Referência de alerta do Microsoft Defender para IoT
Este artigo fornece uma referência dos alertas gerados pelo Microsoft Defender para sensores de rede IoT, incluindo uma lista de todos os tipos de alerta e descrições. A referência também mostra quais alertas podem ser triados como aprendíveis ou não, para obter mais informações sobre o status aprendível, consulte Status de alerta e opções de triagem. Você pode usar essa referência para mapear alertas em playbooks, definir regras de encaminhamento em um sensor de rede de Tecnologia Operacional (OT) ou outra atividade personalizada.
Alertas OT desativados por padrão
Vários alertas são desativados por padrão, conforme indicado pelos asteriscos (*) nas tabelas abaixo. Os usuários administradores do sensor OT podem ativar ou desativar alertas da página Suporte em um sensor de rede OT específico.
Se você desativar alertas referenciados em outros locais, como regras de encaminhamento de alertas, atualize essas referências conforme necessário.
Gravidade do alerta
Os alertas do Defender for IoT usam os seguintes níveis de gravidade:
| Portal do Azure | Sensor OT | Description |
|---|---|---|
| Alto | Crítico | Indica um ataque mal-intencionado que deve ser tratado imediatamente. |
| Medium | Major: | Indica uma ameaça à segurança que é importante abordar. |
| Baixo | Menor, Advertência | Indica algum desvio do comportamento da linha de base que pode conter uma ameaça à segurança ou não contém ameaças à segurança. |
As gravidades de alerta nesta página listam a gravidade, conforme mostrado no portal do Azure.
Tipos de alerta suportados
| Tipo de alerta | Description |
|---|---|
| Alertas de violação de política | Acionado quando o mecanismo de violação de política deteta um desvio do tráfego aprendido anteriormente. Por exemplo: - Um novo dispositivo é detetado. - Uma nova configuração é detetada em um dispositivo. - Um dispositivo não definido como um dispositivo de programação realiza uma mudança de programação. - Uma versão de firmware alterada. |
| Alertas de violação do protocolo | Acionado quando o mecanismo de violação de protocolo deteta estruturas de pacotes ou valores de campo que não estão em conformidade com a especificação do protocolo. |
| Alertas operacionais | Acionado quando o mecanismo operacional deteta incidentes operacionais de rede ou um mau funcionamento do dispositivo. Por exemplo, um dispositivo de rede foi interrompido através de um comando Stop PLC ou uma interface num sensor parou de monitorizar o tráfego. |
| Alertas de software maligno | Acionado quando o mecanismo de malware deteta atividade maliciosa da rede. Por exemplo, o mecanismo deteta um ataque conhecido, como o Conficker. |
| Alertas de anomalias | Acionado quando o mecanismo de anomalia deteta um desvio. Por exemplo, um dispositivo está executando verificações de rede, mas não está definido como um dispositivo de varredura. |
A política de deteção de alertas do Defender for IoT orienta os diferentes mecanismos de alerta para disparar alertas com base no impacto nos negócios e no contexto da rede e reduzir alertas relacionados a TI de baixo valor. Para obter mais informações, consulte Alertas focados em ambientes OT/IT.
Categorias de alerta suportadas
Cada alerta tem uma das seguintes categorias:
- Comportamento anormal de comunicação
- Comportamento anormal de comunicação HTTP
- Autenticação
- Backup
- Anomalias de largura de banda
- Estouro de buffer
- Falhas de comando
- Alterações de configuração
- Alertas Personalizados
- Deteção
- Alteração de firmware
- Comandos ilegais
- Acesso à Internet
- Falhas de operação
- Problemas operacionais
- Programação
- Acesso remoto
- Comandos Reiniciar/Parar
- Digitalizar
- Tráfego do sensor
- Suspeita de atividade maliciosa
- Suspeita de malware
- Comportamento de comunicação não autorizado
- Sem resposta
Alertas do mecanismo de política
Os alertas do mecanismo de política descrevem os desvios detetados em relação ao comportamento da linha de base aprendido.
| Title | Description | Gravidade | Categoria | MITRE ATT&CK Táticas e técnicas |
Aprendível |
|---|---|---|---|---|---|
| Software Beckhoff Alterado | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. | Médio | Alteração de firmware | Táticas: - Inibir a função de resposta - Persistência Técnicas: - T0857: Firmware do sistema |
Aprendível |
| Falha no login do banco de dados | Foi detetada uma tentativa de início de sessão falhada de um dispositivo de origem para um servidor de destino. Isso pode ser o resultado de erro humano, mas também pode indicar uma tentativa maliciosa de comprometer o servidor ou os dados nele. Limite: 2 falhas de início de sessão em 5 minutos |
Médio | Autenticação | Táticas: - Movimento Lateral - Coleção Técnicas: - T0812: Credenciais padrão - T0811: Dados de Repositórios de Informação |
Não aprendível |
| Versão do firmware Emerson ROC alterada | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. | Médio | Alteração de firmware | Táticas: - Inibir a função de resposta - Persistência Técnicas: - T0857: Firmware do sistema |
Aprendível |
| Endereço externo dentro da rede comunicada com a Internet | Um dispositivo de origem definido como parte da sua rede está se comunicando com endereços da Internet. A fonte não está autorizada a se comunicar com endereços da Internet. | Alto | Acesso à Internet | Táticas: - Acesso Inicial Técnicas: - T0883: Dispositivo acessível pela Internet |
Aprendível |
| Dispositivo de campo descoberto inesperadamente | Um novo dispositivo de origem foi detetado na rede, mas não está autorizado. | Médio | Deteção | Táticas: - Descoberta Técnicas: - T0842: Deteção de rede |
Não aprendível |
| Alteração de firmware detetada | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. | Médio | Alteração de firmware | Táticas: - Inibir a função de resposta - Persistência Técnicas: - T0857: Firmware do sistema |
Não aprendível |
| Versão do firmware alterada | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. | Médio | Alteração de firmware | Táticas: - Inibir a função de resposta - Persistência Técnicas: - T0857: Firmware do sistema |
Aprendível |
| Foxboro I/A Operação não autorizada | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Aprendível |
| Falha no login do FTP | Foi detetada uma tentativa de início de sessão falhada de um dispositivo de origem para um servidor de destino. Esse alerta pode ser o resultado de erro humano, mas também pode indicar uma tentativa maliciosa de comprometer o servidor ou os dados nele. | Médio | Autenticação | Táticas: - Movimento Lateral - Comando e Controlo Técnicas: - T0812: Credenciais padrão - T0869: Protocolo de camada de aplicação padrão |
Não aprendível |
| Código de função gerado exceção não autorizada * | Um dispositivo de origem (secundário) retornou uma exceção para um dispositivo de destino (primário). | Médio | Falhas de comando | Táticas: - Inibir a função de resposta Técnicas: - T0835: Manipular imagem de E/S |
Aprendível |
| Configurações de tipo de mensagem GOOSE | As configurações de mensagem (identificadas pelo ID do protocolo) foram alteradas em um dispositivo de origem. | Baixo | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0836: Modificar parâmetro |
Aprendível |
| Versão do firmware da Honeywell alterada | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. | Médio | Alteração de firmware | Táticas: - Inibir a função de resposta - Persistência Técnicas: - T0857: Firmware do sistema |
Aprendível |
| Comunicação HTTP ilegal * | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento anormal de comunicação HTTP | Táticas: - Descoberta Técnicas: - T0846: Descoberta remota do sistema |
Aprendível |
| Acesso à Internet detetado | Um dispositivo de origem definido como parte da sua rede está se comunicando com endereços da Internet. A fonte não está autorizada a se comunicar com endereços da Internet. | Médio | Acesso à Internet | Táticas: - Acesso Inicial Técnicas: - T0883: Dispositivo acessível pela Internet |
Aprendível |
| Versão de firmware Mitsubishi alterada | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. | Médio | Alteração de firmware | Táticas: - Inibir a função de resposta - Persistência Técnicas: - T0857: Firmware do sistema |
Aprendível |
| Violação do intervalo de endereços Modbus | Um dispositivo primário solicitou acesso a um novo endereço de memória secundária. | Médio | Comportamento de comunicação não autorizado | Táticas: - Descoberta Técnicas: - T0842: Deteção de rede |
Aprendível |
| Versão do firmware Modbus alterada | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. | Médio | Alteração de firmware | Táticas: - Inibir a função de resposta - Persistência Técnicas: - T0857: Firmware do sistema |
Aprendível |
| Nova atividade detetada - classe CIP | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Descoberta Técnicas: - T0888: Descoberta remota de informações do sistema |
Aprendível |
| Nova atividade detetada - Serviço de classe CIP | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Inibir a função de resposta Técnicas: - T0836: Modificar parâmetro |
Aprendível |
| Nova atividade detetada - Comando CIP PCCC | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Inibir a função de resposta Técnicas: - T0836: Modificar parâmetro |
Aprendível |
| Nova atividade detetada - símbolo CIP | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados - Inibir a função de resposta Técnicas: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Aprendível |
| Nova atividade detetada - Conexão de E/S EtherNet/IP | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Descoberta - Inibir a função de resposta Técnicas: - T0846: Descoberta remota do sistema - T0835: Manipular imagem de E/S |
Aprendível |
| Nova atividade detetada - Comando do protocolo EtherNet/IP | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Inibir a função de resposta Técnicas: - T0836: Modificar parâmetro |
Aprendível |
| Nova atividade detetada - Código de mensagem GSM | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - CommandAndControl Técnicas: - T0869: Protocolo de camada de aplicação padrão |
Aprendível |
| Nova atividade detetada - Códigos de comando LonTalk | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Coleção - Controlo de Processos Prejudicados Técnicas: - T0861 - Ponto & Identificação de Tag - T0855: Mensagem de comando não autorizada |
Aprendível |
| Nova descoberta de porta | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Baixo | Deteção | Táticas: - Movimento Lateral Técnicas: - T0867: Transferência de Ferramenta Lateral |
Aprendível |
| Nova atividade detetada - variável de rede LonTalk | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada |
Aprendível |
| Nova atividade detetada - solicitação de dados de ovação | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Coleção - Descoberta Técnicas: - T0801: Estado do processo do monitor - T0888: Descoberta remota de informações do sistema |
Aprendível |
| Nova atividade detetada - comando de leitura/gravação (grupo de índice AMS) | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Alterações de configuração | Táticas: - Controlo de Processos Prejudicados - Inibir a função de resposta Técnicas: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Aprendível |
| Nova atividade detetada - comando de leitura/gravação (deslocamento do índice AMS) | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Alterações de configuração | Táticas: - Controlo de Processos Prejudicados - Inibir a função de resposta Técnicas: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Aprendível |
| Nova atividade detetada - tipo de mensagem DeltaV não autorizada | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados - Execução Técnicas: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Aprendível |
| Nova atividade detetada - operação não autorizada do DeltaV ROC | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados - Execução Técnicas: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Aprendível |
| Nova atividade detetada - tipo de mensagem RPC não autorizada | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada |
Aprendível |
| Nova atividade detetada - Usando o comando do protocolo AMS | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados - Inibir a função de resposta - Execução Técnicas: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro - T0821: Modificar o controle do controlador |
Aprendível |
| Nova atividade detetada - Usando o comando Siemens SICAM | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados - Inibir a função de resposta Técnicas: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Aprendível |
| Nova atividade detetada - Usando o comando Suitelink Protocol | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados - Inibir a função de resposta Técnicas: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Aprendível |
| Nova atividade detetada - Usando sessões do protocolo Suitelink | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0836: Modificar parâmetro |
Aprendível |
| Nova atividade detetada - Usando o comando Yokogawa VNetIP | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados - Execução Técnicas: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Aprendível |
| Novo ativo detetado | Um novo dispositivo de origem foi detetado na rede, mas não está autorizado. Este alerta aplica-se a dispositivos descobertos em sub-redes OT. Novos dispositivos descobertos em sub-redes de TI não disparam um alerta. |
Médio | Deteção | Táticas: - Descoberta Técnicas: - T0842: Deteção de rede |
Aprendível |
| Nova configuração de dispositivo LLDP | Um novo dispositivo de origem foi detetado na rede, mas não está autorizado. | Médio | Alterações de configuração | Táticas: - Descoberta Técnicas: - T0842: Deteção de rede |
Aprendível |
| Comando não autorizado FINS da Omron | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Aprendível |
| Firmware do PLC S7 Plus alterado | O firmware foi atualizado em um dispositivo de origem. Esta pode ser uma atividade autorizada, por exemplo, um procedimento de manutenção planeado. | Médio | Alteração de firmware | Táticas: - Inibir a função de resposta - Persistência Técnicas: - T0857: Firmware do sistema |
Aprendível |
| Valores de amostra Configurações de tipo de mensagem | As configurações de mensagem (identificadas pelo ID do protocolo) foram alteradas em um dispositivo de origem. | Baixo | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0836: Modificar parâmetro |
Não aprendível |
| Suspeita de Verificação de Integridade Ilegal * | Uma varredura foi detetada em um dispositivo de origem DNP3 (outstation). Esta verificação não foi autorizada como tráfego aprendido na sua rede. | Médio | Digitalizar | Táticas: - Descoberta Técnicas: - T0842: Deteção de rede |
Aprendível |
| Toshiba Computer Link Comando não autorizado | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Baixo | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados - Execução Técnicas: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Aprendível |
| Operação não autorizada do arquivo ABB Totalflow | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados - Execução Técnicas: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Não aprendível |
| Operação não autorizada do registro ABB Totalflow | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados - Execução Técnicas: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Não aprendível |
| Acesso não autorizado ao bloco de dados Siemens S7 | Um dispositivo de origem tentou acessar um recurso em outro dispositivo. Uma tentativa de acesso a este recurso entre estes dois dispositivos não é autorizada como tráfego aprendido na sua rede. | Baixo | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados - Acesso Inicial Técnicas: - T0855: Mensagem de comando não autorizada - T0811: Dados de Repositórios de Informação |
Aprendível |
| Acesso não autorizado ao objeto Siemens S7 Plus | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados - Execução - Inibir a função de resposta Técnicas: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador - T0809: Destruição de Dados |
Aprendível |
| Acesso não autorizado à tag Wonderware | Um dispositivo de origem tentou acessar um recurso em outro dispositivo. Uma tentativa de acesso a este recurso entre estes dois dispositivos não é autorizada como tráfego aprendido na sua rede. | Médio | Comportamento de comunicação não autorizado | Táticas: - Coleção - Controlo de Processos Prejudicados Técnicas: - T0861: Ponto & Identificação de Tag - T0855: Mensagem de comando não autorizada |
Aprendível |
| Acesso não autorizado a objetos BACNet | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados - Execução Técnicas: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Aprendível |
| Rota BACNet não autorizada | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados - Execução Técnicas: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Aprendível |
| Login não autorizado no banco de dados * | Foi detetada uma tentativa de início de sessão entre um cliente de origem e um servidor de destino. A comunicação entre esses dispositivos não é autorizada como tráfego aprendido em sua rede. | Médio | Autenticação | Táticas: - Movimento Lateral - Persistência - Coleção Técnicas: - T0859: Contas Válidas - T0811: Dados de Repositórios de Informação |
Aprendível |
| Operação não autorizada do banco de dados | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento anormal de comunicação | Táticas: - Controlo de Processos Prejudicados - Acesso Inicial Técnicas: - T0855: Mensagem de comando não autorizada - T0811: Dados de Repositórios de Informação |
Aprendível |
| Operação ROC não autorizada da Emerson | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados - Execução Técnicas: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Aprendível |
| Acesso não autorizado a arquivos SRTP da GE | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Coleção - Movimento Lateral - Persistência Técnicas: - T0801: Estado do processo do monitor - T0859: Contas Válidas |
Aprendível |
| Comando não autorizado do protocolo GE SRTP | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Aprendível |
| Operação não autorizada da memória do sistema GE SRTP | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Descoberta - Controlo de Processos Prejudicados Técnicas: - T0846: Descoberta remota do sistema - T0855: Mensagem de comando não autorizada |
Aprendível |
| Atividade HTTP não autorizada | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento anormal de comunicação HTTP | Táticas: - Acesso Inicial - Comando e Controlo Técnicas: - T0822: Serviços Remotos Externos - T0869: Protocolo de camada de aplicação padrão |
Aprendível |
| Ação HTTP SOAP não autorizada * | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento anormal de comunicação HTTP | Táticas: - Comando e Controlo - Execução Técnicas: - T0869: Protocolo de camada de aplicação padrão - T0871: Execução através de API |
Aprendível |
| Agente de usuário HTTP não autorizado * | Um aplicativo não autorizado foi detetado em um dispositivo de origem. O aplicativo não está autorizado como um aplicativo aprendido em sua rede. | Médio | Comportamento anormal de comunicação HTTP | Táticas: - Comando e Controlo Técnicas: - T0869: Protocolo de camada de aplicação padrão |
Aprendível |
| Conectividade com a Internet não autorizada detetada | Um dispositivo de origem definido como parte da sua rede está se comunicando com endereços da Internet. A fonte não está autorizada a se comunicar com endereços da Internet. | Alto | Acesso à Internet | Táticas: - Acesso Inicial Técnicas: - T0883: Dispositivo acessível pela Internet |
Aprendível |
| Comando Mitsubishi MELSEC não autorizado | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados - Execução Técnicas: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Aprendível |
| Acesso não autorizado ao programa MMS | Um dispositivo de origem tentou acessar um recurso em outro dispositivo. Uma tentativa de acesso a este recurso entre estes dois dispositivos não é autorizada como tráfego aprendido na sua rede. | Médio | Programação | Táticas: - Controlo de Processos Prejudicados - Execução Técnicas: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Aprendível |
| Serviço MMS não autorizado | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados - Execução Técnicas: - T0855: Mensagem de comando não autorizada - T0821: Modificar o controle do controlador |
Aprendível |
| Conexão Multicast/Broadcast não autorizada | Foi detetada uma ligação Multicast/Broadcast entre um dispositivo de origem e outros dispositivos. A comunicação multicast/broadcast não é autorizada. | Alto | Comportamento anormal de comunicação | Táticas: - Descoberta Técnicas: - T0842: Deteção de rede |
Aprendível |
| Consulta de nome não autorizada | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento anormal de comunicação | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0836: Modificar parâmetro |
Não aprendível |
| Atividade OPC UA não autorizada | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0836: Modificar parâmetro |
Aprendível |
| Solicitação/resposta OPC UA não autorizada | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0836: Modificar parâmetro |
Aprendível |
| A operação não autorizada foi detetada por uma regra definida pelo usuário | Foi detetado tráfego entre dois dispositivos. Essa atividade não é autorizada, com base em uma Regra de Alerta Personalizada definida por um usuário. | Médio | Alertas Personalizados | Táticas: - Descoberta Técnicas: - T0842: Deteção de rede |
Não aprendível |
| Leitura de configuração de PLC não autorizada | O dispositivo de origem não é definido como um dispositivo de programação, mas executou uma operação de leitura/gravação em um controlador de destino. As alterações de programação só devem ser realizadas por dispositivos de programação. Um aplicativo de programação pode ter sido instalado neste dispositivo. | Baixo | Alterações de configuração | Táticas: - Coleção Técnicas: - T0801: Estado do processo do monitor |
Aprendível |
| Gravação de configuração de PLC não autorizada | O dispositivo de origem enviou um comando para ler/gravar o programa de um controlador de destino. Esta atividade não era vista anteriormente. | Médio | Alterações de configuração | Táticas: - Controlo de Processos Prejudicados - Persistência - Impacto Técnicas: - T0839: Firmware do módulo - T0831: Manipulação de Controle - T0889: Modificar Programa |
Aprendível |
| Upload não autorizado do programa PLC | O dispositivo de origem enviou um comando para ler/gravar o programa de um controlador de destino. Esta atividade não era vista anteriormente. | Médio | Programação | Táticas: - Controlo de Processos Prejudicados - Persistência - Coleção Técnicas: - T0839: Firmware do módulo - T0845: Upload do Programa |
Aprendível |
| Programação PLC não autorizada | O dispositivo de origem não é definido como um dispositivo de programação, mas executou uma operação de leitura/gravação em um controlador de destino. As alterações de programação só devem ser realizadas por dispositivos de programação. Um aplicativo de programação pode ter sido instalado neste dispositivo. | Alto | Programação | Táticas: - Controlo de Processos Prejudicados - Persistência - Movimento Lateral Técnicas: - T0839: Firmware do módulo - T0889: Modificar Programa - T0843: Download do Programa |
Aprendível |
| Tipo de quadro Profinet não autorizado | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0836: Modificar parâmetro |
Aprendível |
| Comando SAIA S-Bus não autorizado | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada |
Aprendível |
| Execução não autorizada da função de controle Siemens S7 | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados - Inibir a função de resposta Técnicas: - T0855: Mensagem de comando não autorizada - T0809: Destruição de Dados |
Aprendível |
| Execução não autorizada Siemens S7 de função definida pelo usuário | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados - Execução Técnicas: - T0836: Modificar parâmetro - T0863: Execução do usuário |
Aprendível |
| Acesso não autorizado a blocos Siemens S7 Plus | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Inibir a função de resposta - Persistência - Execução Técnicas: - T0803 - Bloquear mensagem de comando - T0889: Modificar Programa - T0821: Modificar o controle do controlador |
Aprendível |
| Operação não autorizada Siemens S7 Plus | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados - Execução Técnicas: - T0855: Mensagem de comando não autorizada - T0863: Execução do usuário |
Aprendível |
| Login SMB não autorizado | Foi detetada uma tentativa de início de sessão entre um cliente de origem e um servidor de destino. A comunicação entre esses dispositivos não é autorizada como tráfego aprendido em sua rede. | Médio | Autenticação | Táticas: - Acesso Inicial - Movimento Lateral - Persistência Técnicas: - T0886: Serviços Remotos - T0859: Contas Válidas |
Aprendível |
| Operação SNMP não autorizada | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento anormal de comunicação | Táticas: - Descoberta - Comando e Controlo Técnicas: - T0842: Deteção de rede - T0885: Porta comumente usada |
Aprendível |
| Acesso SSH não autorizado | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Acesso Remoto | Táticas: - InitialAccess - Movimento Lateral - Comando e Controlo Técnicas: - T0886: Serviços Remotos - T0869: Protocolo de camada de aplicação padrão |
Aprendível |
| Processo não autorizado do Windows | Um aplicativo não autorizado foi detetado em um dispositivo de origem. O aplicativo não está autorizado como um aplicativo aprendido em sua rede. | Médio | Comportamento anormal de comunicação | Táticas: - Execução - Escalonamento de privilégios - Comando e Controlo Técnicas: - T0841: Gancho - T0885: Porta comumente usada |
Aprendível |
| Serviço Windows não autorizado | Um aplicativo não autorizado foi detetado em um dispositivo de origem. O aplicativo não está autorizado como um aplicativo aprendido em sua rede. | Médio | Comportamento anormal de comunicação | Táticas: - Acesso Inicial - Movimento Lateral Técnicas: - T0866: Exploração de Serviços Remotos |
Aprendível |
| A operação não autorizada foi detetada por uma regra definida pelo usuário | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros viola uma regra definida pelo usuário | Médio | Táticas: - Descoberta Técnicas: - T0842: Deteção de rede |
Não aprendível | |
| Extensão Modbus Schneider Electric não permitida | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada |
Aprendível |
| Uso não permitido de tipos ASDU | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada |
Aprendível |
| Uso não permitido do código de função DNP3 | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0836: Modificar parâmetro |
Aprendível |
| Uso não permitido de indicação interna (IIN) * | Um dispositivo de origem DNP3 (outstation) relatou uma indicação interna (IIN) que não autorizou como tráfego aprendido em sua rede. | Médio | Comandos ilegais | Táticas: - Descoberta Técnicas: - T0842: Deteção de rede |
Aprendível |
| Uso não permitido do código de função Modbus | Foram detetados novos parâmetros de tráfego. Essa combinação de parâmetros não é autorizada como tráfego aprendido em sua rede. A combinação a seguir não é autorizada. | Médio | Comportamento de comunicação não autorizado | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0836: Modificar parâmetro |
Aprendível |
Alertas do mecanismo de anomalia
Nota
Este artigo poderá conter referências ao termo slave (secundário), um termo que a Microsoft já não utiliza. Quando o termo for removido do software, iremos removê-lo deste artigo.
Os alertas do mecanismo de anomalias descrevem anomalias detetadas na atividade da rede.
| Title | Description | Gravidade | Categoria | MITRE ATT&CK Táticas e técnicas |
Aprendível |
|---|---|---|---|---|---|
| Padrão de exceção anormal em escravo * | Um número excessivo de erros foi detetado em um dispositivo de origem. Este alerta pode ser o resultado de um problema operacional. Limite: 20 exceções em 1 hora |
Baixo | Comportamento anormal de comunicação | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0806: E/S de Força Bruta |
Não aprendível |
| Comprimento anormal do cabeçalho HTTP * | O dispositivo de origem enviou uma mensagem anormal. Este alerta pode indicar uma tentativa de ataque ao dispositivo de destino. | Alto | Comportamento anormal de comunicação HTTP | Táticas: - Acesso Inicial - Movimento Lateral - Comando e Controlo Técnicas: - T0866: Exploração de Serviços Remotos - T0869: Protocolo de camada de aplicação padrão |
Aprendível |
| Número anormal de parâmetros no cabeçalho HTTP * | O dispositivo de origem enviou uma mensagem anormal. Este alerta pode indicar uma tentativa de ataque ao dispositivo de destino. | Alto | Comportamento anormal de comunicação HTTP | Táticas: - Acesso Inicial - Movimento Lateral - Comando e Controlo Técnicas: - T0866: Exploração de Serviços Remotos - T0869: Protocolo de camada de aplicação padrão |
Aprendível |
| Comportamento periódico anormal no canal de comunicação | Foi detetada uma alteração na frequência de comunicação entre os dispositivos de origem e de destino. | Baixo | Comportamento anormal de comunicação | Táticas: - Descoberta Técnicas: - T0842: Deteção de rede |
Aprendível |
| Cessação anormal das candidaturas * | Um número excessivo de comandos stop foi detetado em um dispositivo de origem. Este alerta pode ser o resultado de um problema operacional ou de uma tentativa de manipular o dispositivo. Limite: 20 comandos de paragem em 3 horas |
Médio | Comportamento anormal de comunicação | Táticas: - Persistência - Impacto Técnicas: - T0889: Modificar Programa - T0831: Manipulação de Controle |
Aprendível |
| Largura de banda de tráfego anormal * | Largura de banda anormal foi detetada em um canal. A largura de banda parece ser menor/maior do que a detetada anteriormente. Para obter detalhes, trabalhe com o widget Largura de banda total. | Baixo | Anomalias de largura de banda | Táticas: - Descoberta Técnicas: - T0842: Deteção de rede |
Aprendível |
| Largura de banda de tráfego anormal entre dispositivos * | Largura de banda anormal foi detetada em um canal. A largura de banda parece ser menor/maior do que a detetada anteriormente. Para obter detalhes, trabalhe com o widget Largura de banda total. | Baixo | Anomalias de largura de banda | Táticas: - Descoberta Técnicas: - T0842: Deteção de rede |
Não aprendível |
| Varredura de endereço detetada | Um dispositivo de origem foi detetado verificando dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede. Limite: 50 conexões para a mesma sub-rede de classe B em 2 minutos |
Alto | Digitalizar | Táticas: - Descoberta Técnicas: - T0842: Deteção de rede |
Aprendível |
| Varredura de endereço ARP detetada * | Um dispositivo de origem foi detetado verificando dispositivos de rede usando o protocolo ARP (Address Resolution Protocol). Este endereço de dispositivo não está autorizado como endereço de verificação ARP válido. Limite: 40 exames em 6 minutos |
Alto | Digitalizar | Táticas: - Descoberta - Coleção Técnicas: - T0842: Deteção de rede - T0830: Homem no Meio |
Aprendível |
| Falsificação ARP * | Foi detetada uma quantidade anormal de pacotes na rede. Esse alerta pode indicar um ataque, por exemplo, uma falsificação de ARP ou um ataque de inundação ICMP. Limite: 60 pacotes em 1 minuto |
Baixo | Comportamento anormal de comunicação | Táticas: - Coleção Técnicas: - T0830: Homem no Meio |
Não aprendível |
| Tentativas de login excessivas | Um dispositivo de origem foi visto executando tentativas excessivas de entrada em um servidor de destino. Este alerta pode indicar um ataque de força bruta. O servidor pode ser comprometido por um agente mal-intencionado. Limite: 20 tentativas de início de sessão em 1 minuto |
Alto | Autenticação | Táticas: - Movimento Lateral - Controlo de Processos Prejudicados Técnicas: - T0812: Credenciais padrão - T0806: E/S de Força Bruta |
Não aprendível |
| Número excessivo de sessões | Um dispositivo de origem foi visto executando tentativas excessivas de entrada em um servidor de destino. Isso pode indicar um ataque de força bruta. O servidor pode ser comprometido por um agente mal-intencionado. Limite: 50 sessões em 1 minuto |
Alto | Comportamento anormal de comunicação | Táticas: - Movimento Lateral - Controlo de Processos Prejudicados Técnicas: - T0812: Credenciais padrão - T0806: E/S de Força Bruta |
Não aprendível |
| Taxa de reinicialização excessiva de um Outstation * | Um número excessivo de comandos de reinicialização foi detetado em um dispositivo de origem. Esses alertas podem ser o resultado de um problema operacional ou uma tentativa de manipular o dispositivo. Limite: 10 reinícios em 1 hora |
Médio | Comandos Reiniciar/Parar | Táticas: - Inibir a função de resposta - Controlo de Processos Prejudicados Técnicas: - T0814: Negação de Serviço - T0806: E/S de Força Bruta |
Não aprendível |
| Tentativas excessivas de login SMB | Um dispositivo de origem foi visto executando tentativas excessivas de entrada em um servidor de destino. Isso pode indicar um ataque de força bruta. O servidor pode ser comprometido por um agente mal-intencionado. Limite: 10 tentativas de início de sessão em 10 minutos |
Alto | Autenticação | Táticas: - Persistência - Execução - Movimento Lateral Técnicas: - T0812: Credenciais padrão - T0853: Scripts - T0859: Contas Válidas |
Não aprendível |
| Inundação ICMP * | Foi detetada uma quantidade anormal de pacotes na rede. Esse alerta pode indicar um ataque, por exemplo, uma falsificação de ARP ou um ataque de inundação ICMP. Limite: 60 pacotes em 1 minuto |
Baixo | Comportamento anormal de comunicação | Táticas: - Descoberta - Coleção Técnicas: - T0842: Deteção de rede - T0830: Homem no Meio |
Não aprendível |
| Conteúdo de cabeçalho HTTP ilegal * | O dispositivo de origem iniciou uma solicitação inválida. | Alto | Comportamento anormal de comunicação HTTP | Táticas: - Acesso Inicial - Movimento Lateral Técnicas: - T0866: Exploração de Serviços Remotos |
Não aprendível |
| Canal de comunicação inativo * | Um canal de comunicação entre dois dispositivos esteve inativo durante um período em que a atividade é geralmente observada. Isso pode indicar que o programa que gera esse tráfego foi alterado ou o programa pode estar indisponível. Recomenda-se rever a configuração do programa instalado e verificar se ele está configurado corretamente. Limiar: 1 minuto |
Baixo | Sem resposta | Táticas: - Inibir a função de resposta Técnicas: - T0881: Paragem de Serviço |
Não lê-lo |
| Varredura de endereço de longa duração detetada * | Um dispositivo de origem foi detetado verificando dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede. Limite: 50 conexões com a mesma sub-rede de classe B em 10 minutos |
Alto | Digitalizar | Táticas: - Descoberta Técnicas: - T0842: Deteção de rede |
Aprendível |
| Tentativa de adivinhação de senha detetada | Um dispositivo de origem foi visto executando tentativas excessivas de entrada em um servidor de destino. Isso pode indicar um ataque de força bruta. O servidor pode ser comprometido por um agente mal-intencionado. Limite: 100 tentativas em 1 minuto |
Alto | Autenticação | Táticas: - Movimento Lateral Técnicas: - T0812: Credenciais padrão - T0806: E/S de Força Bruta |
Não aprendível |
| Verificação de PLC detetada | Um dispositivo de origem foi detetado verificando dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede. Limite: 10 exames em 2 minutos |
Alto | Digitalizar | Táticas: - Descoberta Técnicas: - T0842: Deteção de rede |
Aprendível |
| Varredura de porta detetada | Um dispositivo de origem foi detetado verificando dispositivos de rede. Este dispositivo não está autorizado como um dispositivo de verificação de rede. Limite: 25 exames em 2 minutos |
Alto | Digitalizar | Táticas: - Descoberta Técnicas: - T0842: Deteção de rede |
Aprendível |
| Comprimento inesperado da mensagem | O dispositivo de origem enviou uma mensagem anormal. Este alerta pode indicar uma tentativa de ataque ao dispositivo de destino. Limite: comprimento do texto - 32768 |
Alto | Comportamento anormal de comunicação | Táticas: - InitialAccess - Movimento Lateral Técnicas: - T0869: Exploração de Serviços Remotos |
Não aprendível |
| Tráfego inesperado para porta padrão * | O tráfego foi detetado em um dispositivo usando uma porta reservada para outro protocolo. | Médio | Comportamento anormal de comunicação | Táticas: - Comando e Controlo - Descoberta Técnicas: - T0869: Protocolo de camada de aplicação padrão - T0842: Deteção de rede |
Não aprendível |
Alertas do mecanismo de violação de protocolo
Os alertas do mecanismo de protocolo descrevem desvios detetados na estrutura do pacote ou valores de campo em comparação com as especificações do protocolo.
| Title | Description | Gravidade | Categoria | MITRE ATT&CK Táticas e técnicas |
Aprendível |
|---|---|---|---|---|---|
| Pacotes malformados excessivos em uma única sessão * | Um número anormal de pacotes malformados enviados do dispositivo de origem para o dispositivo de destino. Este alerta pode indicar comunicações erradas ou uma tentativa de manipular o dispositivo visado. Limite: 2 pacotes malformados em 10 minutos |
Médio | Comandos ilegais | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0806: E/S de Força Bruta |
Não aprendível |
| Atualização de firmware | Um dispositivo de origem enviou um comando para atualizar o firmware em um dispositivo de destino. Verifique se as atualizações recentes de programação, configuração e firmware feitas no dispositivo de destino são válidas. | Baixo | Alteração de firmware | Táticas: - Inibir a função de resposta - Persistência Técnicas: - T0857: Firmware do sistema |
Aprendível |
| Código de função não suportado pelo Outstation | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada |
Não aprendível |
| Mensagem BACNet ilegal | O dispositivo de origem iniciou uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Não aprendível |
| Tentativa de conexão ilegal na porta 0 | Um dispositivo de origem tentou se conectar ao dispositivo de destino na porta número zero (0). Para TCP, a porta 0 é reservada e não pode ser usada. Para UDP, a porta é opcional e um valor de 0 significa que não há porta. Normalmente, não há serviço em um sistema que escuta na porta 0. Esse evento pode indicar uma tentativa de atacar o dispositivo de destino ou indicar que um aplicativo foi programado incorretamente. | Baixo | Comandos ilegais | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Não aprendível |
| Operação DNP3 ilegal | O dispositivo de origem iniciou uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Acesso Inicial - Movimento Lateral Técnicas: - T0866: Exploração de Serviços Remotos |
Não aprendível |
| Operação ilegal do MODBUS (exceção levantada pelo mestre) | O dispositivo de origem iniciou uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Acesso Inicial - Movimento Lateral Técnicas: - T0866: Exploração de Serviços Remotos |
Não aprendível |
| Operação ilegal MODBUS (código de função zero) * | O dispositivo de origem iniciou uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Acesso Inicial - Movimento Lateral Técnicas: - T0866: Exploração de Serviços Remotos |
Não aprendível |
| Versão do protocolo ilegal * | O dispositivo de origem iniciou uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Acesso Inicial - Movimento Lateral - Controlo de Processos Prejudicados Técnicas: - T0820: Serviços Remotos - T0836: Modificar parâmetro |
Não aprendível |
| Parâmetro incorreto enviado para Outstation | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Não aprendível |
| Início de um código de função obsoleto (inicializar dados) | O dispositivo de origem iniciou uma solicitação inválida. | Baixo | Comandos ilegais | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada |
Não aprendível |
| Início de um código de função obsoleto (Save Config) | O dispositivo de origem iniciou uma solicitação inválida. | Baixo | Comandos ilegais | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada |
Não aprendível |
| Master solicitou uma confirmação da camada de aplicativo | O dispositivo de origem iniciou uma solicitação inválida. | Baixo | Comandos ilegais | Táticas: - Comando e Controlo Técnicas: - T0869: Protocolo de camada de aplicação padrão |
Não aprendível |
| Exceção Modbus | Um dispositivo de origem (secundário) retornou uma exceção para um dispositivo de destino (primário). | Médio | Comandos ilegais | Táticas: - Inibir a função de resposta Técnicas: - T0814: Negação de Serviço |
Não aprendível |
| Dispositivo escravo recebeu tipo ASDU ilegal | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0836: Modificar parâmetro |
Não aprendível |
| Dispositivo escravo recebeu comando ilegal causa de transmissão | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Não aprendível |
| Dispositivo escravo recebeu endereço comum ilegal | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Não aprendível |
| Dispositivo escravo recebeu dados ilegais parâmetro de endereço * | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Não aprendível |
| Dispositivo escravo recebeu dados ilegais parâmetro de valor * | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Não aprendível |
| Dispositivo escravo recebeu código de função ilegal * | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Não aprendível |
| Dispositivo escravo recebeu endereço de objeto de informação ilegal | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada - T0836: Modificar parâmetro |
Não aprendível |
| Objeto desconhecido enviado para Outstation | O dispositivo de destino recebeu uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada |
Não aprendível |
| Uso de um código de função reservada | O dispositivo de origem iniciou uma solicitação inválida. | Médio | Comandos ilegais | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0836: Modificar parâmetro |
Não aprendível |
| Uso de formatação imprópria por Outstation * | O dispositivo de origem iniciou uma solicitação inválida. | Baixo | Comandos ilegais | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada |
Não aprendível |
| Uso de sinalizadores de status reservado (IIN) | Um dispositivo de origem DNP3 (outstation) utilizou o Indicador Interno 2.6 reservado. Recomenda-se verificar a configuração do dispositivo. | Baixo | Comandos ilegais | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0836: Modificar parâmetro |
Não aprendível |
Alertas do mecanismo de malware
Os alertas do mecanismo de malware descrevem a atividade maliciosa da rede detetada.
| Title | Description | Gravidade | Categoria | MITRE ATT&CK Táticas e técnicas |
Aprendível |
|---|---|---|---|---|---|
| Tentativa de conexão com IP mal-intencionado conhecido | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Acionado por sensores de rede OT e Enterprise IoT. |
Alto | Suspeita de atividade maliciosa | Táticas: - Acesso Inicial - Comando e Controlo Técnicas: - T0883: Dispositivo acessível pela Internet - T0884: Proxy de conexão |
Não aprendível |
| Mensagem SMB inválida (implante DoublePulsar Backdoor) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Acesso Inicial - Movimento Lateral Técnicas: - T0866: Exploração de Serviços Remotos |
Não aprendível |
| Solicitação de nome de domínio mal-intencionado | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Acionado por sensores de rede OT e Enterprise IoT. |
Alto | Suspeita de atividade maliciosa | Táticas: - Acesso Inicial - Comando e Controlo Técnicas: - T0883: Dispositivo acessível pela Internet - T0884: Proxy de conexão |
Aprendível |
| Caminho de URL malicioso | Foi feita uma solicitação para um caminho de URL mal-intencionado conhecido. As solicitações feitas para esse caminho de URL podem indicar que a fonte que faz a solicitação está comprometida. | Alto | Suspeita de atividade maliciosa | Táticas: - Acesso Inicial - Comando e Controlo Técnicas: - T0883: Dispositivo acessível pela Internet - T0884: Proxy de conexão |
Não aprendível |
| Arquivo de teste de malware detetado - EICAR AV Success | Um arquivo de teste EICAR AV foi detetado no tráfego entre dois dispositivos (em qualquer transporte - TCP ou UDP). O ficheiro não é malware. É usado para confirmar se o software antivírus está instalado corretamente. Demonstre o que acontece quando um vírus é encontrado e verifique os procedimentos internos e as reações quando um vírus é encontrado. O software antivírus deve detetar EICAR como se fosse um vírus real. | Alto | Suspeita de atividade maliciosa | Táticas: - Descoberta Técnicas: - T0842: Deteção de rede |
Não aprendível |
| Suspeita de malware Conficker | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Médio | Suspeita de malware | Táticas: - Acesso Inicial - Impacto Técnicas: - T0826: Perda de disponibilidade - T0828: Perda de Produtividade e Receita - T0847: Replicação através de mídia removível |
Não aprendível |
| Suspeita de ataque de negação de serviço | Um dispositivo de origem tentou iniciar um número excessivo de novas conexões com um dispositivo de destino. Isso pode indicar um ataque de negação de serviço (DOS) contra o dispositivo de destino e pode interromper a funcionalidade do dispositivo, afetar o desempenho e a disponibilidade do serviço ou causar erros irrecuperáveis. Limite: 3000 tentativas em 1 minuto |
Alto | Suspeita de atividade maliciosa | Táticas: - Inibir a função de resposta Técnicas: - T0814: Negação de Serviço |
Aprendível |
| Suspeita de atividade maliciosa | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que desencadeou os conhecidos "Indicadores de Compromisso" (IOC). Os metadados de alerta devem ser revisados pela equipe de segurança. | Alto | Suspeita de atividade maliciosa | Táticas: - Movimento Lateral Técnicas: - T0867: Transferência de Ferramenta Lateral |
Não aprendível |
| Suspeita de atividade maliciosa (BlackEnergy) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Comando e Controlo Técnicas: - T0869: Protocolo de camada de aplicação padrão |
Não aprendível |
| Suspeita de atividade maliciosa (DarkComet) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Impacto Técnicas: - T0882: Roubo de Informação Operacional |
Não aprendível |
| Suspeita de atividade maliciosa (Duqu) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Impacto Técnicas: - T0882: Roubo de Informação Operacional |
Não aprendível |
| Suspeita de atividade maliciosa (chama) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Coleção - Impacto Técnicas: - T0882: Roubo de Informação Operacional - T0811: Dados de Repositórios de Informação |
Não aprendível |
| Suspeita de atividade maliciosa (Havex) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Coleção - Descoberta - Inibir a função de resposta Técnicas: - T0861: Ponto & Identificação de Tag - T0846: Descoberta remota do sistema - T0814: Negação de Serviço |
Não aprendível |
| Suspeita de atividade maliciosa (Karagany) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Impacto Técnicas: - T0882: Roubo de Informação Operacional |
Não aprendível |
| Suspeita de atividade maliciosa (LightsOut) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Evasão Técnicas: - T0849: Mascaramento |
Não aprendível |
| Suspeita de atividade maliciosa (consultas de nome) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. Limite: 25 consultas de nome em 1 minuto |
Alto | Suspeita de atividade maliciosa | Táticas: - Comando e Controlo Técnicas: - T0884: Proxy de conexão |
Não aprendível |
| Suspeita de atividade maliciosa (Hera Venenosa) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Acesso Inicial - Movimento Lateral Técnicas: - T0866: Exploração de Serviços Remotos |
Não aprendível |
| Suspeita de atividade maliciosa (Regin) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Acesso Inicial - Movimento Lateral - Impacto Técnicas: - T0866: Exploração de Serviços Remotos - T0882: Roubo de Informação Operacional |
Não aprendível |
| Suspeita de atividade maliciosa (Stuxnet) | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Acesso Inicial - Movimento Lateral - Impacto Técnicas: - T0818: Compromisso da Estação de Trabalho de Engenharia - T0866: Exploração de Serviços Remotos - T0831: Manipulação de Controle |
Não aprendível |
| Suspeita de atividade maliciosa (WannaCry) * | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Médio | Suspeita de malware | Táticas: - Acesso Inicial - Movimento Lateral Técnicas: - T0866: Exploração de Serviços Remotos - T0867: Transferência de Ferramenta Lateral |
Não aprendível |
| Suspeita de NotPetya Malware - Parâmetros SMB ilegais detetados | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Acesso Inicial - Movimento Lateral Técnicas: - T0866: Exploração de Serviços Remotos |
Não aprendível |
| Suspeita de NotPetya Malware - Transação SMB ilegal detetada | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de malware | Táticas: - Movimento Lateral Técnicas: - T0867: Transferência de Ferramenta Lateral |
Não aprendível |
| Suspeita de execução remota de código com PsExec | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de atividade maliciosa | Táticas: - Movimento Lateral - Acesso Inicial Técnicas: - T0866: Exploração de Serviços Remotos |
Não aprendível |
| Suspeita de Gerenciamento Remoto de Serviços do Windows * | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de atividade maliciosa | Táticas: - Acesso Inicial Técnicas: - T0822: RedeServiços Remotos Externos |
Não aprendível |
| Arquivo executável suspeito detetado no ponto de extremidade | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que explora um método usado por malware conhecido. | Alto | Suspeita de atividade maliciosa | Táticas: - Evasão - Inibir a função de resposta Técnicas: - T0851: Rootkit |
Aprendível |
| Tráfego suspeito detetado * | Foi detetada atividade de rede suspeita. Esta atividade pode estar associada a um ataque que desencadeou os conhecidos "Indicadores de Compromisso" (IOC). Os metadados de alerta devem ser revisados pela equipe de segurança | Alto | Suspeita de atividade maliciosa | Táticas: - Descoberta Técnicas: - T0842: Deteção de rede |
Não aprendível |
| Atividade de backup com assinaturas antivírus | O tráfego detetado entre o dispositivo de origem e o servidor de backup de destino disparou esse alerta. O tráfego inclui backup de software antivírus que pode conter assinaturas de malware. Esta é provavelmente uma atividade de backup legítima. | Baixo | Backup | Táticas: - Impacto Técnicas: - T0882: Roubo de Informação Operacional |
Não aprendível |
Alertas do mecanismo operacional
Os alertas do mecanismo operacional descrevem incidentes operacionais detetados ou entidades com mau funcionamento.
| Title | Description | Gravidade | Categoria | MITRE ATT&CK Táticas e técnicas |
Aprendível |
|---|---|---|---|---|---|
| Um comando S7 Stop PLC foi enviado | O dispositivo de origem enviou um comando stop para um controlador de destino. O controlador para de operar até que um comando start seja enviado. | Baixo | Comandos Reiniciar/Parar | Táticas: - Movimento Lateral - Evasão de Defesa - Execução - Inibir a função de resposta Técnicas: - T0843: Download do Programa - T0858: Alterar Modo de Operação - T0814: Negação de Serviço |
Não aprendível |
| Falha na operação BACNet | Um servidor retornou um código de erro. Esse alerta indica um erro do servidor ou uma solicitação inválida de um cliente. | Médio | Falhas de comando | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada |
Não aprendível |
| Estado incorreto do dispositivo MMS | Um MMS Virtual Manufacturing Device (VMD) enviou uma mensagem de status. A mensagem indica que o servidor pode não estar configurado corretamente, parcialmente operacional ou não estar operacional. | Médio | Questões operacionais | Táticas: - Inibir a função de resposta Técnicas: - T0814: Negação de Serviço |
Não aprendível |
| Alteração da configuração do dispositivo * | Uma alteração de configuração foi detetada em um dispositivo de origem. | Baixo | Alterações de configuração | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0836: Modificar parâmetro |
Não aprendível |
| Estouro contínuo do buffer de eventos na estação externa * | Um evento de estouro de buffer foi detetado em um dispositivo de origem. O evento pode causar corrupção de dados, falhas de programa ou execução de código mal-intencionado. Limiar: 3 ocorrências em 10 minutos |
Médio | Estouro de buffer | Táticas: - Inibir a função de resposta - Controlo de Processos Prejudicados - Persistência Técnicas: - T0814: Negação de Serviço - T0806: E/S de Força Bruta - T0839: Firmware do módulo |
Não aprendível |
| Redefinição do controlador | Um dispositivo de origem enviou um comando reset para um controlador de destino. O controlador parou de funcionar temporariamente e reiniciou automaticamente. | Baixo | Comandos Reiniciar/Parar | Táticas: - Evasão de Defesa - Execução - Inibir a função de resposta Técnicas: - T0858: Alterar Modo de Operação - T0814: Negação de Serviço |
Não aprendível |
| Paragem do controlador | O dispositivo de origem enviou um comando stop para um controlador de destino. O controlador para de operar até que um comando start seja enviado. | Baixo | Comandos Reiniciar/Parar | Táticas: - Movimento Lateral - Evasão de Defesa - Execução - Inibir a função de resposta Técnicas: - T0843: Download do Programa - T0858: Alterar Modo de Operação - T0814: Negação de Serviço |
Não aprendível |
| Falha do dispositivo ao receber um endereço IP dinâmico | O dispositivo de origem está configurado para receber um endereço IP dinâmico de um servidor DHCP, mas não recebeu um endereço. Isso indica um erro de configuração no dispositivo ou um erro operacional no servidor DHCP. Recomenda-se notificar o administrador da rede sobre o incidente | Médio | Falhas de comando | Táticas: - Descoberta Técnicas: - T0842: Deteção de rede |
Não aprendível |
| Suspeita-se que o dispositivo esteja desconectado (sem resposta) | Um dispositivo de origem não respondeu a um comando enviado a ele. Ele pode ter sido desconectado quando o comando foi enviado. Limite: 8 tentativas em 5 minutos |
Médio | Sem resposta | Táticas: - Inibir a função de resposta Técnicas: - T0881: Paragem de Serviço |
Não aprendível |
| Falha na solicitação de serviço CIP EtherNet/IP | Um servidor retornou um código de erro. Isso indica um erro do servidor ou uma solicitação inválida de um cliente. | Médio | Falhas de comando | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada |
Não aprendível |
| Falha no comando do protocolo de encapsulamento EtherNet/IP | Um servidor retornou um código de erro. Isso indica um erro do servidor ou uma solicitação inválida de um cliente. | Médio | Falhas de comando | Táticas: - Coleção Técnicas: - T0801: Estado do processo do monitor |
Não aprendível |
| Estouro de buffer de eventos no Outstation | Um evento de estouro de buffer foi detetado em um dispositivo de origem. O evento pode causar corrupção de dados, falhas de programa ou execução de código mal-intencionado. | Médio | Estouro de buffer | Táticas: - Inibir a função de resposta - Controlo de Processos Prejudicados - Persistência Técnicas: - T0814: Negação de Serviço - T0839: Firmware do módulo |
Não aprendível |
| A operação de backup esperada não ocorreu | A atividade esperada de backup/transferência de arquivos não ocorreu entre dois dispositivos. Este alerta pode indicar erros no processo de backup / transferência de arquivos. Limite: 100 segundos |
Médio | Backup | Táticas: - Inibir a função de resposta Técnicas: - T0809: Destruição de Dados |
Aprendível |
| Falha de comando do GE SRTP | Um servidor retornou um código de erro. Esse alerta indica um erro do servidor ou uma solicitação inválida de um cliente. | Médio | Falhas de comando | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada |
Não aprendível |
| GE SRTP Stop PLC Command foi enviado | O dispositivo de origem enviou um comando stop para um controlador de destino. O controlador para de operar até que um comando start seja enviado. | Baixo | Comandos Reiniciar/Parar | Táticas: - Movimento Lateral - Evasão de Defesa - Execução - Inibir a função de resposta Técnicas: - T0843: Download do Programa - T0858: Alterar Modo de Operação - T0814: Negação de Serviço |
Não aprendível |
| Bloco de controle GOOSE requer configuração adicional | Um dispositivo de origem enviou uma mensagem GOOSE indicando que o dispositivo precisa de comissionamento. Isso significa que o bloco de controle GOOSE requer configuração adicional e as mensagens GOOSE são parcial ou completamente inoperacionais. | Médio | Alterações de configuração | Táticas: - Controlo de Processos Prejudicados - Inibir a função de resposta Técnicas: - T0803: Bloquear mensagem de comando - T0821: Modificar o controle do controlador |
Não aprendível |
| A configuração do conjunto de dados GOOSE foi alterada * | Um conjunto de dados de mensagem (identificado pelo ID de protocolo) foi alterado em um dispositivo de origem. Isso significa que o dispositivo relata um conjunto de dados diferente para essa mensagem. | Baixo | Alterações de configuração | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0836: Modificar parâmetro |
Não aprendível |
| Status inesperado do controlador Honeywell | Um controlador Honeywell enviou uma mensagem de diagnóstico inesperada indicando uma alteração de status. | Baixo | Questões operacionais | Táticas: - Evasão - Execução Técnicas: - T0858: Alterar Modo de Operação |
Não aprendível |
| Erro do cliente HTTP * | O dispositivo de origem iniciou uma solicitação inválida. | Baixo | Comportamento anormal de comunicação HTTP | Táticas: - Comando e Controlo Técnicas: - T0869: Protocolo de camada de aplicação padrão |
Não aprendível |
| Endereço IP ilegal | O sistema detetou tráfego entre um dispositivo de origem e um endereço IP que é um endereço inválido. Isso pode indicar uma configuração errada ou uma tentativa de gerar tráfego ilegal. | Baixo | Comportamento anormal de comunicação | Táticas: - Descoberta - Controlo de Processos Prejudicados Técnicas: - T0842: Deteção de rede - T0836: Modificar parâmetro |
Não aprendível |
| Erro de autenticação mestre-escravo | O processo de autenticação entre um dispositivo de origem DNP3 (primário) e um dispositivo de destino (estação de saída) falhou. | Baixo | Autenticação | Táticas: - Movimento Lateral - Persistência Técnicas: - T0859: Contas Válidas |
Não aprendível |
| Falha na solicitação de serviço MMS | Um servidor retornou um código de erro. Isso indica um erro do servidor ou uma solicitação inválida de um cliente. | Médio | Falhas de comando | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada |
Não aprendível |
| Nenhum tráfego detetado na interface do sensor | Um sensor parou de detetar tráfego de rede em uma interface de rede. | Alto | Sensor de Tráfego | Táticas: - Inibir a função de resposta Técnicas: - T0881: Paragem de Serviço |
Não aprendível |
| OPC UA Server levantou um evento que requer a atenção do usuário | Um servidor OPC UA enviou uma notificação de evento para um cliente. Este tipo de evento requer atenção do utilizador | Médio | Questões operacionais | Táticas: - Inibir a função de resposta Técnicas: - T0838: Modificar configurações de alarme |
Não aprendível |
| Falha na solicitação de serviço OPC UA | Um servidor retornou um código de erro. Isso indica um erro do servidor ou uma solicitação inválida de um cliente. | Médio | Falhas de comando | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada |
Não aprendível |
| Outstation reiniciado | Uma reinicialização a frio foi detetada em um dispositivo de origem. Isso significa que o dispositivo foi fisicamente desligado e ligado novamente. | Baixo | Comandos Reiniciar/Parar | Táticas: - Inibir a função de resposta Técnicas: - T0816: Reinicialização/desligamento do dispositivo |
Não aprendível |
| Outstation reinicia com freqüência | Um número excessivo de reinicializações a frio foi detetado em um dispositivo de origem. Isso significa que o dispositivo foi fisicamente desligado e ligado novamente um número excessivo de vezes. Limite: 2 reinícios em 10 minutos |
Baixo | Comandos Reiniciar/Parar | Táticas: - Inibir a função de resposta Técnicas: - T0814: Negação de Serviço - T0816: Reinicialização/desligamento do dispositivo |
Não aprendível |
| Configuração do Outstation alterada | Uma alteração de configuração foi detetada em um dispositivo de origem. | Médio | Alterações de configuração | Táticas: - Inibir a função de resposta - Persistência Técnicas: - T0857: Firmware do sistema |
Não aprendível |
| Configuração corrompida do Outstation detetada | Este dispositivo de origem DNP3 (outstation) relatou uma configuração corrompida. | Médio | Alterações de configuração | Táticas: - Inibir a função de resposta Técnicas: - T0809: Destruição de Dados |
Não aprendível |
| Falha no comando DCP do Profinet | Um servidor retornou um código de erro. Isso indica um erro do servidor ou uma solicitação inválida de um cliente. | Médio | Falhas de comando | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada |
Não aprendível |
| Redefinição de fábrica do dispositivo Profinet | Um dispositivo de origem enviou um comando de redefinição de fábrica para um dispositivo de destino Profinet. O comando reset limpa as configurações do dispositivo Profinet e interrompe sua operação. | Baixo | Comandos Reiniciar/Parar | Táticas: - Evasão de Defesa - Execução - Inibir a função de resposta Técnicas: - T0858: Alterar Modo de Operação - T0814: Negação de Serviço |
Não aprendível |
| Falha na operação RPC * | Um servidor retornou um código de erro. Esse alerta indica um erro do servidor ou uma solicitação inválida de um cliente. | Médio | Falhas de comando | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0855: Mensagem de comando não autorizada |
Não aprendível |
| Valores de amostra A configuração do conjunto de dados da mensagem foi alterada * | Um conjunto de dados de mensagem (identificado pelo ID de protocolo) foi alterado em um dispositivo de origem. Isso significa que o dispositivo relata um conjunto de dados diferente para essa mensagem. | Baixo | Alterações de configuração | Táticas: - Controlo de Processos Prejudicados Técnicas: - T0836: Modificar parâmetro |
Não aprendível |
| Falha irrecuperável do dispositivo escravo * | Um erro de condição irrecuperável foi detetado em um dispositivo de origem. Esse tipo de erro geralmente indica uma falha de hardware ou falha na execução de um comando específico. | Médio | Falhas de comando | Táticas: - Inibir a função de resposta Técnicas: - T0814: Negação de Serviço |
Não aprendível |
| Suspeita de problemas de hardware em Outstation | Um erro de condição irrecuperável foi detetado em um dispositivo de origem. Esse tipo de erro geralmente indica uma falha de hardware ou falha na execução de um comando específico. | Médio | Questões operacionais | Táticas: - Inibir a função de resposta Técnicas: - T0814: Negação de Serviço - T0881: Paragem de Serviço |
Não aprendível |
| Suspeita de dispositivo MODBUS sem resposta | Um dispositivo de origem não respondeu a um comando enviado a ele. Ele pode ter sido desconectado quando o comando foi enviado. Limite: Mínimo de 1 resposta válida para um mínimo de 3 pedidos no prazo de 5 minutos |
Baixo | Sem resposta | Táticas: - Inibir a função de resposta Técnicas: - T0881: Paragem de Serviço |
Não aprendível |
| Tráfego detetado na interface do sensor | Um sensor retomou a deteção de tráfego de rede em uma interface de rede. | Baixo | Sensor de Tráfego | Táticas: - Descoberta Técnicas: - T0842: Deteção de rede |
Não aprendível |
| Modo de operação do PLC alterado | O modo de funcionamento deste PLC foi alterado. O novo modo pode indicar que o PLC não é seguro. Deixar o PLC em um modo de operação inseguro pode permitir que adversários executem atividades maliciosas nele, como um download de programa. Se o PLC estiver comprometido, os dispositivos e processos que interagem com ele podem ser afetados. Isso pode afetar a segurança geral do sistema. | Baixo | Alterações de configuração | Táticas: - Execução - Evasão Técnicas: - T0858: Alterar Modo de Operação |
Não aprendível |
Próximos passos
Para obter mais informações, consulte:
- Visualizar e gerenciar alertas no portal do Defender for IoT
- Ver alertas no sensor
- Acelere os fluxos de trabalho de alerta
- Encaminhar informações de alerta
- Trabalhar com alertas no console de gerenciamento local
- Referência da API de gerenciamento de alertas para consoles de gerenciamento locais
- Referência da API de gerenciamento de alertas para sensores de monitoramento OT
- Encaminhar informações de alerta