Pemberitahuan untuk Defender untuk API
Artikel ini mencantumkan pemberitahuan keamanan yang mungkin Anda dapatkan untuk Defender untuk API dari Microsoft Defender untuk Cloud dan paket Pertahanan Microsoft apa pun yang Anda aktifkan. Peringatan yang ditampilkan pada lingkungan Anda tergantung pada sumber daya dan layanan yang dilindungi, serta konfigurasi yang disesuaikan.
Catatan
Beberapa pemberitahuan yang baru ditambahkan didukung oleh Inteligensi Ancaman Microsoft Defender dan Microsoft Defender untuk Titik Akhir mungkin tidak terdokumentasi.
Pelajari cara menanggapi pemberitahuan ini.
Pelajari cara mengekspor pemberitahuan.
Catatan
Pemberitahuan dari sumber yang berbeda mungkin membutuhkan waktu yang berbeda untuk muncul. Misalnya, pemberitahuan yang memerlukan analisis lalu lintas jaringan mungkin membutuhkan waktu lebih lama untuk muncul daripada pemberitahuan yang terkait dengan proses mencurigakan yang berjalan pada komputer virtual.
Pemberitahuan Defender untuk API
Lonjakan tingkat populasi yang mencurigakan dalam lalu lintas API ke titik akhir API
(API_PopulationSpikeInAPITraffic)
Deskripsi: Lonjakan lalu lintas API yang mencurigakan terdeteksi di salah satu titik akhir API. Sistem deteksi menggunakan pola lalu lintas historis untuk menetapkan garis besar untuk volume lalu lintas API rutin antara semua IP dan titik akhir, dengan garis besar khusus untuk lalu lintas API untuk setiap kode status (seperti 200 Success). Sistem deteksi menandai penyimpangan yang tidak biasa dari garis besar ini yang mengarah ke deteksi aktivitas yang mencurigakan.
Taktik MITRE: Dampak
Tingkat keparahan: Sedang
Lonjakan lalu lintas API yang mencurigakan dari satu alamat IP ke titik akhir API
(API_SpikeInAPITraffic)
Deskripsi: Lonjakan lalu lintas API yang mencurigakan terdeteksi dari IP klien ke titik akhir API. Sistem deteksi menggunakan pola lalu lintas historis untuk membuat garis besar untuk volume lalu lintas API rutin ke titik akhir yang berasal dari IP tertentu ke titik akhir. Sistem deteksi menandai penyimpangan yang tidak biasa dari garis besar ini yang mengarah ke deteksi aktivitas yang mencurigakan.
Taktik MITRE: Dampak
Tingkat keparahan: Sedang
Payload respons yang luar biasa besar ditransmisikan antara satu alamat IP dan titik akhir API
(API_SpikeInPayload)
Deskripsi: Lonjakan mencurigakan dalam ukuran payload respons API diamati untuk lalu lintas antara satu IP dan salah satu titik akhir API. Berdasarkan pola lalu lintas historis dari 30 hari terakhir, Defender untuk API mempelajari garis besar yang mewakili ukuran payload respons API umum antara IP tertentu dan titik akhir API. Garis besar yang dipelajari khusus untuk lalu lintas API untuk setiap kode status (misalnya, 200 Keberhasilan). Pemberitahuan dipicu karena ukuran payload respons API menyimpang secara signifikan dari garis besar historis.
Taktik MITRE: Akses awal
Tingkat keparahan: Sedang
Isi permintaan yang luar biasa besar ditransmisikan antara satu alamat IP dan titik akhir API
(API_SpikeInPayload)
Deskripsi: Lonjakan mencurigakan dalam ukuran isi permintaan API diamati untuk lalu lintas antara satu IP dan salah satu titik akhir API. Berdasarkan pola lalu lintas historis dari 30 hari terakhir, Defender untuk API mempelajari garis besar yang mewakili ukuran isi permintaan API yang khas antara IP tertentu dan titik akhir API. Garis besar yang dipelajari khusus untuk lalu lintas API untuk setiap kode status (misalnya, 200 Keberhasilan). Pemberitahuan dipicu karena ukuran permintaan API menyimpang secara signifikan dari garis besar historis.
Taktik MITRE: Akses awal
Tingkat keparahan: Sedang
(Pratinjau) Lonjakan latensi yang mencurigakan untuk lalu lintas antara satu alamat IP dan titik akhir API
(API_SpikeInLatency)
Deskripsi: Lonjakan latensi yang mencurigakan diamati untuk lalu lintas antara satu IP dan salah satu titik akhir API. Berdasarkan pola lalu lintas historis dari 30 hari terakhir, Defender untuk API mempelajari garis besar yang mewakili latensi lalu lintas API rutin antara IP tertentu dan titik akhir API. Garis besar yang dipelajari khusus untuk lalu lintas API untuk setiap kode status (misalnya, 200 Keberhasilan). Pemberitahuan dipicu karena latensi panggilan API menyimpang secara signifikan dari garis besar historis.
Taktik MITRE: Akses awal
Tingkat keparahan: Sedang
API meminta semprotan dari satu alamat IP ke sejumlah besar titik akhir API yang berbeda
(API_SprayInRequests)
Deskripsi: Satu IP diamati melakukan panggilan API ke sejumlah besar titik akhir yang berbeda. Berdasarkan pola lalu lintas historis dari 30 hari terakhir, Defenders for API mempelajari garis besar yang mewakili jumlah khas titik akhir berbeda yang dipanggil oleh SATU IP di seluruh jendela 20 menit. Pemberitahuan dipicu karena perilaku IP tunggal menyimpang secara signifikan dari garis besar historis.
Taktik MITRE: Penemuan
Tingkat keparahan: Sedang
Enumerasi parameter pada titik akhir API
(API_ParameterEnumeration)
Deskripsi: Satu IP diamati menghitung parameter saat mengakses salah satu titik akhir API. Berdasarkan pola lalu lintas historis dari 30 hari terakhir, Defender untuk API mempelajari garis besar yang mewakili jumlah khas nilai parameter berbeda yang digunakan oleh satu IP saat mengakses titik akhir ini di jendela 20 menit. Pemberitahuan dipicu karena SATU IP klien baru-baru ini mengakses titik akhir menggunakan sejumlah besar nilai parameter yang berbeda.
Taktik MITRE: Akses awal
Tingkat keparahan: Sedang
Enumerasi parameter terdistribusi pada titik akhir API
(API_DistributedParameterEnumeration)
Deskripsi: Populasi pengguna agregat (semua IP) diamati menghitung parameter saat mengakses salah satu titik akhir API. Berdasarkan pola lalu lintas historis dari 30 hari terakhir, Defender untuk API mempelajari garis besar yang mewakili jumlah khas nilai parameter berbeda yang digunakan oleh populasi pengguna (semua IP) saat mengakses titik akhir di seluruh jendela 20 menit. Pemberitahuan dipicu karena populasi pengguna baru-baru ini mengakses titik akhir menggunakan sejumlah besar nilai parameter yang berbeda.
Taktik MITRE: Akses awal
Tingkat keparahan: Sedang
Nilai parameter dengan jenis data anomali dalam panggilan API
(API_UnseenParamType)
Deskripsi: Satu IP diamati mengakses salah satu titik akhir API Anda dan menggunakan nilai parameter dari jenis data probabilitas rendah (misalnya, string, bilangan bulat, dll.). Berdasarkan pola lalu lintas historis dari 30 hari terakhir, Defender untuk API mempelajari jenis data yang diharapkan untuk setiap parameter API. Pemberitahuan dipicu karena IP baru-baru ini mengakses titik akhir menggunakan jenis data probabilitas rendah sebelumnya sebagai input parameter.
Taktik MITRE: Dampak
Tingkat keparahan: Sedang
Parameter yang sebelumnya tidak dilihat yang digunakan dalam panggilan API
(API_UnseenParam)
Deskripsi: Satu IP diamati mengakses salah satu titik akhir API menggunakan parameter yang sebelumnya tidak terlihat atau di luar batas dalam permintaan. Berdasarkan pola lalu lintas historis dari 30 hari terakhir, Defender untuk API mempelajari serangkaian parameter yang diharapkan yang terkait dengan panggilan ke titik akhir. Pemberitahuan dipicu karena IP baru-baru ini mengakses titik akhir menggunakan parameter yang sebelumnya tidak terlihat.
Taktik MITRE: Dampak
Tingkat keparahan: Sedang
Akses dari node keluar Tor ke titik akhir API
(API_AccessFromTorExitNode)
Deskripsi: Alamat IP dari jaringan Tor mengakses salah satu titik akhir API Anda. Tor adalah jaringan yang memungkinkan orang mengakses Internet sambil menjaga IP asli mereka tetap tersembunyi. Meskipun ada penggunaan yang sah, sering digunakan oleh penyerang untuk menyembunyikan identitas mereka ketika mereka menargetkan sistem orang secara online.
Taktik MITRE: Pra-serangan
Tingkat keparahan: Sedang
Akses Titik Akhir API dari IP yang mencurigakan
(API_AccessFromSuspiciousIP)
Deskripsi: Alamat IP yang mengakses salah satu titik akhir API Anda diidentifikasi oleh Inteligensi Ancaman Microsoft karena memiliki kemungkinan besar menjadi ancaman. Saat mengamati lalu lintas Internet berbahaya, IP ini muncul karena terlibat dalam menyerang target online lainnya.
Taktik MITRE: Pra-serangan
Tingkat keparahan: Tinggi
Agen Pengguna Mencurigakan terdeteksi
(API_AccessFromSuspiciousUserAgent)
Deskripsi: Agen pengguna permintaan yang mengakses salah satu titik akhir API Anda berisi nilai anomali yang menunjukkan upaya eksekusi kode jarak jauh. Ini tidak berarti bahwa salah satu titik akhir API Anda telah dilanggar, tetapi itu menunjukkan bahwa upaya serangan sedang berlangsung.
Taktik MITRE: Eksekusi
Tingkat keparahan: Sedang
Catatan
Untuk lansiran yang ada dalam pratinjau: Persyaratan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.