Collection

攻擊者會為了取得 ICS 環境中感興趣的資料，進而使用許多技巧，透過監控的方式收集網路環境內部、系統、設備與網路。

T0802 Automated Collection

攻擊者透過工具與腳本透過自動收集的方式收集工業環境中使用的協定與資訊。
若該系統連接其他設備，也可以透過接口枚舉與收集通訊過程、連接設備清單，並將這些資料送回去惡意攻擊者的 C2 server。

T0811 Data from Information Repositories

攻擊者會先訪問工業環境內部的工作站或伺服器，這些機器內部會包含 ICS、SCADA 系統的資料，如廠商名稱、ICS 檔案(接線圖、layout)。或是透過蠕蟲感染主機後，針對 AutoCAD 程式收集相關資料。

T0868 Detect Operating Mode

攻擊者會收集 PLC 設備或是控制器的設備資訊，包含目前的控制模式如正在執行、是否可以遠端控制、停止、重新設定、測試與監控模式。

• Program :更改控制器設備需要先啟動 Program 的模式，可以允許設備與工作站，下載或上傳需要的程式，在上傳或下載期間可能會關閉所有的輸出。
• Run :啟動 Run 於設備中會監控使用者的輸入與輸出(包含參數、元素等)，且不能上傳或下載需要的程式。
• Remote :該模式允許遠端修改 PLC 的操作模式，有一些只能 local 端操作。
• Stop :該模式會造成 PLC 和 Program 停止運作，且輸出會被強制關閉。
• Reset : PLC 上面的條件會重設成原始的狀態，可分成 Warm resets 和 cold resets ，前者會保留部分記憶體的內容，後者則會重新設定 I/O 與資料暫存器。
• Test / Monitor mode :透過測試與監控模式，如 run 會處理 I/O 輸出輸入也會允許監控、強制設定、重新設定、一般系統的調整和測試，可利用監控與測試模式作為初始化的測試模式。