Riasztások az API-khoz készült Defenderhez
Ez a cikk felsorolja azokat a biztonsági riasztásokat, amelyek a Defender for API-khoz Felhőhöz készült Microsoft Defender és az engedélyezett Microsoft Defender-csomagokból származhatnak. A környezetben megjelenő riasztások a védeni kívánt erőforrásoktól és szolgáltatásoktól, valamint a testre szabott konfigurációtól függenek.
Feljegyzés
Előfordulhat, hogy a Microsoft Defender Intelligens veszélyforrás-felderítés és Végponthoz készült Microsoft Defender által nemrég hozzáadott riasztások némelyike visszavonva.
Megtudhatja, hogyan válaszolhat ezekre a riasztásokra.
Megtudhatja, hogyan exportálhat riasztásokat.
Feljegyzés
A különböző forrásokból származó riasztások megjelenése különböző időt vehet igénybe. A hálózati forgalom elemzését igénylő riasztások például tovább tarthatnak, mint a virtuális gépeken futó gyanús folyamatokkal kapcsolatos riasztások.
Defender API-kkal kapcsolatos riasztások
Gyanús populációszintű csúcs az API-végpont felé történő API-forgalomban
(API_PopulationSpikeInAPITraffic)
Leírás: Gyanús kiugró API-forgalom észlelhető az egyik API-végponton. Az észlelési rendszer előzményforgalmi mintákat használt az ÖSSZES IP-cím és a végpont közötti rutin API-forgalom mennyiségének alapkonfigurációjának meghatározásához, és az alapkonfiguráció az egyes állapotkódok API-forgalmára jellemző (például 200 Success). Az észlelési rendszer szokatlan eltérést jelölt meg az alapkonfigurációtól, ami gyanús tevékenység észleléséhez vezetett.
MITRE-taktikák: Hatás
Súlyosság: Közepes
Gyanús csúcs az API-forgalomban egyetlen IP-címről egy API-végpontra
(API_SpikeInAPITraffic)
Leírás: Gyanús kiugró API-forgalmat észleltek egy ügyfél IP-címéről az API-végpontra. Az észlelési rendszer előzményforgalmi mintákat használt a rutin API-forgalom mennyiségének alapkonfigurációjának meghatározásához egy adott IP-címről a végpontra érkező végpont felé. Az észlelési rendszer szokatlan eltérést jelölt meg az alapkonfigurációtól, ami gyanús tevékenység észleléséhez vezetett.
MITRE-taktikák: Hatás
Súlyosság: Közepes
Szokatlanul nagy válasz hasznos adat egy IP-cím és egy API-végpont között
(API_SpikeInPayload)
Leírás: Gyanúsan megugrott az API-válasz hasznos adatmérete az egyetlen IP-cím és az EGYIK API-végpont közötti forgalom esetében. Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defender for API-k egy alapkonfigurációt ismernek meg, amely egy adott IP-cím és API-végpont közötti jellemző API-válasz hasznos adatméretét jelöli. A tanult alapkonfiguráció az egyes állapotkódok API-forgalmára vonatkozik (például 200 Sikeresség). A riasztás azért aktiválódott, mert az API-válasz hasznos adatmérete jelentősen eltért az előzménykonfigurációtól.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
Szokatlanul nagy kérelemtörzs, amely egyetlen IP-cím és EGY API-végpont között van továbbítva
(API_SpikeInPayload)
Leírás: Gyanúsan megugrott az API-kérés törzsmérete az egyetlen IP-cím és az EGYIK API-végpont közötti forgalom esetében. Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defender for API-k olyan alapkonfigurációt ismernek meg, amely egy adott IP-cím és API-végpont közötti tipikus API-kérés törzsméretét jelöli. A tanult alapkonfiguráció az egyes állapotkódok API-forgalmára vonatkozik (például 200 Sikeresség). A riasztás azért lett aktiválva, mert az API-kérések mérete jelentősen eltért a korábbi alapkonfigurációtól.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
(Előzetes verzió) Gyanús késés az egyetlen IP-cím és egy API-végpont közötti forgalom esetében
(API_SpikeInLatency)
Leírás: Gyanús késési csúcsot észleltek az egyetlen IP-cím és az EGYIK API-végpont közötti forgalom esetében. Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defender for API-k olyan alapkonfigurációt ismernek meg, amely egy adott IP- és API-végpont közötti rutin API-forgalom késését jelzi. A tanult alapkonfiguráció az egyes állapotkódok API-forgalmára vonatkozik (például 200 Sikeresség). A riasztás azért lett aktiválva, mert az API-hívások késése jelentősen eltért az előzménykonfigurációtól.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
Az API egyetlen IP-címről szokatlanul nagy számú különböző API-végpontra irányuló permetezést kér
(API_SprayInRequests)
Leírás: Egyetlen IP-címet figyeltek meg, amely szokatlanul nagy számú különböző végpontra indított API-hívásokat. Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defenders for API-k olyan alapkonfigurációt ismernek meg, amely az egyetlen IP-cím által 20 perces ablakokon keresztül hívott különböző végpontok tipikus számát jelöli. A riasztás azért aktiválódott, mert egyetlen IP-cím viselkedése jelentősen eltért a korábbi alapkonfigurációtól.
MITRE-taktikák: Felderítés
Súlyosság: Közepes
Paraméterek számbavétele API-végponton
(API_ParameterEnumeration)
Leírás: Egyetlen IP-címet figyeltünk meg, amely paramétereket sorolt fel az EGYIK API-végpont elérésekor. Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defender for API-k egy olyan alapkonfigurációt tanulnak meg, amely az egyetlen IP-cím által a végpont 20 perces ablakok közötti elérésekor használt eltérő paraméterértékek tipikus számát jelöli. A riasztás azért lett aktiválva, mert egy ügyfél IP-címe nemrég szokatlanul nagy számú különböző paraméterérték használatával fért hozzá egy végponthoz.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
Elosztott paraméter enumerálása API-végponton
(API_DistributedParameterEnumeration)
Leírás: Az összesített felhasználói populáció (az összes IP-cím) a paraméterek számbavételét figyelte meg az API-végpontok egyikének elérésekor. Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defender for API-k egy olyan alapkonfigurációt ismernek meg, amely a felhasználói sokaság (az összes IP-cím) által a végpontok 20 perces ablakok közötti elérésekor használt különböző paraméterértékek tipikus számát jelöli. A riasztás azért lett aktiválva, mert a felhasználói sokaság nemrégiben szokatlanul nagy számú különböző paraméterérték használatával fért hozzá egy végponthoz.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
Paraméterérték(ek) rendellenes adattípusokkal egy API-hívásban
(API_UnseenParamType)
Leírás: Egyetlen IP-címet figyeltek meg az egyik API-végpont elérésekor, és alacsony valószínűségű adattípus paraméterértékeit használták (például sztring, egész szám stb.). Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defender for API-k megismerik az egyes API-paraméterek várt adattípusait. A riasztás azért lett aktiválva, mert egy IP-cím a közelmúltban egy korábban alacsony valószínűségű adattípust használó végponthoz fért hozzá paraméterbemenetként.
MITRE-taktikák: Hatás
Súlyosság: Közepes
Korábban nem használt paraméter egy API-hívásban
(API_UnseenParam)
Leírás: Egyetlen IP-címet figyeltek meg, amely egy korábban nem látott vagy nem határolt paraméter használatával fért hozzá az EGYIK API-végponthoz a kérelemben. Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defender for API-k megismerik a végpontra irányuló hívásokhoz társított várt paramétereket. A riasztás azért lett aktiválva, mert egy IP-cím nemrég egy korábban nem látott paraméterrel fért hozzá egy végponthoz.
MITRE-taktikák: Hatás
Súlyosság: Közepes
Hozzáférés a Tor kilépési csomópontjáról egy API-végponthoz
(API_AccessFromTorExitNode)
Leírás: A Tor-hálózat egyik IP-címe hozzáfért az egyik API-végponthoz. A Tor egy olyan hálózat, amely lehetővé teszi az emberek számára, hogy hozzáférjenek az internethez, miközben rejtve tartják a valódi IP-címüket. Bár vannak jogos felhasználási módok, a támadók gyakran használják személyazonosságuk elrejtésére, amikor online célba veszi az emberek rendszereit.
MITRE-taktikák: Támadás előtti
Súlyosság: Közepes
API-végpont hozzáférése gyanús IP-címről
(API_AccessFromSuspiciousIP)
Leírás: Az egyik API-végponthoz hozzáférő IP-címet a Microsoft Threat Intelligence nagy valószínűséggel fenyegetésként azonosította. A rosszindulatú internetes forgalom megfigyelése közben ez az IP-cím más online célpontok támadásában is szerepet kapott.
MITRE-taktikák: Támadás előtti
Súlyosság: Magas
Gyanús felhasználói ügynök észlelhető
(API_AccessFromSuspiciousUserAgent)
Leírás: Az egyik API-végpontot elérő kérés felhasználói ügynöke rendellenes értékeket tartalmazott, amelyek távoli kódvégrehajtási kísérletre utalnak. Ez nem jelenti azt, hogy bármelyik API-végpontot feltörték, de arra utal, hogy támadási kísérlet van folyamatban.
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Feljegyzés
Előzetes verziójú riasztások esetén: Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.