Defender for API のアラート
この記事では、Microsoft Defender for Cloud から Defender for API に対して取得できるセキュリティ アラートと、有効にしたすべての Microsoft Defender プランの一覧を示します。 お使いの環境で示されるアラートは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。
Note
Microsoft Defender 脅威インテリジェンスと Microsoft Defender for Endpoint を利用して最近追加されたアラートの一部は、文書化されていない可能性があります。
これらのアラートに対応する方法については、こちらを参照してください。
アラートをエクスポートする方法については、こちらを参照してください。
注意
アラートの出力元によって、表示されるまでの時間が変わる場合があります。 たとえば、ネットワーク トラフィックの分析を必要とするアラートは、仮想マシンで実行されている不審なプロセスに関連するアラートよりも、表示されるまでより長い時間がかかる可能性があります。
Defender for API のアラート
API エンドポイントへの API トラフィックの不審な母集団レベルの急増
(API_PopulationSpikeInAPITraffic)
説明: API エンドポイントのいずれかで、API トラフィックの疑わしいスパイクが検出されました。 検出システムでは、過去のトラフィック パターンを使用して、すべての IP とエンドポイント間の定期的な API トラフィック量のベースラインが確立されています。このベースラインは、各状態コード (200 成功など) の API トラフィックに固有です。 検出システムにより、不審なアクティビティの検出につながる、このベースラインからの異常な逸脱にフラグが設定されました。
MITRE 戦術: 影響
重大度: 中
1 つの IP アドレスから API エンドポイントへの API トラフィックの不審な急増
(API_SpikeInAPITraffic)
説明: クライアント IP から API エンドポイントへの API トラフィックの疑わしいスパイクが検出されました。 検出システムでは、過去のトラフィック パターンを使用して、特定の IP からエンドポイントに送信される定期的な API トラフィック量のベースラインが確立されています。 検出システムにより、不審なアクティビティの検出につながる、このベースラインからの異常な逸脱にフラグが設定されました。
MITRE 戦術: 影響
重大度: 中
1 つの IP アドレスと API エンドポイントの間で送信される応答ペイロードが異常に大きい
(API_SpikeInPayload)
説明: 1 つの IP といずれかの API エンドポイント間のトラフィックに対して、API 応答ペイロード サイズの疑わしいスパイクが観察されました。 Defender for API は、過去 30 日間のトラフィック パターンに基づいて、特定の IP と API エンドポイントの間の一般的な API 応答ペイロード サイズを示すベースラインを学習します。 学習されたベースラインは、各状態コードの API トラフィックに固有です (例: 200 Success)。 API 応答ペイロードのサイズが過去のベースラインから大幅に逸脱したため、アラートがトリガーされました。
MITRE の戦術: 初期アクセス
重大度: 中
1 つの IP アドレスと API エンドポイントの間で送信される要求本文が異常に大きい
(API_SpikeInPayload)
説明: 1 つの IP といずれかの API エンドポイント間のトラフィックに対して、API 要求本文サイズの疑わしいスパイクが観察されました。 Defender for API は、過去 30 日間のトラフィック パターンに基づいて、特定の IP と API エンドポイントの間の一般的な API 要求本文サイズを示すベースラインを学習します。 学習されたベースラインは、各状態コードの API トラフィックに固有です (例: 200 Success)。 API 要求のサイズが過去のベースラインから大幅に逸脱したため、アラートがトリガーされました。
MITRE の戦術: 初期アクセス
重大度: 中
(プレビュー) 1 つの IP アドレスと API エンドポイント間のトラフィックにおける待機時間の不審な急増
(API_SpikeInLatency)
説明: 1 つの IP といずれかの API エンドポイントの間のトラフィックに対して、疑わしい待機時間の急増が観察されました。 Defender for API は、過去 30 日間のトラフィック パターンに基づいて、特定の IP と API エンドポイント間の通常の API トラフィック待機時間を示すベースラインを学習します。 学習されたベースラインは、各状態コードの API トラフィックに固有です (例: 200 Success)。 API 呼び出しの待機時間が過去のベースラインから大幅に逸脱したため、アラートがトリガーされました。
MITRE の戦術: 初期アクセス
重大度: 中
API 要求が、1 つの IP アドレスから異常に多数の個別 API エンドポイントに送信されている
(API_SprayInRequests)
説明: 異なる数の異なるエンドポイントへの API 呼び出しを行う 1 つの IP が観察されました。 Defenders for API は、過去 30 日間のトラフィック パターンに基づいて、20 分の時間枠の中で 1 つの IP によって呼び出される一般的な個別エンドポイント数を示すベースラインを学習します。 1 つの IP の動作が過去のベースラインから大幅に逸脱したため、アラートがトリガーされました。
MITRE の戦術: 検出
重大度: 中
API エンドポイントでのパラメーター列挙
(API_ParameterEnumeration)
説明: API エンドポイントのいずれかにアクセスするときに、パラメーターを列挙する単一の IP が観察されました。 Defenders for API は、過去 30 日間のトラフィック パターンに基づいて、20 分の時間枠の中でこのエンドポイントへのアクセス時に 1 つの IP で使用される一般的な個別パラメーター値の数を示すベースラインを学習します。 1 つのクライアント IP が最近、異常に多数の個別パラメーター値を使用してエンドポイントにアクセスしたため、アラートがトリガーされました。
MITRE の戦術: 初期アクセス
重大度: 中
API エンドポイントでの分散パラメーター列挙
(API_DistributedParameterEnumeration)
説明: API エンドポイントのいずれかにアクセスするときに、集計ユーザー作成 (すべての IP) がパラメーターの列挙を確認されました。 Defenders for API は、過去 30 日間のトラフィック パターンに基づいて、20 分の時間枠の中でエンドポイントへのアクセス時にユーザー母集団 (すべての IP) で使用される一般的な個別パラメーター値の数を示すベースラインを学習します。 ユーザー母集団が最近、異常に多数の個別パラメーター値を使用してエンドポイントにアクセスしたため、アラートがトリガーされました。
MITRE の戦術: 初期アクセス
重大度: 中
API 呼び出しでの異常なデータ型を持つパラメーター値
(API_UnseenParamType)
説明: 1 つの IP が API エンドポイントのいずれかにアクセスし、低確率のデータ型 (文字列、整数など) のパラメーター値を使用して観察されました。 Defender for API は、過去 30 日間のトラフィック パターンに基づいて、各 API パラメーターの想定されるデータ型を学習します。 1 つの IP が最近、以前の低確率データ型をパラメーター入力として使用してエンドポイントにアクセスしたため、アラートがトリガーされました。
MITRE 戦術: 影響
重大度: 中
API 呼び出しでの未知のパラメーターの使用
(API_UnseenParam)
説明: 1 つの IP が、要求で以前に見られなかったパラメーターまたは範囲外のパラメーターを使用して、いずれかの API エンドポイントにアクセスしているのを確認しました。 Defender for API は、過去 30 日間のトラフィック パターンに基づいて、エンドポイントへの呼び出しに関連付けられる一連の想定されるパラメーターを学習します。 1 つの IP が最近、未知のパラメーターを使用してエンドポイントにアクセスしたため、アラートがトリガーされました。
MITRE 戦術: 影響
重大度: 中
Tor 出口ノードから API エンドポイントへのアクセス
(API_AccessFromTorExitNode)
説明: Tor ネットワークから API エンドポイントのいずれかにアクセスした IP アドレス。 Tor は、実際の IP を隠したままインターネットにアクセスできるネットワークです。 正当に使用されることもありますが、攻撃者がユーザーのシステムをオンラインで標的にするときに、自分の ID を隠すために頻繁に使用されます。
MITRE 戦術: 事前攻撃
重大度: 中
不審な IP からの API エンドポイント アクセス
(API_AccessFromSuspiciousIP)
説明: いずれかの API エンドポイントにアクセスする IP アドレスが、脅威になる可能性が高いとして Microsoft Threat Intelligence によって識別されました。 悪意のあるインターネット トラフィックの監視中に、この IP が他のオンライン ターゲットの攻撃に関与していると示されました。
MITRE 戦術: 事前攻撃
重大度: 高
Suspicious User Agent detected (不審なユーザー エージェントが検出されました)
(API_AccessFromSuspiciousUserAgent)
説明: いずれかの API エンドポイントにアクセスする要求のユーザー エージェントに、リモート コードの実行時の試行を示す異常な値が含まれていました。 これは、いずれかの API エンドポイントが侵害されたことを意味するわけではありませんが、攻撃の試行が進行中であることを示唆しています。
MITRE の戦術: 実行
重大度: 中
Note
プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。