Оповещения для API Defender
В этой статье перечислены оповещения системы безопасности, которые вы можете получить для API Defender для Microsoft Defender для облака и всех включенных планов Microsoft Defender. Оповещения, отображаемые в вашей среде, зависят от защищаемых ресурсов, служб и настроенной конфигурации.
Примечание.
Некоторые из недавно добавленных оповещений, созданных Аналитика угроз Microsoft Defender и Microsoft Defender для конечной точки, могут быть незадокументированы.
Узнайте, как реагировать на эти оповещения.
Узнайте, как экспортировать оповещения.
Примечание.
Время, требуемое для отображения оповещений из разных источников, может отличаться. Например, для отображения оповещений, требующих анализа сетевого трафика, может потребоваться больше времени, чем для оповещений, связанных с выполнением подозрительных процессов на виртуальных машинах.
Оповещения Defender для API
Подозрительный всплеск трафика API на конечную точку API
(API_PopulationSpikeInAPITraffic)
Описание. Подозрительный всплеск трафика API был обнаружен в одной из конечных точек API. Система обнаружения использовала исторические шаблоны трафика для установления базовых показателей для регулярного объема трафика API между всеми IP-адресами и конечной точкой, при этом базовые показатели зависят от трафика API для каждого кода состояния (например, 200 успешно). Система обнаружения помечает необычное отклонение от этого базового плана, что приводит к обнаружению подозрительной активности.
Тактика MITRE: влияние
Серьезность: средний
Подозрительный всплеск трафика API из одного IP-адреса в конечную точку API
(API_SpikeInAPITraffic)
Описание. Обнаружен подозрительный всплеск трафика API из IP-адреса клиента в конечную точку API. Система обнаружения использовала исторические шаблоны трафика для установления базовых показателей для регулярного объема трафика API к конечной точке, исходящей из определенного IP-адреса в конечную точку. Система обнаружения помечает необычное отклонение от этого базового плана, что приводит к обнаружению подозрительной активности.
Тактика MITRE: влияние
Серьезность: средний
Необычно большие полезные данные ответа, передаваемые между одним IP-адресом и конечной точкой API
(API_SpikeInPayload)
Описание. Подозрительный всплеск полезных данных ответа API наблюдался для трафика между одним IP-адресом и одной из конечных точек API. На основе исторических шаблонов трафика за последние 30 дней Defender для API узнает базовый план, представляющий типичный размер полезных данных ответа API между определенным IP-адресом и конечной точкой API. Базовые показатели обучения зависят от трафика API для каждого кода состояния (например, 200 success). Оповещение было активировано, так как размер полезных данных ответа API значительно отклонялся от исторического базового плана.
Тактика MITRE: начальный доступ
Серьезность: средний
Необычно большой текст запроса, передаваемый между одним IP-адресом и конечной точкой API
(API_SpikeInPayload)
Описание. Подозрительный всплеск размера текста запроса API наблюдался для трафика между одним IP-адресом и одной из конечных точек API. На основе исторических шаблонов трафика за последние 30 дней Defender для API узнает базовые показатели, представляющие типичный размер текста запроса API между определенным IP-адресом и конечной точкой API. Базовые показатели обучения зависят от трафика API для каждого кода состояния (например, 200 success). Оповещение было активировано, так как размер запроса API значительно отклонялся от исторического базового плана.
Тактика MITRE: начальный доступ
Серьезность: средний
(предварительная версия) Подозрительный всплеск задержки для трафика между одним IP-адресом и конечной точкой API
(API_SpikeInLatency)
Описание. Подозрительное увеличение задержки наблюдалось для трафика между одним IP-адресом и одной из конечных точек API. Основываясь на исторических шаблонах трафика за последние 30 дней, Defender для API узнает базовый план, который представляет собой задержку трафика API между определенным IP-адресом и конечной точкой API. Базовые показатели обучения зависят от трафика API для каждого кода состояния (например, 200 success). Оповещение было активировано, так как задержка вызова API значительно отклонялась от исторического базового плана.
Тактика MITRE: начальный доступ
Серьезность: средний
Запросы API с одного IP-адреса на необычно большое количество отдельных конечных точек API
(API_SprayInRequests)
Описание. Один IP-адрес наблюдался при вызове API к необычно большому количеству отдельных конечных точек. На основе исторических шаблонов трафика за последние 30 дней Defenders для API узнает базовый план, представляющий типичное количество отдельных конечных точек, вызываемых одним IP-адресом в 20-минутных окнах. Оповещение было активировано, так как поведение одного IP-адреса значительно отклонялось от исторического базового плана.
Тактика MITRE: Обнаружение
Серьезность: средний
Перечисление параметров в конечной точке API
(API_ParameterEnumeration)
Описание. При доступе к одной конечной точке API наблюдалось перечисление параметров. На основе исторических шаблонов трафика за последние 30 дней Defender для API узнает базовый план, представляющий типичное количество уникальных значений параметров, используемых одним IP-адресом при доступе к этой конечной точке в 20-минутных окнах. Оповещение было активировано, так как один IP-адрес клиента недавно получил доступ к конечной точке с использованием необычно большого количества различных значений параметров.
Тактика MITRE: начальный доступ
Серьезность: средний
Перечисление распределенных параметров в конечной точке API
(API_DistributedParameterEnumeration)
Описание. При доступе к одной из конечных точек API наблюдалось статистическое число пользователей (все IP-адреса). На основе исторических шаблонов трафика за последние 30 дней Defender для API узнает базовый план, представляющий типичное количество уникальных значений параметров, используемых пользователем (все IP-адреса) при доступе к конечной точке в 20-минутных окнах. Оповещение было активировано, так как население пользователей недавно обращается к конечной точке с помощью необычно большого количества уникальных значений параметров.
Тактика MITRE: начальный доступ
Серьезность: средний
Значения параметров с аномальными типами данных в вызове API
(API_UnseenParamType)
Описание. Один IP-адрес был замечен, доступ к одной из конечных точек API и использование значений параметров типа данных с низкой вероятностью (например, string, целочисленное и т. д.). На основе исторических шаблонов трафика за последние 30 дней Defender для API узнает ожидаемые типы данных для каждого параметра API. Оповещение было активировано, так как IP-адрес недавно получил доступ к конечной точке, используя ранее тип данных с низкой вероятностью в качестве входных данных параметров.
Тактика MITRE: влияние
Серьезность: средний
Ранее невидимый параметр, используемый в вызове API
(API_UnseenParam)
Описание. Один IP-адрес был замечен, доступ к одной из конечных точек API с помощью ранее невидимого или внеграничного параметра в запросе. На основе исторических шаблонов трафика за последние 30 дней Defender для API узнает набор ожидаемых параметров, связанных с вызовами конечной точки. Оповещение было активировано, так как IP-адрес недавно получил доступ к конечной точке с помощью ранее невидимого параметра.
Тактика MITRE: влияние
Серьезность: средний
Доступ из узла выхода Tor к конечной точке API
(API_AccessFromTorExitNode)
Описание. IP-адрес из сети Tor обращается к одной из конечных точек API. Tor — это сеть, которая позволяет людям получать доступ к Интернету, сохраняя их реальный IP-адрес скрытым. Хотя существует законное использование, он часто используется злоумышленниками, чтобы скрыть свое удостоверение, когда они нацелены на системы людей в Интернете.
Тактика MITRE: предварительная атака
Серьезность: средний
Доступ к конечной точке API из подозрительного IP-адреса
(API_AccessFromSuspiciousIP)
Описание. IP-адрес, обращаюющийся к одной из конечных точек API, был определен Microsoft Threat Intelligence как имеющий высокую вероятность быть угрозой. Наблюдая за вредоносным интернет-трафиком, этот IP-адрес появился как участвующий в атаке других целевых объектов в Интернете.
Тактика MITRE: предварительная атака
Серьезность: высокий уровень
Suspicious User Agent detected (Обнаружен подозрительный агент пользователя)
(API_AccessFromSuspiciousUserAgent)
Описание. Агент пользователя запроса, обращающегося к одной из конечных точек API, содержит аномальные значения, указывающие на попытку удаленного выполнения кода. Это не означает, что любая из конечных точек API была нарушена, но предполагается, что выполняется попытка атаки.
Тактика MITRE: Выполнение
Серьезность: средний
Примечание.
Для предварительных версий оповещений: предварительная версия дополнительных условий использования Azure включает дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.