Warnungen für Defender for APIs

In diesem Artikel werden die Sicherheitswarnungen aufgeführt, die Sie möglicherweise für Defender für APIs von Microsoft Defender für Cloud und alle von Ihnen aktivierten Microsoft Defender-Pläne erhalten. Welche Warnungen in Ihrer Umgebung angezeigt werden, hängt von den Ressourcen und Diensten, die Sie schützen, sowie von Ihrer angepassten Konfiguration ab.

Hinweis

Einige der kürzlich hinzugefügten Warnungen, die von Microsoft Defender Threat Intelligence und Microsoft Defender für Endpunkt unterstützt werden, sind möglicherweise nicht dokumentiert.

Informationen zur Reaktion auf diese Warnungen

Informationen zum Exportieren von Warnungen

Hinweis

Warnungen aus unterschiedlichen Quellen erfordern möglicherweise unterschiedlich lange Zeit, bis sie angezeigt werden. Beispielsweise kann es länger dauern, bis Warnungen, die eine Analyse des Netzwerkdatenverkehrs erfordern, angezeigt werden, als das Anzeigen von Warnungen im Zusammenhang mit verdächtigen Prozessen auf virtuellen Computern.

Defender für APIs-Warnungen

Verdächtige Spitze auf Auffüllungsebene des API-Datenverkehrs an einen API-Endpunkt

(API_PopulationSpikeInAPITraffic)

Beschreibung: Eine verdächtige Spitze im API-Datenverkehr wurde an einem der API-Endpunkte erkannt. Das Erkennungssystem verwendet verlaufsbezogene Datenverkehrsmuster, um eine Baseline für das routinemäßige API-Datenverkehrsvolumen zwischen allen IP-Adressen und dem Endpunkt zu erstellen, wobei die Baseline für den API-Datenverkehr für den jeweiligen Statuscode spezifisch ist (z. B. 200 Erfolg). Das Erkennungssystem markierte eine ungewöhnliche Abweichung von dieser Baseline, die zur Erkennung verdächtiger Aktivitäten führte.

MITRE-Taktiken: Auswirkung

Schweregrad: Mittel

Verdächtige Spitze des API-Datenverkehrs von einer einzelnen IP-Adresse zu einem API-Endpunkt

(API_SpikeInAPITraffic)

Beschreibung: Eine verdächtige Spitze im API-Datenverkehr wurde von einer Client-IP an den API-Endpunkt erkannt. Das Erkennungssystem verwendet verlaufsbezogene Datenverkehrsmuster, um eine Basislinie für das routinemäßige API-Datenverkehrsvolumen zwischen einer bestimmten IP-Adresse und dem Endpunkt zu erstellen. Das Erkennungssystem markierte eine ungewöhnliche Abweichung von dieser Baseline, die zur Erkennung verdächtiger Aktivitäten führte.

MITRE-Taktiken: Auswirkung

Schweregrad: Mittel

Ungewöhnlich große Antwortnutzdatenmenge, die zwischen einer einzelnen IP-Adresse und einem API-Endpunkt übertragen wird

(API_SpikeInPayload)

Beschreibung: Für den Datenverkehr zwischen einer einzelnen IP und einem der API-Endpunkte wurde eine verdächtige Spitzenmenge der API-Antwortnutzlast beobachtet. Basierend auf verlaufsbezogenen Datenverkehrsmustern der letzten 30 Tage lernt Defender for APIs eine Baseline, die die typische Menge der API-Antwortnutzdaten zwischen einer bestimmten IP-Adresse und einem API-Endpunkt darstellt. Der gelernte Basisplan ist spezifisch für API-Datenverkehr für jeden Statuscode (z. B. 200 Success). Die Warnung wurde ausgelöst, weil die Menge der API-Antwortnutzdaten erheblich von der verlaufsbezogenen Baseline abweicht.

MITRE-Taktiken: Anfänglicher Zugriff

Schweregrad: Mittel

Ungewöhnlich großer Anforderungstext, der zwischen einer einzelnen IP-Adresse und einem API-Endpunkt übertragen wird

(API_SpikeInPayload)

Beschreibung: Für den Datenverkehr zwischen einer einzelnen IP und einem der API-Endpunkte wurde eine verdächtige Spitze in der Größe des API-Anforderungstexts beobachtet. Basierend auf verlaufsbezogenen Datenverkehrsmustern der letzten 30 Tage lernt Defender for APIs eine Baseline, die die typische Größe des API-Anforderungstexts zwischen einer bestimmten IP-Adresse und einem API-Endpunkt darstellt. Der gelernte Basisplan ist spezifisch für API-Datenverkehr für jeden Statuscode (z. B. 200 Success). Die Warnung wurde ausgelöst, weil die API-Anforderungstextgröße erheblich von der verlaufsbezogenen Baseline abweicht.

MITRE-Taktiken: Anfänglicher Zugriff

Schweregrad: Mittel

(Vorschau) Verdächtige Latenzspitze für Datenverkehr zwischen einer einzelnen IP-Adresse und einem API-Endpunkt

(API_SpikeInLatency)

Beschreibung: Für den Datenverkehr zwischen einer einzelnen IP und einem der API-Endpunkte wurde eine verdächtige Latenzspitzen beobachtet. Basierend auf verlaufsbezogenen Datenverkehrsmustern der letzten 30 Tage lernt Defender for APIs eine Baseline, die die routinemäßige Latenz des API-Datenverkehrs zwischen einer bestimmten IP-Adresse und einem API-Endpunkt darstellt. Der gelernte Basisplan ist spezifisch für API-Datenverkehr für jeden Statuscode (z. B. 200 Success). Die Warnung wurde ausgelöst, weil die Latenz eines API-Aufrufs erheblich von der verlaufsbezogenen Baseline abweicht.

MITRE-Taktiken: Anfänglicher Zugriff

Schweregrad: Mittel

API-Anforderungen werden von einer einzelnen IP-Adresse auf eine ungewöhnlich große Anzahl unterschiedlicher API-Endpunkte gesendet

(API_SprayInRequests)

Beschreibung: Eine einzelne IP wurde beobachtet, die API-Aufrufe an eine ungewöhnlich große Anzahl unterschiedlicher Endpunkte sendet. Basierend auf verlaufsbezogenen Datenverkehrsmustern der letzten 30 Tage lernt Defender for APIs eine Baseline, die die typische Anzahl unterschiedlicher Endpunkte darstellt, die von einer einzelnen IP-Adresse in 20-Minuten-Fenstern aufgerufen werden. Die Warnung wurde ausgelöst, weil das Verhalten der einzelnen IP-Adresse erheblich von der verlaufsbezogenen Baseline abweicht.

MITRE-Taktiken: Ermittlung

Schweregrad: Mittel

Parameteraufzählung auf einem API-Endpunkt

(API_ParameterEnumeration)

Beschreibung: Beim Zugriff auf einen der API-Endpunkte wurde eine einzelne IP beobachtet, die Parameter aufzählt. Basierend auf verlaufsbezogenen Datenverkehrsmustern der letzten 30 Tage lernt Defender for APIs eine Baseline, die die typische Anzahl unterschiedlicher Parameterwerte darstellt, die von einer einzelnen IP-Adresse beim Zugriff auf diesen Endpunkt in 20-Minuten-Fenstern verwendet werden. Die Warnung wurde ausgelöst, weil eine einzelne Client-IP-Adresse kürzlich mit einer ungewöhnlich großen Anzahl unterschiedlicher Parameterwerte auf einen Endpunkt zugegriffen hat.

MITRE-Taktiken: Anfänglicher Zugriff

Schweregrad: Mittel

Verteilte Parameteraufzählung auf einem API-Endpunkt

(API_DistributedParameterEnumeration)

Beschreibung: Die aggregierte Benutzerpopulation (alle IPs) wurde beim Zugriff auf einen der API-Endpunkte beobachtet. Basierend auf verlaufsbezogenen Datenverkehrsmustern der letzten 30 Tage lernt Defender for APIs eine Baseline, die die typische Anzahl unterschiedlicher Parameterwerte darstellt, die von der Benutzerpopulation beim Zugriff auf diesen Endpunkt in 20-Minuten-Fenstern verwendet werden. Die Warnung wurde ausgelöst, weil die Benutzerpopulation kürzlich mit einer ungewöhnlich großen Anzahl unterschiedlicher Parameterwerte auf einen Endpunkt zugegriffen hat.

MITRE-Taktiken: Anfänglicher Zugriff

Schweregrad: Mittel

Parameterwert(e) mit anomalen Datentypen in einem API-Aufruf

(API_UnseenParamType)

Beschreibung: Beim Zugriff auf einen Ihrer API-Endpunkte wurde eine einzelne IP beobachtet und Parameterwerte eines Datentyps mit niedriger Wahrscheinlichkeit verwendet (z. B. Zeichenfolge, ganze Zahl usw.). Basierend auf verlaufsbezogenen Datenverkehrsmustern der letzten 30 Tage lernt Defender for APIs die erwarteten Datentypen für jeden API-Parameter. Die Warnung wurde ausgelöst, weil eine IP-Adresse kürzlich auf einen Endpunkt zugegriffen und dabei einen Datentyp mit niedriger Wahrscheinlichkeit als Parametereingabe verwendet hat.

MITRE-Taktiken: Auswirkung

Schweregrad: Mittel

Zuvor nicht angezeigter Parameter wurde in einem API-Aufruf verwendet

(API_UnseenParam)

Beschreibung: Es wurde festgestellt, dass eine einzelne IP auf einen der API-Endpunkte zugreift, wobei in der Anforderung ein zuvor nicht vorhandener parameter oder nicht gebundener Parameter verwendet wurde. Basierend auf verlaufsbezogenen Datenverkehrsmustern der letzten 30 Tage lernt Defender for APIs eine Reihe erwarteter Parameter, die Aufrufen eines Endpunkts zugeordnet sind. Die Warnung wurde ausgelöst, weil eine IP-Adresse kürzlich mithilfe eines zuvor nicht angezeigten Parameters auf einen Endpunkt zugegriffen hat.

MITRE-Taktiken: Auswirkung

Schweregrad: Mittel

Zugriff von einem Tor-Exitknoten auf einen API-Endpunkt

(API_AccessFromTorExitNode)

Beschreibung: Eine IP-Adresse aus dem Tor-Netzwerk hat auf einen Ihrer API-Endpunkte zugegriffen. Tor ist ein Netzwerk, mit dem Personen auf das Internet zugreifen können, während ihre echte IP-Adresse verborgen bleibt. Obwohl es legitime Verwendungen dafür gibt, wird Tor häufig von Angreifern verwendet, um ihre Identität beim Angriff auf Online-Systeme zu verbergen.

MITRE-Taktiken: Vorangriff

Schweregrad: Mittel

Zugriff auf API-Endpunkt von verdächtiger IP-Adresse

(API_AccessFromSuspiciousIP)

Beschreibung: Eine IP-Adresse, die auf einen Ihrer API-Endpunkte zugreift, wurde von Microsoft Threat Intelligence als eine hohe Wahrscheinlichkeit identifiziert, eine Bedrohung zu sein. Bei der Beobachtung von schädlichem Internetdatenverkehr wurde festgestellt, dass diese IP-Adresse an dem Angriff auf andere Onlineziele beteiligt ist.

MITRE-Taktiken: Vorangriff

Schweregrad: hoch

Verdächtiger Benutzer-Agent erkannt

(API_AccessFromSuspiciousUserAgent)

Beschreibung: Der Benutzer-Agent einer Anforderung, die auf einen Ihrer API-Endpunkte zugreift, enthielt anomale Werte für einen Versuch bei der Remotecodeausführung. Dies bedeutet nicht, dass einer Ihrer API-Endpunkte verletzt wurde, es deutet jedoch darauf hin, dass ein versuchter Angriff im Gange ist.

MITRE-Taktiken: Ausführung

Schweregrad: Mittel

Hinweis

Für Warnungen, die sich in der Vorschau befinden: Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Nächste Schritte