: Denial of Service |
Não aprendeu |
| Falha do Dispositivo ao Receber um Endereço IP Dinâmico | O dispositivo de origem está configurado para receber um endereço IP dinâmico de um servidor DHCP, mas não recebeu um endereço. Isto indica um erro de configuração no dispositivo ou um erro operacional no servidor DHCP. Recomenda-se que notifique o administrador de rede do incidente | Média | Falhas de Comandos |
Táticas: - Deteção Técnicas: - T0842: Farejador de Rede |
Não aprendeu |
| Suspeita-se que o dispositivo esteja Desligado (Sem Resposta) | Um dispositivo de origem não respondeu a um comando que lhe foi enviado. Pode ter sido desligado quando o comando foi enviado. Limiar: 8 tentativas em 5 minutos |
Média | Sem resposta |
Táticas: - Inibir a Função de Resposta Técnicas: - T0881: Paragem de Serviço |
Não aprendeu |
| O Pedido do Serviço CIP de EtherNet/IP falhou | Um servidor devolveu um código de erro. Isto indica um erro de servidor ou um pedido inválido de um cliente. | Média | Falhas de Comandos |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada |
Não aprendeu |
| Falha no Comando do Protocolo de Encapsulamento EtherNet/IP | Um servidor devolveu um código de erro. Isto indica um erro de servidor ou um pedido inválido de um cliente. | Média | Falhas de Comandos |
Táticas: - Coleção Técnicas: - T0801: Monitorizar o Estado do Processo |
Não aprendeu |
| Capacidade Excedida da Memória Intermédia de Eventos no Outstation | Foi detetado um evento de capacidade excedida da memória intermédia num dispositivo de origem. O evento pode causar danos nos dados, falhas de programas ou execução de código malicioso. | Média | Memória Intermédia Excedida |
Táticas: - Inibir a Função de Resposta - Prejudicar o Controlo de Processos - Persistência Técnicas: - T0814: Denial of Service - T0839: Firmware do Módulo |
Não aprendeu |
| A operação de cópia de segurança esperada não ocorreu | A atividade de cópia de segurança/transferência de ficheiros esperada não ocorreu entre dois dispositivos. Este alerta pode indicar erros no processo de cópia de segurança/transferência de ficheiros. Limiar: 100 segundos |
Média | Cópia de segurança |
Táticas: - Inibir a Função de Resposta Técnicas: - T0809: Destruição de Dados |
Passível de aprendizagem |
| Falha do Comando GE SRTP | Um servidor devolveu um código de erro. Este alerta indica um erro do servidor ou um pedido inválido de um cliente. | Média | Falhas de Comandos |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada |
Não aprendeu |
| O Comando GE SRTP Stop PLC foi Enviado | O dispositivo de origem enviou um comando stop para um controlador de destino. O controlador deixa de funcionar até ser enviado um comando de início. | Baixo | Reiniciar/Parar Comandos |
Táticas: - Movimento Lateral - Evasão de Defesa - Execução - Inibir a Função de Resposta Técnicas: - T0843: Transferência do Programa - T0858: Alterar o Modo Operacional - T0814: Denial of Service |
Não aprendeu |
| Bloco de Controlo GOOSE requer configuração adicional | Um dispositivo de origem enviou uma mensagem GOOSE a indicar que o dispositivo precisa de ser encomendado. Isto significa que o bloco de controlo GOOSE requer configuração adicional e as mensagens GOOSE são parcial ou completamente não operacionais. | Média | Alterações de Configuração |
Táticas: - Prejudicar o Controlo de Processos - Inibir a Função de Resposta Técnicas: - T0803: Bloquear Mensagem de Comando - T0821: Modificar Tarefas do Controlador |
Não aprendeu |
| A Configuração do Conjunto de Dados GOOSE foi Alterada * | Um conjunto de dados de mensagem (identificado pelo ID do protocolo) foi alterado num dispositivo de origem. Isto significa que o dispositivo comunica um conjunto de dados diferente para esta mensagem. | Baixo | Alterações de Configuração |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0836: Modificar Parâmetro |
Não aprendeu |
| Estado Inesperado do Controlador Honeywell | Um Controlador Honeywell enviou uma mensagem de diagnóstico inesperada a indicar uma alteração de estado. | Baixo | Problemas Operacionais |
Táticas: - Evasão - Execução Técnicas: - T0858: Alterar o Modo Operacional |
Não aprendeu |
| Erro de Cliente HTTP * | O dispositivo de origem iniciou um pedido inválido. | Baixo | Comportamento Anormal de Comunicação HTTP |
Táticas: - Comando e controlo Técnicas: - T0869: Protocolo Standard de Camada de Aplicação |
Não aprendeu |
| Endereço IP Ilegal | O sistema detetou tráfego entre um dispositivo de origem e um endereço IP que é um endereço inválido. Isto pode indicar uma configuração errada ou uma tentativa de gerar tráfego ilegal. | Baixo | Comportamento Anormal da Comunicação |
Táticas: - Deteção - Prejudicar o Controlo de Processos Técnicas: - T0842: Farejador de Rede - T0836: Modificar Parâmetro |
Não aprendeu |
| Erro de Autenticação Master-Slave | O processo de autenticação entre um dispositivo de origem DNP3 (primário) e um dispositivo de destino (estação de saída) falhou. | Baixo | Autenticação |
Táticas: - Movimento Lateral - Persistência Técnicas: - T0859: Contas Válidas |
Não aprendeu |
| O Pedido de Serviço MMS Falhou | Um servidor devolveu um código de erro. Isto indica um erro de servidor ou um pedido inválido de um cliente. | Média | Falhas de Comandos |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada |
Não aprendeu |
| Nenhum Tráfego Detetado na Interface do Sensor | Um sensor deixou de detetar tráfego de rede numa interface de rede. | High | Tráfego do Sensor |
Táticas: - Inibir a Função de Resposta Técnicas: - T0881: Paragem de Serviço |
Não aprendeu |
| O Servidor OPC UA levantou um evento que requer a atenção do utilizador | Um servidor OPC UA enviou uma notificação de evento a um cliente. Este tipo de evento requer a atenção do utilizador | Média | Problemas Operacionais |
Táticas: - Inibir a Função de Resposta Técnicas: - T0838: Modificar as Definições de Alarme |
Não aprendeu |
| O Pedido de Serviço OPC UA Falhou | Um servidor devolveu um código de erro. Isto indica um erro de servidor ou um pedido inválido de um cliente. | Média | Falhas de Comandos |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada |
Não aprendeu |
| Estação de Saída Reiniciada | Foi detetado um reinício a frio num dispositivo de origem. Isto significa que o dispositivo foi fisicamente desligado e ligado novamente. | Baixo | Reiniciar/Parar Comandos |
Táticas: - Inibir a Função de Resposta Técnicas: - T0816: Reinício/Encerramento do Dispositivo |
Não aprendeu |
| O Outstation Reinicia Frequentemente | Foi detetado um número excessivo de reinícios a frio num dispositivo de origem. Isto significa que o dispositivo foi fisicamente desligado e ligado novamente um número excessivo de vezes. Limiar: 2 reinícios em 10 minutos |
Baixo | Reiniciar/Parar Comandos |
Táticas: - Inibir a Função de Resposta Técnicas: - T0814: Denial of Service - T0816: Reinício/Encerramento do Dispositivo |
Não aprendeu |
| Configuração do Outstation Alterada | Foi detetada uma alteração de configuração num dispositivo de origem. | Média | Alterações de Configuração |
Táticas: - Inibir a Função de Resposta - Persistência Técnicas: - T0857: Firmware do Sistema |
Não aprendeu |
| Configuração Danificada do Outstation Detetada | Este dispositivo de origem DNP3 (estação de saída) comunicou uma configuração danificada. | Média | Alterações de Configuração |
Táticas: - Inibir a Função de Resposta Técnicas: - T0809: Destruição de Dados |
Não aprendeu |
| Falha no Comando Profinet DCP | Um servidor devolveu um código de erro. Isto indica um erro de servidor ou um pedido inválido de um cliente. | Média | Falhas de Comandos |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada |
Não aprendeu |
| Reposição de Fábrica de Dispositivos Profinet | Um dispositivo de origem enviou um comando de reposição de fábrica para um dispositivo de destino Profinet. O comando de reposição limpa as configurações do dispositivo Profinet e interrompe a operação. | Baixo | Reiniciar/Parar Comandos |
Táticas: - Evasão de Defesa - Execução - Inibir a Função de Resposta Técnicas: - T0858: Alterar o Modo Operacional - T0814: Denial of Service |
Não aprendeu |
| Falha na Operação RPC * | Um servidor devolveu um código de erro. Este alerta indica um erro do servidor ou um pedido inválido de um cliente. | Média | Falhas de Comandos |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0855: Mensagem de Comando Não Autorizada |
Não aprendeu |
| Configuração do Conjunto de Dados de Mensagens de Valores De Exemplo foi Alterada * | Um conjunto de dados de mensagem (identificado pelo ID do protocolo) foi alterado num dispositivo de origem. Isto significa que o dispositivo comunica um conjunto de dados diferente para esta mensagem. | Baixo | Alterações de Configuração |
Táticas: - Prejudicar o Controlo de Processos Técnicas: - T0836: Modificar Parâmetro |
Não aprendeu |
| Falha Irrecuperável do Dispositivo Escravo * | Foi detetado um erro de condição irrecuperável num dispositivo de origem. Normalmente, este tipo de erro indica uma falha de hardware ou uma falha ao executar um comando específico. | Média | Falhas de Comandos |
Táticas: - Inibir a Função de Resposta Técnicas: - T0814: Denial of Service |
Não aprendeu |
| Suspeita de Problemas de Hardware no Outstation | Foi detetado um erro de condição irrecuperável num dispositivo de origem. Normalmente, este tipo de erro indica uma falha de hardware ou uma falha ao executar um comando específico. | Média | Problemas Operacionais |
Táticas: - Inibir a Função de Resposta Técnicas: - T0814: Denial of Service - T0881: Paragem de Serviço |
Não aprendeu |
| Suspeita de Dispositivo MODBUS Sem Resposta | Um dispositivo de origem não respondeu a um comando que lhe foi enviado. Pode ter sido desligado quando o comando foi enviado. Limiar: mínimo de 1 resposta válida para um mínimo de 3 pedidos em 5 minutos |
Baixo | Sem resposta |
Táticas: - Inibir a Função de Resposta Técnicas: - T0881: Paragem de Serviço |
Não aprendeu |
| Tráfego Detetado na Interface do Sensor | Um sensor retomou a deteção de tráfego de rede numa interface de rede. | Baixo | Tráfego do Sensor |
Táticas: - Deteção Técnicas: - T0842: Farejador de Rede |
Não aprendeu |
| Modo Operacional PLC Alterado | O modo de funcionamento neste PLC foi alterado. O novo modo pode indicar que o PLC não é seguro. Deixar o PLC num modo operacional inseguro pode permitir que os adversários realizem atividades maliciosas no mesmo, como uma transferência de programa. Se o PLC estiver comprometido, os dispositivos e os processos que interagem com o mesmo poderão ser afetados. Isto pode afetar a segurança e a segurança gerais do sistema. | Baixo | Alterações de configuração |
Táticas: - Execução - Evasão Técnicas: - T0858: Alterar o Modo Operacional |
Não aprendeu |
Passos seguintes
Para mais informações, consulte:
- Ver e gerir alertas no portal do Defender para IoT
- Ver alertas no sensor
- Acelerar fluxos de trabalho de alertas
- Reencaminhar informações de alerta
- Trabalhar com alertas na consola de gestão no local
- Referência da API de gestão de alertas para consolas de gestão no local
- Referência da API de gestão de alertas para sensores de monitorização de OT