Operacja Emerson Cf788orb00

O Naszym Gry o Оperacjach

Szybko, biegnij na salę operacyjną! Mnóstwo pacjentów potrzebuje Twojej pomocy w naszej kolekcji emocjonujących gry operacjach. Niektórzy są w stanie krytycznym, inni… niespecjalnie. Ratuj życie osobom przywiezionym na SOR lub doradzaj gwiazdom Hollywood w sprawie kolejnych liftingów. Wiele z tych gier o lekarzach będzie Cię trzymać w napięciu niemal bez przerwy – w porównaniu z nimi wyzwania z innych tytułów będą się wydawać banalne. 

Złap skalpel i pracuj z profesjonalistami w emocjonujących grach takich jak liczne odsłony popularnej serii Operate Now. Wspólnie z pielęgniarkami i innymi doświadczonymi członkami personelu medycznego walcz o życie waszych pacjentów. A jeśli masz ochotę na coś mniej dramatycznego, wypróbuj spokojniejsze tytuły z tej kolekcji darmowych symulatorów online.

• Artykuł
02/14/2023
• Czas czytania: 45 min

Ten artykuł zawiera informacje o alertach generowanych przez Microsoft Defender dla czujników sieci IoT, w tym listę wszystkich typów alertów i opisów. To odwołanie może służyć do mapowania alertów na podręczniki, definiowania reguł przekazywania w czujniku sieci OT lub innego działania niestandardowego.

Alerty OT są domyślnie wyłączone

Kilka alertów jest domyślnie wyłączonych, co wskazuje gwiazdki (*) w poniższych tabelach. Czujnik OT Administracja użytkownicy mogą włączać lub wyłączać alerty ze strony Pomoc techniczna na określonym czujniku sieci OT.

Jeśli wyłączysz alerty, do których odwołujesz się w innych miejscach, takie jak reguły przekazywania alertów, pamiętaj o zaktualizowaniu tych odwołań zgodnie z potrzebami.

Ważność alertu

Alerty usługi Defender dla IoT używają następujących poziomów ważności:

• Krytyczne: wskazuje złośliwy atak, który powinien być natychmiast obsługiwany.

• Główne: wskazuje zagrożenie bezpieczeństwa, które jest ważne, aby rozwiązać ten problem.

• Pomocnicza: wskazuje pewne odchylenie od zachowania punktu odniesienia, które może zawierać zagrożenie bezpieczeństwa.

• Ostrzeżenie: wskazuje pewne odchylenie od zachowania punktu odniesienia bez zagrożeń bezpieczeństwa.

  Obsługiwane typy alertów

  Typ alertu	Opis
  Alerty dotyczące naruszeń zasad	Wyzwalane, gdy aparat naruszeń zasad wykrywa odchylenie od wcześniej poznanego ruchu. Przykład: — Wykryto nowe urządzenie. — Na urządzeniu wykryto nową konfigurację. - Urządzenie niezdefiniowane jako urządzenie programistyczne przeprowadza zmianę programowania. — Zmieniono wersję oprogramowania układowego.	Alerty dotyczące naruszeń protokołu	Wyzwalane, gdy aparat naruszenia protokołu wykrywa struktury pakietów lub wartości pól, które nie są zgodne ze specyfikacją protokołu.	Alerty operacyjne	Wyzwalane, gdy aparat operacyjny wykrywa zdarzenia operacyjne sieci lub urządzenie działa nieprawidłowo. Na przykład urządzenie sieciowe zostało zatrzymane za pomocą polecenia Stop PLC lub interfejs na czujniku przestał monitorować ruch.	Alerty dotyczące złośliwego oprogramowania	Wyzwalane, gdy aparat złośliwego oprogramowania wykryje złośliwe działanie sieci. Na przykład aparat wykrywa znany atak, taki jak Conficker.	Alerty dotyczące anomalii	Wyzwalane, gdy aparat anomalii wykryje odchylenie. Na przykład urządzenie wykonuje skanowanie sieciowe, ale nie jest zdefiniowane jako urządzenie skanujące.

  Obsługiwane kategorie alertów

  Każdy alert ma jedną z następujących kategorii:

  Nietypowe zachowanie komunikacji

  Nieprawidłowe zachowanie komunikacji HTTP

  Authentication

  Backup

  Anomalie przepustowości

  Przepełnienie buforu

  Błędy poleceń

  Zmiany konfiguracji

  Alerty niestandardowe

  Odnajdywanie

  Zmiana oprogramowania układowego

  Niedozwolone polecenia

  Dostęp do Internetu

  Błędy operacji

  Problemy operacyjne

  Programowania

  Dostęp zdalny

  Polecenia ponownego uruchamiania/zatrzymywania

  Skanowanie

  Ruch czujnika

  Podejrzenie złośliwego działania

  Podejrzenie złośliwego oprogramowania

  Nieautoryzowane zachowanie komunikacji

  Odpowiadać

  Alerty aparatu zasad

  Alerty aparatu zasad opisują wykryte odchylenia od poznanego zachowania punktu odniesienia.

  TytułWażnośćKategoriaMITRE ATT&CK
  taktyka i technikiOprogramowanie Beckhoff zmienioneOprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być działanie autoryzowane, na przykład procedura planowanej konserwacji. DużyZmiana oprogramowania układowegoTaktyki:
  - Hamuj funkcję odpowiedzi
  -Trwałości

  Technik:
  - T0857: Oprogramowanie układowe systemu

  Logowanie bazy danych nie powiodło sięWykryto nieudaną próbę logowania z urządzenia źródłowego do serwera docelowego. Może to być wynik błędu ludzkiego, ale może również wskazywać na złośliwą próbę naruszenia bezpieczeństwa serwera lub danych na nim.

  Próg: 2 błędy logowania w ciągu 5 minut

  AuthenticationTaktyki:
  - Ruch boczny
  -Kolekcji

  Technik:
  - T0812: Poświadczenia domyślne
  - T0811: Dane z repozytoriów informacji

  Zmieniono wersję oprogramowania układowego Emerson ROCAdres zewnętrzny w sieci komunikował się z InternetemUrządzenie źródłowe zdefiniowane w ramach sieci komunikuje się z adresami internetowymi. Źródło nie jest autoryzowane do komunikowania się z adresami internetowymi. KrytyczneDostęp do InternetuTaktyki:
  - Dostęp początkowy

  Technik:
  - T0883: Urządzenie dostępne z Internetu

  Urządzenie pola zostało nieoczekiwanie odnalezioneW sieci wykryto nowe urządzenie źródłowe, ale nie zostało autoryzowane. OdnajdywanieTaktyki:
  -Odnajdywania

  Technik:
  - T0842: Wąchanie sieci

  Wykryto zmianę oprogramowania układowegoOprogramowanie układowe zostało zaktualizowane na urządzeniu źródłowym. Może to być autoryzowane działanie, na przykład procedura planowanej konserwacji. Zmieniono wersję oprogramowania układowegoOperacja we/wy nieautoryzowanego we/wy foxboroWykryto nowe parametry ruchu. Ta kombinacja parametrów nie została autoryzowana jako poznany ruch w sieci. Następująca kombinacja jest nieautoryzowana. Nieautoryzowane zachowanie komunikacjiTaktyki:
  - Zaburzenia kontroli procesu

  Technik:
  - T0855: Komunikat polecenia nieautoryzowanego
  - T0836: Modyfikowanie parametru

  Logowanie przy użyciu protokołu FTP nie powiodło sięWykryto nieudaną próbę logowania z urządzenia źródłowego na serwer docelowy. Ten alert może być wynikiem błędu ludzkiego, ale może również wskazywać na złośliwą próbę naruszenia zabezpieczeń serwera lub danych na nim. Taktyki:
  - Ruch poprzeczny
  - Sterowanie i sterowanie

  Technik:
  - T0812: Poświadczenia domyślne
  - T0869: Standardowy protokół warstwy aplikacji

  Kod funkcji zgłosił nieautoryzowany wyjątek *Urządzenie źródłowe (pomocnicze) zwróciło wyjątek do urządzenia docelowego (podstawowego). Błędy poleceńTaktyki:
  - Hamuj funkcję odpowiedzi

  Technik:
  - T0835: Manipulowanie obrazem we/wy

  Ustawienia typu komunikatu z użyciem języka GOOSEUstawienia komunikatu (identyfikowane przez identyfikator protokołu) zostały zmienione na urządzeniu źródłowym. OstrzeżenieTaktyki:
  - Zaburzenia kontroli procesu

  Technik:
  - T0836: Modyfikowanie parametru

  Zmieniono wersję oprogramowania układowego HoneywellNiedozwolona komunikacja HTTP *Nietypowe zachowanie komunikacji HTTPTaktyki:
  -Odnajdywania

  Technik:
  - T0846: Odnajdywanie systemu zdalnego

  Wykryto dostęp do InternetuZmieniono wersję oprogramowania układowego MitsubishiNaruszenie zakresu adresów ModbusUrządzenie podstawowe zażądało dostępu do nowego adresu pamięci pomocniczej. Zmieniono wersję oprogramowania układowego ModbusWykryto nowe działanie — klasa CIPTaktyki:
  -Odnajdywania

  Technik:
  - T0888: Zdalne odnajdywanie informacji o systemie

  Wykryto nowe działanie — usługa klasy CIPTaktyki:
  - Hamuj funkcję odpowiedzi

  Technik:
  - T0836: Modyfikowanie parametru

  Wykryto nowe działanie — polecenie CIP PCCCWykryto nowe działanie — symbol CIPTaktyki:
  - Zaburzenia kontroli procesu
  - Hamuj funkcję odpowiedzi

  Technik:
  - T0855: Komunikat polecenia nieautoryzowanego
  - T0836: Modyfikowanie parametru

  Wykryto nowe działanie — Połączenie We/Wy sieci EtherNet/IPTaktyki:
  -Odnajdywania
  - Hamuj funkcję odpowiedzi

  Technik:
  - T0846: Odnajdywanie systemu zdalnego
  - T0835: Manipulowanie obrazem we/wy

  Wykryto nowe działanie — Polecenie protokołu EtherNet/IPWykryto nowe działanie — kod komunikatu USŁUGI GSMTaktyki:
  - CommandAndControl

  Technik:
  - T0869: Standardowy protokół warstwy aplikacji

  Wykryto nowe działanie — kody poleceń LonTalkTaktyki:
  -Kolekcji
  - Zaburzenia kontroli procesu

  Technik:
  - T0861 — Identyfikacja tagu punktu &
  - T0855: Komunikat polecenia nieautoryzowanego

  Nowe odnajdywanie portówTaktyki:
  - Ruch poprzeczny

  Technik:
  - T0867: Transfer narzędzi bocznych

  Wykryto nowe działanie — zmienna sieciowa LonTalkTaktyki:
  - Zaburzenia kontroli procesu

  Technik:
  - T0855: Komunikat polecenia nieautoryzowanego

  Wykryto nowe działanie — żądanie danych ovationTaktyki:
  -Kolekcji
  -Odnajdywania

  Technik:
  - T0801: Monitorowanie stanu procesu
  - T0888: Zdalne odnajdywanie informacji o systemie

  Wykryto nowe działanie — polecenie odczytu/zapisu (grupa indeksów AMS)Zmiany konfiguracjiWykryto nowe działanie — polecenie odczytu/zapisu (przesunięcie indeksu AMS)Wykryto nowe działanie — nieautoryzowany typ komunikatu deltaVTaktyki:
  - Zaburzenia kontroli procesu
  -Wykonanie

  Technik:
  - T0855: Komunikat polecenia nieautoryzowanego
  - T0821: Modyfikowanie zadań kontrolera

  Wykryto nowe działanie — nieautoryzowana operacja deltaV ROCTaktyki:
  - Zaburzenia kontroli procesu
  -Wykonanie

  Technik:
  - T0855: Brak autoryzacji komunikat polecenia
  - T0821: Modyfikowanie zadań kontrolera

  Wykryto nowe działanie — nieautoryzowany typ komunikatu RPCTaktyki:
  - Kontrola procesu upośledzonego

  Technik:
  - T0855: Brak autoryzacji komunikat polecenia

  Wykryto nowe działanie — używanie polecenia protokołu AMSTaktyki:
  - Kontrola procesu upośledzonego
  - Hamuj funkcję odpowiedzi
  -Wykonanie

  Technik:
  - T0855: Brak autoryzacji komunikat polecenia
  - T0836: Modyfikuj parametr
  - T0821: Modyfikowanie zadań kontrolera

  Wykryto nowe działanie — używanie polecenia Siemens SICAMTaktyki:
  - Kontrola procesu upośledzonego
  - Hamuj funkcję odpowiedzi

  Technik:
  - T0855: Brak autoryzacji komunikat polecenia
  - T0836: Modyfikuj parametr

  Wykryto nowe działanie — za pomocą polecenia Suitelink ProtocolWykryto nowe działanie — używanie sesji protokołu SuitelinkTaktyki:
  - Kontrola procesu upośledzonego

  Technik:
  - T0836: Modyfikuj parametr

  Wykryto nowe działanie — używanie polecenia Yokogawa VNetIPTaktyki:
  - Kontrola procesu upośledzonego
  -Wykonanie

  Technik:
  - T0855: Brak autoryzacji komunikat polecenia
  - T0821: Modyfikowanie zadań kontrolera

  Wykryto nowy zasóbNowe urządzenie źródłowe zostało wykryte w sieci, ale nie zostało autoryzowane.

  Ten alert dotyczy urządzeń odnalezionych w podsieciach OT. Nowe urządzenia odnalezione w podsieciach IT nie wyzwalają alertu.

  Taktyki:
  -Odnajdywania

  Technik:
  - T0842: Sniffing sieci

  Nowa konfiguracja urządzenia LLDPNowe urządzenie źródłowe zostało wykryte w sieci, ale nie zostało autoryzowane. Omron FINS Nieautoryzowane polecenieTaktyki:
  - Kontrola procesu upośledzonego

  Technik:
  - T0855: Komunikat polecenia nieautoryzowanego
  - T0836: Modyfikowanie parametru

  Zmieniono oprogramowanie układowe S7 Plus PLCUstawienia typu komunikatu wartości przykładowychPodejrzenie nielegalnego skanowania integralności *Wykryto skanowanie na urządzeniu źródłowym DNP3 (outstation). To skanowanie nie było autoryzowane jako poznany ruch w sieci. SkanowanieToshiba Computer Link Brak autoryzacji poleceniaMałyNieautoryzowana operacja pliku totalflow abbNieautoryzowana operacja rejestracji totalflow abbNieautoryzowany dostęp do bloku danych Siemens S7Urządzenie źródłowe próbowało uzyskać dostęp do zasobu na innym urządzeniu. Próba dostępu do tego zasobu między tymi dwoma urządzeniami nie została autoryzowana jako poznany ruch w sieci. Taktyki:
  - Zaburzenia kontroli procesu
  - Dostęp początkowy

  Technik:
  - T0855: Komunikat polecenia nieautoryzowanego
  - T0811: Dane z repozytoriów informacji

  Nieautoryzowany dostęp do obiektu Siemens S7 PlusTaktyki:
  - Zaburzenia kontroli procesu
  -Wykonanie
  - Hamuj funkcję odpowiedzi

  Technik:
  - T0855: Komunikat polecenia nieautoryzowanego
  - T0821: Modyfikowanie zadań kontrolera
  - T0809: Niszczenie danych

  Nieautoryzowany dostęp do tagu WonderwareTaktyki:
  -Kolekcji
  - Zaburzenia kontroli procesu

  Technik:
  - T0861: Identyfikacja tagu punktu &
  - T0855: Brak autoryzacji komunikat polecenia

  Nieautoryzowany dostęp do obiektu BACNetNieautoryzowana trasa BACNetLogowanie nieautoryzowanej bazy danych *Wykryto próbę logowania między klientem źródłowym a serwerem docelowym. Komunikacja między tymi urządzeniami nie została autoryzowana jako poznany ruch w sieci. Taktyki:
  - Ruch boczny
  -Trwałości
  -Kolekcji

  Technik:
  - T0859: Prawidłowe konta
  - T0811: Dane z repozytoriów informacji

  Operacja nieautoryzowanej bazy danychNietypowe zachowanie komunikacjiTaktyki:
  - Kontrola procesu upośledzonego
  - Dostęp początkowy

  Technik:
  - T0855: Brak autoryzacji komunikat polecenia
  - T0811: Dane z repozytoriów informacji

  Nieautoryzowana operacja EMerson ROCNieautoryzowany dostęp do plików GE SRTPTaktyki:
  -Kolekcji
  - LateralMovement
  -Trwałości

  Technik:
  - T0801: Monitorowanie stanu procesu
  - T0859: Prawidłowe konta

  Nieautoryzowane polecenie protokołu GE SRTPTaktyki:
  - Kontrola procesu upośledzonego

  Technik:
  - T0855: Brak autoryzacji komunikat polecenia
  - T0821: Modyfikowanie zadań kontrolera

  Nieautoryzowana operacja pamięci systemowej GE SRTPTaktyki:
  -Odnajdywania
  - Kontrola procesu upośledzonego

  Technik:
  - T0846: Zdalne odnajdywanie systemu
  - T0855: Brak autoryzacji komunikat polecenia

  Nieautoryzowane działanie HTTPTaktyki:
  - Dostęp początkowy
  - Sterowanie i sterowanie

  Technik:
  - T0822: Zewnętrzne usługi zdalne
  - T0869: Standardowy protokół warstwy aplikacji

  Nieautoryzowana akcja protokołu HTTP SOAP *Taktyki:
  - Sterowanie i sterowanie
  -Wykonanie

  Technik:
  - T0869: Standardowy protokół warstwy aplikacji
  - T0871: Wykonywanie za pośrednictwem interfejsu API

  Nieautoryzowany agent użytkownika HTTP *Wykryto nieautoryzowaną aplikację na urządzeniu źródłowym. Aplikacja nie została autoryzowana jako poznana aplikacja w sieci. Taktyki:
  - Sterowanie i sterowanie

  Technik:
  - T0869: Standardowy protokół warstwy aplikacji

  Wykryto nieautoryzowaną łączność z InternetemNieautoryzowane polecenie Mitsubishi MELSECNieautoryzowany dostęp do programu MMSProgramowaniaNieautoryzowana usługa MMSNieautoryzowane połączenie multiemisji/emisjiWykryto połączenie multiemisji/emisji między urządzeniem źródłowym a innymi urządzeniami. Komunikacja multiemisji/emisji nie jest autoryzowana. Kwerenda o nieautoryzowaną nazwęNieautoryzowane działanie OPC UANieautoryzowane żądanie/odpowiedź OPC UAWykryto nieautoryzowaną operację przez regułę zdefiniowaną przez użytkownikaWykryto ruch między dwoma urządzeniami. To działanie jest nieautoryzowane na podstawie niestandardowej reguły alertu zdefiniowanej przez użytkownika. Alerty niestandardoweOdczyt konfiguracji nieautoryzowanego sterownika PLCUrządzenie źródłowe nie jest zdefiniowane jako urządzenie programistyczne, ale wykonało operację odczytu/zapisu na kontrolerze docelowym. Zmiany programowania powinny być wykonywane tylko przez urządzenia programistyczne. Na tym urządzeniu mogła zostać zainstalowana aplikacja programistycka. Taktyki:
  -Kolekcji

  Technik:
  - T0801: Monitorowanie stanu procesu

  Zapis konfiguracji nieautoryzowanego sterownika PLCUrządzenie źródłowe wysłało polecenie do odczytu/zapisu programu kontrolera docelowego. To działanie nie było wcześniej widoczne. Taktyki:
  - Kontrola procesu upośledzonego
  -Trwałości
  -Wpływ

  Technik:
  - T0839: Oprogramowanie układowe modułu
  - T0831: Manipulowanie kontrolką
  - T0889: Modyfikowanie programu

  Przekazywanie nieautoryzowanego programu PLCTaktyki:
  - Kontrola procesu upośledzonego
  -Trwałości
  -Kolekcji

  Technik:
  - T0839: Oprogramowanie układowe modułu
  - T0845: Przekazywanie programu

  Nieautoryzowane programowanie PLCTaktyki:
  - Kontrola procesu upośledzonego
  -Trwałości
  - Ruch boczny

  Technik:
  - T0839: Oprogramowanie układowe modułu
  - T0889: Modyfikowanie programu
  - T0843: Pobieranie programu

  Nieautoryzowany typ ramki ProfinetNieautoryzowane polecenie S-Bus SAIANieautoryzowany Siemens S7 wykonywanie funkcji sterującejTaktyki:
  - Kontrola procesu upośledzonego
  - Hamuj funkcję odpowiedzi

  Technik:
  - T0855: Komunikat polecenia nieautoryzowanego
  - T0809: Niszczenie danych

  Nieautoryzowane wykonywanie funkcji zdefiniowanej przez użytkownika firmy Siemens S7Taktyki:
  - Zaburzenia kontroli procesu
  -Wykonanie

  Technik:
  - T0836: Modyfikowanie parametru
  - T0863: Wykonywanie użytkownika

  Nieautoryzowany siemens S7 plus blokuj dostępTaktyki:
  - Hamuj funkcję odpowiedzi
  -Trwałości
  -Wykonanie

  Technik:
  - T0803 — Blokuj komunikat polecenia
  - T0889: Modyfikowanie programu
  - T0821: Modyfikowanie zadań kontrolera

  Nieautoryzowana operacja Siemens S7 PlusTaktyki:
  - Zaburzenia kontroli procesu
  -Wykonanie

  Technik:
  - T0855: Komunikat polecenia nieautoryzowanego
  - T0863: Wykonywanie użytkownika

  Nieautoryzowane logowanie za pomocą protokołu SMBTaktyki:
  - Dostęp początkowy
  - Ruch poprzeczny
  -Trwałości

  Technik:
  - T0886: Usługi zdalne
  - T0859: Prawidłowe konta

  Nieautoryzowana operacja SNMPTaktyki:
  -Odnajdywania
  - Sterowanie i sterowanie

  Technik:
  - T0842: Wąchanie sieci
  - T0885: powszechnie używany port

  Nieautoryzowany dostęp za pomocą protokołu SSHDostęp zdalnyTaktyki:
  - InitialAccess
  - Ruch poprzeczny
  - Sterowanie i sterowanie

  Technik:
  - T0886: Usługi zdalne
  - T0869: Standardowy protokół warstwy aplikacji

  Nieautoryzowany proces systemu WindowsTaktyki:
  -Wykonanie
  - Eskalacja uprawnień
  - Sterowanie i sterowanie

  Technik:
  - T0841: Hakowanie
  - T0885: powszechnie używany port

  Nieautoryzowana usługa systemu WindowsTaktyki:
  - Dostęp początkowy
  - Ruch poprzeczny

  Technik:
  - T0866: Wykorzystywanie usług zdalnych

  Wykryto nowe parametry ruchu. Ta kombinacja parametrów narusza regułę zdefiniowaną przez użytkownikaNiepermitted Modbus Schneider Electric ExtensionNiezatwierdzone użycie typów ASDUNiezatwierdzone użycie kodu funkcji DNP3Nienadzorowane użycie wskazania wewnętrznego (IIN) *Urządzenie źródłowe DNP3 (outstation) zgłosiło wskazanie wewnętrzne (IIN), które nie zostało autoryzowane jako poznany ruch w sieci. Niedozwolone poleceniaNiezatwierdzone użycie kodu funkcji Modbus

  Alerty dotyczące aparatu anomalii

  Uwaga

  Ten artykuł zawiera odwołania do terminu podrzędnego— termin, którego firma Microsoft już nie używa. Po usunięciu terminu z oprogramowania usuniemy go z tego artykułu.

  Alerty aparatu anomalii opisują wykryte anomalie w działaniu sieci.

  Nietypowy wzorzec wyjątku w obiekcie podrzędnym *Wykryto nadmierną liczbę błędów na urządzeniu źródłowym. Ten alert może być wynikiem problemu operacyjnego.

  Próg: 20 wyjątków w ciągu 1 godziny

  Taktyki:
  - Kontrola procesu upośledzonego

  Technik:
  - T0806: Ataki siłowe we/wy

  Nieprawidłowa długość nagłówka HTTP *Urządzenie źródłowe wysłało nietypowy komunikat. Ten alert może wskazywać na próbę ataku na urządzenie docelowe. Nieprawidłowe zachowanie komunikacji HTTPTaktyki:
  - Dostęp początkowy
  - Ruch boczny
  - Sterowanie i sterowanie

  Technik:
  - T0866: Wykorzystywanie usług zdalnych
  - T0869: Standardowy protokół warstwy aplikacji

  Nieprawidłowa liczba parametrów w nagłówku HTTP *Nietypowe zachowanie okresowe w kanale komunikacyjnymWykryto zmianę częstotliwości komunikacji między urządzeniami źródłowymi i docelowymi. Nieprawidłowe kończenie aplikacji *Wykryto nadmierną liczbę poleceń zatrzymania na urządzeniu źródłowym. Ten alert może być wynikiem problemu operacyjnego lub próby manipulowania urządzeniem.

  Próg: 20 poleceń zatrzymania w ciągu 3 godzin

  Taktyki:
  -Trwałości
  -Wpływ

  Technik:
  - T0889: Modyfikowanie programu
  - T0831: Manipulowanie kontrolką

  Nietypowa przepustowość ruchu *Wykryto nietypową przepustowość w kanale. Przepustowość wydaje się być niższa/wyższa niż wcześniej wykryta. Aby uzyskać szczegółowe informacje, należy pracować z widżetem Total Bandwidth (Łączna przepustowość). Anomalie dotyczące przepustowościNietypowa przepustowość ruchu między urządzeniami *Wykryto skanowanie adresówWykryto urządzenie źródłowe skanujące urządzenia sieciowe. To urządzenie nie zostało autoryzowane jako urządzenie skanujące sieć.

  Próg: 50 połączeń z tą samą podsiecią klasy B w ciągu 2 minut

  Wykryto skanowanie adresów ARP *Wykryto urządzenie źródłowe skanujące urządzenia sieciowe przy użyciu protokołu ARP (Address Resolution Protocol). Ten adres urządzenia nie został autoryzowany jako prawidłowy adres skanowania ARP.

  Próg: 40 skanowań w ciągu 6 minut

  Taktyki:
  -Odnajdywania
  -Kolekcji

  Technik:
  - T0842: Wąchanie sieci
  - T0830: Człowiek w środku

  Fałszowanie protokołu ARP *Wykryto nietypową liczbę pakietów w sieci. Ten alert może wskazywać na atak, na przykład atak ARP podszywający się lub atak powodziowy ICMP.

  Próg: 60 pakietów w ciągu 1 minuty

  Taktyki:
  -Kolekcji

  Technik:
  - T0830: Człowiek w środku

  Nadmierne próby logowaniaNa urządzeniu źródłowym wystąpiła nadmierna liczba prób zalogowania się na serwerze docelowym. Ten alert może wskazywać na atak siłowy. Serwer może zostać naruszony przez złośliwego aktora.

  Próg: 20 prób logowania w ciągu 1 minuty

  Taktyki:
  - LateralMovement
  - Zaburzenia kontroli procesu

  Technik:
  - T0812: Poświadczenia domyślne
  - T0806: Atak siłowy we/wy

  Nadmierna liczba sesjiNa urządzeniu źródłowym wystąpiła nadmierna liczba prób zalogowania się na serwerze docelowym. Może to wskazywać na atak siłowy.

  Próg: 50 sesji w ciągu 1 minuty

  Taktyki:
  - Ruch poprzeczny
  - Zaburzenia kontroli procesu

  Technik:
  - T0812: Poświadczenia domyślne
  - T0806: Atak siłowy we/wy

  Nadmierna szybkość ponownego uruchamiania outstation *Wykryto nadmierną liczbę poleceń ponownego uruchamiania na urządzeniu źródłowym. Te alerty mogą być wynikiem problemu operacyjnego lub próby manipulowania urządzeniem.

  Próg: 10 ponownych uruchomień w ciągu 1 godziny

  Uruchom ponownie/zatrzymaj poleceniaTaktyki:
  - Hamuj funkcję odpowiedzi
  - Kontrola procesu upośledzonego

  Technik:
  - T0814: Odmowa usługi
  - T0806: Ataki siłowe we/wy

  Nadmierne próby logowania protokołu SMBUrządzenie źródłowe było widoczne podczas nadmiernej próby logowania na serwerze docelowym.

  Próg: 10 prób logowania w ciągu 10 minut

  Taktyki:
  -Trwałości
  -Wykonanie
  - LateralMovement

  Technik:
  - T0812: Poświadczenia domyślne
  - T0853: Skrypty
  - T0859: Prawidłowe konta

  Powodzie ICMP *Wykryto nietypową liczbę pakietów w sieci. Ten alert może wskazywać na atak, na przykład fałszowanie ARP lub atak powodziowy ICMP.

  Próg: 60 pakietów w ciągu 1 minuty

  Taktyki:
  -Odnajdywania
  -Kolekcji

  Technik:
  - T0842: Sniffing sieci
  - T0830: Człowiek w środku

  Niedozwolona zawartość nagłówka HTTP *Urządzenie źródłowe zainicjowało nieprawidłowe żądanie. Taktyki:
  - Dostęp początkowy
  - LateralMovement

  Technik:
  - T0866: Wykorzystywanie usług zdalnych

  Nieaktywny kanał komunikacji *Kanał komunikacyjny między dwoma urządzeniami był nieaktywny w okresie, w którym zwykle zaobserwowano działanie. Może to wskazywać, że program generujący ten ruch został zmieniony lub program może być niedostępny. Zaleca się przejrzenie konfiguracji zainstalowanego programu i sprawdzenie, czy jest on poprawnie skonfigurowany.

  Próg: 1 minuta

  OdpowiadaćTaktyki:
  - Hamuj funkcję odpowiedzi

  Technik:
  - T0881: Zatrzymanie usługi

  Wykryto skanowanie adresów o długim czasie trwania *Wykryto urządzenie źródłowe skanujące urządzenia sieciowe.

  Próg: 50 połączeń z tą samą podsiecią klasy B w ciągu 10 minut

  Wykryto próbę odgadnięcia hasłaUrządzenie źródłowe było widoczne podczas nadmiernej próby logowania na serwerze docelowym.

  Próg: 100 prób w ciągu 1 minuty

  Taktyki:
  - Ruch boczny

  Technik:
  - T0812: Poświadczenia domyślne
  - T0806: Ataki siłowe we/wy

  Wykryto skanowanie plcWykryto urządzenie źródłowe skanujące urządzenia sieciowe.

  Próg: 10 skanowań w ciągu 2 minut

  Wykryto skanowanie portówWykryto urządzenie źródłowe skanujące urządzenia sieciowe.

  Próg: 25 skanowań w ciągu 2 minut

  Nieoczekiwana długość komunikatuUrządzenie źródłowe wysłało nietypowy komunikat.

  Próg: długość tekstu — 32768

  Taktyki:
  - InitialAccess
  - LateralMovement

  Technik:
  - T0869: Wykorzystywanie usług zdalnych

  Nieoczekiwany ruch dla portu standardowego *Ruch został wykryty na urządzeniu przy użyciu portu zarezerwowanego dla innego protokołu. Taktyki:
  - Sterowanie i sterowanie
  -Odnajdywania

  Technik:
  - T0869: Standardowy protokół warstwy aplikacji
  - T0842: Sniffing sieci

  Alerty aparatu naruszenia protokołu

  Alerty aparatu protokołu opisują wykryte odchylenia w strukturze pakietów lub wartości pól w porównaniu ze specyfikacjami protokołu.

  Nadmierne źle sformułowane pakiety w jednej sesji *Nietypowa liczba źle sformułowanych pakietów wysyłanych z urządzenia źródłowego do urządzenia docelowego. Ten alert może wskazywać na błędną komunikację lub próbę manipulowania docelowym urządzeniem.

  Próg: 2 źle sformułowane pakiety w ciągu 10 minut

  Aktualizacja oprogramowania układowegoUrządzenie źródłowe wysłało polecenie w celu zaktualizowania oprogramowania układowego na urządzeniu docelowym. Sprawdź, czy ostatnie uaktualnienia programowania, konfiguracji i oprogramowania układowego wprowadzone na urządzeniu docelowym są prawidłowe. Kod funkcji nieobsługiwany przez funkcję OutstationUrządzenie docelowe odebrało nieprawidłowe żądanie. Komunikat o niedozwolonej sieci BACNetTaktyki:
  - Kontrola procesu upośledzonego

  Technik:
  - T0855: Brak autoryzacji komunikat polecenia
  - T0836: Modyfikuj parametr

  Próba nielegalnego połączenia na porcie 0Urządzenie źródłowe próbowało nawiązać połączenie z urządzeniem docelowym na numerze portu zero (0). W przypadku protokołu TCP port 0 jest zarezerwowany i nie można go użyć. W przypadku protokołu UDP port jest opcjonalny, a wartość 0 oznacza brak portu. Zwykle nie ma usługi w systemie, który nasłuchuje na porcie 0. To zdarzenie może wskazywać na próbę ataku na urządzenie docelowe lub wskazuje, że aplikacja została nieprawidłowo zaprogramowana. Nielegalna operacja DNP3Taktyki:
  - Dostęp początkowy
  - Ruch boczny

  Technik:
  - T0866: Wykorzystywanie usług zdalnych

  Nielegalna operacja MODBUS (wyjątek zgłoszony przez wzorzec)Nielegalna operacja MODBUS (kod funkcji zero) *Nielegalna wersja protokołu *Taktyki:
  - Dostęp początkowy
  - LateralMovement
  - Kontrola procesu upośledzonego

  Technik:
  - T0820: Usługi zdalne
  - T0836: Modyfikuj parametr

  Nieprawidłowy parametr wysłany do usługi OutstationInicjowanie przestarzałego kodu funkcji (inicjowanie danych)Inicjowanie przestarzałego kodu funkcji (zapisz konfigurację)Wzorzec zażądał potwierdzenia warstwy aplikacjiWyjątek ModbusTaktyki:
  - Hamuj funkcję odpowiedzi

  Technik:
  - T0814: Odmowa usługi

  Urządzenie podrzędne otrzymało nielegalny typ ASDUUrządzenie podrzędne otrzymało nielegalną przyczynę transmisjiUrządzenie podrzędne otrzymało niedozwolony wspólny adresUrządzenie podrzędne otrzymało parametr nielegalnego adresu danych *Parametr wartości niedozwolonych danych odebrany przez urządzenie podrzędne *Urządzenie podrzędne otrzymało nielegalny kod funkcji *Urządzenie podrzędne otrzymało niedozwolony adres obiektu informacjiNieznany obiekt wysłany do usługi OutstationUżycie kodu funkcji zarezerwowanejUżycie nieprawidłowego formatowania według funkcji Outstation ***Użycie flag stanu zarezerwowanego (IIN) **Urządzenie źródłowe DNP3 (outstation) używało zarezerwowanego wskaźnika wewnętrznego 2. 6. Zaleca się sprawdzenie konfiguracji urządzenia.

  Alerty dotyczące aparatu złośliwego oprogramowania

  Alerty aparatu złośliwego oprogramowania opisują wykryte złośliwe działania sieciowe.

  Próba nawiązania połączenia ze znanym złośliwym adresem IPWykryto podejrzane działanie sieciowe. To działanie może być skojarzone z atakiem wykorzystującym metodę używaną przez znane złośliwe oprogramowanie.

  Wyzwalane zarówno przez czujniki sieciowe OT, jak i Enterprise IoT.

  Podejrzenie złośliwego działaniaTaktyki:
  - Dostęp początkowy
  - Sterowanie i sterowanie

  Technik:
  - T0883: Urządzenie dostępne z Internetu
  - T0884: Serwer proxy połączeń

  Nieprawidłowy komunikat SMB (DoublePulsar Backdoor Implant)Wykryto podejrzane działanie sieciowe. Podejrzenie złośliwego oprogramowaniaŻądanie złośliwej nazwy domenyWykryto plik testowy złośliwego oprogramowania — powodzenie EICAR AVPlik testowy EICAR AV został wykryty w ruchu między dwoma urządzeniami (za pośrednictwem dowolnego transportu — TCP lub UDP). Plik nie jest złośliwym oprogramowaniem. Służy do potwierdzenia, że oprogramowanie antywirusowe jest poprawnie zainstalowane. Pokaż, co się stanie, gdy zostanie znaleziony wirus, i sprawdź procedury wewnętrzne i reakcje, gdy znaleziono wirusa. Oprogramowanie antywirusowe powinno wykryć EICAR tak, jakby to był prawdziwy wirus. Podejrzenie złośliwego oprogramowania ConfickerTaktyki:
  - Dostęp początkowy
  -Wpływ

  Technik:
  - T0826: Utrata dostępności
  - T0828: Utrata produktywności i przychodów
  - T0847: Replikacja za pośrednictwem nośnika wymiennego

  Podejrzenie ataku typu "odmowa usługi"Urządzenie źródłowe próbowało zainicjować nadmierną liczbę nowych połączeń z urządzeniem docelowym. Może to wskazywać na atak typu "odmowa usługi" (DOS) na urządzenie docelowe i może przerwać działanie urządzenia, wpłynąć na wydajność i dostępność usługi lub spowodować nieodwracalne błędy.

  Próg: 3000 prób w ciągu 1 minuty

  Podejrzenie złośliwego działaniaWykryto podejrzane działanie sieciowe. To działanie może być skojarzone z atakiem, który wywołał znane "Wskaźniki naruszenia" (IOCs). Metadane alertu powinny być przeglądane przez zespół ds. zabezpieczeń. Taktyki:
  - Ruch boczny

  Technik:
  - T0867: Transfer narzędzi bocznych

  Podejrzenie złośliwego działania (BlackWald)Podejrzenie złośliwego działania (DarkComet)Taktyki:
  -Wpływ

  Technik:
  - T0882: Kradzież informacji operacyjnych

  Podejrzenie złośliwego działania (Duqu)Podejrzenie złośliwej aktywności (płomienia)Taktyki:
  -Kolekcji
  -Wpływ

  Technik:
  - T0882: Kradzież informacji operacyjnych
  - T0811: Dane z repozytoriów informacji

  Podejrzenie złośliwego działania (Havex)Taktyki:
  -Kolekcji
  -Odnajdywania
  - Hamuj funkcję odpowiedzi

  Technik:
  - T0861: Identyfikacja tagów punktów &
  - T0846: Zdalne odnajdywanie systemu
  - T0814: Odmowa usługi

  Podejrzenie złośliwego działania (Karagany)Podejrzenie złośliwej aktywności (LightsOut)Taktyki:
  -Evasion

  Technik:
  - T0849: Maskowanie

  Podejrzenie złośliwego działania (zapytania nazw)Wykryto podejrzane działanie sieciowe.

  Próg: 25 zapytań dotyczących nazw w ciągu 1 minuty

  Taktyki:
  - Sterowanie i sterowanie

  Technik:
  - T0884: Serwer proxy połączeń

  Podejrzenie złośliwej aktywności (Trucizna Ivy)Podejrzenie złośliwego działania (regin)Taktyki:
  - Dostęp początkowy
  - Ruch boczny
  -Wpływ

  Technik:
  - T0866: Wykorzystywanie usług zdalnych
  - T0882: Kradzież informacji operacyjnych

  Podejrzenie złośliwego działania (Stuxnet)Taktyki:
  - Dostęp początkowy
  - Ruch boczny
  -Wpływ

  Technik:
  - T0818: Bezpieczeństwo stacji roboczej inżynieryjnej
  - T0866: Wykorzystywanie usług zdalnych
  - T0831: Manipulowanie kontrolką

  Podejrzenie złośliwego działania (WannaCry) *Taktyki:
  - Dostęp początkowy
  - Ruch boczny

  Technik:
  - T0866: Wykorzystywanie usług zdalnych
  - T0867: Transfer narzędzi bocznych

  Podejrzenie złośliwego oprogramowania NotPetya — wykryto nielegalne parametry protokołu SMBPodejrzenie złośliwego oprogramowania NotPetya — wykryto nielegalną transakcję SMBPodejrzenie zdalnego wykonywania kodu za pomocą programu PsExecTaktyki:
  - Ruch boczny
  - Dostęp początkowy

  Technik:
  - T0866: Wykorzystywanie usług zdalnych

  Podejrzenie zdalnego zarządzania usługami systemu Windows *Taktyki:
  - Dostęp początkowy

  Technik:
  - T0822: NetworkExternal Remote Services

  Wykryto podejrzany plik wykonywalny w punkcie końcowymWykryto podejrzane działanie sieci. Taktyki:
  -Evasion
  - Hamuj funkcję odpowiedzi

  Technik:
  - T0851: Rootkit

  Wykryto podejrzany ruch *Wykryto podejrzane działanie sieci. To działanie może być skojarzone z atakiem, który wyzwolił znane "wskaźniki naruszenia" (IOCs). zabezpieczeńDziałanie tworzenia kopii zapasowej z podpisami antywirusowymiRuch wykryty między urządzeniem źródłowym a docelowym serwerem kopii zapasowej wyzwolił ten alert. Ruch obejmuje kopię zapasową oprogramowania antywirusowego, które może zawierać podpisy złośliwego oprogramowania. Jest to najprawdopodobniej uzasadnione działanie tworzenia kopii zapasowych. Backup

  Alerty aparatu operacyjnego

  Alerty aparatu operacyjnego opisują wykryte zdarzenia operacyjne lub jednostki, które działają nieprawidłowo.

  MITRE ATT&CK
  taktyki i technikiWysłano polecenie S7 Stop PLCUrządzenie źródłowe wysłało polecenie zatrzymania do kontrolera docelowego. Kontroler przestanie działać do momentu wysłania polecenia uruchamiania. Polecenia ponownego uruchamiania/zatrzymywaniaTaktyki:
  - Ruch poprzeczny
  - Uchylanie się od obrony
  -Wykonanie
  - Hamuj funkcję odpowiedzi

  Technik:
  - T0843: Pobieranie programu
  - T0858: Zmienianie trybu operacyjnego
  - T0814: Odmowa usługi

  Operacja BACNet nie powiodła sięSerwer zwrócił kod błędu. Ten alert wskazuje błąd serwera lub nieprawidłowe żądanie klienta. Zły stan urządzenia MMSUsługa MMS Virtual Manufacturing Device (VMD) wysłała komunikat o stanie. Komunikat wskazuje, że serwer może nie być poprawnie skonfigurowany, częściowo operacyjny lub w ogóle nie działa. Problemy operacyjneZmiana konfiguracji urządzenia *Wykryto zmianę konfiguracji na urządzeniu źródłowym. Przepełnienie buforu zdarzeń ciągłych podczas zaświadczania *Na urządzeniu źródłowym wykryto zdarzenie przepełnienia buforu. Zdarzenie może spowodować uszkodzenie danych, awarię programu lub wykonanie złośliwego kodu.

  Próg: 3 wystąpienia w ciągu 10 minut

  Przepełnienie buforuTaktyki:
  - Hamuj funkcję odpowiedzi
  - Zaburzenia kontroli procesu
  -Trwałości

  Technik:
  - T0814: Odmowa usługi
  - T0806: Atak siłowy we/wy
  - T0839: Oprogramowanie układowe modułu

  Resetowanie kontroleraUrządzenie źródłowe wysłało polecenie resetowania do kontrolera docelowego. Kontroler tymczasowo przestał działać i uruchamiał się ponownie automatycznie. Taktyki:
  - Uchylanie się od obrony
  -Wykonanie
  - Hamuj funkcję odpowiedzi

  Technik:
  - T0858: Zmienianie trybu operacyjnego
  - T0814: Odmowa usługi

  Zatrzymaj kontrolerNie można odebrać dynamicznego adresu IP urządzeniaUrządzenie źródłowe jest skonfigurowane do odbierania dynamicznego adresu IP z serwera DHCP, ale nie otrzymało adresu. Oznacza to błąd konfiguracji na urządzeniu lub błąd operacyjny na serwerze DHCP. Zaleca się powiadomienie administratora sieci o zdarzeniuUrządzenie jest podejrzane o odłączenie (brak odpowiedzi)Urządzenie źródłowe nie odpowiedziało na wysłane do niego polecenie. Być może został rozłączony po wysłaniu polecenia.

  Próg: 8 prób w ciągu 5 minut

  Taktyki:
  - Hamuj funkcję odpowiedzi

  Technik:
  - T0881: Zatrzymywanie usługi

  Żądanie usługi EtherNet/IP CIP nie powiodło sięSerwer zwrócił kod błędu. Wskazuje to błąd serwera lub nieprawidłowe żądanie klienta. Polecenie protokołu hermetyzacji EtherNet/IP nie powiodło sięPrzepełnienie buforu zdarzeń w outstationNa urządzeniu źródłowym wykryto zdarzenie przepełnienia buforu. Taktyki:
  - Hamuj funkcję odpowiedzi
  - Zaburzenia kontroli procesu
  -Trwałości

  Technik:
  - T0814: Odmowa usługi
  - T0839: Oprogramowanie układowe modułu

  Oczekiwana operacja tworzenia kopii zapasowej nie została wykonanaOczekiwane działanie tworzenia kopii zapasowej/transferu plików nie wystąpiło między dwoma urządzeniami. Ten alert może wskazywać błędy w procesie tworzenia kopii zapasowej/transferu plików.

  Próg: 100 sekund

  Taktyki:
  - Hamuj funkcję odpowiedzi

  Technik:
  - T0809: Niszczenie danych

  Błąd polecenia GE SRTPPolecenie GE SRTP Stop PLC zostało wysłaneBlok sterowania w systemie GOOSE wymaga dalszej konfiguracjiUrządzenie źródłowe wysłało komunikat GOOSE wskazujący, że urządzenie wymaga uruchomienia. Oznacza to, że blok sterowania GOOSE wymaga dalszej konfiguracji, a komunikaty z systemem GOOSE są częściowo lub całkowicie nieoperacyjne. Taktyki:
  - Kontrola procesu upośledzonego
  - Hamuj funkcję odpowiedzi

  Technik:
  - T0803: Blokuj komunikat polecenia
  - T0821: Modyfikowanie zadań kontrolera

  Konfiguracja zestawu danych usługi GOOSE została zmieniona *Zestaw danych komunikatu (zidentyfikowany przez identyfikator protokołu) został zmieniony na urządzeniu źródłowym. Oznacza to, że urządzenie zgłosi inny zestaw danych dla tego komunikatu. Kontroler Honeywell — nieoczekiwany stanKontroler Honeywell wysłał nieoczekiwany komunikat diagnostyczny wskazujący zmianę stanu. Taktyki:
  -Evasion
  -Wykonanie

  Technik:
  - T0858: Zmienianie trybu operacyjnego

  Błąd klienta HTTP *Nielegalny adres IPSystem wykrył ruch między urządzeniem źródłowym a adresem IP, który jest nieprawidłowym adresem. Może to wskazywać na nieprawidłową konfigurację lub próbę wygenerowania nielegalnego ruchu. Taktyki:
  -Odnajdywania
  - Kontrola procesu upośledzonego

  Technik:
  - T0842: Sniffing sieci
  - T0836: Modyfikuj parametr

  Błąd uwierzytelniania master-slaveProces uwierzytelniania między urządzeniem źródłowym DNP3 (podstawowym) i urządzeniem docelowym (station) nie powiodło się. Taktyki:
  - Ruch boczny
  -Trwałości

  Technik:
  - T0859: Prawidłowe konta

  Żądanie usługi MMS nie powiodło sięSerwer zwrócił kod błędu. Oznacza to błąd serwera lub nieprawidłowe żądanie klienta. Brak wykrytego ruchu w interfejsie czujnikaCzujnik przestał wykrywać ruch sieciowy w interfejsie sieciowym. Ruch czujnikaSerwer OPC UA wzbudził zdarzenie, które wymaga uwagi użytkownikaSerwer OPC UA wysłał powiadomienie o zdarzeniu do klienta. Ten typ zdarzenia wymaga uwagi użytkownikaTaktyki:
  - Hamuj funkcję odpowiedzi

  Technik:
  - T0838: Modyfikowanie ustawień alarmu

  Żądanie usługi OPC UA nie powiodło sięPonowne uruchomieniestationWykryto zimne ponowne uruchomienie na urządzeniu źródłowym. Oznacza to, że urządzenie zostało fizycznie wyłączone i ponownie włączone. Taktyki:
  - Hamuj funkcję odpowiedzi

  Technik:
  - T0816: Ponowne uruchamianie/zamykanie urządzenia

  Często ponowne uruchamianie stacji wychodzącejWykryto nadmierną liczbę zimnych ponownych uruchomień na urządzeniu źródłowym. Oznacza to, że urządzenie zostało fizycznie wyłączone i ponownie włączone zbyt wiele razy.

  Próg: 2 ponowne uruchomienie w ciągu 10 minut

  Taktyki:
  - Hamuj funkcję odpowiedzi

  Technik:
  - T0814: Odmowa usługi
  - T0816: Ponowne uruchamianie/zamykanie urządzenia

  Konfiguracja stacji outstation została zmienionaWykryto uszkodzoną konfigurację stacji outstationTo urządzenie źródłowe DNP3 (przestacja) zgłosiło uszkodzoną konfigurację. Taktyki:
  - Hamuj funkcję odpowiedzi

  Technik:
  - T0809: Zniszczenie danych

  Polecenie Profinet DCP nie powiodło sięProfinet Device Factory ResetUrządzenie źródłowe wysłało polecenie resetowania do ustawień fabrycznych na urządzeniu docelowym Profinet. Polecenie reset usuwa konfiguracje urządzeń Profinet i zatrzymuje jego działanie. Operacja RPC nie powiodła się *Zmieniono konfigurację zestawu danych przykładowych wartości komunikatów *Niepowodzenie nieodzyskiwalne urządzenia podrzędnego *Wykryto nieodwracalny błąd warunku na urządzeniu źródłowym. Ten rodzaj błędu zwykle wskazuje awarię sprzętu lub niepowodzenie wykonania określonego polecenia. Podejrzenie problemów sprzętowych w awariiTaktyki:
  - Hamuj funkcję odpowiedzi

  Technik:
  - T0814: Odmowa usługi
  - T0881: Zatrzymanie usługi

  Podejrzenie, że urządzenie MODBUS nie odpowiadaUrządzenie źródłowe nie odpowiedziało na wysłane do niego polecenie.

  Próg: Minimalna 1 prawidłowa odpowiedź dla co najmniej 3 żądań w ciągu 5 minut

  Ruch wykryty w interfejsie czujnikaCzujnik wznowił wykrywanie ruchu sieciowego w interfejsie sieciowym. Tryb operacyjny PLC został zmienionyTryb operacyjny na tym sterowniku PLC uległ zmianie. Nowy tryb może wskazywać, że sterownik PLC nie jest bezpieczny. Pozostawienie sterownika PLC w niezabezpieczonym trybie operacyjnym może umożliwić przeciwnikom wykonywanie na nim złośliwych działań, takich jak pobieranie programu. W przypadku naruszenia zabezpieczeń sterowników PLC urządzenia i procesy, które współdziałają z nim, mogą mieć wpływ. Może to mieć wpływ na ogólne zabezpieczenia i bezpieczeństwo systemu. Taktyki:
  -Wykonanie
  -Evasion

  Technik:
  - T0858: Zmienianie trybu operacyjnego

  Następne kroki

  Aby uzyskać więcej informacji, zobacz:

• Wyświetlanie alertów w portalu usługi Defender for IoT i zarządzanie nimi (wersja zapoznawcza)
• Wyświetlanie alertów w czujniku
• Przyspieszanie przepływów pracy alertów
• Przekazywanie informacji o alercie
• Praca z alertami w lokalnej konsoli zarządzania
• Dokumentacja interfejsu API zarządzania alertami dla lokalnych konsol zarządzania
• Dokumentacja interfejsu API zarządzania alertami dla czujników monitorowania OT