喀土齐
SCADAfence平台将可见性扩展到IT和OT网络。此检测规则集合与InsightIDR SCADAFence集成.
SCADAFence -管理员弱认证
描述
此检测标识使用弱密码对系统进行身份验证的管理员。
建议
确保使用强密码,特别是管理帐户,并遵守已定义的密码策略对长度和复杂度的要求。
SCADAFence -分析和关联服务不能正常运行
描述
此检测表明分析和相关服务没有正常运行。
建议
验证系统是否正常运行。
SCADAFence -资产重新连接到CC-link IE网络
描述
该检测标识资产重新连接到CC-link IE网络。
建议
确认此活动已获授权。
SCADAFence—以太网异常行为
描述
当主机试图连接到几个未知的“mac”地址时,此检测标识。
建议
验证此行为是否授权。
SCADAFence—TCP异常行为
描述
此检测标识试图连接到未知TCP端点的主机。
建议
验证此活动是否已授权。
Scadafence - 异常的UDP行为
描述
此检测标识试图连接到未知UDP端点的主机。
建议
验证此活动是否已授权。
SCADAFence - API
描述
此检测标识用户定义的API的使用。
建议
验证此行为是否授权。
喀土齐 - 中间攻击中的ARP人
描述
该检测可以识别基于ARP的中间人攻击。
建议
验证此行为是否授权。
SCADAFence -资产修改了操作系统类型或版本
描述
当主机的操作系统版本或类型发生更改时,此检测将进行识别。
建议
验证此更改是否得到授权。
SCADAFence - Bacnet设备通信-检测到启动请求
描述
此检测标识正在执行的bacnet通信启动请求。
建议
确认此活动已获授权。
Scadafence - 检测到的Backet设备通信 - 停止请求
描述
该检测识别正在执行的BACnet服务通信停止请求。
建议
确认此活动已获授权。
SCADAFence - Bacnet设备重新初始化-检测到服务请求
描述
此检测标识正在执行的bacnet服务重新初始化请求。
建议
确认此活动已获授权。
SCADAFence - Brute Force审计工具检测到THC-Hydra
描述
该检测识别出黑客选择(THC)的强力攻击工具Hydra的存在。
建议
确认此活动已获授权。
SCADAFence -暴力破解工具检测到美杜莎
描述
这种检测识别出美杜莎暴力强迫工具的存在。
建议
确认此活动已获授权。
SCADAFENCE - 在IOT设备上启用了呼叫主机功能
描述
此检测标识主机正在调用home。
建议
验证此行为是否授权。
SCADAFence -检测到摄像机配置更改
描述
此检测识别重新配置正在执行的摄像机的命令。
建议
确认此活动已获授权。
SCADAFence -检测到CIP配置更改
描述
此检测识别CIP配置更改请求已发送到设备时。
建议
确认此活动已获授权。
SCADAFence -默认凭证
描述
此检测标识试图对系统进行身份验证时使用的默认凭据的使用情况。
建议
验证此活动是经过授权的,而不是恶意攻击者试图访问系统的结果。
SCADAFence - FTP默认密码
描述
此检测标识使用匿名访问文件传输协议“ftp”服务。
建议
验证服务器是否被授权允许匿名访问此服务。
SCADAFence -读访问的SNMP默认密码
描述
此检测标识对服务进行身份验证时使用的默认密码。
建议
验证是否授权使用默认密码。如果没有,请修改密码,使其更长、更复杂,以防止密码猜测攻击。
SCADAFence - SNMP写访问的默认密码
描述
此检测标识对服务进行身份验证时使用的默认密码。
建议
验证弱密码的使用是否得到授权。如果没有,请修改密码,使其更长、更复杂,以防止密码猜测攻击。
SCADAFence -检测到设备配置更改
描述
此检测识别已更改的设备配置。
建议
验证此行为是否授权。
SCADAFence -检测到设备固件更新
描述
此检测标识设备上正在升级的固件。
建议
验证此行为是否授权。
SCADAFence -不再支持设备
描述
此检测识别不再支持的系统,无法有效地管理。
建议
验证此行为是否授权。
Scadafence - 设备未初始化
描述
此检测标识设备未初始化。
建议
验证此行为是预期的。
SCADAFence -识别出没有认证的设备
描述
该检测识别配置了不需要认证就可以访问的服务的设备。
建议
验证此配置是否被授权。
SCADAFence—DHCP发现
描述
当系统请求DHCP发现时,会触发此检测。
建议
检查主机及其配置是否被授权进入网络并使用DHCP。
SCADAFence - DHCP请求IP
描述
该检测通过DHCP来识别对某个地址的请求。
建议
检查主机及其配置是否被授权进入网络并使用DHCP。
SCADAFence -检测到目录遍历尝试
描述
此检测识别尝试执行web目录遍历。
建议
确认此活动已获授权。
SCADAFence -域名声誉警报
描述
此检测识别试图解析恶意域的行为。
建议
查看有问题的警报,并确定试图解析域的原因。
SCADAFence -检测到重复MAC
描述
此检测识别重复的媒体访问控制“mac”地址。
建议
确认这是一个错误配置,而不是恶意参与者对ARP进行毒害的结果。
SCADAFence -邮件分发服务无法正常运行
描述
此检测标识电子邮件分发服务无法运行。
建议
验证电子邮件系统是否正在运行。
SCADAFence - ARP分辨率过高
描述
当主机试图解析多个未知IP地址时,此检测将进行识别。
建议
验证此行为是否授权。
SCADAFence -过多的DNS查询
描述
当主机尝试解析多个域名时,此检测将进行识别。
建议
验证此行为是否授权。
SCADAFence -查询过多的DNS服务器
描述
当主机试图连接多个DNS服务器进行解析时,此检测将进行识别。
建议
验证此行为是否授权。
SCADAFence -过多的新IP连接
描述
当主机打开了与其他主机的过多连接时,此检测将识别出来。
建议
验证此行为是否授权。
Scadafence - 登录尝试失败
描述
此检测标识失败的登录尝试。
建议
验证用户失败的登录尝试是由用户偶然的,而不是恶意演员的尝试。
SCADAFence -通过ip解析的外国主机
描述
当网络上出现新主机时,这种检测就会识别出来,并开始尝试解析几个未知主机。
建议
验证此行为是否授权。
SCADAFence -未知ip的外国主机
描述
当网络上出现新主机并开始连接多个主机时,此检测就会进行识别。
建议
验证此活动是否已授权。
SCADAFence -未知MAC的外国主机
描述
当网络上出现新主机并开始连接多个主机时,此检测就会进行识别。
建议
验证此活动是否已授权。
SCADAFence组到组通信
描述
这种检测可以识别不同组名之间的网络连接。
建议
验证此行为是否授权。
扫描 - 检测到令人心碎的剥削尝试
描述
此检测识别了试图利用OpenSSL中的Heartbleed漏洞(cve-2014-0160)。
建议
确认此活动已获授权。
SCADAFence -检测到心脏出血成功
描述
该检测识别了OpenSSL中Heartbleed漏洞(cve-2014-0160)的成功利用。
建议
确认此活动已获授权。
SCADAFence -主机名更改
描述
此检测标识主机名的更改。
建议
验证是否授权主机名的更改。
SCADAFence -检测到主机名冲突
描述
此检测识别重复的主机名。
建议
确认这是错误配置,而不是恶意参与者的结果。
SCADAFence - ICS登录失败
描述
此检测识别对ICS的失败登录尝试。
建议
确认此活动已获授权。
SCADAFence -工业设备固件更新命令发布
描述
此检测标识发出了设备固件更新命令。
建议
确认此活动已获授权。
SCADAFence -工业参数值超出范围
描述
此检测识别值时值超出参数范围。
建议
检查配置是否正确。
SCADAFence -工业协议DPI警报
描述
该检测标识触发DPI规则的ICS流量。
建议
确认此活动已获授权。
SCADAFence - Invalid DHCP IP Offer潜在的拒绝服务尝试
描述
这种检测识别网络上正在给出的无效DHCP提供。
建议
验证此行为是否授权。
SCADAFence -无效的RARP IP提供可能的拒绝服务尝试
描述
这种检测识别出网络上提供的无效RARP。
建议
验证此行为是否授权。
扫描 - 检测到IP冲突
描述
该检测识别与两个不同的媒体访问控制或“MAC”地址相关联的相同IP地址。
建议
确认这是错误配置,而不是恶意参与者行为的结果。
SCADAFence - IP声誉警报
描述
这种检测识别试图连接到恶意IP地址。
建议
查看问题的警报,并确定尝试连接IP地址的原因。
SCADAFence - KNX内存写命令发布
描述
该检测识别何时发出了KNX内存写命令。
建议
确认此活动已获授权。
SCADAFence -发出KNX重启命令
描述
该检测标识何时发出了KNX重启命令。
建议
确认此活动已获授权。
检测到Limewire P2P文件共享应用
描述
这种检测识别与Limewire相关的点对点协议的存在。
建议
验证此行为是否授权。
SCADAFence -链路空闲或Down
描述
此检测标识系统正在经历一个down或空闲的网络接口。
建议
验证系统是否能够有效监控网络流量。
SCADAFence -位置没有响应
描述
此检测标识一个位置没有响应。
建议
确认地点已经启动并运行。
SCADAFence - MAC改变
描述
该检测识别媒体访问控制或“mac”地址的变化。
建议
确认此主机的网卡已更改,并且观察到的行为不是ARP中毒或其他恶意攻击者行为的结果。
Scadafence - 缺失设备
描述
当主机在网络上一段时间没有被观察到时,该检测就会被识别出来。
建议
验证此主机是否正常运行,并能够由系统监视。
SCADAFence -检测到多主机
描述
此检测标识具有多个网络地址的主机。
建议
验证此主机是否无意地桥接了应该分段的网络。
SCADAFence -多站点通信服务不能正常运行
描述
当多站点通信服务不能正常工作时,此检测将被识别出来。
建议
检查服务是否正常运行。
SCADAFence - Net组查询管理组
描述
此检测标识使用'net.exe'查询管理组。
建议
确认此活动已获授权。
SCADAFence -检测到的网络扫描工具
描述
此检测标识是否存在网络扫描工具。
建议
确认此活动已获授权。
SCADAFence -检测到网络扫描仪
描述
该检测识别网络扫描活动。
建议
验证此行为是否授权。
SCADAFence -新资产连接到CC-Link IE网络
描述
该检测识别连接到CC-link IE网络的新资产。
建议
确认此活动已获授权。
SCADAFence -工业设备的新连接
描述
这种检测识别从未观察到的连接到工业设备。
建议
验证此行为是否授权。
SCADAFence -检测到新主机
描述
此检测标识存在新主机。
建议
验证新检测到的主机是否存在于网络中。
scadafence - 新的ICS命令
描述
该检测表明已经执行了一个新的ICS命令。
建议
验证执行命令的源地址是否被授权。
SCADAFence -新的IP连接
描述
该检测标识了新的源地址连接。
建议
验证此源地址已被授权连接到此服务。
Scadafence - 与OT相关资产的新IP连接
描述
此检测标识来自操作技术资产的新连接。
建议
验证此连接是否已授权。
SCADAFence -新的管理连接到摄像机
描述
该检测识别管理与摄像头的连接。
建议
确认此活动已获授权。
SCADAFence -新港口
描述
该检测识别到之前未观察到的新端口。
建议
验证此连接是经过授权的,而不是恶意参与者活动的结果。
SCADAFence -通过OT相关资产新建端口连接
描述
此检测标识来自操作技术资产的新连接。
建议
验证此连接是否已授权。
喀土齐 - 没有回复
描述
当主机尝试连接到另一个地址而没有收到应答时,此检测将进行识别。
建议
验证此行为是否授权。
SCADAFence - OCP-UA用户读操作访问拒绝
描述
当OCP-UA用户没有执行请求的读操作所需的访问权限时,此检测将识别出来。
建议
确认此活动已获授权。
SCADAFence - OPC-UA用户写操作访问被拒绝
描述
该检测识别OCP-UA用户没有所需的访问来执行所请求的写入操作。
建议
确认此活动已获授权。
Scadafence - OT到互联网未经授权的出站连接
描述
这种检测识别从操作技术系统到公共互联网的未经授权的连接。
建议
验证此行为是否授权。
SCADAFence—丢包
描述
当系统遇到过多的丢包时,此检测将识别出来。
建议
验证系统是否能够有效监控网络流量。
SCADAFence—报文Flood拒绝服务
描述
这种检测可以识别从一台主机发送到另一台主机的数据包数量过多。
建议
验证正在生成的网络流量是否授权。
Scadafence - 数据包处理服务无法正常运行
描述
该检测表明报文处理业务可能没有对网络流量进行分析。
建议
验证系统正在积极地监视网络。
SCADAFence—密码暴力破解攻击
描述
该检测识别潜在的蛮力攻击。
建议
验证此活动是经过授权的,而不是恶意攻击者的结果。
扫描 - 检测到Persirai僵尸网络感染
描述
此检测识别了一个感染了波斯拉伊僵尸网络的主机。
建议
根据需要验证此主机是否被感染和重建已知的好源。
SCADAFence—明文认证
描述
此检测标识发生了未加密的身份验证。
建议
验证关联的服务是否被授权提供未加密的身份验证方法。
SCADAFence - PLC固件更新命令发布
描述
该检测识别正在发出的PLC固件更新命令。
建议
确认此活动已获授权。
SCADAFence -发出PLC内存重置命令
描述
此检测识别发出PLC存储器复位命令。
建议
确认此活动已获授权。
SCADAFence - PLC远程编程模式命令发布
描述
此检测识别正在发出的PLC远程编程模式命令。
建议
确认此活动已获授权。
SCADAFence - PLC远程运行模式命令发布
描述
此检测标识正在发出的PLC远程运行mod命令。
建议
确认此活动已获授权。
PLC远程测试模式命令发布
描述
此检测识别正在发出的PLC远程测试模式命令。
建议
确认此活动已获授权。
SCADAFence -发出PLC重启命令
描述
此检测标识正在发出的PLC重启命令。
建议
确认此活动已获授权。
SCADAFence - PLC启动命令发出
描述
此检测标识PLC启动命令的执行。
建议
确认此活动已获授权。
SCADAFence -检测到PLC启动
描述
该检测标识何时发送了PLC启动。
建议
确认此活动已获授权。
SCADAFence -发出PLC停止命令
描述
此检测标识PLC停止命令的执行。
建议
确认此活动已获授权。
Scadafence - PLC停止检测到
描述
当PLC停止被发送时,此检测将被识别。
建议
确认此活动已获授权。
SCADAFence -检测到PLC时间变化请求
描述
此检测标识正在执行的时间更改命令。
建议
确认此活动已获授权。
SCADAFence -可能的黑能量恶意软件感染
描述
该检测识别出BlackEnergy木马通信。
建议
确认系统未感染BlackEnergy木马病毒。
SCADAFence -检测到可能的BlueKeep RDP开发尝试
描述
该检测识别了被称为“永恒蓝色”的RDP漏洞的尝试使用。
建议
验证此行为是否授权。
Scadafence - 可能的HASX恶意软件感染
描述
该检测识别Havex木马通信。
建议
验证系统是否没有受到HASX特洛伊木马感染。
SCADAFence -可能的恶意软件感染
描述
该检测识别工业木马通信。
建议
验证系统是否没有受到Industroyer Trojan感染。
Scadafence - 可能的IRC BOT Trojan感染
描述
此检测识别IRC bot木马通信。
建议
确认系统未感染IRC bot木马。
SCADAFence -可能的Linux/AED。DDoS的恶意软件感染
描述
该检测识别AED木马通信。
建议
确认系统未感染AED木马病毒。
SCADAFence -可能的pcat /Gh0st恶意木马感染
描述
该检测识别了PCRat/Gh0st木马通信。
建议
确认系统未感染PCRat/Gh0st木马病毒。
SCADAFence -可能的蛇恶意软件感染
描述
此检测识别蛇木马通信。
建议
确认系统未感染Snake木马病毒。
SCADAFence -可能的Trisis恶意软件感染
描述
此检测识别Trisis木马通信。
建议
确认系统未感染Trisis木马病毒。
Scadafence - 可能的vandacry恶意软件感染
描述
该检测识别了WannaCry恶意软件的下载。
建议
确认系统未感染WannaCry恶意软件。
SCADAFence -可能的WannaCry恶意软件流量
描述
该检测识别WannaCry恶意软件通信。
建议
确认系统未感染WannaCry恶意软件。
SCADAFence -可能是宙斯恶意软件感染
描述
此检测识别宙斯木马通信。
建议
验证系统是否没有用Zeus Trojan感染。
扫描 - 检测到编程读取命令
描述
此检测标识正在执行的编程读命令。
建议
确认此活动已获授权。
SCADAFence -检测到编程写命令
描述
该检测标识PLC的写序列。
建议
确认此活动已获授权。
SCADAFence -检测到PsExec工具
描述
该检测识别PsExec的使用。
建议
验证此行为是否授权。
SCADAFence -检测到远程命令执行尝试
描述
此检测标识试图通过HTTP传递的远程命令执行。
建议
确认此活动已获授权。
扫描 - 检测到远程Windows命令shell
描述
此检测识别当系统远程打开Windows命令shell时识别。
建议
确认此活动已获授权。
SCADAFence - Ripple20 CVE-2020-11896检测到利用尝试
描述
该检测识别试图使用Ripple20攻击Treck IP堆栈。
建议
验证此行为是否授权。
SCADAFence - Ripple20 CVE-2020-11898检测到利用尝试
描述
该检测识别试图使用Ripple20攻击Treck IP堆栈。
建议
验证此行为是否授权。
扫描症 - 在多个VLAN中检测到相同的MAC
描述
该检测标识同一MAC地址在一个小时内在多个VLAN上被检测。
建议
确认此活动已获授权。
SCADAFence -检测到SCADA系统签名
描述
该检测标识是否检测到SCADA系统签名。
建议
验证此行为是否授权。
SCADAFence -计划任务创建尝试
描述
此检测标识计划任务的创建尝试。
建议
验证此行为是否授权。
SCADAFence -计划任务远程进程执行
描述
此检测标识尝试创建远程计划任务。
建议
验证此行为是否授权。
SCADAFence -签名引擎服务异常
描述
此检测识别签名引擎服务无法运行时。
建议
验证服务是否正常运行。
SCADAFence - SMB开发尝试MS08-67
描述
此检测识别Microsoft安全公告MS08-67中引用的SMB漏洞的尝试使用。
建议
验证此行为是否授权。
SCADAFence - SMB开发尝试MS17-10永恒的蓝色
描述
此检测识别了在微软安全公告MS17-10中引用的SMB漏洞的尝试使用,也被称为“永恒的蓝色”。
建议
验证此行为是否授权。
Scadafence - SMB开发尝试MS17-10 ETEREROMANCE
描述
此检测识别了在微软安全公告MS17-10中引用的SMB漏洞的尝试使用,也被称为永恒浪漫。
建议
验证此行为是否授权。
SCADAFence - SMBv3 CVE-2020-0796检测到利用尝试
描述
此检测识别CVE-2020-0796中引用的SMB漏洞的尝试使用。
建议
验证此行为是否授权。
SCADAFence - SSRR/LSRR开发尝试
描述
此检测识别利用尝试是使用严格源或松散源记录路由通过IP发送的。
建议
验证此行为是否授权。
SCADAFence -成功登录尝试
描述
此检测标识成功登录尝试。
建议
验证登录是预期的。
SCADAFence -对PLC的可疑写命令
描述
该检测表明向PLC发送了可疑的写命令。
建议
验证此命令是否授权,而不是恶意演员活动的结果。
SCADAFence - TCP Options MSS拒绝服务尝试
描述
此检测标识使用最大段大小通过TCP发送了利用尝试。
建议
验证此行为是否授权。
SCADAFence - TCP紧急开发尝试
描述
此检测识别通过TCP发送的利用尝试。
建议
验证此行为是否授权。
SCADAFence - TeamViewer入站连接已建立
描述
此检测将识别正在建立的入站TeamViewer连接。
建议
验证此行为是否授权。
喀土齐 - 检测到涓涓细胞特洛伊木马通信
描述
该检测识别了Trickbot木马通信。
建议
验证系统是否没有感染Trickbot Trojan。
Scadafence - 未经授权的入站连接
描述
此检测标识到内部系统的未授权连接。
建议
验证此行为是否授权。
SCADAFence -未授权入站连接OT网络
描述
该检测识别与操作技术系统的未经授权的连接。
建议
验证此行为是否授权。
SCADAFence -未授权的出站连接
描述
此检测标识到外部系统的未授权连接。
建议
验证此行为是否授权。
SCADAFence -未授权的出站连接
描述
此检测识别主机尝试连接到外部IP地址时。
建议
验证此行为是否授权。
SCADAFence -在物联网设备上检测到不常见的配置
描述
这种检测识别设备的不寻常配置。
建议
验证此配置是否被授权。
SCADAFence -未知ip
描述
当主机试图连接多个未知IP地址时,此检测将进行识别。
建议
验证此行为是否授权。
SCADAFence -使用已弃用的协议SMBv1
描述
此检测标识已弃用协议SMBv1的使用情况。
建议
验证此行为是否授权。
SCADAFence -用户定义的警报
描述
此检测标识用户定义的警报。
建议
检查有问题的警报。
SCADAFence—用户弱认证
描述
此检测识别在对服务验证时使用弱密码。
建议
验证弱密码的使用是否得到授权。如果没有,请修改密码,使其更长、更复杂,以防止密码猜测攻击。
SCADAFence -检测到的漏洞评估工具
描述
该检测标识了已称为尼斯斯的Web漏洞评估工具的存在。
建议
确认此活动已获授权。
SCADAFence -检测到脆弱设备配置
描述
该检测识别设备的脆弱配置。
建议
验证此配置是否被授权。
SCADAFence - Web漏洞评估工具检测Burpsuite
描述
这种检测识别出被称为Burpsuite的web漏洞评估工具的存在。
建议
确认此活动已获授权。
scadafence - Web漏洞评估工具检测到Nikto
描述
这种检测识别了Nikto web漏洞评估工具的存在。
建议
确认此活动已获授权。
SCADAFence - WMI可能的远程进程执行
描述
此检测识别通过Windows管理检测执行远程进程的可能尝试。
建议
确认此活动已获授权。
SCADAFence - WMI远程进程执行
描述
此检测标识试图通过Windows管理检测执行远程进程。确认此活动已获授权。
建议
确认此活动已获授权。
喀土齐 - 检测到零下零售木马通信
描述
此检测识别ZeroAccess木马通信。
建议
确认系统没有感染ZeroAccess木马。