Alertas para o Defender for APIs

Este artigo lista os alertas de segurança que você pode receber para o Defender for APIs do Microsoft Defender for Cloud e quaisquer planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo e da sua configuração personalizada.

Nota

Alguns dos alertas adicionados recentemente com o Microsoft Defender Threat Intelligence e o Microsoft Defender for Endpoint podem não estar documentados.

Saiba como responder a esses alertas.

Saiba como exportar alertas.

Nota

Alertas de fontes diferentes podem levar diferentes quantidades de tempo para aparecer. Por exemplo, alertas que exigem análise do tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.

Alertas do Defender for APIs

Pico suspeito de nível populacional no tráfego da API para um ponto de extremidade da API

(API_PopulationSpikeInAPITraffic)

Descrição: um pico suspeito no tráfego da API foi detetado em um dos pontos de extremidade da API. O sistema de deteção usou padrões históricos de tráfego para estabelecer uma linha de base para o volume de tráfego de API de rotina entre todos os IPs e o ponto de extremidade, com a linha de base sendo específica para o tráfego da API para cada código de status (como 200 Success). O sistema de deteção assinalou um desvio incomum desta linha de base, levando à deteção de atividades suspeitas.

Táticas MITRE: Impacto

Gravidade: Média

Pico suspeito no tráfego da API de um único endereço IP para um ponto de extremidade da API

(API_SpikeInAPITraffic)

Descrição: Um pico suspeito no tráfego da API foi detetado de um IP do cliente para o ponto de extremidade da API. O sistema de deteção usou padrões históricos de tráfego para estabelecer uma linha de base para o volume de tráfego de API de rotina para o ponto de extremidade proveniente de um IP específico para o ponto de extremidade. O sistema de deteção assinalou um desvio incomum desta linha de base, levando à deteção de atividades suspeitas.

Táticas MITRE: Impacto

Gravidade: Média

Carga útil de resposta excepcionalmente grande transmitida entre um único endereço IP e um ponto de extremidade de API

(API_SpikeInPayload)

Descrição: Um pico suspeito no tamanho da carga útil de resposta da API foi observado para o tráfego entre um único IP e um dos pontos de extremidade da API. Com base em padrões históricos de tráfego dos últimos 30 dias, o Defender for APIs aprende uma linha de base que representa o tamanho típico da carga útil de resposta da API entre um IP específico e um ponto de extremidade da API. A linha de base aprendida é específica para o tráfego da API para cada código de status (por exemplo, 200 Success). O alerta foi acionado porque um tamanho de carga útil de resposta da API se desviou significativamente da linha de base histórica.

Táticas MITRE: Acesso inicial

Gravidade: Média

Corpo de solicitação excepcionalmente grande transmitido entre um único endereço IP e um ponto de extremidade de API

(API_SpikeInPayload)

Descrição: Um pico suspeito no tamanho do corpo da solicitação de API foi observado para o tráfego entre um único IP e um dos pontos de extremidade da API. Com base nos padrões históricos de tráfego dos últimos 30 dias, o Defender for APIs aprende uma linha de base que representa o tamanho típico do corpo da solicitação de API entre um IP específico e um ponto de extremidade da API. A linha de base aprendida é específica para o tráfego da API para cada código de status (por exemplo, 200 Success). O alerta foi acionado porque o tamanho de uma solicitação de API se desviou significativamente da linha de base histórica.

Táticas MITRE: Acesso inicial

Gravidade: Média

(Pré-visualização) Pico suspeito de latência para o tráfego entre um único endereço IP e um ponto de extremidade de API

(API_SpikeInLatency)

Descrição: Foi observado um pico suspeito de latência para o tráfego entre um único IP e um dos pontos de extremidade da API. Com base em padrões históricos de tráfego dos últimos 30 dias, o Defender for APIs aprende uma linha de base que representa a latência de tráfego de API de rotina entre um IP específico e um ponto de extremidade de API. A linha de base aprendida é específica para o tráfego da API para cada código de status (por exemplo, 200 Success). O alerta foi acionado porque uma latência de chamada de API se desviou significativamente da linha de base histórica.

Táticas MITRE: Acesso inicial

Gravidade: Média

As solicitações de API pulverizam de um único endereço IP para um número anormalmente grande de pontos de extremidade de API distintos

(API_SprayInRequests)

Descrição: Um único IP foi observado fazendo chamadas de API para um número excepcionalmente grande de pontos finais distintos. Com base em padrões históricos de tráfego dos últimos 30 dias, o Defenders for APIs aprende uma linha de base que representa o número típico de pontos de extremidade distintos chamados por um único IP em janelas de 20 minutos. O alerta foi acionado porque o comportamento de um único IP se desviou significativamente da linha de base histórica.

Táticas MITRE: Discovery

Gravidade: Média

Enumeração de parâmetros em um ponto de extremidade da API

(API_ParameterEnumeration)

Descrição: Um único IP foi observado enumerando parâmetros ao acessar um dos pontos de extremidade da API. Com base em padrões históricos de tráfego dos últimos 30 dias, o Defender for APIs aprende uma linha de base que representa o número típico de valores de parâmetros distintos usados por um único IP ao acessar esse ponto de extremidade em janelas de 20 minutos. O alerta foi acionado porque um único IP de cliente acessou recentemente um ponto de extremidade usando um número anormalmente grande de valores de parâmetros distintos.

Táticas MITRE: Acesso inicial

Gravidade: Média

Enumeração de parâmetros distribuídos em um ponto de extremidade de API

(API_DistributedParameterEnumeration)

Descrição: A população agregada de usuários (todos os IPs) foi observada enumerando parâmetros ao acessar um dos pontos de extremidade da API. Com base em padrões históricos de tráfego dos últimos 30 dias, o Defender for APIs aprende uma linha de base que representa o número típico de valores de parâmetros distintos usados pela população de usuários (todos os IPs) ao acessar um ponto de extremidade em janelas de 20 minutos. O alerta foi acionado porque a população de usuários acessou recentemente um ponto de extremidade usando um número anormalmente grande de valores de parâmetros distintos.

Táticas MITRE: Acesso inicial

Gravidade: Média

Valor(es) de parâmetro com tipos de dados anômalos em uma chamada de API

(API_UnseenParamType)

Descrição: Um único IP foi observado acessando um de seus pontos de extremidade de API e usando valores de parâmetros de um tipo de dados de baixa probabilidade (por exemplo, string, inteiro, etc.). Com base nos padrões históricos de tráfego dos últimos 30 dias, o Defender for APIs aprende os tipos de dados esperados para cada parâmetro de API. O alerta foi acionado porque um IP acessou recentemente um ponto de extremidade usando um tipo de dados anteriormente de baixa probabilidade como entrada de parâmetro.

Táticas MITRE: Impacto

Gravidade: Média

Parâmetro inédito usado em uma chamada de API

(API_UnseenParam)

Descrição: Um único IP foi observado acessando um dos pontos de extremidade da API usando um parâmetro inédito ou fora dos limites na solicitação. Com base em padrões históricos de tráfego dos últimos 30 dias, o Defender for APIs aprende um conjunto de parâmetros esperados associados a chamadas para um ponto de extremidade. O alerta foi acionado porque um IP acessou recentemente um ponto de extremidade usando um parâmetro inédito.

Táticas MITRE: Impacto

Gravidade: Média

Acesso de um nó de saída do Tor a um ponto de extremidade da API

(API_AccessFromTorExitNode)

Descrição: Um endereço IP da rede Tor acessou um dos seus pontos de extremidade da API. Tor é uma rede que permite que as pessoas acessem a Internet, mantendo seu IP real escondido. Embora existam usos legítimos, é frequentemente usado por atacantes para ocultar a sua identidade quando visam os sistemas das pessoas online.

Táticas MITRE: Pré-ataque

Gravidade: Média

Acesso ao API Endpoint a partir de IP suspeito

(API_AccessFromSuspiciousIP)

Descrição: Um endereço IP que acede a um dos seus pontos de extremidade de API foi identificado pela Microsoft Threat Intelligence como tendo uma elevada probabilidade de ser uma ameaça. Ao observar o tráfego malicioso da Internet, este IP surgiu como envolvido no ataque a outros alvos online.

Táticas MITRE: Pré-ataque

Gravidade: Alta

Agente de usuário suspeito detetado

(API_AccessFromSuspiciousUserAgent)

Descrição: O agente de usuário de uma solicitação que acessa um dos pontos de extremidade da API continha valores anômalos indicativos de uma tentativa de execução remota de código. Isso não significa que nenhum dos seus pontos de extremidade de API tenha sido violado, mas sugere que uma tentativa de ataque está em andamento.

Táticas MITRE: Execução

Gravidade: Média

Nota

Para alertas que estão em pré-visualização: Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.

Próximos passos

• Alertas de segurança no Microsoft Defender for Cloud
• Gerir e responder a alertas de segurança no Microsoft Defender para a Cloud
• Exporte continuamente dados do Defender for Cloud