喀土齐

SCADAfence平台将可见性扩展到IT和OT网络。此检测规则集合与InsightIDR SCADAFence集成

SCADAFence -管理员弱认证

描述

此检测标识使用弱密码对系统进行身份验证的管理员。

建议

确保使用强密码,特别是管理帐户,并遵守已定义的密码策略对长度和复杂度的要求。

SCADAFence -分析和关联服务不能正常运行

描述

此检测表明分析和相关服务没有正常运行。

建议

验证系统是否正常运行。

SCADAFence -资产重新连接到CC-link IE网络

描述

该检测标识资产重新连接到CC-link IE网络。

建议

确认此活动已获授权。

SCADAFence—以太网异常行为

描述

当主机试图连接到几个未知的“mac”地址时,此检测标识。

建议

验证此行为是否授权。

SCADAFence—TCP异常行为

描述

此检测标识试图连接到未知TCP端点的主机。

建议

验证此活动是否已授权。

Scadafence - 异常的UDP行为

描述

此检测标识试图连接到未知UDP端点的主机。

建议

验证此活动是否已授权。

SCADAFence - API

描述

此检测标识用户定义的API的使用。

建议

验证此行为是否授权。

喀土齐 - 中间攻击中的ARP人

描述

该检测可以识别基于ARP的中间人攻击。

建议

验证此行为是否授权。

SCADAFence -资产修改了操作系统类型或版本

描述

当主机的操作系统版本或类型发生更改时,此检测将进行识别。

建议

验证此更改是否得到授权。

SCADAFence - Bacnet设备通信-检测到启动请求

描述

此检测标识正在执行的bacnet通信启动请求。

建议

确认此活动已获授权。

Scadafence - 检测到的Backet设备通信 - 停止请求

描述

该检测识别正在执行的BACnet服务通信停止请求。

建议

确认此活动已获授权。

SCADAFence - Bacnet设备重新初始化-检测到服务请求

描述

此检测标识正在执行的bacnet服务重新初始化请求。

建议

确认此活动已获授权。

SCADAFence - Brute Force审计工具检测到THC-Hydra

描述

该检测识别出黑客选择(THC)的强力攻击工具Hydra的存在。

建议

确认此活动已获授权。

SCADAFence -暴力破解工具检测到美杜莎

描述

这种检测识别出美杜莎暴力强迫工具的存在。

建议

确认此活动已获授权。

SCADAFENCE - 在IOT设备上启用了呼叫主机功能

描述

此检测标识主机正在调用home。

建议

验证此行为是否授权。

SCADAFence -检测到摄像机配置更改

描述

此检测识别重新配置正在执行的摄像机的命令。

建议

确认此活动已获授权。

SCADAFence -检测到CIP配置更改

描述

此检测识别CIP配置更改请求已发送到设备时。

建议

确认此活动已获授权。

SCADAFence -默认凭证

描述

此检测标识试图对系统进行身份验证时使用的默认凭据的使用情况。

建议

验证此活动是经过授权的,而不是恶意攻击者试图访问系统的结果。

SCADAFence - FTP默认密码

描述

此检测标识使用匿名访问文件传输协议“ftp”服务。

建议

验证服务器是否被授权允许匿名访问此服务。

SCADAFence -读访问的SNMP默认密码

描述

此检测标识对服务进行身份验证时使用的默认密码。

建议

验证是否授权使用默认密码。如果没有,请修改密码,使其更长、更复杂,以防止密码猜测攻击。

SCADAFence - SNMP写访问的默认密码

描述

此检测标识对服务进行身份验证时使用的默认密码。

建议

验证弱密码的使用是否得到授权。如果没有,请修改密码,使其更长、更复杂,以防止密码猜测攻击。

SCADAFence -检测到设备配置更改

描述

此检测识别已更改的设备配置。

建议

验证此行为是否授权。

SCADAFence -检测到设备固件更新

描述

此检测标识设备上正在升级的固件。

建议

验证此行为是否授权。

SCADAFence -不再支持设备

描述

此检测识别不再支持的系统,无法有效地管理。

建议

验证此行为是否授权。

Scadafence - 设备未初始化

描述

此检测标识设备未初始化。

建议

验证此行为是预期的。

SCADAFence -识别出没有认证的设备

描述

该检测识别配置了不需要认证就可以访问的服务的设备。

建议

验证此配置是否被授权。

SCADAFence—DHCP发现

描述

当系统请求DHCP发现时,会触发此检测。

建议

检查主机及其配置是否被授权进入网络并使用DHCP。

SCADAFence - DHCP请求IP

描述

该检测通过DHCP来识别对某个地址的请求。

建议

检查主机及其配置是否被授权进入网络并使用DHCP。

SCADAFence -检测到目录遍历尝试

描述

此检测识别尝试执行web目录遍历。

建议

确认此活动已获授权。

SCADAFence -域名声誉警报

描述

此检测识别试图解析恶意域的行为。

建议

查看有问题的警报,并确定试图解析域的原因。

SCADAFence -检测到重复MAC

描述

此检测识别重复的媒体访问控制“mac”地址。

建议

确认这是一个错误配置,而不是恶意参与者对ARP进行毒害的结果。

SCADAFence -邮件分发服务无法正常运行

描述

此检测标识电子邮件分发服务无法运行。

建议

验证电子邮件系统是否正在运行。

SCADAFence - ARP分辨率过高

描述

当主机试图解析多个未知IP地址时,此检测将进行识别。

建议

验证此行为是否授权。

SCADAFence -过多的DNS查询

描述

当主机尝试解析多个域名时,此检测将进行识别。

建议

验证此行为是否授权。

SCADAFence -查询过多的DNS服务器

描述

当主机试图连接多个DNS服务器进行解析时,此检测将进行识别。

建议

验证此行为是否授权。

SCADAFence -过多的新IP连接

描述

当主机打开了与其他主机的过多连接时,此检测将识别出来。

建议

验证此行为是否授权。

Scadafence - 登录尝试失败

描述

此检测标识失败的登录尝试。

建议

验证用户失败的登录尝试是由用户偶然的,而不是恶意演员的尝试。

SCADAFence -通过ip解析的外国主机

描述

当网络上出现新主机时,这种检测就会识别出来,并开始尝试解析几个未知主机。

建议

验证此行为是否授权。

SCADAFence -未知ip的外国主机

描述

当网络上出现新主机并开始连接多个主机时,此检测就会进行识别。

建议

验证此活动是否已授权。

SCADAFence -未知MAC的外国主机

描述

当网络上出现新主机并开始连接多个主机时,此检测就会进行识别。

建议

验证此活动是否已授权。

SCADAFence组到组通信

描述

这种检测可以识别不同组名之间的网络连接。

建议

验证此行为是否授权。

扫描 - 检测到令人心碎的剥削尝试

描述

此检测识别了试图利用OpenSSL中的Heartbleed漏洞(cve-2014-0160)。

建议

确认此活动已获授权。

SCADAFence -检测到心脏出血成功

描述

该检测识别了OpenSSL中Heartbleed漏洞(cve-2014-0160)的成功利用。

建议

确认此活动已获授权。

SCADAFence -主机名更改

描述

此检测标识主机名的更改。

建议

验证是否授权主机名的更改。

SCADAFence -检测到主机名冲突

描述

此检测识别重复的主机名。

建议

确认这是错误配置,而不是恶意参与者的结果。

SCADAFence - ICS登录失败

描述

此检测识别对ICS的失败登录尝试。

建议

确认此活动已获授权。

SCADAFence -工业设备固件更新命令发布

描述

此检测标识发出了设备固件更新命令。

建议

确认此活动已获授权。

SCADAFence -工业参数值超出范围

描述

此检测识别值时值超出参数范围。

建议

检查配置是否正确。

SCADAFence -工业协议DPI警报

描述

该检测标识触发DPI规则的ICS流量。

建议

确认此活动已获授权。

SCADAFence - Invalid DHCP IP Offer潜在的拒绝服务尝试

描述

这种检测识别网络上正在给出的无效DHCP提供。

建议

验证此行为是否授权。

SCADAFence -无效的RARP IP提供可能的拒绝服务尝试

描述

这种检测识别出网络上提供的无效RARP。

建议

验证此行为是否授权。

扫描 - 检测到IP冲突

描述

该检测识别与两个不同的媒体访问控制或“MAC”地址相关联的相同IP地址。

建议

确认这是错误配置,而不是恶意参与者行为的结果。

SCADAFence - IP声誉警报

描述

这种检测识别试图连接到恶意IP地址。

建议

查看问题的警报,并确定尝试连接IP地址的原因。

SCADAFence - KNX内存写命令发布

描述

该检测识别何时发出了KNX内存写命令。

建议

确认此活动已获授权。

SCADAFence -发出KNX重启命令

描述

该检测标识何时发出了KNX重启命令。

建议

确认此活动已获授权。

检测到Limewire P2P文件共享应用

描述

这种检测识别与Limewire相关的点对点协议的存在。

建议

验证此行为是否授权。

SCADAFence -链路空闲或Down

描述

此检测标识系统正在经历一个down或空闲的网络接口。

建议

验证系统是否能够有效监控网络流量。

SCADAFence -位置没有响应

描述

此检测标识一个位置没有响应。

建议

确认地点已经启动并运行。

SCADAFence - MAC改变

描述

该检测识别媒体访问控制或“mac”地址的变化。

建议

确认此主机的网卡已更改,并且观察到的行为不是ARP中毒或其他恶意攻击者行为的结果。

Scadafence - 缺失设备

描述

当主机在网络上一段时间没有被观察到时,该检测就会被识别出来。

建议

验证此主机是否正常运行,并能够由系统监视。

SCADAFence -检测到多主机

描述

此检测标识具有多个网络地址的主机。

建议

验证此主机是否无意地桥接了应该分段的网络。

SCADAFence -多站点通信服务不能正常运行

描述

当多站点通信服务不能正常工作时,此检测将被识别出来。

建议

检查服务是否正常运行。

SCADAFence - Net组查询管理组

描述

此检测标识使用'net.exe'查询管理组。

建议

确认此活动已获授权。

SCADAFence -检测到的网络扫描工具

描述

此检测标识是否存在网络扫描工具。

建议

确认此活动已获授权。

SCADAFence -检测到网络扫描仪

描述

该检测识别网络扫描活动。

建议

验证此行为是否授权。

SCADAFence -新资产连接到CC-Link IE网络

描述

该检测识别连接到CC-link IE网络的新资产。

建议

确认此活动已获授权。

SCADAFence -工业设备的新连接

描述

这种检测识别从未观察到的连接到工业设备。

建议

验证此行为是否授权。

SCADAFence -检测到新主机

描述

此检测标识存在新主机。

建议

验证新检测到的主机是否存在于网络中。

scadafence - 新的ICS命令

描述

该检测表明已经执行了一个新的ICS命令。

建议

验证执行命令的源地址是否被授权。

SCADAFence -新的IP连接

描述

该检测标识了新的源地址连接。

建议

验证此源地址已被授权连接到此服务。

Scadafence - 与OT相关资产的新IP连接

描述

此检测标识来自操作技术资产的新连接。

建议

验证此连接是否已授权。

SCADAFence -新的管理连接到摄像机

描述

该检测识别管理与摄像头的连接。

建议

确认此活动已获授权。

SCADAFence -新港口

描述

该检测识别到之前未观察到的新端口。

建议

验证此连接是经过授权的,而不是恶意参与者活动的结果。

SCADAFence -通过OT相关资产新建端口连接

描述

此检测标识来自操作技术资产的新连接。

建议

验证此连接是否已授权。

喀土齐 - 没有回复

描述

当主机尝试连接到另一个地址而没有收到应答时,此检测将进行识别。

建议

验证此行为是否授权。

SCADAFence - OCP-UA用户读操作访问拒绝

描述

当OCP-UA用户没有执行请求的读操作所需的访问权限时,此检测将识别出来。

建议

确认此活动已获授权。

SCADAFence - OPC-UA用户写操作访问被拒绝

描述

该检测识别OCP-UA用户没有所需的访问来执行所请求的写入操作。

建议

确认此活动已获授权。

Scadafence - OT到互联网未经授权的出站连接

描述

这种检测识别从操作技术系统到公共互联网的未经授权的连接。

建议

验证此行为是否授权。

SCADAFence—丢包

描述

当系统遇到过多的丢包时,此检测将识别出来。

建议

验证系统是否能够有效监控网络流量。

SCADAFence—报文Flood拒绝服务

描述

这种检测可以识别从一台主机发送到另一台主机的数据包数量过多。

建议

验证正在生成的网络流量是否授权。

Scadafence - 数据包处理服务无法正常运行

描述

该检测表明报文处理业务可能没有对网络流量进行分析。

建议

验证系统正在积极地监视网络。

SCADAFence—密码暴力破解攻击

描述

该检测识别潜在的蛮力攻击。

建议

验证此活动是经过授权的,而不是恶意攻击者的结果。

扫描 - 检测到Persirai僵尸网络感染

描述

此检测识别了一个感染了波斯拉伊僵尸网络的主机。

建议

根据需要验证此主机是否被感染和重建已知的好源。

SCADAFence—明文认证

描述

此检测标识发生了未加密的身份验证。

建议

验证关联的服务是否被授权提供未加密的身份验证方法。

SCADAFence - PLC固件更新命令发布

描述

该检测识别正在发出的PLC固件更新命令。

建议

确认此活动已获授权。

SCADAFence -发出PLC内存重置命令

描述

此检测识别发出PLC存储器复位命令。

建议

确认此活动已获授权。

SCADAFence - PLC远程编程模式命令发布

描述

此检测识别正在发出的PLC远程编程模式命令。

建议

确认此活动已获授权。

SCADAFence - PLC远程运行模式命令发布

描述

此检测标识正在发出的PLC远程运行mod命令。

建议

确认此活动已获授权。

PLC远程测试模式命令发布

描述

此检测识别正在发出的PLC远程测试模式命令。

建议

确认此活动已获授权。

SCADAFence -发出PLC重启命令

描述

此检测标识正在发出的PLC重启命令。

建议

确认此活动已获授权。

SCADAFence - PLC启动命令发出

描述

此检测标识PLC启动命令的执行。

建议

确认此活动已获授权。

SCADAFence -检测到PLC启动

描述

该检测标识何时发送了PLC启动。

建议

确认此活动已获授权。

SCADAFence -发出PLC停止命令

描述

此检测标识PLC停止命令的执行。

建议

确认此活动已获授权。

Scadafence - PLC停止检测到

描述

当PLC停止被发送时,此检测将被识别。

建议

确认此活动已获授权。

SCADAFence -检测到PLC时间变化请求

描述

此检测标识正在执行的时间更改命令。

建议

确认此活动已获授权。

SCADAFence -可能的黑能量恶意软件感染

描述

该检测识别出BlackEnergy木马通信。

建议

确认系统未感染BlackEnergy木马病毒。

SCADAFence -检测到可能的BlueKeep RDP开发尝试

描述

该检测识别了被称为“永恒蓝色”的RDP漏洞的尝试使用。

建议

验证此行为是否授权。

Scadafence - 可能的HASX恶意软件感染

描述

该检测识别Havex木马通信。

建议

验证系统是否没有受到HASX特洛伊木马感染。

SCADAFence -可能的恶意软件感染

描述

该检测识别工业木马通信。

建议

验证系统是否没有受到Industroyer Trojan感染。

Scadafence - 可能的IRC BOT Trojan感染

描述

此检测识别IRC bot木马通信。

建议

确认系统未感染IRC bot木马。

SCADAFence -可能的Linux/AED。DDoS的恶意软件感染

描述

该检测识别AED木马通信。

建议

确认系统未感染AED木马病毒。

SCADAFence -可能的pcat /Gh0st恶意木马感染

描述

该检测识别了PCRat/Gh0st木马通信。

建议

确认系统未感染PCRat/Gh0st木马病毒。

SCADAFence -可能的蛇恶意软件感染

描述

此检测识别蛇木马通信。

建议

确认系统未感染Snake木马病毒。

SCADAFence -可能的Trisis恶意软件感染

描述

此检测识别Trisis木马通信。

建议

确认系统未感染Trisis木马病毒。

Scadafence - 可能的vandacry恶意软件感染

描述

该检测识别了WannaCry恶意软件的下载。

建议

确认系统未感染WannaCry恶意软件。

SCADAFence -可能的WannaCry恶意软件流量

描述

该检测识别WannaCry恶意软件通信。

建议

确认系统未感染WannaCry恶意软件。

SCADAFence -可能是宙斯恶意软件感染

描述

此检测识别宙斯木马通信。

建议

验证系统是否没有用Zeus Trojan感染。

扫描 - 检测到编程读取命令

描述

此检测标识正在执行的编程读命令。

建议

确认此活动已获授权。

SCADAFence -检测到编程写命令

描述

该检测标识PLC的写序列。

建议

确认此活动已获授权。

SCADAFence -检测到PsExec工具

描述

该检测识别PsExec的使用。

建议

验证此行为是否授权。

SCADAFence -检测到远程命令执行尝试

描述

此检测标识试图通过HTTP传递的远程命令执行。

建议

确认此活动已获授权。

扫描 - 检测到远程Windows命令shell

描述

此检测识别当系统远程打开Windows命令shell时识别。

建议

确认此活动已获授权。

SCADAFence - Ripple20 CVE-2020-11896检测到利用尝试

描述

该检测识别试图使用Ripple20攻击Treck IP堆栈。

建议

验证此行为是否授权。

SCADAFence - Ripple20 CVE-2020-11898检测到利用尝试

描述

该检测识别试图使用Ripple20攻击Treck IP堆栈。

建议

验证此行为是否授权。

扫描症 - 在多个VLAN中检测到相同的MAC

描述

该检测标识同一MAC地址在一个小时内在多个VLAN上被检测。

建议

确认此活动已获授权。

SCADAFence -检测到SCADA系统签名

描述

该检测标识是否检测到SCADA系统签名。

建议

验证此行为是否授权。

SCADAFence -计划任务创建尝试

描述

此检测标识计划任务的创建尝试。

建议

验证此行为是否授权。

SCADAFence -计划任务远程进程执行

描述

此检测标识尝试创建远程计划任务。

建议

验证此行为是否授权。

SCADAFence -签名引擎服务异常

描述

此检测识别签名引擎服务无法运行时。

建议

验证服务是否正常运行。

SCADAFence - SMB开发尝试MS08-67

描述

此检测识别Microsoft安全公告MS08-67中引用的SMB漏洞的尝试使用。

建议

验证此行为是否授权。

SCADAFence - SMB开发尝试MS17-10永恒的蓝色

描述

此检测识别了在微软安全公告MS17-10中引用的SMB漏洞的尝试使用,也被称为“永恒的蓝色”。

建议

验证此行为是否授权。

Scadafence - SMB开发尝试MS17-10 ETEREROMANCE

描述

此检测识别了在微软安全公告MS17-10中引用的SMB漏洞的尝试使用,也被称为永恒浪漫。

建议

验证此行为是否授权。

SCADAFence - SMBv3 CVE-2020-0796检测到利用尝试

描述

此检测识别CVE-2020-0796中引用的SMB漏洞的尝试使用。

建议

验证此行为是否授权。

SCADAFence - SSRR/LSRR开发尝试

描述

此检测识别利用尝试是使用严格源或松散源记录路由通过IP发送的。

建议

验证此行为是否授权。

SCADAFence -成功登录尝试

描述

此检测标识成功登录尝试。

建议

验证登录是预期的。

SCADAFence -对PLC的可疑写命令

描述

该检测表明向PLC发送了可疑的写命令。

建议

验证此命令是否授权,而不是恶意演员活动的结果。

SCADAFence - TCP Options MSS拒绝服务尝试

描述

此检测标识使用最大段大小通过TCP发送了利用尝试。

建议

验证此行为是否授权。

SCADAFence - TCP紧急开发尝试

描述

此检测识别通过TCP发送的利用尝试。

建议

验证此行为是否授权。

SCADAFence - TeamViewer入站连接已建立

描述

此检测将识别正在建立的入站TeamViewer连接。

建议

验证此行为是否授权。

喀土齐 - 检测到涓涓细胞特洛伊木马通信

描述

该检测识别了Trickbot木马通信。

建议

验证系统是否没有感染Trickbot Trojan。

Scadafence - 未经授权的入站连接

描述

此检测标识到内部系统的未授权连接。

建议

验证此行为是否授权。

SCADAFence -未授权入站连接OT网络

描述

该检测识别与操作技术系统的未经授权的连接。

建议

验证此行为是否授权。

SCADAFence -未授权的出站连接

描述

此检测标识到外部系统的未授权连接。

建议

验证此行为是否授权。

SCADAFence -未授权的出站连接

描述

此检测识别主机尝试连接到外部IP地址时。

建议

验证此行为是否授权。

SCADAFence -在物联网设备上检测到不常见的配置

描述

这种检测识别设备的不寻常配置。

建议

验证此配置是否被授权。

SCADAFence -未知ip

描述

当主机试图连接多个未知IP地址时,此检测将进行识别。

建议

验证此行为是否授权。

SCADAFence -使用已弃用的协议SMBv1

描述

此检测标识已弃用协议SMBv1的使用情况。

建议

验证此行为是否授权。

SCADAFence -用户定义的警报

描述

此检测标识用户定义的警报。

建议

检查有问题的警报。

SCADAFence—用户弱认证

描述

此检测识别在对服务验证时使用弱密码。

建议

验证弱密码的使用是否得到授权。如果没有,请修改密码,使其更长、更复杂,以防止密码猜测攻击。

SCADAFence -检测到的漏洞评估工具

描述

该检测标识了已称为尼斯斯的Web漏洞评估工具的存在。

建议

确认此活动已获授权。

SCADAFence -检测到脆弱设备配置

描述

该检测识别设备的脆弱配置。

建议

验证此配置是否被授权。

SCADAFence - Web漏洞评估工具检测Burpsuite

描述

这种检测识别出被称为Burpsuite的web漏洞评估工具的存在。

建议

确认此活动已获授权。

scadafence - Web漏洞评估工具检测到Nikto

描述

这种检测识别了Nikto web漏洞评估工具的存在。

建议

确认此活动已获授权。

SCADAFence - WMI可能的远程进程执行

描述

此检测识别通过Windows管理检测执行远程进程的可能尝试。

建议

确认此活动已获授权。

SCADAFence - WMI远程进程执行

描述

此检测标识试图通过Windows管理检测执行远程进程。确认此活动已获授权。

建议

确认此活动已获授权。

喀土齐 - 检测到零下零售木马通信

描述

此检测识别ZeroAccess木马通信。

建议

确认系统没有感染ZeroAccess木马。