Microsoft Defender for IoT アラートのリファレンス

この記事では、Microsoft Defender for IoT ネットワーク センサーによって生成されるすべてのアラートのリファレンスを提供します。これには、すべてのアラートの種類と説明の一覧が含まれています。 また、学習可能な状態の詳細については、「 Alert statuses and triaging options」を参照してください。 この参照を使用して、アラートをプレイブック転送ルール、運用テクノロジ (OT) ネットワーク センサーその他のカスタム アクティビティにマップできます。

既定でオフになっている OT アラート

次の表のアスタリスク (*) で示されているように、いくつかのアラートが既定でオフになっています。 OT センサーの管理者ユーザーは、特定の OT ネットワーク センサーの [サポート] ページからアラートを有効または無効にできます。

アラート転送ルールなど、他の場所で参照されているアラートをオフにする場合は、必要に応じてそれらの参照を確実に更新してください。

アラートの重要度

Defender for IoT アラートでは、次の重大度レベルが使用されます。

Azure portal OT センサー 説明
重大 直ちに処理する必要がある悪意のある攻撃を示します。
Medium Major 対処することが重要なセキュリティ上の脅威を示します。
マイナー警告 セキュリティ上の脅威を含む可能性があるか、セキュリティ上の脅威を含まないベースライン動作からの逸脱を示します。

このページのアラートの重大度には、Azure portal に示されている重大度が一覧表示されます。

サポートされているアラートの種類

アラートの種類 [説明]
ポリシー違反アラート 以前に学習したトラフィックからの逸脱がポリシー違反エンジンによって検出されたときにトリガーされます。 例:
- 新しいデバイスが検出された。
- デバイス上に新しい構成が検出された。
- プログラミング デバイスとして定義されていないデバイスによってプログラミングの変更が行われている。
- ファームウェアのバージョンが変更された。
プロトコル違反アラート プロトコル仕様に準拠していないパケット構造またはフィールド値がプロトコル違反エンジンによって検出されたときにトリガーされます。
操作のアラート ネットワークの運用上のインシデントまたはデバイスの誤動作が運用エンジンによって検出されたときにトリガーされます。 たとえば、ネットワーク デバイスが Stop PLC コマンドによって停止された場合、またはセンサーのインターフェイスがトラフィックの監視を停止した場合などです。
マルウェアのアラート 悪意のあるネットワーク アクティビティがマルウェア対策エンジンによって検出されたときにトリガーされます。 たとえば、エンジンにより、Conficker などの既知の攻撃が検出されるなどです。
異常のアラート 異常エンジンによって逸脱が検出されたときにトリガーされます。 たとえば、ネットワークスキャンを実行しているデバイスがスキャンデバイスとして定義されていない場合などです。

Defender for IoT のアラート検出ポリシーは、ビジネスへの影響とネットワーク コンテキストに基づいてアラートをトリガーし、価値の低い IT 関連のアラートを減らすために、さまざまなアラート エンジンを誘導します。 詳細については、「OT/IT 環境での集中アラート」を参照してください。

サポートされているアラートのカテゴリ

各アラートには、次のいずれかのカテゴリがあります。

  • 異常な通信動作
  • 異常な HTTP 通信動作
  • 認証
  • バックアップ
  • 帯域幅の異常
  • バッファー オーバーフロー
  • コマンドの失敗
  • 構成の変更
  • カスタム アラート
  • 検出
  • ファームウェアの変更
  • 無効なコマンド
  • インターネットへのアクセス
  • 操作の失敗
  • 操作上の問題
  • プログラミング
  • リモート アクセス
  • 再起動または停止コマンド
  • スキャン
  • センサー トラフィック
  • 悪意のあるアクティビティの疑い
  • マルウェアの疑い
  • 未承認の通信動作
  • 応答なし

ポリシー エンジンのアラート

ポリシー エンジンのアラートは、検出された学習したベースライン動作からの逸脱を示します。

タイトル 説明 重大度 カテゴリ MITRE ATT&CK
戦術と手法
学習可能
Beckhoff Software Changed(Beckhoff ソフトウェアの変更) ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 Medium ファームウェアの変更 戦術:
- 応答を抑制する関数
-固執

手法:
- T0857: システム ファームウェア
学習可能
Database Login Failed(データベースへのログインに失敗) ソースデバイスから宛先サーバーへのサインイン試行の失敗が検出されました。 これは、人為的なエラーが原因である可能性がありますが、サーバーまたはそのデータを脅かす悪意のある試みを示している可能性もあります。

しきい値: 5 分間でサインイン失敗が 2 回
Medium 認証 戦術:
- 横移動
-徴収

手法:
- T0812: 既定の資格情報
- T0811: 情報リポジトリからのデータ
学習不可
Emerson ROC Firmware Version Changed(Emerson ROC ファームウェアのバージョンの変更) ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 Medium ファームウェアの変更 戦術:
- 応答を抑制する関数
-固執

手法:
- T0857: システム ファームウェア
学習可能
External address within the network communicated with Internet(ネットワーク内の外部アドレスがインターネットと通信) ネットワークの一部として定義されているソース デバイスが、インターネット アドレスと通信しています。 このソースは、インターネット アドレスとの通信が許可されていません。 インターネットへのアクセス 戦術:
- 初期アクセス

手法:
- T0883: インターネット アクセス可能なデバイス
学習可能
Field Device Discovered Unexpectedly(フィールド デバイスを予期せず検出) ネットワーク上で新しいソース デバイスが検出されましたが、承認されていません。 中間 検出 戦術:
-発見

手法:
- T0842: ネットワーク スニッフィング
学習不可
Firmware Change Detected(ファームウェアの変更を検出) ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 Medium ファームウェアの変更 戦術:
- 応答を抑制する関数
-固執

手法:
- T0857: システム ファームウェア
学習不可
Firmware Version Changed(ファームウェアのバージョンの変更) ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 Medium ファームウェアの変更 戦術:
- 応答を抑制する関数
-固執

手法:
- T0857: システム ファームウェア
学習可能
Foxboro I/A Unauthorized Operation(Foxboro I/A の許可されていない操作) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう

手法:
- T0855: 承認されていないコマンド メッセージ
- T0836: パラメーターの変更
学習可能
FTP Login Failed(FTP のログインに失敗) ソースデバイスから宛先サーバーへのサインイン試行の失敗が検出されました。 このアラートは、人為的なエラーが原因である可能性がありますが、サーバーまたはそのデータを脅かす悪意のある試みを示している可能性もあります。 Medium 認証 戦術:
- 横移動
- コマンドとコントロール

手法:
- T0812: 既定の資格情報
- T0869: 標準のアプリケーション層プロトコル
学習不可
関数コードで未許可の例外が発生* ソース デバイス (セカンダリ) から宛先デバイス (プライマリ) に例外が返されました。 Medium コマンドの失敗 戦術:
- 応答を抑制する関数

手法:
- T0835: I/O イメージの操作
学習可能
GOOSE Message Type Settings(GOOSE メッセージの種類の設定) ソース デバイスでメッセージ (プロトコル ID によって識別) の設定が変更されました。 未承認の通信動作 戦術:
- プロセス制御を損なう

手法:
- T0836: パラメーターの変更
学習可能
Honeywell Firmware Version Changed(Honeywell ファームウェアのバージョンの変更) ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 Medium ファームウェアの変更 戦術:
- 応答を抑制する関数
-固執

手法:
- T0857: システム ファームウェア
学習可能
Illegal HTTP Communication(不正な HTTP 通信)* 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 異常な HTTP 通信動作 戦術:
-発見

手法:
- T0846: リモート システムの探索
学習可能
Internet Access Detected(インターネット アクセスの検出) ネットワークの一部として定義されているソース デバイスが、インターネット アドレスと通信しています。 このソースは、インターネット アドレスとの通信が許可されていません。 Medium インターネットへのアクセス 戦術:
- 初期アクセス

手法:
- T0883: インターネット アクセス可能なデバイス
学習可能
Mitsubishi Firmware Version Changed(Mitsubishi ファームウェアのバージョンの変更) ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 Medium ファームウェアの変更 戦術:
- 応答を抑制する関数
-固執

手法:
- T0857: システム ファームウェア
学習可能
Modbus Address Range Violation(Modbus アドレス範囲違反) プライマリ デバイスが、新しいセカンダリ メモリ アドレスへのアクセスを要求しました。 Medium 未承認の通信動作 戦術:
-発見

手法:
- T0842: ネットワーク スニッフィング
学習可能
Modbus Firmware Version Changed(Modbus ファームウェアのバージョンの変更) ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 Medium ファームウェアの変更 戦術:
- 応答を抑制する関数
-固執

手法:
- T0857: システム ファームウェア
学習可能
New Activity Detected - CIP Class(新しいアクティビティの検出 - CIP クラス) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
-発見

手法:
- T0888: リモート システム情報の探索
学習可能
New Activity Detected - CIP Class Service(新しいアクティビティの検出 - CIP クラス サービス) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- 応答を抑制する関数

手法:
- T0836: パラメーターの変更
学習可能
New Activity Detected - CIP PCCC Command(新しいアクティビティの検出 - CIP PCCC コマンド) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- 応答を抑制する関数

手法:
- T0836: パラメーターの変更
学習可能
New Activity Detected - CIP Symbol(新しいアクティビティの検出 - CIP シンボル) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう
- 応答を抑制する関数

手法:
- T0855: 承認されていないコマンド メッセージ
- T0836: パラメーターの変更
学習可能
New Activity Detected - EtherNet/IP I/O Connection(新しいアクティビティの検出 - イーサネットまたは IP I/O 接続) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
-発見
- 応答を抑制する関数

手法:
- T0846: リモート システム検出
- T0835: I/O イメージの操作
学習可能
New Activity Detected - EtherNet/IP Protocol Command(新しいアクティビティの検出 - イーサネットまたは IP プロトコル コマンド) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- 応答を抑制する関数

手法:
- T0836: パラメーターの変更
学習可能
New Activity Detected - GSM Message Code(新しいアクティビティの検出 - GSM メッセージ コード) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- CommandAndControl

手法:
- T0869: 標準のアプリケーション層プロトコル
学習可能
New Activity Detected - LonTalk Command Codes(新しいアクティビティの検出 - LonTalk コマンド コード) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
-徴収
- プロセス制御を損なう

手法:
- T0861 - ポイント & タグ識別
- T0855: 許可されていないコマンド メッセージ
学習可能
New Port Discovery(新しいポートの検出) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 探索 戦術:
- 横移動

手法:
- T0867: 横方向のツール転送
学習可能
New Activity Detected - LonTalk Network Variable(新しいアクティビティの検出 - LonTalk ネットワーク変数) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう

手法:
- T0855: 許可されていないコマンド メッセージ
学習可能
New Activity Detected - Ovation Data Request(新しいアクティビティの検出 - Ovation データ要求) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
-徴収
-発見

手法:
- T0801: プロセスの状態を監視する
- T0888: リモート システム情報の探索
学習可能
New Activity Detected - Read/Write Command (AMS Index Group)(新しいアクティビティの検出 - 読み取り/書き込みコマンド (AMS インデックス グループ)) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 構成の変更 戦術:
- プロセス制御を損なう
- 応答を抑制する関数

手法:
- T0855: 承認されていないコマンド メッセージ
- T0836: パラメーターの変更
学習可能
New Activity Detected - Read/Write Command (AMS Index Offset)(新しいアクティビティの検出 - 読み取り/書き込みコマンド (AMS インデックス オフセット)) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 構成の変更 戦術:
- プロセス制御を損なう
- 応答を抑制する関数

手法:
- T0855: 承認されていないコマンド メッセージ
- T0836: パラメーターの変更
学習可能
New Activity Detected - Unauthorized DeltaV Message Type(新しいアクティビティの検出 - 許可されていない DeltaV のメッセージの種類) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう
-実行

手法:
- T0855: 承認されていないコマンド メッセージ
- T0821: コントローラーのタスクの変更
学習可能
New Activity Detected - Unauthorized DeltaV ROC Operation(新しいアクティビティの検出 - 許可されていない DeltaV の ROC 操作) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう
-実行

手法:
- T0855: 承認されていないコマンド メッセージ
- T0821: コントローラーのタスクの変更
学習可能
New Activity Detected - Unauthorized RPC Message Type(新しいアクティビティの検出 - 許可されていない RPC のメッセージの種類) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう

手法:
- T0855: 許可されていないコマンド メッセージ
学習可能
New Activity Detected - Using AMS Protocol Command(新しいアクティビティの検出 - AMS プロトコル コマンドの使用) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう
- 応答を抑制する関数
-実行

手法:
- T0855: 承認されていないコマンド メッセージ
- T0836: パラメーターの変更
- T0821: コントローラーのタスクの変更
学習可能
New Activity Detected - Using Siemens SICAM Command(新しいアクティビティの検出 - Siemens SICAM コマンドの使用) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう
- 応答を抑制する関数

手法:
- T0855: 承認されていないコマンド メッセージ
- T0836: パラメーターの変更
学習可能
New Activity Detected - Using Suitelink Protocol command(新しいアクティビティの検出 - Suitelink プロトコル コマンドの使用) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう
- 応答を抑制する関数

手法:
- T0855: 承認されていないコマンド メッセージ
- T0836: パラメーターの変更
学習可能
New Activity Detected - Using Suitelink Protocol sessions(新しいアクティビティの検出 - Suitelink プロトコル セッションの使用) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう

手法:
- T0836: パラメーターの変更
学習可能
New Activity Detected - Using Yokogawa VNetIP Command(新しいアクティビティの検出 - Yokogawa VNetIP コマンドの使用) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう
-実行

手法:
- T0855: 承認されていないコマンド メッセージ
- T0821: コントローラーのタスクの変更
学習可能
New Asset Detected(新しい資産の検出) ネットワーク上で新しいソース デバイスが検出されましたが、承認されていません。

このアラートは、OT サブネットで検出されたデバイスに適用されます。 IT サブネットで検出された新しいデバイスでは、アラートはトリガーされません。
中間 検出 戦術:
-発見

手法:
- T0842: ネットワーク スニッフィング
学習可能
New LLDP Device Configuration(新しい LLDP デバイス構成) ネットワーク上で新しいソース デバイスが検出されましたが、承認されていません。 Medium 構成の変更 戦術:
-発見

手法:
- T0842: ネットワーク スニッフィング
学習可能
Omron FINS Unauthorized Command(Omron FINS の許可されていないコマンド) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう

手法:
- T0855: 承認されていないコマンド メッセージ
- T0836: パラメーターの変更
学習可能
S7 Plus PLC Firmware Changed(S7 Plus PLC ファームウェアの変更) ソース デバイスでファームウェアが更新されました。 これは、計画メンテナンス手順など、承認されたアクティビティである可能性があります。 Medium ファームウェアの変更 戦術:
- 応答を抑制する関数
-固執

手法:
- T0857: システム ファームウェア
学習可能
Sampled Values Message Type Settings(サンプリングされた値のメッセージの種類に関する設定) ソース デバイスでメッセージ (プロトコル ID によって識別) の設定が変更されました。 未承認の通信動作 戦術:
- プロセス制御を損なう

手法:
- T0836: パラメーターの変更
学習不可
無効な整合性スキャンの疑い* DNP3 ソース デバイス (Outstation) でスキャンが検出されました。 このスキャンは、ネットワーク上で学習したトラフィックとして許可されていません。 Medium スキャン 戦術:
-発見

手法:
- T0842: ネットワーク スニッフィング
学習可能
Toshiba Computer Link Unauthorized Command(Toshiba コンピューター リンクの許可されていないコマンド) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 未承認の通信動作 戦術:
- プロセス制御を損なう
-実行

手法:
- T0855: 承認されていないコマンド メッセージ
- T0821: コントローラーのタスクの変更
学習可能
Unauthorized ABB Totalflow File Operation(許可されていない ABB Totalflow ファイル操作) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう
-実行

手法:
- T0855: 承認されていないコマンド メッセージ
- T0821: コントローラーのタスクの変更
学習不可
Unauthorized ABB Totalflow Register Operation(許可されていない ABB Totalflow の登録操作) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう
-実行

手法:
- T0855: 承認されていないコマンド メッセージ
- T0821: コントローラーのタスクの変更
学習不可
Unauthorized Access to Siemens S7 Data Block(Siemens S7 データ ブロックへの許可されていないアクセス) ソース デバイスが別のデバイス上のリソースにアクセスしようとしました。 これら 2 つのデバイス間のこのリソースへのアクセス試行は、ネットワーク上の学習トラフィックとして承認されていません。 未承認の通信動作 戦術:
- プロセス制御を損なう
- 初期アクセス

手法:
- T0855: 承認されていないコマンド メッセージ
- T0811: 情報リポジトリからのデータ
学習可能
Unauthorized Access to Siemens S7 Plus Object(Siemens S7 Plus オブジェクトへの許可されていないアクセス) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう
-実行
- 応答を抑制する関数

手法:
- T0855: 承認されていないコマンド メッセージ
- T0821: コントローラー のタスクを変更する
- T0809: データの破壊
学習可能
Unauthorized Access to Wonderware Tag(Wonderware タグへの許可されていないアクセス) ソース デバイスが別のデバイス上のリソースにアクセスしようとしました。 これら 2 つのデバイス間のこのリソースへのアクセス試行は、ネットワーク上の学習トラフィックとして承認されていません。 Medium 未承認の通信動作 戦術:
-徴収
- プロセス制御を損なう

手法:
- T0861: ポイントとタグの識別
- T0855: 許可されていないコマンド メッセージ
学習可能
Unauthorized BACNet Object Access(BACNet オブジェクトへの許可されていないアクセス) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう
-実行

手法:
- T0855: 承認されていないコマンド メッセージ
- T0821: コントローラーのタスクの変更
学習可能
Unauthorized BACNet Route(許可されていない BACNet ルート) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう
-実行

手法:
- T0855: 承認されていないコマンド メッセージ
- T0821: コントローラーのタスクの変更
学習可能
許可されていないデータベース ログイン* ソースクライアントと宛先サーバーの間でサインイン試行が検出されました。 これらのデバイス間の通信は、ネットワーク上の学習トラフィックとして承認されていません。 Medium 認証 戦術:
- 横移動
-固執
-徴収

手法:
- T0859: 有効なアカウント
- T0811: 情報リポジトリからのデータ
学習可能
Unauthorized Database Operation(許可されていないデータベース操作) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 異常な通信動作 戦術:
- プロセス制御を損なう
- 初期アクセス

手法:
- T0855: 承認されていないコマンド メッセージ
- T0811: 情報リポジトリからのデータ
学習可能
Unauthorized Emerson ROC Operation(許可されていない Emerson electric ROC 操作) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう
-実行

手法:
- T0855: 承認されていないコマンド メッセージ
- T0821: コントローラーのタスクの変更
学習可能
Unauthorized GE SRTP File Access(許可されていない GE SRTP ファイル アクセス) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
-徴収
- LateralMovement
-固執

手法:
- T0801: プロセスの状態を監視する
- T0859: 有効なアカウント
学習可能
Unauthorized GE SRTP Protocol Command(許可されていない GE SRTP プロトコル コマンド) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう

手法:
- T0855: 承認されていないコマンド メッセージ
- T0821: コントローラーのタスクの変更
学習可能
Unauthorized GE SRTP System Memory Operation(許可されていない GE SRTP システム メモリ操作) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
-発見
- プロセス制御を損なう

手法:
- T0846: リモート システム検出
- T0855: 許可されていないコマンド メッセージ
学習可能
Unauthorized HTTP Activity(許可されていない HTTP アクティビティ) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 異常な HTTP 通信動作 戦術:
- 初期アクセス
- コマンドとコントロール

手法:
- T0822: 外部リモート サービス
- T0869: 標準のアプリケーション層プロトコル
学習可能
Unauthorized HTTP SOAP Action(許可されていない HTTP SOAP アクション)* 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 異常な HTTP 通信動作 戦術:
- コマンドとコントロール
-実行

手法:
- T0869: 標準アプリケーション層プロトコル
- T0871: API による実行
学習可能
Unauthorized HTTP User Agent(許可されていない HTTP ユーザー エージェント)* ソース デバイスで、許可されていないアプリケーションが検出されました。 アプリケーションは、ネットワーク上の学習済みアプリケーションとして承認されていません。 Medium 異常な HTTP 通信動作 戦術:
- コマンドとコントロール

手法:
- T0869: 標準のアプリケーション層プロトコル
学習可能
Unauthorized Internet Connectivity Detected(不正なインターネット接続の検出) ネットワークの一部として定義されているソース デバイスが、インターネット アドレスと通信しています。 このソースは、インターネット アドレスとの通信が許可されていません。 インターネットへのアクセス 戦術:
- 初期アクセス

手法:
- T0883: インターネット アクセス可能なデバイス
学習可能
Unauthorized Mitsubishi MELSEC Command(許可されていない Mitsubishi MELSEC コマンド) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう
-実行

手法:
- T0855: 承認されていないコマンド メッセージ
- T0821: コントローラーのタスクの変更
学習可能
Unauthorized MMS Program Access(許可されていない MMS プログラム アクセス) ソース デバイスが別のデバイス上のリソースにアクセスしようとしました。 これら 2 つのデバイス間のこのリソースへのアクセス試行は、ネットワーク上の学習トラフィックとして承認されていません。 Medium プログラミング 戦術:
- プロセス制御を損なう
-実行

手法:
- T0855: 承認されていないコマンド メッセージ
- T0821: コントローラーのタスクの変更
学習可能
Unauthorized MMS Service(許可されていない MMS サービス) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう
-実行

手法:
- T0855: 承認されていないコマンド メッセージ
- T0821: コントローラーのタスクの変更
学習可能
Unauthorized Multicast/Broadcast Connection(許可されていないマルチキャスト/ブロードキャスト接続) ソース デバイスと他のデバイスとの間で、マルチキャスト/ブロードキャスト接続が検出されました。 マルチキャスト/ブロードキャスト通信は許可されていません。 異常な通信動作 戦術:
-発見

手法:
- T0842: ネットワーク スニッフィング
学習可能
Unauthorized Name Query(許可されていない名前のクエリ) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 異常な通信動作 戦術:
- プロセス制御を損なう

手法:
- T0836: パラメーターの変更
学習不可
Unauthorized OPC UA Activity(許可されていない OPC UA アクティビティ) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう

手法:
- T0836: パラメーターの変更
学習可能
Unauthorized OPC UA Request/Response(許可されていない OPC UA 要求/応答) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう

手法:
- T0836: パラメーターの変更
学習可能
Unauthorized Operation was detected by a User Defined Rule(ユーザー定義のルールで許可されていない操作を検出) 2 つのデバイス間でトラフィックが検出されました。 このアクティビティは、ユーザーが定義したカスタム アラート ルールに基づいて許可されていません。 Medium カスタム アラート 戦術:
-発見

手法:
- T0842: ネットワーク スニッフィング
学習不可
Unauthorized PLC Configuration Read(許可されていない PLC 構成の読み取り) プログラミング デバイスとして定義されていないソース デバイスが、宛先コントローラーで読み取り/書き込み操作を実行しました。 プログラミングの変更は、プログラミング デバイスのみが実行する必要があります。 このデバイスにプログラミング アプリケーションがインストールされている可能性があります。 構成の変更 戦術:
-徴収

手法:
- T0801: プロセス状態の監視
学習可能
Unauthorized PLC Configuration Write(許可されていない PLC 構成の書き込み) ソース デバイスが、宛先コントローラーのプログラムの読み取り/書き込みを行うコマンドを送信しました。 このアクティビティは、以前は検出されませんでした。 Medium 構成の変更 戦術:
- プロセス制御を損なう
-固執
-インパクト

手法:
- T0839: モジュール ファームウェア
- T0831: コントロールの操作
- T0889: プログラムの変更
学習可能
Unauthorized PLC Program Upload(許可されていない PLC プログラム アップロード) ソース デバイスが、宛先コントローラーのプログラムの読み取り/書き込みを行うコマンドを送信しました。 このアクティビティは、以前は検出されませんでした。 Medium プログラミング 戦術:
- プロセス制御を損なう
-固執
-徴収

手法:
- T0839: モジュール ファームウェア
- T0845: プログラムのアップロード
学習可能
Unauthorized PLC Programming(許可されていない PLC プログラミング) プログラミング デバイスとして定義されていないソース デバイスが、宛先コントローラーで読み取り/書き込み操作を実行しました。 プログラミングの変更は、プログラミング デバイスのみが実行する必要があります。 このデバイスにプログラミング アプリケーションがインストールされている可能性があります。 プログラミング 戦術:
- プロセス制御を損なう
-固執
- 横移動

手法:
- T0839: モジュール ファームウェア
- T0889: プログラムの変更
- T0843: プログラムのダウンロード
学習可能
Unauthorized Profinet Frame Type(許可されていない Profinet フレームの種類) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう

手法:
- T0836: パラメーターの変更
学習可能
Unauthorized SAIA S-Bus Command(許可されていない SAIA S-Bus コマンド) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう

手法:
- T0855: 許可されていないコマンド メッセージ
学習可能
Unauthorized Siemens S7 Execution of Control Function(許可されていない、Siemens S7 による制御関数の実行) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう
- 応答を抑制する関数

手法:
- T0855: 承認されていないコマンド メッセージ
- T0809: データの破壊
学習可能
Unauthorized Siemens S7 Execution of User Defined Function(許可されていない、Siemens S7 によるユーザー定義関数の実行) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう
-実行

手法:
- T0836: パラメーターの変更
- T0863: ユーザー実行
学習可能
Unauthorized Siemens S7 Plus Block Access(許可されていない、Siemens S7 Plus によるブロックへのアクセス) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- 応答を抑制する関数
-固執
-実行

手法:
- T0803 - ブロック コマンド メッセージ
- T0889: プログラムの変更
- T0821: コントローラーのタスクの変更
学習可能
Unauthorized Siemens S7 Plus Operation(許可されていない Siemens S7 Plus 操作) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう
-実行

手法:
- T0855: 承認されていないコマンド メッセージ
- T0863: ユーザー実行
学習可能
Unauthorized SMB Login(許可されていない SMB ログイン) ソースクライアントと宛先サーバーの間でサインイン試行が検出されました。 これらのデバイス間の通信は、ネットワーク上の学習トラフィックとして承認されていません。 Medium 認証 戦術:
- 初期アクセス
- 横移動
-固執

手法:
- T0886: リモート サービス
- T0859: 有効なアカウント
学習可能
Unauthorized SNMP Operation(許可されていない SNMP 操作) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 異常な通信動作 戦術:
-発見
- コマンドとコントロール

手法:
- T0842: ネットワーク スニッフィング
- T0885: 使用頻度の高いポート
学習可能
Unauthorized SSH Access(許可されていない SSH アクセス) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium リモート アクセス 戦術:
- InitialAccess
- 横移動
- コマンドとコントロール

手法:
- T0886: リモート サービス
- T0869: 標準のアプリケーション層プロトコル
学習可能
Unauthorized Windows Process(許可されていない Windows プロセス) ソース デバイスで、許可されていないアプリケーションが検出されました。 アプリケーションは、ネットワーク上の学習済みアプリケーションとして承認されていません。 Medium 異常な通信動作 戦術:
-実行
- 特権エスカレーション
- コマンドとコントロール

手法:
- T0841: フック
- T0885: 使用頻度の高いポート
学習可能
Unauthorized Windows Service(許可されていない Windows サービス) ソース デバイスで、許可されていないアプリケーションが検出されました。 アプリケーションは、ネットワーク上の学習済みアプリケーションとして承認されていません。 Medium 異常な通信動作 戦術:
- 初期アクセス
- 横移動

手法:
- T0866: リモート サービスの悪用
学習可能
Unauthorized Operation was detected by a User Defined Rule(ユーザー定義のルールで許可されていない操作を検出) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ユーザー定義のルールに違反します Medium 戦術:
-発見

手法:
- T0842: ネットワーク スニッフィング
学習不可
Unpermitted Modbus Schneider Electric Extension(許可されていない Modbus Schneider Electric 拡張機能) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう

手法:
- T0855: 許可されていないコマンド メッセージ
学習可能
Unpermitted Usage of ASDU Types(ASDU 型の許可されていない使用法) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう

手法:
- T0855: 許可されていないコマンド メッセージ
学習可能
Unpermitted Usage of DNP3 Function Code(DNP3 関数コードの許可されていない使用法) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう

手法:
- T0836: パラメーターの変更
学習可能
内部指示 (IIN) の許可されていない使用法* DNP3 ソース デバイス (Outstation) によって、ネットワーク上で学習したトラフィックとして許可されていない内部指示 (IIN) が報告されました。 Medium 無効なコマンド 戦術:
-発見

手法:
- T0842: ネットワーク スニッフィング
学習可能
Unpermitted Usage of Modbus Function Code(Modbus 関数コードの許可されていない使用法) 新しいトラフィック パラメーターが検出されました。 このパラメーターの組み合わせは、ネットワーク上の学習トラフィックとして承認されていません。 次の組み合わせは許可されていません。 Medium 未承認の通信動作 戦術:
- プロセス制御を損なう

手法:
- T0836: パラメーターの変更
学習可能

異常エンジンのアラート

注意

この記事には、Microsoft が使用しなくなった "スレーブ" という用語への言及が含まれています。 ソフトウェアからこの用語が削除された時点で、この記事から削除します。

異常エンジンのアラートは、ネットワーク アクティビティで検出された異常を示します。

タイトル 説明 重大度 カテゴリ MITRE ATT&CK
戦術と手法
学習可能
スレーブでの異常な例外パターン* ソース デバイスで過剰な数のエラーが検出されました。 このアラートは、運用上の問題の結果である可能性があります。

しきい値: 1 時間で例外が 20 個
異常な通信動作 戦術:
- プロセス制御を損なう

手法:
- T0806: ブルート フォース I/O
学習不可
Abnormal HTTP Header Length(異常な HTTP ヘッダー長)* ソース デバイスが異常なメッセージを送信しました。 このアラートは、宛先デバイスへの攻撃の試行を示している可能性があります。 異常な HTTP 通信動作 戦術:
- 初期アクセス
- 横移動
- コマンドとコントロール

手法:
- T0866: リモート サービスの悪用
- T0869: 標準のアプリケーション層プロトコル
学習可能
Abnormal Number of Parameters in HTTP Header(HTTP ヘッダーのパラメーター数が異常)* ソース デバイスが異常なメッセージを送信しました。 このアラートは、宛先デバイスへの攻撃の試行を示している可能性があります。 異常な HTTP 通信動作 戦術:
- 初期アクセス
- 横移動
- コマンドとコントロール

手法:
- T0866: リモート サービスの悪用
- T0869: 標準のアプリケーション層プロトコル
学習可能
Abnormal Periodic Behavior In Communication Channel(通信チャネルの定期的な動作の異常) ソースと宛先のデバイス間での通信頻度の変化が検出されました。 異常な通信動作 戦術:
-発見

手法:
- T0842: ネットワーク スニッフィング
学習可能
アプリケーションの異常終了* ソース デバイスで過剰な数の stop コマンドが検出されました。 このアラートは、運用上の問題またはデバイスの操作の試行の結果である可能性があります。

しきい値: 3 時間で停止コマンドが 20 個
Medium 異常な通信動作 戦術:
-固執
-インパクト

手法:
- T0889: プログラムの変更
- T0831: コントロールの操作
学習可能
トラフィックの帯域幅が異常* チャネルで異常な帯域幅が検出されました。 帯域幅が、以前に検出されたときより低く/高くなっていると思われます。 詳細については、[帯域幅の合計] ウィジェットを操作してください。 帯域幅の異常 戦術:
-発見

手法:
- T0842: ネットワーク スニッフィング
学習可能
デバイス間のトラフィック帯域幅が異常* チャネルで異常な帯域幅が検出されました。 帯域幅が、以前に検出されたときより低く/高くなっていると思われます。 詳細については、[帯域幅の合計] ウィジェットを操作してください。 帯域幅の異常 戦術:
-発見

手法:
- T0842: ネットワーク スニッフィング
学習不可
Address Scan Detected(アドレスのスキャンを検出) ソース デバイスで、ネットワーク デバイスのスキャンが検出されました。 このデバイスは、ネットワーク スキャン デバイスとして承認されていません。

しきい値: 2 分間で同じ B クラス サブネットへの接続が 50 回
スキャン 戦術:
-発見

手法:
- T0842: ネットワーク スニッフィング
学習可能
ARP アドレスのスキャンを検出* ソース デバイスで、アドレス解決プロトコル (ARP) を使用したネットワーク デバイスのスキャンが検出されました。 このデバイス アドレスは、有効な ARP スキャン アドレスとして承認されていません。

しきい値: 6 分間でスキャンが 40 回
スキャン 戦術:
-発見
-徴収

手法:
- T0842: ネットワーク スニッフィング
- T0830: アクティブな中間者
学習可能
ARP スプーフィング* ネットワークで異常な数のパケットが検出されました。 このアラートは、ARP スプーフィングや ICMP フラッド攻撃などの攻撃を示している可能性があります。

しきい値: 1 分間でパケットが 60 個
異常な通信動作 戦術:
-徴収

手法:
- T0830: アクティブな中間者
学習不可
Excessive Login Attempts(過剰なログイン試行) ソースデバイスで、宛先サーバーへのサインイン試行が過剰に行われていることが検出されました。 このアラートは、ブルート フォース攻撃を示している可能性があります。 悪意のあるアクターによってサーバーが侵害される可能性があります。

しきい値: 1 分間でサインイン試行が 20 回
認証 戦術:
- LateralMovement
- プロセス制御を損なう

手法:
- T0812: 既定の資格情報
- T0806: ブルート フォース I/O
学習不可
Excessive Number of Sessions(過剰な数のセッション) ソースデバイスで、宛先サーバーへのサインイン試行が過剰に行われていることが検出されました。 これはブルート フォース攻撃を示している可能性があります。 悪意のあるアクターによってサーバーが侵害される可能性があります。

しきい値: 1 分間でセッションが 50 回
異常な通信動作 戦術:
- 横移動
- プロセス制御を損なう

手法:
- T0812: 既定の資格情報
- T0806: ブルート フォース I/O
学習不可
Outstation の過剰な再起動率* ソース デバイスで過剰な数の restart コマンドが検出されました。 これらのアラートは、運用上の問題またはデバイスの操作の試行の結果である可能性があります。

しきい値: 1 時間で再起動が 10 回
Medium 再起動または停止コマンド 戦術:
- 応答を抑制する関数
- プロセス制御を損なう

手法:
- T0814: サービス拒否
- T0806: ブルート フォース I/O
学習不可
Excessive SMB login attempts(過剰な SMB ログイン試行) ソースデバイスで、宛先サーバーへのサインイン試行が過剰に行われていることが検出されました。 これはブルート フォース攻撃を示している可能性があります。 悪意のあるアクターによってサーバーが侵害される可能性があります。

しきい値: 10 分間でサインイン試行が 10 回
認証 戦術:
-固執
-実行
- LateralMovement

手法:
- T0812: 既定の資格情報
- T0853: スクリプト
- T0859: 有効なアカウント
学習不可
ICMP フラッディング* ネットワークで異常な数のパケットが検出されました。 このアラートは、ARP スプーフィングや ICMP フラッド攻撃などの攻撃を示している可能性があります。

しきい値: 1 分間でパケットが 60 個
異常な通信動作 戦術:
-発見
-徴収

手法:
- T0842: ネットワーク スニッフィング
- T0830: アクティブな中間者
学習不可
Illegal HTTP Header Content(無効な HTTP ヘッダー コンテンツ)* ソース デバイスで無効な要求が開始されました。 異常な HTTP 通信動作 戦術:
- 初期アクセス
- LateralMovement

手法:
- T0866: リモート サービスの悪用
学習不可
非アクティブな通信チャネル* 通常はアクティビティが観察される期間中に、2 つのデバイス間の通信チャネルが非アクティブでした。 これは、このトラフィックを生成しているプログラムが変更されたか、プログラムが使用できない可能性があることを示している可能性があります。 インストールされているプログラムの構成を確認し、適切に構成されていることを確認することをお勧めします。

しきい値: 1 分
応答なし 戦術:
- 応答を抑制する関数

手法:
- T0881: サービス停止
lernable ではない
長時間のアドレス スキャンを検出* ソース デバイスで、ネットワーク デバイスのスキャンが検出されました。 このデバイスは、ネットワーク スキャン デバイスとして承認されていません。

しきい値: 10 分間で同じ B クラス サブネットへの 接続が 50 回
スキャン 戦術:
-発見

手法:
- T0842: ネットワーク スニッフィング
学習可能
Password Guessing Attempt Detected(パスワード推測の試みを検出) ソースデバイスで、宛先サーバーへのサインイン試行が過剰に行われていることが検出されました。 これはブルート フォース攻撃を示している可能性があります。 悪意のあるアクターによってサーバーが侵害される可能性があります。

しきい値: 1 分間でログイン試行が 100 回
認証 戦術:
- 横移動

手法:
- T0812: 既定の資格情報
- T0806: ブルート フォース I/O
学習不可
PLC Scan Detected(PLC スキャンの検出) ソース デバイスで、ネットワーク デバイスのスキャンが検出されました。 このデバイスは、ネットワーク スキャン デバイスとして承認されていません。

しきい値: 2 分間でスキャンが 10 回
スキャン 戦術:
-発見

手法:
- T0842: ネットワーク スニッフィング
学習可能
Port Scan Detected(ポートのスキャンを検出) ソース デバイスで、ネットワーク デバイスのスキャンが検出されました。 このデバイスは、ネットワーク スキャン デバイスとして承認されていません。

しきい値: 2 分間スキャンが 25 回
スキャン 戦術:
-発見

手法:
- T0842: ネットワーク スニッフィング
学習可能
Unexpected message length(予期しないメッセージ長) ソース デバイスが異常なメッセージを送信しました。 このアラートは、宛先デバイスへの攻撃の試行を示している可能性があります。

しきい値: テキスト長さ - 32768
異常な通信動作 戦術:
- InitialAccess
- LateralMovement

手法:
- T0869: リモート サービスの悪用
学習不可
標準ポートの予期しないトラフィック* デバイスで、別のプロトコル用に予約されているポートを使用するトラフィックが検出されました。 Medium 異常な通信動作 戦術:
- コマンドとコントロール
-発見

手法:
- T0869: 標準アプリケーション層プロトコル
- T0842: ネットワーク スニッフィング
学習不可

プロトコル違反エンジンのアラート

プロトコル エンジンのアラートは、パケット構造内の検出された偏差、またはプロトコル仕様と比較したフィールド値を示します。

タイトル 説明 重大度 カテゴリ MITRE ATT&CK
戦術と手法
学習可能
形式に誤りがあるパケットが 1 つのセッション内に大量に存在* 形式に誤りがある異常な数のパケットが、ソース デバイスから宛先デバイスに送信されました。 このアラートは、誤った通信、またはターゲット デバイスの操作が試みられたことを示している可能性があります。

しきい値: 10 分間で形式が正しくないパケットが 2 個
Medium 無効なコマンド 戦術:
- プロセス制御を損なう

手法:
- T0806: ブルート フォース I/O
学習不可
ファームウェアの更新 ソース デバイスが、宛先デバイスのファームウェアを更新するコマンドを送信しました。 宛先デバイスに対して行われた最近のプログラミング、構成、ファームウェアのアップグレードが有効であることを確認してください。 ファームウェアの変更 戦術:
- 応答を抑制する関数
-固執

手法:
- T0857: システム ファームウェア
学習可能
Function Code Not Supported by Outstation(Outstation でサポートされていない関数コード) 宛先デバイスが無効な要求を受信しました。 Medium 無効なコマンド 戦術:
- プロセス制御を損なう

手法:
- T0855: 許可されていないコマンド メッセージ
学習不可
Illegal BACNet message(無効な BACNet メッセージ) ソース デバイスで無効な要求が開始されました。 Medium 無効なコマンド 戦術:
- プロセス制御を損なう

手法:
- T0855: 承認されていないコマンド メッセージ
- T0836: パラメーターの変更
学習不可
Illegal Connection Attempt on Port 0(ポート 0 での無効な接続試行) ソース デバイスがポート番号ゼロ (0) で宛先デバイスに接続しようとしました。 TCP では、ポート 0 は予約されているため、使用できません。 UDP の場合、ポートは任意であり、値 0 はポートがないことを意味します。 通常、システム上にポート 0 でリッスンするサービスはありません。 このイベントは、宛先デバイスを攻撃しようとしたことを示す場合や、アプリケーションが正しくプログラムされていないことを示している可能性があります。 無効なコマンド 戦術:
- プロセス制御を損なう

手法:
- T0855: 承認されていないコマンド メッセージ
- T0836: パラメーターの変更
学習不可
Illegal DNP3 Operation(無効な DNP3 操作) ソース デバイスで無効な要求が開始されました。 Medium 無効なコマンド 戦術:
- 初期アクセス
- 横移動

手法:
- T0866: リモート サービスの悪用
学習不可
Illegal MODBUS Operation (Exception Raised by Master)(無効な MODBUS 操作 (マスターによって示された例外)) ソース デバイスで無効な要求が開始されました。 Medium 無効なコマンド 戦術:
- 初期アクセス
- 横移動

手法:
- T0866: リモート サービスの悪用
学習不可
無効な MODBUS 操作 (関数コード ゼロ)* ソース デバイスで無効な要求が開始されました。 Medium 無効なコマンド 戦術:
- 初期アクセス
- 横移動

手法:
- T0866: リモート サービスの悪用
学習不可
無効なプロトコル バージョン* ソース デバイスで無効な要求が開始されました。 Medium 無効なコマンド 戦術:
- 初期アクセス
- LateralMovement
- プロセス制御を損なう

手法:
- T0820: リモート サービス
- T0836: パラメーターの変更
学習不可
Incorrect Parameter Sent to Outstation(正しくないパラメーターを Outstation に送信) 宛先デバイスが無効な要求を受信しました。 Medium 無効なコマンド 戦術:
- プロセス制御を損なう

手法:
- T0855: 承認されていないコマンド メッセージ
- T0836: パラメーターの変更
学習不可
Initiation of an Obsolete Function Code (Initialize Data)(古い関数コード (InitializeData) の開始) ソース デバイスで無効な要求が開始されました。 無効なコマンド 戦術:
- プロセス制御を損なう

手法:
- T0855: 許可されていないコマンド メッセージ
学習不可
Initiation of an Obsolete Function Code (Save Config)(古い関数コード (SaveConfig) の開始) ソース デバイスで無効な要求が開始されました。 無効なコマンド 戦術:
- プロセス制御を損なう

手法:
- T0855: 許可されていないコマンド メッセージ
学習不可
Master Requested an Application Layer Confirmation(マスターがアプリケーション レイヤーの確認を要求) ソース デバイスで無効な要求が開始されました。 無効なコマンド 戦術:
- コマンドとコントロール

手法:
- T0869: 標準のアプリケーション層プロトコル
学習不可
Modbus Exception(Modbus の例外) ソース デバイス (セカンダリ) から宛先デバイス (プライマリ) に例外が返されました。 Medium 無効なコマンド 戦術:
- 応答を抑制する関数

手法:
- T0814: サービス拒否
学習不可
Slave Device Received Illegal ASDU Type(スレーブ デバイスが無効な ASDU 型を受信) 宛先デバイスが無効な要求を受信しました。 Medium 無効なコマンド 戦術:
- プロセス制御を損なう

手法:
- T0836: パラメーターの変更
学習不可
Slave Device Received Illegal Command Cause of Transmission(スレーブ デバイスが無効なコマンドの Cause of Transmission を受信) 宛先デバイスが無効な要求を受信しました。 Medium 無効なコマンド 戦術:
- プロセス制御を損なう

手法:
- T0855: 承認されていないコマンド メッセージ
- T0836: パラメーターの変更
学習不可
Slave Device Received Illegal Common Address(スレーブ デバイスが無効な共通アドレスを受信) 宛先デバイスが無効な要求を受信しました。 Medium 無効なコマンド 戦術:
- プロセス制御を損なう

手法:
- T0855: 承認されていないコマンド メッセージ
- T0836: パラメーターの変更
学習不可
スレーブ デバイスが無効なデータ アドレス パラメーターを受信* 宛先デバイスが無効な要求を受信しました。 Medium 無効なコマンド 戦術:
- プロセス制御を損なう

手法:
- T0855: 承認されていないコマンド メッセージ
- T0836: パラメーターの変更
学習不可
スレーブ デバイスが無効なデータ値パラメーターを受信* 宛先デバイスが無効な要求を受信しました。 Medium 無効なコマンド 戦術:
- プロセス制御を損なう

手法:
- T0855: 承認されていないコマンド メッセージ
- T0836: パラメーターの変更
学習不可
スレーブ デバイスが無効な関数コードを受信* 宛先デバイスが無効な要求を受信しました。 Medium 無効なコマンド 戦術:
- プロセス制御を損なう

手法:
- T0855: 承認されていないコマンド メッセージ
- T0836: パラメーターの変更
学習不可
Slave Device Received Illegal Information Object Address(スレーブ デバイスが無効な情報オブジェクト アドレスを受信) 宛先デバイスが無効な要求を受信しました。 Medium 無効なコマンド 戦術:
- プロセス制御を損なう

手法:
- T0855: 承認されていないコマンド メッセージ
- T0836: パラメーターの変更
学習不可
Unknown Object Sent to Outstation(不明なオブジェクトを Outstation に送信) 宛先デバイスが無効な要求を受信しました。 Medium 無効なコマンド 戦術:
- プロセス制御を損なう

手法:
- T0855: 許可されていないコマンド メッセージ
学習不可
Usage of a Reserved Function Code(予約済み関数コードの使用) ソース デバイスで無効な要求が開始されました。 Medium 無効なコマンド 戦術:
- プロセス制御を損なう

手法:
- T0836: パラメーターの変更
学習不可
Outstation による不適切な書式設定の使用* ソース デバイスで無効な要求が開始されました。 無効なコマンド 戦術:
- プロセス制御を損なう

手法:
- T0855: 許可されていないコマンド メッセージ
学習不可
予約済み状態フラグ (IIN) の使用 DNP3 ソース デバイス (Outstation) が、予約済みの内部インジケーター 2.6 を使用しています。 デバイスの構成を確認することをお勧めします。 無効なコマンド 戦術:
- プロセス制御を損なう

手法:
- T0836: パラメーターの変更
学習不可

マルウェア対策エンジンのアラート

マルウェア対策エンジンのアラートは、検出された悪意のあるネットワーク アクティビティを示します。

タイトル 説明 重大度 カテゴリ MITRE ATT&CK
戦術と手法
学習可能
Connection Attempt to Known Malicious IP(既知の悪意のある IP に対する接続試行) 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。

OT と Enterprise IoT の両方のネットワーク センサーによってトリガーされます。
Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) 戦術:
- 初期アクセス
- コマンドとコントロール

手法:
- T0883: インターネットにアクセスできるデバイス
- T0884: 接続プロキシ
学習不可
Invalid SMB Message (DoublePulsar Backdoor Implant)(無効な SMB メッセージ (DoublePulsar バックドア インプラント)) 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 マルウェアの疑い 戦術:
- 初期アクセス
- LateralMovement

手法:
- T0866: リモート サービスの悪用
学習不可
Malicious Domain Name Request(悪意のあるドメイン名の要求) 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。

OT と Enterprise IoT の両方のネットワーク センサーによってトリガーされます。
Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) 戦術:
- 初期アクセス
- コマンドとコントロール

手法:
- T0883: インターネットにアクセスできるデバイス
- T0884: 接続プロキシ
学習可能
悪意のある URL パス 既知の悪意のある URL パスに対して要求が行われました。 この URL パスに対して行われた要求は、要求を行っているソースが侵害されたことを示している可能性があります。 Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) 戦術:
- 初期アクセス
- コマンドとコントロール

手法:
- T0883: インターネットにアクセスできるデバイス
- T0884: 接続プロキシ
学習不可
Malware Test File Detected - EICAR AV Success(マルウェア テスト ファイルの検出 - EICAR AV 成功) EICAR AV テスト ファイルが 2 つのデバイス間のトラフィック (任意のトランスポート - TCP または UDP 経由) で検出されました。 ファイルがマルウェアではありません。 これは、ウイルス対策ソフトウェアが正しくインストールされていることを確認するために使われます。 これを使用してウイルス検出時の動作を実証し、ウイルス検出時の内部の手順と対応を確認します。 ウイルス対策ソフトウェアは、本物のウイルスであるかのように EICAR を検出します。 Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) 戦術:
-発見

手法:
- T0842: ネットワーク スニッフィング
学習不可
Suspicion of Conficker Malware(Conficker マルウェアの疑い) 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 Medium マルウェアの疑い 戦術:
- 初期アクセス
-インパクト

手法:
- T0826: 可用性の損失
- T0828: 生産性と収益の損失
- T0847: リムーバブル メディアを介した複製
学習不可
Suspicion of Denial Of Service Attack(サービス拒否攻撃の疑い) ソース デバイスが、宛先デバイスへの過剰な数の新規接続を開始しようとしました。 これは、宛先デバイスに対するサービス拒否 (DOS) 攻撃を示し、デバイスの機能を中断したり、パフォーマンスとサービスの可用性に影響を与えたり、回復不能なエラーを引き起こしたりする可能性があります。

しきい値: 1 分間で試行が 3000 回
Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) 戦術:
- 応答を抑制する関数

手法:
- T0814: サービス拒否
学習可能
Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知の "侵害のインジケーター" (IOC) をトリガーした攻撃に関連付けられている可能性があります。 アラート メタデータは、セキュリティ チームが確認する必要があります。 Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) 戦術:
- 横移動

手法:
- T0867: 横方向のツール転送
学習不可
Suspicion of Malicious Activity (BlackEnergy)(悪意のあるアクティビティ (BlackEnergy) の疑い) 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 マルウェアの疑い 戦術:
- コマンドとコントロール

手法:
- T0869: 標準のアプリケーション層プロトコル
学習不可
Suspicion of Malicious Activity (DarkComet)(悪意のあるアクティビティ (DarkComet) の疑い) 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 マルウェアの疑い 戦術:
-インパクト

手法:
- T0882: 運用情報の盗難
学習不可
Suspicion of Malicious Activity (Duqu)(悪意のあるアクティビティ (Duqu) の疑い) 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 マルウェアの疑い 戦術:
-インパクト

手法:
- T0882: 運用情報の盗難
学習不可
Suspicion of Malicious Activity (Flame)(悪意のあるアクティビティ (Flame) の疑い) 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 マルウェアの疑い 戦術:
-徴収
-インパクト

手法:
- T0882: 運用情報の盗難
- T0811: 情報リポジトリからのデータ
学習不可
Suspicion of Malicious Activity (Havex)(悪意のあるアクティビティ (Havex) の疑い) 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 マルウェアの疑い 戦術:
-徴収
-発見
- 応答を抑制する関数

手法:
- T0861: ポイントとタグの識別
- T0846: リモート システム検出
- T0814: サービス拒否
学習不可
Suspicion of Malicious Activity (Karagany)(悪意のあるアクティビティ (Karagany) の疑い) 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 マルウェアの疑い 戦術:
-インパクト

手法:
- T0882: 運用情報の盗難
学習不可
Suspicion of Malicious Activity (LightsOut)(悪意のあるアクティビティ (LightsOut) の疑い) 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 マルウェアの疑い 戦術:
-忌避

手法:
- T0849: マスカレード
学習不可
Suspicion of Malicious Activity (Name Queries)(悪意のあるアクティビティ (名前のクエリ) の疑い) 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。

しきい値: 1 分で名前クエリが 25 回
Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) 戦術:
- コマンドとコントロール

手法:
- T0884: 接続プロキシ
学習不可
Suspicion of Malicious Activity (Poison Ivy)(悪意のあるアクティビティ (Poison Ivy) の疑い) 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 マルウェアの疑い 戦術:
- 初期アクセス
- 横移動

手法:
- T0866: リモート サービスの悪用
学習不可
Suspicion of Malicious Activity (Regin)(悪意のあるアクティビティ (Regin) の疑い) 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 マルウェアの疑い 戦術:
- 初期アクセス
- 横移動
-インパクト

手法:
- T0866: リモート サービスの悪用
- T0882: 運用情報の盗難
学習不可
Suspicion of Malicious Activity (Stuxnet)(悪意のあるアクティビティ (Stuxnet) の疑い) 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 マルウェアの疑い 戦術:
- 初期アクセス
- 横移動
-インパクト

手法:
- T0818: エンジニアリング ワークステーションの侵害
- T0866: リモート サービスの悪用
- T0831: コントロールの操作
学習不可
悪意のあるアクティビティ (WannaCry) の疑い* 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 Medium マルウェアの疑い 戦術:
- 初期アクセス
- 横移動

手法:
- T0866: リモート サービスの悪用
- T0867: 横方向のツール転送
学習不可
Suspicion of NotPetya Malware - Illegal SMB Parameters Detected(NotPetya マルウェアの疑い - 無効な SMB パラメーターの検出) 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 マルウェアの疑い 戦術:
- 初期アクセス
- 横移動

手法:
- T0866: リモート サービスの悪用
学習不可
Suspicion of NotPetya Malware - Illegal SMB Transaction Detected(NotPetya マルウェアの疑い - 無効な SMB トランザクションの検出) 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 マルウェアの疑い 戦術:
- 横移動

手法:
- T0867: 横方向のツール転送
学習不可
Suspicion of Remote Code Execution with PsExec(PsExec によるリモート コード実行の疑い) 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) 戦術:
- 横移動
- 初期アクセス

手法:
- T0866: リモート サービスの悪用
学習不可
リモートでの Windows サービス管理の疑い* 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) 戦術:
- 初期アクセス

手法:
- T0822: ネットワーク外部のリモートサービス
学習不可
Suspicious Executable File Detected on Endpoint(エンドポイントで疑わしい実行可能ファイルを検出) 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知のマルウェアによって使用される方法を悪用する攻撃に関連付けられている可能性があります。 Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) 戦術:
-忌避
- 応答を抑制する関数

手法:
- T0851: ルートキット
学習可能
疑わしいトラフィックの検出* 疑わしいネットワーク アクティビティが検出されました。 このアクティビティは、既知の "侵害のインジケーター" (IOC) をトリガーした攻撃に関連付けられている可能性があります。 アラート メタデータは、セキュリティ チームが確認する必要があります Suspicion of Malicious Activity(悪意のあるアクティビティの疑い) 戦術:
-発見

手法:
- T0842: ネットワーク スニッフィング
学習不可
[Backup Activity with Antivirus Signatures] (ウイルス対策のシグネチャを持つバックアップ アクティビティ) このアラートは、ソース デバイスと宛先のバックアップ サーバーとの間で検出されたトラフィックによってトリガーされました。 ウイルス対策ソフトウェアのバックアップがトラフィックの内容であり、そこにマルウェアのシグネチャが含まれている可能性があります。 これは通常、正当なバックアップ アクティビティと考えられます。 バックアップ 戦術:
-インパクト

手法:
- T0882: 運用情報の盗難
学習不可

運用エンジンのアラート

運用エンジンのアラートは、検出された運用中のインシデントまたは誤動作したエンティティを示します。

タイトル 説明 重大度 カテゴリ MITRE ATT&CK
戦術と手法
学習可能
An S7 Stop PLC Command was Sent(S7 Stop PLC コマンドの送信) ソース デバイスが、宛先コントローラーに stop コマンドを送信しました。 コントローラーは、開始コマンドが送信されるまで動作を停止します。 再起動または停止コマンド 戦術:
- 横移動
- 防御回避
-実行
- 応答を抑制する関数

手法:
- T0843: プログラムのダウンロード
- T0858: 動作モードの変更
- T0814: サービス拒否
学習不可
BACNet Operation Failed(BACNet 操作の失敗) サーバーによってエラー コードが返されました。 このアラートは、サーバー エラーまたはクライアントによる無効な要求を示しています。 Medium コマンドの失敗 戦術:
- プロセス制御を損なう

手法:
- T0855: 許可されていないコマンド メッセージ
学習不可
Bad MMS Device State(無効な MMS デバイスの状態) MMS 仮想製造装置 (VMD) がステータス メッセージを送信しました。 このメッセージは、サーバーが正しく構成されていないか、部分的に動作しているか、まったく動作していない可能性があることを示します。 Medium 操作に関する問題 戦術:
- 応答を抑制する関数

手法:
- T0814: サービス拒否
学習不可
デバイス構成の変更* ソース デバイスで構成の変更が検出されました。 構成の変更 戦術:
- プロセス制御を損なう

手法:
- T0836: パラメーターの変更
学習不可
Outstation での継続的なイベント バッファー オーバーフロー* ソース デバイスでバッファー オーバーフロー イベントが検出されました。 このイベントにより、データの破損、プログラムのクラッシュ、または悪意のあるコードの実行が発生する可能性があります。

しきい値: 10 分缶で 3 回発生
Medium バッファー オーバーフロー 戦術:
- 応答を抑制する関数
- プロセス制御を損なう
-固執

手法:
- T0814: サービス拒否
- T0806: ブルート フォース I/O
- T0839: モジュール ファームウェア
学習不可
Controller Reset(コントローラーのリセット) ソース デバイスが、宛先コントローラーに reset コマンドを送信しました。 コントローラーが一時的に動作を停止し、自動的に再開しました。 再起動または停止コマンド 戦術:
- 防御回避
-実行
- 応答を抑制する関数

手法:
- T0858: 動作モードの変更
- T0814: サービス拒否
学習不可
Controller Stop(コントローラーの停止) ソース デバイスが、宛先コントローラーに stop コマンドを送信しました。 コントローラーは、開始コマンドが送信されるまで動作を停止します。 再起動または停止コマンド 戦術:
- 横移動
- 防御回避
-実行
- 応答を抑制する関数

手法:
- T0843: プログラムのダウンロード
- T0858: 動作モードの変更
- T0814: サービス拒否
学習不可
Device Failed to Receive a Dynamic IP Address(デバイスが動的 IP アドレスの受信に失敗) ソース デバイスは、DHCP サーバーから動的 IP アドレスを受信するように構成されていますが、アドレスを受信しませんでした。 これは、デバイスでの構成エラー、または DHCP サーバーでの操作エラーを示しています。 ネットワーク管理者にこのインシデントについて通知することをお勧めします。 Medium コマンドの失敗 戦術:
-発見

手法:
- T0842: ネットワーク スニッフィング
学習不可
Device is Suspected to be Disconnected (Unresponsive)(デバイスが切断されている可能性あり (応答なし)) ソース デバイスが、送信されたコマンドに応答しませんでした。 コマンドが送信されたときに切断された可能性があります。

しきい値: 5 分間で試行が 8 回
Medium 応答なし 戦術:
- 応答を抑制する関数

手法:
- T0881: サービス停止
学習不可
EtherNet/IP CIP Service Request Failed(イーサネットまたは IP CIP サービス要求失敗) サーバーによってエラー コードが返されました。 これは、サーバー エラーまたはクライアントによる無効な要求を示しています。 Medium コマンドの失敗 戦術:
- プロセス制御を損なう

手法:
- T0855: 許可されていないコマンド メッセージ
学習不可
EtherNet/IP Encapsulation Protocol Command Failed(イーサネットまたは IP カプセル化プロトコル コマンドの失敗) サーバーによってエラー コードが返されました。 これは、サーバー エラーまたはクライアントによる無効な要求を示しています。 Medium コマンドの失敗 戦術:
-徴収

手法:
- T0801: プロセス状態の監視
学習不可
Event Buffer Overflow in Outstation(Outstation のイベント バッファー オーバーフロー) ソース デバイスでバッファー オーバーフロー イベントが検出されました。 このイベントにより、データの破損、プログラムのクラッシュ、または悪意のあるコードの実行が発生する可能性があります。 Medium バッファー オーバーフロー 戦術:
- 応答を抑制する関数
- プロセス制御を損なう
-固執

手法:
- T0814: サービス拒否
- T0839: モジュール ファームウェア
学習不可
Expected Backup Operation Did Not Occur(想定したバックアップ操作の未実行) 想定されていたバックアップ/ファイル転送アクティビティが、2 つのデバイス間で行われませんでした。 このアラートは、バックアップ/ファイル転送プロセスのエラーを示している可能性があります。

しきい値: 100 秒
Medium バックアップ 戦術:
- 応答を抑制する関数

手法:
- T0809: データの破壊
学習可能
GE SRTP Command Failure(GE SRTP コマンドの失敗) サーバーによってエラー コードが返されました。 このアラートは、サーバー エラーまたはクライアントによる無効な要求を示しています。 Medium コマンドの失敗 戦術:
- プロセス制御を損なう

手法:
- T0855: 許可されていないコマンド メッセージ
学習不可
GE SRTP Stop PLC Command was Sent(GE SRTP Stop PLC コマンドの送信) ソース デバイスが、宛先コントローラーに stop コマンドを送信しました。 コントローラーは、開始コマンドが送信されるまで動作を停止します。 再起動または停止コマンド 戦術:
- 横移動
- 防御回避
-実行
- 応答を抑制する関数

手法:
- T0843: プログラムのダウンロード
- T0858: 動作モードの変更
- T0814: サービス拒否
学習不可
GOOSE Control Block Requires Further Configuration(GOOSE コントロール ブロックに追加の構成が必要) ソース デバイスが、そのデバイスにコミッショニングが必要であることを示す GOOSE メッセージを送信しました。 これは、GOOSE コントロール ブロックに追加の構成が必要であり、GOOSE メッセージは部分的または完全に操作不能であることを意味します。 Medium 構成の変更 戦術:
- プロセス制御を損なう
- 応答を抑制する関数

手法:
- T0803: コマンド メッセージをブロックする
- T0821: コントローラーのタスクの変更
学習不可
GOOSE データセットの構成の変更* ソース デバイスでメッセージ (プロトコル ID によって識別) のデータセットが変更されました。 つまり、デバイスはこのメッセージに対して別のデータセットを報告します。 構成の変更 戦術:
- プロセス制御を損なう

手法:
- T0836: パラメーターの変更
学習不可
Honeywell Controller Unexpected Status(Honeywell コントローラーの予期しない状態) Honeywell コントローラーが、状態の変更を示す予期しない診断メッセージを送信しました。 操作に関する問題 戦術:
-忌避
-実行

手法:
- T0858: 動作モードの変更
学習不可
HTTP Client Error(HTTP クライアント エラー)* ソース デバイスで無効な要求が開始されました。 異常な HTTP 通信動作 戦術:
- コマンドとコントロール

手法:
- T0869: 標準のアプリケーション層プロトコル
学習不可
Illegal IP Address(無効な IP アドレス) システムは、ソース デバイスと、無効なアドレスである IP アドレスとの間のトラフィックを検出しました。 これは、構成が間違っているか、無効なトラフィックを生成しようとしたことを示している可能性があります。 異常な通信動作 戦術:
-発見
- プロセス制御を損なう

手法:
- T0842: ネットワーク スニッフィング
- T0836: パラメーターの変更
学習不可
Master-Slave Authentication Error(マスター-スレーブ認証エラー) DNP3 ソース デバイス (プライマリ) と宛先デバイス (Outstation) の間の認証プロセスが失敗しました。 認証 戦術:
- 横移動
-固執

手法:
- T0859: 有効なアカウント
学習不可
MMS Service Request Failed(MMS サービス要求の失敗) サーバーによってエラー コードが返されました。 これは、サーバー エラーまたはクライアントによる無効な要求を示しています。 Medium コマンドの失敗 戦術:
- プロセス制御を損なう

手法:
- T0855: 許可されていないコマンド メッセージ
学習不可
No Traffic Detected on Sensor Interface(センサー インターフェイスでトラフィックが未検出) センサーがネットワーク インターフェイス上のネットワーク トラフィックの検出を停止しました。 センサー トラフィック 戦術:
- 応答を抑制する関数

手法:
- T0881: サービス停止
学習不可
OPC UA Server Raised an Event That Requires User's Attention(OPC UA サーバーによってユーザーの注意を必要とするイベントが発生) OPC UA サーバーが、クライアントにイベント通知を送信しました。 この種類のイベントでは、ユーザーの注意が必要です。 Medium 操作に関する問題 戦術:
- 応答を抑制する関数

手法:
- T0838: アラーム設定の変更
学習不可
OPC UA Service Request Failed(OPC UA サービス要求の失敗) サーバーによってエラー コードが返されました。 これは、サーバー エラーまたはクライアントによる無効な要求を示しています。 Medium コマンドの失敗 戦術:
- プロセス制御を損なう

手法:
- T0855: 許可されていないコマンド メッセージ
学習不可
Outstation Restarted(Outstation の再起動) ソース デバイスでコールド再起動が検出されました。 これは、デバイスが物理的にオフになってから、再度オンになったことを意味します。 再起動または停止コマンド 戦術:
- 応答を抑制する関数

手法:
- T0816: デバイスの再起動/シャットダウン
学習不可
Outstation Restarts Frequently(Outstation の頻繁な再起動) ソース デバイスで過剰な数のコールド再起動が検出されました。 これは、デバイスが物理的にオフになってから再度オンになる動作が、過剰な回数行われたことを意味します。

しきい値: 10 時間で再起動が 2 回
再起動または停止コマンド 戦術:
- 応答を抑制する関数

手法:
- T0814: サービス拒否
- T0816: デバイスの再起動/シャットダウン
学習不可
Outstation's Configuration Changed(Outstation の構成の変更) ソース デバイスで構成の変更が検出されました。 Medium 構成の変更 戦術:
- 応答を抑制する関数
-固執

手法:
- T0857: システム ファームウェア
学習不可
Outstation's Corrupted Configuration Detected(Outstation の破損した構成を検出) この DNP3 ソース デバイス (Outstation) が、破損した構成を報告しました。 Medium 構成の変更 戦術:
- 応答を抑制する関数

手法:
- T0809: データの破壊
学習不可
Profinet DCP Command Failed(Profinet DCP コマンドの失敗) サーバーによってエラー コードが返されました。 これは、サーバー エラーまたはクライアントによる無効な要求を示しています。 Medium コマンドの失敗 戦術:
- プロセス制御を損なう

手法:
- T0855: 許可されていないコマンド メッセージ
学習不可
Profinet Device Factory Reset(Profinet デバイスのファクトリ リセット) ソース デバイスが、Profinet 宛先デバイスに factory reset コマンドを送信しました。 reset コマンドによって Profinet デバイス構成がクリアされ、その操作が停止します。 再起動または停止コマンド 戦術:
- 防御回避
-実行
- 応答を抑制する関数

手法:
- T0858: 動作モードの変更
- T0814: サービス拒否
学習不可
RPC Operation Failed(RCP 操作の失敗)* サーバーによってエラー コードが返されました。 このアラートは、サーバー エラーまたはクライアントによる無効な要求を示しています。 Medium コマンドの失敗 戦術:
- プロセス制御を損なう

手法:
- T0855: 許可されていないコマンド メッセージ
学習不可
サンプリングされた値メッセージ データセットの構成の変更* ソース デバイスでメッセージ (プロトコル ID によって識別) のデータセットが変更されました。 つまり、デバイスはこのメッセージに対して別のデータセットを報告します。 構成の変更 戦術:
- プロセス制御を損なう

手法:
- T0836: パラメーターの変更
学習不可
スレーブ デバイスの回復不能なエラー* ソース デバイスで回復不能状態のエラーが検出されました。 この種類のエラーは通常、ハードウェア障害または特定のコマンドの実行に失敗したことを示します。 Medium コマンドの失敗 戦術:
- 応答を抑制する関数

手法:
- T0814: サービス拒否
学習不可
Suspicion of Hardware Problems in Outstation(Outstation におけるハードウェアの問題の疑い) ソース デバイスで回復不能状態のエラーが検出されました。 この種類のエラーは通常、ハードウェア障害または特定のコマンドの実行に失敗したことを示します。 Medium 操作に関する問題 戦術:
- 応答を抑制する関数

手法:
- T0814: サービス拒否
- T0881: サービス停止
学習不可
Suspicion of Unresponsive MODBUS Device(MODBUS デバイスが無反応である疑い) ソース デバイスが、送信されたコマンドに応答しませんでした。 コマンドが送信されたときに切断された可能性があります。

しきい値: 5 分以内に 3 つ以上の要求に対して有効な応答が 1 回以上
応答なし 戦術:
- 応答を抑制する関数

手法:
- T0881: サービス停止
学習不可
Traffic Detected on Sensor Interface(センサー インターフェイスでトラフィックを検出) センサーがネットワーク インターフェイス上のネットワーク トラフィックの検出を再開しました。 センサー トラフィック 戦術:
-発見

手法:
- T0842: ネットワーク スニッフィング
学習不可
PLC 動作モードの変更 この PLC での動作モードが変更されました。 新しいモードは、PLC がセキュリティで保護されていないことを示している可能性があります。 PLC を安全でない動作モードのままにしておくと、敵対者がプログラムのダウンロードなどの悪意のあるアクティビティを実行できる可能性があります。 PLC が侵害された場合、PLC と対話するデバイスとプロセスが影響を受ける可能性があります。 これは、システムの全体的なセキュリティと安全性に影響する可能性があります。 構成の変更 戦術:
-実行
-忌避

手法:
- T0858: 動作モードの変更
学習不可

次のステップ

詳細については、次を参照してください。