Waarschuwingen voor Defender voor API's

In dit artikel vindt u een overzicht van de beveiligingswaarschuwingen die u mogelijk krijgt voor Defender voor API's van Microsoft Defender voor Cloud en eventuele Microsoft Defender-abonnementen die u hebt ingeschakeld. De waarschuwingen die in uw omgeving worden weergegeven, zijn afhankelijk van de resources en services die u beveiligt en uw aangepaste configuratie.

Notitie

Sommige van de onlangs toegevoegde waarschuwingen mogelijk gemaakt door Microsoft Defender-bedreigingsinformatie en Microsoft Defender voor Eindpunt zijn mogelijk niet-gedocumenteerd.

Meer informatie over hoe u kunt reageren op deze waarschuwingen.

Meer informatie over het exporteren van waarschuwingen.

Notitie

Hoe snel een waarschuwing wordt weergegeven, hangt af van de bron van de waarschuwing. Waarschuwingen waarvoor analyse van netwerkverkeer is vereist, worden bijvoorbeeld later weergegeven dan waarschuwingen met betrekking tot verdachte processen op virtuele machines.

Waarschuwingen voor Defender voor API's

Verdachte piek op populatieniveau in API-verkeer naar een API-eindpunt

(API_PopulationSpikeInAPITraffic)

Beschrijving: Er is een verdachte piek in API-verkeer gedetecteerd op een van de API-eindpunten. Het detectiesysteem gebruikte historische verkeerspatronen om een basislijn vast te stellen voor routine-API-verkeersvolume tussen alle IP-adressen en het eindpunt, waarbij de basislijn specifiek is voor API-verkeer voor elke statuscode (zoals 200 Geslaagd). Het detectiesysteem heeft een ongebruikelijke afwijking van deze basislijn gemarkeerd, wat leidt tot de detectie van verdachte activiteiten.

MITRE-tactieken: Impact

Ernst: gemiddeld

Verdachte piek in API-verkeer van één IP-adres naar een API-eindpunt

(API_SpikeInAPITraffic)

Beschrijving: Er is een verdachte piek in API-verkeer gedetecteerd van een client-IP naar het API-eindpunt. Het detectiesysteem gebruikte historische verkeerspatronen om een basislijn voor routine-API-verkeersvolume naar het eindpunt te maken dat afkomstig is van een specifiek IP-adres naar het eindpunt. Het detectiesysteem heeft een ongebruikelijke afwijking van deze basislijn gemarkeerd, wat leidt tot de detectie van verdachte activiteiten.

MITRE-tactieken: Impact

Ernst: gemiddeld

Ongebruikelijk grote responspayload verzonden tussen één IP-adres en een API-eindpunt

(API_SpikeInPayload)

Beschrijving: Er is een verdachte piek in de nettoladinggrootte van de API-respons waargenomen voor verkeer tussen één IP-adres en een van de API-eindpunten. Op basis van historische verkeerspatronen van de afgelopen 30 dagen leert Defender voor API's een basislijn die de typische nettoladinggrootte van de API-respons tussen een specifiek IP- en API-eindpunt vertegenwoordigt. De geleerde basislijn is specifiek voor API-verkeer voor elke statuscode (bijvoorbeeld 200 Geslaagd). De waarschuwing is geactiveerd omdat de nettoladinggrootte van een API-antwoord aanzienlijk afwijkt van de historische basislijn.

MITRE-tactieken: Initiële toegang

Ernst: gemiddeld

Ongebruikelijk grote aanvraagbody verzonden tussen één IP-adres en een API-eindpunt

(API_SpikeInPayload)

Beschrijving: Er is een verdachte piek in de bodygrootte van de API-aanvraag waargenomen voor verkeer tussen één IP-adres en een van de API-eindpunten. Op basis van historische verkeerspatronen van de afgelopen 30 dagen leert Defender voor API's een basislijn die de typische grootte van de API-aanvraagbody vertegenwoordigt tussen een specifiek IP- en API-eindpunt. De geleerde basislijn is specifiek voor API-verkeer voor elke statuscode (bijvoorbeeld 200 Geslaagd). De waarschuwing is geactiveerd omdat een API-aanvraaggrootte aanzienlijk afwijkt van de historische basislijn.

MITRE-tactieken: Initiële toegang

Ernst: gemiddeld

(Preview) Verdachte piek in latentie voor verkeer tussen één IP-adres en een API-eindpunt

(API_SpikeInLatency)

Beschrijving: Er is een verdachte piek in latentie waargenomen voor verkeer tussen één IP-adres en een van de API-eindpunten. Op basis van historische verkeerspatronen van de afgelopen 30 dagen leert Defender voor API's een basislijn die de routine-API-verkeerslatentie tussen een specifiek IP- en API-eindpunt vertegenwoordigt. De geleerde basislijn is specifiek voor API-verkeer voor elke statuscode (bijvoorbeeld 200 Geslaagd). De waarschuwing is geactiveerd omdat de latentie van een API-aanroep aanzienlijk afwijkt van de historische basislijn.

MITRE-tactieken: Initiële toegang

Ernst: gemiddeld

API-aanvragen spuiten van één IP-adres naar een ongebruikelijk groot aantal afzonderlijke API-eindpunten

(API_SprayInRequests)

Beschrijving: Er is één IP waargenomen bij het maken van API-aanroepen naar een ongebruikelijk groot aantal afzonderlijke eindpunten. Op basis van historische verkeerspatronen van de afgelopen 30 dagen leert Defenders voor API's een basislijn die het typische aantal afzonderlijke eindpunten aangeeft dat wordt aangeroepen door één IP-adres in 20 minuten. De waarschuwing is geactiveerd omdat het gedrag van één IP aanzienlijk afwijkt van de historische basislijn.

MITRE-tactieken: Detectie

Ernst: gemiddeld

Opsomming van parameters op een API-eindpunt

(API_ParameterEnumeration)

Beschrijving: Er is één IP-adres waargenomen bij het inventariseren van parameters bij het openen van een van de API-eindpunten. Op basis van historische verkeerspatronen van de afgelopen 30 dagen leert Defender voor API's een basislijn die het typische aantal afzonderlijke parameterwaarden aangeeft dat door één IP wordt gebruikt bij het openen van dit eindpunt in 20 minuten. De waarschuwing is geactiveerd omdat één client-IP onlangs toegang heeft gekregen tot een eindpunt met behulp van een ongebruikelijk groot aantal afzonderlijke parameterwaarden.

MITRE-tactieken: Initiële toegang

Ernst: gemiddeld

Opsomming van gedistribueerde parameters op een API-eindpunt

(API_DistributedParameterEnumeration)

Beschrijving: De geaggregeerde gebruikerspopulatie (alle IP's) is waargenomen bij het opsommen van parameters bij het openen van een van de API-eindpunten. Op basis van historische verkeerspatronen van de afgelopen 30 dagen leert Defender voor API's een basislijn die het typische aantal afzonderlijke parameterwaarden aangeeft dat wordt gebruikt door de gebruikerspopulatie (alle IP's) bij het openen van een eindpunt in vensters van 20 minuten. De waarschuwing is geactiveerd omdat de gebruikerspopulatie onlangs toegang heeft gekregen tot een eindpunt met een ongebruikelijk groot aantal afzonderlijke parameterwaarden.

MITRE-tactieken: Initiële toegang

Ernst: gemiddeld

Parameterwaarde(s) met afwijkende gegevenstypen in een API-aanroep

(API_UnseenParamType)

Beschrijving: Er is één IP waargenomen die toegang heeft tot een van uw API-eindpunten en het gebruik van parameterwaarden van een gegevenstype met een lage waarschijnlijkheid (bijvoorbeeld tekenreeks, geheel getal, enzovoort). Op basis van historische verkeerspatronen van de afgelopen 30 dagen leert Defender voor API's de verwachte gegevenstypen voor elke API-parameter. De waarschuwing is geactiveerd omdat een IP onlangs toegang heeft gekregen tot een eindpunt met behulp van een eerder laag waarschijnlijk gegevenstype als parameterinvoer.

MITRE-tactieken: Impact

Ernst: gemiddeld

Eerder niet-gebruikte parameter in een API-aanroep

(API_UnseenParam)

Beschrijving: Er is één IP waargenomen die toegang heeft tot een van de API-eindpunten met behulp van een eerder niet-verzonden of niet-afhankelijke parameter in de aanvraag. Op basis van historische verkeerspatronen van de afgelopen 30 dagen leert Defender voor API's een set verwachte parameters die zijn gekoppeld aan aanroepen naar een eindpunt. De waarschuwing is geactiveerd omdat een IP onlangs toegang heeft gekregen tot een eindpunt met behulp van een eerder niet-gebruikte parameter.

MITRE-tactieken: Impact

Ernst: gemiddeld

Toegang vanaf een Tor-afsluitknooppunt naar een API-eindpunt

(API_AccessFromTorExitNode)

Beschrijving: Een IP-adres van het Tor-netwerk heeft toegang gekregen tot een van uw API-eindpunten. Tor is een netwerk waarmee mensen toegang hebben tot internet terwijl hun echte IP-adres verborgen blijft. Hoewel er legitieme toepassingen zijn, wordt het vaak gebruikt door aanvallers om hun identiteit te verbergen wanneer ze zich online richten op systemen van personen.

MITRE-tactiek: Pre-aanval

Ernst: gemiddeld

API-eindpunttoegang vanaf verdacht IP-adres

(API_AccessFromSuspiciousIP)

Beschrijving: Een IP-adres dat toegang heeft tot een van uw API-eindpunten, is geïdentificeerd door Microsoft Threat Intelligence omdat er een hoge kans bestaat dat het een bedreiging is. Tijdens het observeren van schadelijk internetverkeer, kwam dit IP-adres als betrokken bij het aanvallen van andere onlinedoelen.

MITRE-tactiek: Pre-aanval

Ernst: Hoog

Suspicious User Agent detected (Verdachte gebruikersagent gedetecteerd)

(API_AccessFromSuspiciousUserAgent)

Beschrijving: De gebruikersagent van een aanvraag die toegang heeft tot een van uw API-eindpunten, bevatte afwijkende waarden die wijzen op een poging om externe code uit te voeren. Dit betekent niet dat een van uw API-eindpunten is geschonden, maar dat er wel een poging tot een aanval wordt uitgevoerd.

MITRE-tactiek: uitvoering

Ernst: gemiddeld

Notitie

Voor waarschuwingen die in preview zijn: de aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die beschikbaar zijn in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.

Volgende stappen

• Beveiligingswaarschuwingen in Microsoft Defender voor Cloud
• Beheer en reageer op beveiligingswaarschuwingen in Microsoft Defender for Cloud
• Continu Defender voor Cloud gegevens exporteren