Alerty dla interfejsów API usługi Defender
W tym artykule wymieniono alerty zabezpieczeń, które można uzyskać dla usługi Defender dla interfejsów API z Microsoft Defender dla Chmury i wszystkich planów usługi Microsoft Defender, które włączono. Alerty wyświetlane w środowisku zależą od chronionych zasobów i usług oraz dostosowanej konfiguracji.
Uwaga
Niektóre ostatnio dodane alerty obsługiwane przez usługę Microsoft Defender Threat Intelligence i Ochrona punktu końcowego w usłudze Microsoft Defender mogą być nieudokumentowane.
Dowiedz się, jak reagować na te alerty.
Dowiedz się, jak eksportować alerty.
Uwaga
Alerty z różnych źródeł mogą zająć różne czasy. Na przykład alerty wymagające analizy ruchu sieciowego mogą być wyświetlane dłużej niż alerty związane z podejrzanymi procesami uruchomionymi na maszynach wirtualnych.
Alerty usługi Defender dla interfejsów API
Podejrzany wzrost ruchu interfejsu API na poziomie populacji do punktu końcowego interfejsu API
(API_PopulationSpikeInAPITraffic)
Opis: wykryto podejrzany wzrost ruchu interfejsu API w jednym z punktów końcowych interfejsu API. System wykrywania używał historycznych wzorców ruchu w celu ustalenia punktu odniesienia dla rutynowego ruchu interfejsu API między wszystkimi adresami IP i punktem końcowym, a punkt odniesienia jest specyficzny dla ruchu interfejsu API dla każdego kodu stanu (na przykład 200 Powodzenie). System wykrywania oflagował nietypowe odchylenie od tego punktu odniesienia prowadzące do wykrywania podejrzanych działań.
Taktyka MITRE: wpływ
Ważność: średni rozmiar
Podejrzany wzrost ruchu interfejsu API z pojedynczego adresu IP do punktu końcowego interfejsu API
(API_SpikeInAPITraffic)
Opis: wykryto podejrzany wzrost ruchu interfejsu API z adresu IP klienta do punktu końcowego interfejsu API. System wykrywania używał historycznych wzorców ruchu w celu ustanowienia punktu odniesienia dla rutynowego woluminu ruchu interfejsu API do punktu końcowego pochodzącego z określonego adresu IP do punktu końcowego. System wykrywania oflagował nietypowe odchylenie od tego punktu odniesienia prowadzące do wykrywania podejrzanych działań.
Taktyka MITRE: wpływ
Ważność: średni rozmiar
Niezwykle duży ładunek odpowiedzi przesyłany między pojedynczym adresem IP a punktem końcowym interfejsu API
(API_SpikeInPayload)
Opis: zaobserwowano podejrzany wzrost rozmiaru ładunku odpowiedzi interfejsu API dla ruchu między pojedynczym adresem IP a jednym z punktów końcowych interfejsu API. Na podstawie historycznych wzorców ruchu z ostatnich 30 dni usługa Defender dla interfejsów API uczy się punktu odniesienia reprezentującego typowy rozmiar ładunku odpowiedzi interfejsu API między określonym adresem IP i punktem końcowym interfejsu API. Poznany punkt odniesienia jest specyficzny dla ruchu interfejsu API dla każdego kodu stanu (na przykład 200 Powodzenie). Alert został wyzwolony, ponieważ rozmiar ładunku odpowiedzi interfejsu API znacznie odbiegał od historycznego punktu odniesienia.
Taktyka MITRE: Wstępny dostęp
Ważność: średni rozmiar
Niezwykle duża treść żądania przesyłana między pojedynczym adresem IP a punktem końcowym interfejsu API
(API_SpikeInPayload)
Opis: zaobserwowano podejrzany wzrost rozmiaru treści żądania interfejsu API dla ruchu między pojedynczym adresem IP a jednym z punktów końcowych interfejsu API. Na podstawie historycznych wzorców ruchu z ostatnich 30 dni usługa Defender dla interfejsów API uczy się punktu odniesienia reprezentującego typowy rozmiar treści żądania interfejsu API między określonym adresem IP i punktem końcowym interfejsu API. Poznany punkt odniesienia jest specyficzny dla ruchu interfejsu API dla każdego kodu stanu (na przykład 200 Powodzenie). Alert został wyzwolony, ponieważ rozmiar żądania interfejsu API znacznie odbiegał od historycznego punktu odniesienia.
Taktyka MITRE: Wstępny dostęp
Ważność: średni rozmiar
(Wersja zapoznawcza) Podejrzany wzrost opóźnienia ruchu między pojedynczym adresem IP a punktem końcowym interfejsu API
(API_SpikeInLatency)
Opis: zaobserwowano podejrzany wzrost opóźnienia dla ruchu między pojedynczym adresem IP a jednym z punktów końcowych interfejsu API. Na podstawie historycznych wzorców ruchu z ostatnich 30 dni usługa Defender dla interfejsów API uczy się punktu odniesienia, który reprezentuje rutynowe opóźnienie ruchu interfejsu API między określonym adresem IP i punktem końcowym interfejsu API. Poznany punkt odniesienia jest specyficzny dla ruchu interfejsu API dla każdego kodu stanu (na przykład 200 Powodzenie). Alert został wyzwolony, ponieważ opóźnienie wywołania interfejsu API znacznie odbiegało od historycznego punktu odniesienia.
Taktyka MITRE: Wstępny dostęp
Ważność: średni rozmiar
Żądania interfejsu API rozpylają z jednego adresu IP do niezwykle dużej liczby odrębnych punktów końcowych interfejsu API
(API_SprayInRequests)
Opis: Zaobserwowano wykonywanie wywołań interfejsu API do niezwykle dużej liczby odrębnych punktów końcowych. Na podstawie historycznych wzorców ruchu z ostatnich 30 dni usługa Defenders for API uczy się punktu odniesienia, który reprezentuje typową liczbę odrębnych punktów końcowych wywoływanych przez pojedynczy adres IP w 20-minutowych oknach. Alert został wyzwolony, ponieważ zachowanie pojedynczego adresu IP znacznie odbiegało od historycznego punktu odniesienia.
Ważność: średni rozmiar
Wyliczenie parametrów w punkcie końcowym interfejsu API
(API_ParameterEnumeration)
Opis: Zaobserwowano jeden adres IP wyliczający parametry podczas uzyskiwania dostępu do jednego z punktów końcowych interfejsu API. Na podstawie historycznych wzorców ruchu z ostatnich 30 dni usługa Defender dla interfejsów API uczy się punktu odniesienia, który reprezentuje typową liczbę unikatowych wartości parametrów używanych przez pojedynczy adres IP podczas uzyskiwania dostępu do tego punktu końcowego w 20-minutowych oknach. Alert został wyzwolony, ponieważ pojedynczy adres IP klienta ostatnio uzyskiwał dostęp do punktu końcowego przy użyciu niezwykle dużej liczby unikatowych wartości parametrów.
Taktyka MITRE: Wstępny dostęp
Ważność: średni rozmiar
Wyliczenie parametrów rozproszonych w punkcie końcowym interfejsu API
(API_DistributedParameterEnumeration)
Opis: Zaobserwowano zagregowaną populację użytkowników (wszystkie adresy IP) podczas uzyskiwania dostępu do jednego z punktów końcowych interfejsu API. Na podstawie historycznych wzorców ruchu z ostatnich 30 dni usługa Defender dla interfejsów API uczy się punktu odniesienia, który reprezentuje typową liczbę unikatowych wartości parametrów używanych przez populację użytkowników (wszystkie adresy IP) podczas uzyskiwania dostępu do punktu końcowego w 20-minutowych oknach. Alert został wyzwolony, ponieważ populacja użytkowników ostatnio uzyskiwała dostęp do punktu końcowego przy użyciu niezwykle dużej liczby unikatowych wartości parametrów.
Taktyka MITRE: Wstępny dostęp
Ważność: średni rozmiar
Wartości parametrów z nietypowymi typami danych w wywołaniu interfejsu API
(API_UnseenParamType)
Opis: Zaobserwowano jeden adres IP uzyskujący dostęp do jednego z punktów końcowych interfejsu API i używając wartości parametrów typu danych o niskim prawdopodobieństwie (na przykład ciąg, liczba całkowita itp.). Na podstawie historycznych wzorców ruchu z ostatnich 30 dni usługa Defender dla interfejsów API uczy się oczekiwanych typów danych dla każdego parametru interfejsu API. Alert został wyzwolony, ponieważ adres IP ostatnio uzyskiwał dostęp do punktu końcowego przy użyciu wcześniej niskiego prawdopodobieństwa typu danych jako danych wejściowych parametrów.
Taktyka MITRE: wpływ
Ważność: średni rozmiar
Wcześniej niezaznawany parametr używany w wywołaniu interfejsu API
(API_UnseenParam)
Opis: Zaobserwowano pojedynczy adres IP uzyskujący dostęp do jednego z punktów końcowych interfejsu API przy użyciu wcześniej nierozpoznanego lub wychodzącego parametru w żądaniu. Na podstawie historycznych wzorców ruchu z ostatnich 30 dni usługa Defender dla interfejsów API uczy się zestawu oczekiwanych parametrów skojarzonych z wywołaniami do punktu końcowego. Alert został wyzwolony, ponieważ adres IP ostatnio uzyskiwał dostęp do punktu końcowego przy użyciu wcześniej niedostępnego parametru.
Taktyka MITRE: wpływ
Ważność: średni rozmiar
Dostęp z węzła zakończenia tor do punktu końcowego interfejsu API
(API_AccessFromTorExitNode)
Opis: Adres IP z sieci Tor uzyskiwał dostęp do jednego z punktów końcowych interfejsu API. Tor to sieć, która umożliwia ludziom dostęp do Internetu przy zachowaniu ich prawdziwego adresu IP ukrytego. Chociaż istnieją uzasadnione zastosowania, często są one używane przez osoby atakujące do ukrywania swojej tożsamości w przypadku ataków na systemy osób w trybie online.
Taktyka MITRE: Atak przed atakiem
Ważność: średni rozmiar
Dostęp do punktu końcowego interfejsu API z podejrzanego adresu IP
(API_AccessFromSuspiciousIP)
Opis: Adres IP uzyskujący dostęp do jednego z punktów końcowych interfejsu API został zidentyfikowany przez usługę Microsoft Threat Intelligence jako o wysokim prawdopodobieństwie zagrożenia. Obserwując złośliwy ruch internetowy, ten adres IP pojawił się jako zaangażowany w atakowanie innych celów online.
Taktyka MITRE: Atak przed atakiem
Ważność: Wysoka
Wykryto podejrzanego agenta użytkownika
(API_AccessFromSuspiciousUserAgent)
Opis: Agent użytkownika żądania uzyskiwania dostępu do jednego z punktów końcowych interfejsu API zawiera nietypowe wartości wskazujące na próbę zdalnego wykonywania kodu. Nie oznacza to naruszenia któregokolwiek z punktów końcowych interfejsu API, ale sugeruje to, że trwa atak.
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Uwaga
W przypadku alertów w wersji zapoznawczej: Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.