Alertas do Defender para APIs

Este artigo lista os alertas de segurança que você pode receber para o Defender para APIs do Microsoft Defender para Nuvem e todos os planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.

Observação

Alguns dos alertas adicionados recentemente com a plataforma Microsoft Defender Threat Intelligence e Microsoft Defender para Ponto de Extremidade podem não estar documentados.

Saiba como responder a esses alertas.

Saiba como exportar alertas.

Observação

Alertas de fontes diferentes podem levar diferentes quantidades de tempo para serem exibidos. Por exemplo, alertas que exigem análise de tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.

Alertas do Defender para APIs

Pico suspeito no tráfego de API em o nível populacional para um ponto de extremidade de API

(API_PopulationSpikeInAPITraffic)

Descrição: foi detetado um pico suspeito no tráfego da API num dos endpoints da API. O sistema de detecção usou padrões históricos de tráfego para estabelecer uma linha de base para o volume de tráfego da API de rotina entre todos os IPs e o ponto de extremidade, sendo a linha de base específica para o tráfego de API para cada código de status (como 200 Sucesso). O sistema de detecção sinalizou um desvio incomum dessa linha de base que levou à detecção de atividades suspeitas.

Táticas do MITRE: Impacto

Gravidade: Média

Pico suspeito no tráfego de API de um único endereço IP para um ponto de extremidade de API

(API_SpikeInAPITraffic)

Descrição: foi detectado um pico suspeito no tráfego da API de um IP do cliente para o endpoint da API. O sistema de detecção usou padrões de tráfego históricos para estabelecer uma linha de base do volume de tráfego da API de rotina para o ponto de extremidade proveniente de um IP específico para o ponto de extremidade. O sistema de detecção sinalizou um desvio incomum dessa linha de base que levou à detecção de atividades suspeitas.

Táticas do MITRE: Impacto

Gravidade: Média

Conteúdo de resposta extraordinariamente grande transmitido entre um único endereço IP e um ponto de extremidade de API

(API_SpikeInPayload)

Descrição: foi observado um pico suspeito no tamanho do payload de resposta da API para o tráfego entre um único IP e um dos endpoints da API. Com base nos padrões de tráfego históricos dos últimos 30 dias, o Defender para APIs aprende uma linha de base que representa o tamanho típico do conteúdo de resposta da API entre um IP específico e um ponto de extremidade de API. A linha de base aprendida é específica para o tráfego de API para cada código de status (por exemplo, 200 Success). O alerta foi disparado porque o tamanho de um conteúdo de resposta da API desviou significativamente da linha de base histórica.

Táticas MITRE: Acesso inicial

Gravidade: Média

Corpo de solicitação extraordinariamente grande transmitido entre um único endereço IP e um ponto de extremidade de API

(API_SpikeInPayload)

Descrição: foi observado um pico suspeito no tamanho do corpo da solicitação da API para o tráfego entre um único IP e um dos endpoints da API. Com base nos padrões de tráfego históricos dos últimos 30 dias, o Defender para APIs aprende uma linha de base que representa o tamanho típico do corpo da solicitação da API entre um IP específico e um ponto de extremidade de API. A linha de base aprendida é específica para o tráfego de API para cada código de status (por exemplo, 200 Success). O alerta foi disparado porque o tamanho de uma solicitação da API desviou significativamente da linha de base histórica.

Táticas MITRE: Acesso inicial

Gravidade: Média

(Versão prévia) Pico suspeito de latência do tráfego entre um único endereço IP e um ponto de extremidade de API

(API_SpikeInLatency)

Descrição: foi observado um pico suspeito na latência do tráfego entre um único IP e um dos endpoints da API. Com base nos padrões de tráfego históricos dos últimos 30 dias, o Defender para APIs aprende uma linha de base que representa a latência de tráfego da API de rotina entre um IP específico e um ponto de extremidade de API. A linha de base aprendida é específica para o tráfego de API para cada código de status (por exemplo, 200 Success). O alerta foi disparado porque a latência de uma chamada à API desviou significativamente da linha de base histórica.

Táticas MITRE: Acesso inicial

Gravidade: Média

As solicitações de API se espalham de um único endereço IP para um número extraordinariamente grande de pontos de extremidade de API distintos

(API_SprayInRequests)

Descrição: um único IP foi observado fazendo chamadas de API para um número excepcionalmente grande de endpoints distintos. Com base em padrões históricos de tráfego dos últimos 30 dias, o Defender para APIs aprende uma linha de base que representa o número típico de pontos de extremidade distintos chamados por um único IP em janelas de 20 minutos. O alerta foi disparado porque o comportamento de um único IP desviou significativamente da linha de base histórica.

Táticas do MITRE: Descoberta

Gravidade: Média

Enumeração de parâmetro em um ponto de extremidade de API

(API_ParameterEnumeration)

Descrição: um único IP foi observado enumerando parâmetros ao acessar um dos endpoints da API. Com base nos padrões de tráfego históricos dos últimos 30 dias, o Defender for APIs aprende uma linha de base que representa o número típico de valores de parâmetros distintos usados por um único IP ao acessar esse ponto de extremidade em janelas de 20 minutos. O alerta foi disparado porque um IP de cliente único acessou recentemente um ponto de extremidade que usa um número extraordinariamente grande de valores de parâmetro distintos.

Táticas MITRE: Acesso inicial

Gravidade: Média

Enumeração de parâmetro distribuídos em um ponto de extremidade de API

(API_DistributedParameterEnumeration)

Descrição: a população de usuários agregada (todos os IPs) foi observada enumerando parâmetros ao acessar um dos endpoints da API. Com base nos padrões de tráfego históricos dos últimos 30 dias, o Defender for APIs aprende uma linha de base que representa o número típico de valores de parâmetros distintos usados pela população de usuários (todos os IPs) ao acessar um ponto de extremidade em janelas de 20 minutos. O alerta foi disparado porque a população do usuário acessou recentemente um ponto de extremidade que usa um número extraordinariamente grande de valores de parâmetro distintos.

Táticas MITRE: Acesso inicial

Gravidade: Média

Valores de parâmetro com tipos de dados anômalos em uma chamada à API

(API_UnseenParamType)

Descrição: um único IP foi observado acessando um dos endpoints da API e usando valores de parâmetro de um tipo de dados de baixa probabilidade (por exemplo, string, inteiro etc.). Com base nos padrões históricos de tráfego dos últimos 30 dias, o Defender para APIs aprende os tipos de dados esperados para cada parâmetro de API. O alerta foi disparado porque um IP acessou recentemente um ponto de extremidade que usa um tipo de dados de probabilidade anteriormente baixo como uma entrada de parâmetro.

Táticas do MITRE: Impacto

Gravidade: Média

Parâmetro nunca visto anteriormente usado em uma chamada à API

(API_UnseenParam)

Descrição: um único IP foi observado acessando um dos endpoints da API usando um parâmetro inédito ou fora dos limites na solicitação. Com base nos padrões históricos de tráfego dos últimos 30 dias, o Defender para APIs aprende um conjunto de parâmetros esperados associados a chamadas para um ponto de extremidade. O alerta foi disparado porque um IP acessou recentemente um ponto de extremidade que usa um parâmetro nunca visto anteriormente.

Táticas do MITRE: Impacto

Gravidade: Média

Acesso de um nó de saída do Tor para um ponto de extremidade da API

(API_AccessFromTorExitNode)

Descrição: um endereço IP da rede Tor acessou um dos endpoints da API. O Tor é uma rede que permite que as pessoas acessem a Internet mantendo seu IP real oculto. Embora haja usos legítimos, ele é frequentemente usado por invasores para ocultar sua identidade quando eles têm como alvo os sistemas das pessoas online.

Táticas do MITRE: Pré-ataque

Gravidade: Média

Acesso do ponto de extremidade da API de IP suspeito

(API_AccessFromSuspiciousIP)

Descrição: um endereço IP que acessa um dos pontos de extremidade da API foi identificado pela Inteligência contra Ameaças da Microsoft como tendo uma alta probabilidade de ser uma ameaça. Ao observar o tráfego mal-intencionado da Internet, esse IP estava envolvido no ataque a outros alvos online.

Táticas do MITRE: Pré-ataque

Gravidade: Alta

Agente de usuário suspeito detectado

(API_AccessFromSuspiciousUserAgent)

Descrição: o user agent de uma solicitação que acessa um dos endpoints da API continha valores anômalos indicativos de uma tentativa de execução remota de código. Isso não significa que nenhum dos pontos de extremidade da API tenha sido violado, mas sugere que uma tentativa de ataque está em andamento.

Táticas do MITRE: Execução

Gravidade: Média

Observação

Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Próximas etapas