Výstrahy pro rozhraní API defenderu
Tento článek obsahuje seznam výstrah zabezpečení, které můžete získat pro defender for API z programu Microsoft Defender for Cloud a všech plánů Microsoft Defenderu, které jste povolili. Výstrahy zobrazené ve vašem prostředí závisí na prostředcích a službách, které chráníte, a na vlastní konfiguraci.
Poznámka:
Některé nedávno přidané výstrahy využívající Analýza hrozeb v programu Microsoft Defender a Microsoft Defender for Endpoint můžou být nezdokumentované.
Přečtěte si, jak na tato upozornění reagovat.
Zjistěte, jak exportovat upozornění.
Poznámka:
Zobrazení výstrah z různých zdrojů může trvat různě dlouho. Například výstrahy, které vyžadují analýzu síťového provozu, můžou trvat déle, než se zobrazí výstrahy související s podezřelými procesy spuštěnými na virtuálních počítačích.
Upozornění defenderu pro rozhraní API
Podezřelá špička na úrovni populace v provozu rozhraní API do koncového bodu rozhraní API
(API_PopulationSpikeInAPITraffic)
Popis: Na jednom z koncových bodů rozhraní API byla zjištěna podezřelá špička v provozu rozhraní API. Systém zjišťování použil historické vzory provozu k vytvoření směrného plánu pro běžný objem provozu rozhraní API mezi všemi IP adresami a koncovým bodem, přičemž směrný plán je specifický pro provoz rozhraní API pro každý stavový kód (například 200 Úspěch). Systém detekce označil neobvyklou odchylku od tohoto směrného plánu, což vedlo k detekci podezřelé aktivity.
Taktika MITRE: Dopad
Závažnost: Střední
Podezřelý nárůst provozu rozhraní API z jedné IP adresy do koncového bodu rozhraní API
(API_SpikeInAPITraffic)
Popis: Byl zjištěn podezřelý nárůst provozu rozhraní API z IP adresy klienta do koncového bodu rozhraní API. Systém zjišťování použil historické vzory provozu k vytvoření směrného plánu pro běžný objem provozu rozhraní API do koncového bodu přicházejícího z konkrétní IP adresy do koncového bodu. Systém detekce označil neobvyklou odchylku od tohoto směrného plánu, což vedlo k detekci podezřelé aktivity.
Taktika MITRE: Dopad
Závažnost: Střední
Neobvykle velká datová část odpovědi přenášená mezi jednou IP adresou a koncovým bodem rozhraní API
(API_SpikeInPayload)
Popis: U provozu mezi jednou IP adresou a jedním koncovým bodem rozhraní API byla zjištěna podezřelá špička v datové části odpovědi rozhraní API. Na základě historických vzorů provozu za posledních 30 dnů se Defender for API naučí směrný plán, který představuje typickou velikost datové části odpovědi rozhraní API mezi konkrétní IP adresou a koncovým bodem rozhraní API. Naučené směrné plány jsou specifické pro provoz rozhraní API pro každý stavový kód (například 200 Úspěch). Upozornění se aktivovalo, protože datová část odpovědi rozhraní API se výrazně odlišila od historického směrného plánu.
Taktika MITRE: Počáteční přístup
Závažnost: Střední
Neobvykle velký text požadavku přenášený mezi jednou IP adresou a koncovým bodem rozhraní API
(API_SpikeInPayload)
Popis: U provozu mezi jednou IP adresou a jedním z koncových bodů rozhraní API byla zjištěna podezřelá špička v těle požadavku rozhraní API. Na základě historických vzorů provozu za posledních 30 dnů se Defender for API učí směrný plán, který představuje typickou velikost těla požadavků rozhraní API mezi konkrétní IP adresou a koncovým bodem rozhraní API. Naučené směrné plány jsou specifické pro provoz rozhraní API pro každý stavový kód (například 200 Úspěch). Upozornění se aktivovalo, protože velikost požadavku rozhraní API se výrazně odlišila od historického směrného plánu.
Taktika MITRE: Počáteční přístup
Závažnost: Střední
(Preview) Podezřelá špička latence provozu mezi jednou IP adresou a koncovým bodem rozhraní API
(API_SpikeInLatency)
Popis: U provozu mezi jednou IP adresou a jedním koncovým bodem rozhraní API byla zjištěna podezřelá špička latence. Na základě historických vzorů provozu za posledních 30 dnů se Defender pro rozhraní API učí směrný plán, který představuje běžnou latenci provozu rozhraní API mezi konkrétní IP adresou a koncovým bodem rozhraní API. Naučené směrné plány jsou specifické pro provoz rozhraní API pro každý stavový kód (například 200 Úspěch). Upozornění se aktivovalo, protože latence volání rozhraní API se výrazně odlišovala od historického směrného plánu.
Taktika MITRE: Počáteční přístup
Závažnost: Střední
Požadavky rozhraní API nastříkají z jedné IP adresy na neobvykle velký počet jedinečných koncových bodů rozhraní API.
(API_SprayInRequests)
Popis: Při volání rozhraní API do neobvykle velkého počtu jedinečných koncových bodů došlo k jedné IP adrese. Na základě historických vzorů provozu za posledních 30 dnů se Defendery pro rozhraní API učí směrný plán, který představuje typický počet jedinečných koncových bodů volaných jednou IP adresou ve 20minutových oknech. Upozornění se aktivovalo, protože chování jedné IP adresy se výrazně odlišovalo od historického směrného plánu.
Taktika MITRE: Zjišťování
Závažnost: Střední
Výčet parametrů v koncovém bodu rozhraní API
(API_ParameterEnumeration)
Popis: Při přístupu k jednomu koncovému bodu rozhraní API došlo k vytvoření výčtu parametrů. Na základě historických vzorů provozu za posledních 30 dnů se Defender for API učí směrný plán, který představuje typický počet jedinečných hodnot parametrů používaných jednou IP adresou při přístupu k tomuto koncovému bodu v 20minutových oknech. Upozornění se aktivovalo, protože jedna IP adresa klienta nedávno přistupovala ke koncovému bodu pomocí neobvykle velkého počtu jedinečných hodnot parametrů.
Taktika MITRE: Počáteční přístup
Závažnost: Střední
Výčet distribuovaných parametrů v koncovém bodu rozhraní API
(API_DistributedParameterEnumeration)
Popis: Při přístupu k jednomu z koncových bodů rozhraní API jsme zaznamenali výčet parametrů agregovaného počtu uživatelů (všechny IP adresy). Na základě historických vzorů provozu za posledních 30 dnů se Defender for API učí směrný plán, který představuje typický počet jedinečných hodnot parametrů používaných uživatelským počtem obyvatel (všechny IP adresy) při přístupu ke koncovému bodu v 20minutových oknech. Upozornění se aktivovalo, protože populace uživatelů nedávno přistupovala ke koncovému bodu pomocí neobvykle velkého počtu jedinečných hodnot parametrů.
Taktika MITRE: Počáteční přístup
Závažnost: Střední
Hodnoty parametrů s neobvyklými datovými typy ve volání rozhraní API
(API_UnseenParamType)
Popis: Jedna IP adresa byla zjištěna při přístupu k jednomu z koncových bodů rozhraní API a použití hodnot parametrů datového typu s nízkou pravděpodobností (například řetězec, celé číslo atd.). Na základě historických vzorů provozu za posledních 30 dnů se Defender for API učí očekávané datové typy pro jednotlivé parametry rozhraní API. Upozornění se aktivovalo, protože IP adresa nedávno přistupovala ke koncovému bodu pomocí datového typu s nízkou pravděpodobností jako vstup parametru.
Taktika MITRE: Dopad
Závažnost: Střední
Dříve nezoznaný parametr použitý ve volání rozhraní API
(API_UnseenParam)
Popis: Při přístupu k jednomu koncovému bodu rozhraní API došlo k jedné IP adrese pomocí dříve nezoznaného parametru nebo parametru mimo hranice v požadavku. Na základě historických vzorů provozu za posledních 30 dnů se Defender for API učí sadu očekávaných parametrů přidružených k volání do koncového bodu. Upozornění se aktivovalo, protože IP adresa nedávno přistupovala ke koncovému bodu pomocí dříve neznámého parametru.
Taktika MITRE: Dopad
Závažnost: Střední
Přístup z výstupního uzlu Tor ke koncovému bodu rozhraní API
(API_AccessFromTorExitNode)
Popis: IP adresa ze sítě Tor přistupovala k jednomu z koncových bodů rozhraní API. Tor je síť, která umožňuje uživatelům přistupovat k internetu a přitom zachovat jejich skutečnou IP adresu skrytou. I když existují legitimní použití, útočníci ji často používají ke skrytí identity, když cílí na systémy lidí online.
Taktika MITRE: Před útokem
Závažnost: Střední
Přístup ke koncovému bodu rozhraní API z podezřelé IP adresy
(API_AccessFromSuspiciousIP)
Popis: Služba Microsoft Threat Intelligence identifikovala IP adresu, která přistupuje k jednomu z koncových bodů rozhraní API, jako by měla vysokou pravděpodobnost, že se jedná o hrozbu. Při sledování škodlivého internetového provozu se tato IP adresa objevila jako zapojená do útoku na jiné online cíle.
Taktika MITRE: Před útokem
Závažnost: Vysoká
Zjištěn podezřelý uživatelský agent
(API_AccessFromSuspiciousUserAgent)
Popis: Uživatelský agent požadavku, který přistupuje k jednomu z koncových bodů rozhraní API, obsahoval neobvyklé hodnoty indikující pokus o vzdálené spuštění kódu. Neznamená to, že došlo k porušení žádného z vašich koncových bodů rozhraní API, ale naznačuje, že probíhá pokus o útok.
Taktika MITRE: Provádění
Závažnost: Střední
Poznámka:
Upozornění, která jsou ve verzi Preview: Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro