SCADAFence
SCADAfence平台将可见性扩展到IT和OT网络。此检测规则集合与InsightIDR SCADAFence集成。
SCADAFence -管理员弱认证
描述
此检测标识使用弱密码对系统进行身份验证的管理员。
建议
确保使用强密码,特别是管理帐户,并遵守已定义的密码策略对长度和复杂度的要求。
ScadaFeence - 分析和相关服务无法正常运行
描述
此检测识别分析和相关服务无法正常运行。
建议
验证系统是否正常运行。
SCADAFence -资产重新连接到CC-link IE网络
描述
该检测标识资产重新连接到CC-link IE网络。
建议
确认此活动已获授权。
SCADAFence—以太网异常行为
描述
此检测识别宿主尝试连接到几个未知的“MAC”地址时。
建议
验证此行为是否授权。
SCADAFence—TCP异常行为
描述
此检测标识试图连接到未知TCP端点的主机。
建议
确认此活动已获授权。
SCADAFence—UDP异常行为
描述
这种检测识别试图连接到未知UDP端点的主机。
建议
确认此活动已获授权。
SCADAFence - API
描述
此检测标识使用用户定义的API的使用。
建议
验证此行为是否授权。
SCADAFence - ARP Man In The Middle Attack
描述
该检测识别基于ARP的中间攻击。
建议
验证此行为是否授权。
SCADAFence -资产修改了操作系统类型或版本
描述
当主机的操作系统版本或类型发生更改时,此检测将进行识别。
建议
验证此更改是否得到授权。
SCADAFence - Bacnet设备通信-检测到启动请求
描述
该检测识别正在执行的BACnet通信启动请求。
建议
确认此活动已获授权。
SCADAFence - Bacnet设备通信-检测到停止请求
描述
此检测标识正在执行的bacnet服务通信停止请求。
建议
确认此活动已获授权。
Scadafence - Bacnet Device Reinitialize-Service请求检测到
描述
此检测标识正在执行的bacnet服务重新初始化请求。
建议
确认此活动已获授权。
SCADAFence - Brute Force审计工具检测到THC-Hydra
描述
该检测识别出黑客选择(THC)的强力攻击工具Hydra的存在。
建议
确认此活动已获授权。
SCADAFence -暴力破解工具检测到美杜莎
描述
该检测识别出Medusa Brute Forcing工具的存在。
建议
确认此活动已获授权。
SCADAFence -在物联网设备上启用呼叫home功能
描述
此检测标识主机正在呼叫主机。
建议
验证此行为是否授权。
扫描 - 检测到摄像机配置变更
描述
此检测识别重新配置正在执行的摄像机的命令。
建议
确认此活动已获授权。
扫描 - 检测到CIP配置变更
描述
此检测识别CIP配置更改请求已发送到设备时。
建议
确认此活动已获授权。
SCADAFence -默认凭证
描述
此检测标识试图对系统进行身份验证时使用的默认凭据的使用情况。
建议
验证此活动是经过授权的,而不是恶意攻击者试图访问系统的结果。
SCADAFence - FTP默认密码
描述
此检测标识使用匿名访问文件传输协议“ftp”服务。
建议
验证服务器是否被授权允许匿名访问此服务。
SCADAFence -读访问的SNMP默认密码
描述
此检测标识对服务进行身份验证时使用的默认密码。
建议
确认默认密码的使用是授权的。如果没有,请修改密码,使其更长、更复杂,以防止密码猜测攻击。
scadafence - 写访问的默认SNMP密码
描述
此检测标识对服务进行身份验证时使用的默认密码。
建议
验证弱密码的使用是否得到授权。如果没有,请修改密码,使其更长、更复杂,以防止密码猜测攻击。
SCADAFence -检测到设备配置更改
描述
该检测标识正在更改的设备配置。
建议
验证此行为是否授权。
SCADAFence -检测到设备固件更新
描述
此检测标识设备上正在升级的固件。
建议
验证此行为是否授权。
扫描 - 不再支持设备
描述
此检测识别不再支持的系统,无法有效地管理。
建议
验证此行为是否授权。
SCADAFence -设备未初始化
描述
此检测标识设备未初始化。
建议
验证此行为是预期的。
SCADAFence -识别出没有认证的设备
描述
此检测识别具有配置的服务,该设备未在不需要验证以访问。
建议
验证此配置是否被授权。
Scadafence - DHCP发现
描述
此检测识别系统请求DHCP发现时。
建议
检查主机及其配置是否被授权进入网络并使用DHCP。
Scadafence - IP的DHCP请求
描述
此检测识别使用DHCP的地址的请求。
建议
检查主机及其配置是否被授权进入网络并使用DHCP。
Scadafence - 检测到目录遍历尝试
描述
此检测识别尝试执行web目录遍历。
建议
确认此活动已获授权。
SCADAFence -域名声誉警报
描述
此检测识别试图解析恶意域的行为。
建议
查看有问题的警报,并确定试图解析域的原因。
扫描 - 检测到重复的MAC
描述
此检测识别重复的媒体访问控制“MAC”地址。
建议
确认这是一个错误配置,而不是恶意参与者对ARP进行毒害的结果。
Scadafence - 电子邮件分发服务无法正常运行
描述
此检测表明电子邮件分发服务没有运行。
建议
检查邮件系统是否正常运行。
Scadafence - 过度的ARP解决方案
描述
当主机试图解析多个未知IP地址时,此检测将进行识别。
建议
验证此行为是否授权。
SCADAFence -过多的DNS查询
描述
当主机尝试解析多个域名时,此检测将进行识别。
建议
验证此行为是否授权。
Scadafence - 验证过多的DNS服务器
描述
当主机试图连接多个DNS服务器进行解析时,此检测将进行识别。
建议
验证此行为是否授权。
SCADAFence -过多的新IP连接
描述
此检测标识当主机打开与其他主机的过多数量的连接时。
建议
验证此行为是否授权。
SCADAFence -登录失败
描述
此检测标识失败的登录尝试。
建议
验证失败的登录尝试是由用户意外导致的,而不是恶意参与者的尝试。
Scadafence - 由IPS解决方案的外国主持人
描述
此检测识别网络上的新主机并开始尝试解析几个未知主机时。
建议
验证此行为是否授权。
Scadafence - 未知IPS的外国主机
描述
此检测识别在网络上存在新主机并开始连接到多个主机时。
建议
确认此活动已获授权。
Scadafence - 未知Mac的外国主持人
描述
此检测识别在网络上存在新主机并开始连接到多个主机时。
建议
确认此活动已获授权。
ScadaFence - 集团到集团沟通
描述
此检测识别不同组名之间的网络连接。
建议
验证此行为是否授权。
SCADAFence -检测到心脏出血企图
描述
此检测识别了试图利用OpenSSL中的Heartbleed漏洞(cve-2014-0160)。
建议
确认此活动已获授权。
SCADAFence -检测到心脏出血成功
描述
该检测识别出于称为Heartbleed(CVE-2014-0160)的OpenSSL中漏洞的成功开发。
建议
确认此活动已获授权。
SCADAFence -主机名更改
描述
此检测标识主机名的更改。
建议
验证主机名的此更改是否授权。
SCADAFence -检测到主机名冲突
描述
此检测识别重复的主机名。
建议
验证这是一个错误配置,而不是恶意演员的结果。
SCADAFence - ICS登录失败
描述
此检测识别对ICS的失败登录尝试。
建议
确认此活动已获授权。
SCADAFence -工业设备固件更新命令发布
描述
此检测标识识别设备固件更新命令。
建议
确认此活动已获授权。
Scadafence - 工业参数值超出范围
描述
当值超出参数范围时,此检测将标识。
建议
检查配置是否正确。
Scadafence - 工业协议DPI警报
描述
该检测标识触发DPI规则的ICS流量。
建议
确认此活动已获授权。
Scadafence - 无效的DHCP IP提供潜在拒绝服务尝试
描述
此检测识别网络上给出的无效DHCP提供。
建议
验证此行为是否授权。
SCADAFence -无效的RARP IP提供可能的拒绝服务尝试
描述
这种检测识别出网络上提供的无效RARP。
建议
验证此行为是否授权。
扫描 - 检测到IP冲突
描述
这种检测识别出与两个不同的媒体访问控制或“mac”地址相关联的相同IP地址。
建议
验证这是一个错误配置,而不是恶意演员行为的结果。
Scadafence - IP声誉警报
描述
这种检测识别试图连接到恶意IP地址。
建议
检查有问题的警报,并确定试图连接IP地址的原因。
ScadaFence - KNX存储器写命令发布
描述
此检测识别已发出KNX存储器写入命令。
建议
确认此活动已获授权。
Scadafence - KNX RESTART命令发布
描述
此检测识别已发出KNX RESTART命令。
建议
确认此活动已获授权。
检测到Limewire P2P文件共享应用
描述
这种检测识别与Limewire相关的点对点协议的存在。
建议
验证此行为是否授权。
Scadafence - 链接空闲或向下
描述
此检测标识系统正在经历一个down或空闲的网络接口。
建议
验证系统是否能够有效监控网络流量。
SCADAFence -位置没有响应
描述
此检测标识一个位置没有响应。
建议
验证位置是否已启动并运行。
SCADAFence - MAC改变
描述
该检测识别媒体访问控制或“mac”地址的变化。
建议
确认此主机的网卡已更改,并且观察到的行为不是ARP中毒或其他恶意攻击者行为的结果。
SCADAFence -丢失的设备
描述
当主机在网络上一段时间没有被观察到时,该检测就会被识别出来。
建议
验证该主机是否按照预期运行,并能够被系统监控。
SCADAFence -检测到多主机
描述
此检测标识具有多个网络地址的主机。
建议
验证此主机不是无意地遍布应该分割的网络。
Scadafence - 多站点通信服务无法正常运行
描述
当多站点通信服务不能正常工作时,此检测将被识别出来。
建议
验证服务是否正常运行。
SCADAFence - Net组查询管理组
描述
此检测标识使用'net.exe'查询管理组。
建议
确认此活动已获授权。
扫描 - 检测到网络扫描仪工具
描述
此检测标识是否存在网络扫描工具。
建议
确认此活动已获授权。
检测到扫描 - 网络扫描仪
描述
此检测识别网络扫描活动。
建议
验证此行为是否授权。
Scadafence - 连接到CC-Link IE网络的新资产
描述
此检测标识与CC-Link IE网络连接的新资产。
建议
确认此活动已获授权。
SCADAFence -工业设备的新连接
描述
该检测识别在观察到的工业设备的连接之前从未识别。
建议
验证此行为是否授权。
SCADAFence -检测到新主机
描述
此检测标识存在一个新主机。
建议
验证网络上应显示新检测到的主机。
SCADAFence -新增ICS命令
描述
该检测表明已经执行了一个新的ICS命令。
建议
验证执行命令的源地址是否被授权。
Scadafence - 新IP Connect
描述
此检测标识一个新的连接源地址。
建议
验证此源地址是否有权连接到此服务。
SCADAFence -从OT相关资产新增IP连接
描述
该检测识别来自操作技术资产的新连接。
建议
验证此连接是否已授权。
扫描 - 与相机的新管理连接
描述
该检测识别管理与摄像头的连接。
建议
确认此活动已获授权。
SCADAFence -新港口
描述
这个检测表明一个新的端口被连接到之前没有被观察到的端口。
建议
验证此连接是经过授权的,而不是恶意参与者活动的结果。
Scadafence - OT相关资产的新端口连接
描述
该检测识别来自操作技术资产的新连接。
建议
验证此连接是否已授权。
SCADAFence -没有回复
描述
当主机尝试连接到另一个地址而没有收到应答时,此检测将进行识别。
建议
验证此行为是否授权。
SCADAFence - OCP-UA用户读操作访问拒绝
描述
当OCP-UA用户没有执行请求的读操作所需的访问权限时,此检测将识别出来。
建议
确认此活动已获授权。
SCADAFence - OPC-UA用户写操作访问被拒绝
描述
当OCP-UA用户没有执行所请求的写操作所需的访问权限时,此检测将识别出来。
建议
确认此活动已获授权。
SCADAFence - OT到互联网未经授权的出站连接
描述
此检测识别从操作技术系统到公共互联网的未经授权连接。
建议
验证此行为是否授权。
SCADAFence—丢包
描述
当系统遇到过多的丢包时,此检测将识别出来。
建议
验证系统是否能够有效地监控网络流量的量。
Scadafence - 彻底拒绝服务
描述
这种检测可以识别从一台主机发送到另一台主机的数据包数量过多。
建议
验证生成的网络流量是否被授权。
SCADAFence -报文处理服务异常
描述
该检测表明报文处理业务可能没有对网络流量进行分析。
建议
验证系统正在积极地监视网络。
Scadafence - 密码蛮力攻击
描述
该检测识别潜在的蛮力攻击。
建议
验证此活动是否授权,而不是恶意攻击者的结果。
扫描 - 检测到Persirai僵尸网络感染
描述
该检测标识了用Persirai僵尸网络感染的主机。
建议
根据需要验证此主机是否被感染和重建已知的好源。
Scadafence - 明文身份验证
描述
此检测标识发生了未加密的身份验证。
建议
验证关联的服务是否被授权提供未加密的身份验证方法。
SCADAFence - PLC固件更新命令发布
描述
该检测识别正在发出的PLC固件更新命令。
建议
确认此活动已获授权。
SCADAFence -发出PLC内存重置命令
描述
该检测识别正在发出的PLC内存复位命令。
建议
确认此活动已获授权。
SCADAFence - PLC远程编程模式命令发布
描述
此检测识别正在发出的PLC远程编程模式命令。
建议
确认此活动已获授权。
Scadafence - PLC远程运行模式命令发布
描述
此检测标识正在发出的PLC远程运行mod命令。
建议
确认此活动已获授权。
Scadafence - PLC远程测试模式命令发布
描述
此检测识别正在发出的PLC远程测试模式命令。
建议
确认此活动已获授权。
Scadafence - 颁发的PLC RESTART命令
描述
此检测标识正在发出的PLC重启命令。
建议
确认此活动已获授权。
Scadafence - PLC启动命令发布
描述
此检测标识PLC启动命令的执行。
建议
确认此活动已获授权。
SCADAFence -检测到PLC启动
描述
该检测标识何时发送了PLC启动。
建议
确认此活动已获授权。
Scadafence - PLC STOP命令发布
描述
此检测标识了PLC STOP命令的执行。
建议
确认此活动已获授权。
SCADAFence -检测到PLC停止
描述
当PLC停止被发送时,此检测将被识别。
建议
确认此活动已获授权。
SCADAFence -检测到PLC时间变化请求
描述
此检测标识正在执行的时间更改命令。
建议
确认此活动已获授权。
Scadafence - 可能的Blackenergy恶意软件感染
描述
该检测识别出BlackEnergy木马通信。
建议
确认系统未感染BlackEnergy木马病毒。
扫描液 - 可能的蓝色RDP开发尝试检测到
描述
此检测标识尝试使用已知为永恒的RDP利用。
建议
验证此行为是否授权。
SCADAFence -可能有恶意软件感染
描述
该检测识别Havex木马通信。
建议
检查系统是否感染Havex木马病毒。
SCADAFence -可能的恶意软件感染
描述
该检测识别贸易组织特洛伊木马通信。
建议
验证系统未感染industryyer木马。
SCADAFence -可能的IRC机器人木马感染
描述
此检测识别IRC bot木马通信。
建议
确认系统未感染IRC bot木马。
SCADAFence -可能的Linux/AED。DDoS的恶意软件感染
描述
该检测识别AED木马通信。
建议
确认系统未感染AED木马病毒。
Scadafence - 可能的PCRAT / GH0ST Malware Trojan感染
描述
该检测识别PCRAT / GH0ST特洛伊木马通信。
建议
确认系统未感染PCRat/Gh0st木马病毒。
SCADAFence -可能的蛇恶意软件感染
描述
此检测识别蛇木马通信。
建议
确认系统未感染Snake木马病毒。
Scadafence - 可能的Trisis Malare感染
描述
该检测识别TriSis Trojan通信。
建议
验证系统是否没有受到TRISIS TROJAN的感染。
SCADAFence -可能的WannaCry恶意软件感染
描述
该检测识别了WannaCry恶意软件的下载。
建议
确认系统未感染WannaCry恶意软件。
Scadafence - 可能的Wannacry Malware流量
描述
该检测识别WannaCry恶意软件通信。
建议
确认系统未感染WannaCry恶意软件。
SCADAFence -可能是宙斯恶意软件感染
描述
此检测识别宙斯木马通信。
建议
确认系统未感染ZeuS木马病毒。
SCADAFence -检测到编程读命令
描述
此检测标识正在执行的编程读命令。
建议
确认此活动已获授权。
扫描 - 检测到编程写命令
描述
该检测将写序列识别到PLC。
建议
确认此活动已获授权。
检测到Scadafence - PSExec工具
描述
该检测标识使用PSExec。
建议
验证此行为是否授权。
SCADAFence -检测到远程命令执行尝试
描述
此检测标识试图通过HTTP传递的远程命令执行。
建议
确认此活动已获授权。
SCADAFence -检测到远程Windows命令Shell
描述
此检测标识系统何时远程打开了Windows命令shell。
建议
确认此活动已获授权。
Scadafence - Ripple20 CVE-2020-11896检测到剥削尝试
描述
此检测标识尝试使用RIPPLE20对TRECK IP堆栈的利用。
建议
验证此行为是否授权。
SCADAFence - Ripple20 CVE-2020-11898检测到利用尝试
描述
此检测标识尝试使用RIPPLE20对TRECK IP堆栈的利用。
建议
验证此行为是否授权。
SCADAFence -在多个VLAN中检测到相同的MAC
描述
该检测标识同一MAC地址在一个小时内在多个VLAN上被检测。
建议
确认此活动已获授权。
扫描 - 检测到SCADA系统签名
描述
该检测标识是否检测到SCADA系统签名。
建议
验证此行为是否授权。
SCADAFence -计划任务创建尝试
描述
此检测标识计划任务的创建尝试。
建议
验证此行为是否授权。
Scadafence - 计划任务远程流程执行
描述
此检测标识创建远程计划任务的尝试。
建议
验证此行为是否授权。
SCADAFence -签名引擎服务异常
描述
该检测用于识别签名引擎服务何时失效。
建议
验证服务是否正常运行。
SCADAFence - SMB开发尝试MS08-67
描述
此检测标识了Microsoft安全公告MS08-67中引用的SMB Exploit的尝试使用。
建议
验证此行为是否授权。
Scadafence - SMB开发尝试MS17-10永恒的蓝色
描述
此检测标识了在Microsoft的安全公告MS17-10中引用的SMB Exploit的尝试使用,并且也称为永恒的蓝色。
建议
验证此行为是否授权。
SCADAFence - SMB开发尝试MS17-10永恒的浪漫
描述
此检测识别了在微软安全公告MS17-10中引用的SMB漏洞的尝试使用,也被称为永恒浪漫。
建议
验证此行为是否授权。
SCADAFence - SMBv3 CVE-2020-0796检测到利用尝试
描述
此检测识别CVE-2020-0796中引用的SMB漏洞的尝试使用。
建议
验证此行为是否授权。
Scadafence - SSRR / LSRR开发企图
描述
此检测识别使用严格的源或松散源记录路由通过IP发送漏洞尝试。
建议
验证此行为是否授权。
SCADAFence -成功登录尝试
描述
此检测标识成功登录尝试。
建议
验证预期登录。
SCADAFence -对PLC的可疑写命令
描述
此检测标识可疑写入命令已发送到PLC。
建议
验证此命令是经过授权的,而不是恶意参与者活动的结果。
Scadafence - TCP选项MSS拒绝服务尝试
描述
此检测标识使用最大段大小通过TCP发送了利用尝试。
建议
验证此行为是否授权。
SCADAFence - TCP紧急开发尝试
描述
此检测识别通过TCP发送的利用尝试。
建议
验证此行为是否授权。
Scadafence - 建立了TeamViewer入站连接
描述
此检测标识已建立的入站TeamViewer连接。
建议
验证此行为是否授权。
SCADAFence -检测到欺骗机器人木马通信
描述
该检测识别了Trickbot木马通信。
建议
确认系统未感染Trickbot木马病毒。
SCADAFence -未授权的入站连接
描述
此检测标识到内部系统的未授权连接。
建议
验证此行为是否授权。
Scadafence - 未经授权与OT网络的入站连接
描述
该检测识别到操作技术系统的未经授权的连接。
建议
验证此行为是否授权。
Scadafence - 未经授权的出站连接
描述
此检测标识到外部系统的未授权连接。
建议
验证此行为是否授权。
Scadafence - 未经授权的出站连接
描述
此检测标识当主机尝试连接到外部IP地址时。
建议
验证此行为是否授权。
SCADAFence -在物联网设备上检测到不常见的配置
描述
这种检测识别设备的不寻常配置。
建议
验证此配置是否被授权。
SCADAFence -未知ip
描述
当主机试图连接多个未知IP地址时,此检测将进行识别。
建议
验证此行为是否授权。
SCADAFence -使用已弃用的协议SMBv1
描述
此检测标识已弃用协议SMBv1的使用情况。
建议
验证此行为是否授权。
SCADAFence -用户定义的警报
描述
此检测标识用户定义的警报。
建议
检查有问题的警报。
SCADAFence—用户弱认证
描述
此检测识别对服务进行身份验证时使用的弱密码。
建议
验证弱密码的使用是否得到授权。如果没有,请修改密码,使其更长、更复杂,以防止密码猜测攻击。
Scadafence - 漏洞评估工具检测到Nessus
描述
这种检测识别出被称为Nessus的web漏洞评估工具的存在。
建议
确认此活动已获授权。
扫描 - 检测到易受攻击的设备配置
描述
该检测识别设备的脆弱配置。
建议
验证此配置是否被授权。
SCADAFence - Web漏洞评估工具检测Burpsuite
描述
这种检测识别出被称为Burpsuite的web漏洞评估工具的存在。
建议
确认此活动已获授权。
Scadafence - Web漏洞评估工具检测到Nikto
描述
这种检测识别了Nikto web漏洞评估工具的存在。
建议
确认此活动已获授权。
SCADAFence - WMI可能的远程进程执行
描述
此检测识别通过Windows管理检测执行远程进程的可能尝试。
建议
确认此活动已获授权。
SCADAFence - WMI远程进程执行
描述
此检测标识试图通过Windows管理检测执行远程进程。确认此活动已获授权。
建议
确认此活动已获授权。
SCADAFence -检测到零访问木马通信
描述
该检测识别零归植物特洛伊木马通信。
建议
确认系统没有感染ZeroAccess木马。