攻擊者針對 ICS 環境尋找有用的資訊，這些資訊包含 ICS 網路內 IP 、Hostname，可以協助攻擊者在橫向移動時使用。

T0840 Network Connection Enumeration

攻擊者透過指令枚舉網路設備的資訊，如 netstat、ipconfig，可以知道目前設備連接的網路狀態，也可以確認該設備目前於 ICS 網路的角色。也可以透過封包流量監控，取得資訊 IP 、Hostname、protocol、詳細內容。

T0842 Network Sniffing

透過監聽網路卡取得傳輸封包，若設備使用未加密的傳輸協定如 Telnet 或 HTTP ，因為沒有加密，因此透過攔截封包，可直接看到封包內容。也可透過 ARP 或 DNS poisoning (汙染)讓封包流量導向到攻擊者的機器，並取得傳輸過程中的帳號密碼或其他敏感資料。

T0846 Remote System Discovery

攻擊者可能取的 IP、Hostname或其他 ICS 往路中的設備列表，如 Triton 透過 Python 向 port 1502 發送指定的 UDP 傳輸封包來檢測 ICS 網路內部的 Triconex 控制器；PLC-Blaster 透過監聽 TCP port 102 掃描與定位西門子 S7 PLC 設備進行感染。