Aviseringar för Defender för API:er
I den här artikeln visas de säkerhetsaviseringar som du kan få för Defender för API:er från Microsoft Defender för molnet och eventuella Microsoft Defender-planer som du har aktiverat. De aviseringar som visas i din miljö beror på de resurser och tjänster som du skyddar och din anpassade konfiguration.
Kommentar
Några av de nyligen tillagda aviseringarna som drivs av Informacije o pretnjama za Microsoft Defender och Microsoft Defender za krajnju tačku kan vara odokumenterade.
Lär dig hur du svarar på dessa aviseringar.
Lär dig hur du exporterar aviseringar.
Kommentar
Aviseringar från olika källor kan ta olika tid att visas. Aviseringar som kräver analys av nätverkstrafik kan till exempel ta längre tid att visas än aviseringar relaterade till misstänkta processer som körs på virtuella datorer.
Aviseringar om Defender för API:er
Misstänkt topp på befolkningsnivå i API-trafik till en API-slutpunkt
(API_PopulationSpikeInAPITraffic)
Beskrivning: En misstänkt topp i API-trafik upptäcktes vid en av API-slutpunkterna. Identifieringssystemet använde historiska trafikmönster för att upprätta en baslinje för rutinmässig API-trafikvolym mellan alla IP-adresser och slutpunkten, där baslinjen är specifik för API-trafik för varje statuskod (till exempel 200 Lyckades). Identifieringssystemet flaggade en ovanlig avvikelse från den här baslinjen som ledde till identifiering av misstänkt aktivitet.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Medel
Misstänkt topp i API-trafik från en enskild IP-adress till en API-slutpunkt
(API_SpikeInAPITraffic)
Beskrivning: En misstänkt topp i API-trafik upptäcktes från en klient-IP till API-slutpunkten. Identifieringssystemet använde historiska trafikmönster för att upprätta en baslinje för rutinmässig API-trafikvolym till slutpunkten som kommer från en specifik IP-adress till slutpunkten. Identifieringssystemet flaggade en ovanlig avvikelse från den här baslinjen som ledde till identifiering av misstänkt aktivitet.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Medel
Ovanligt stor svarsnyttolast som överförs mellan en enda IP-adress och en API-slutpunkt
(API_SpikeInPayload)
Beskrivning: En misstänkt topp i API-svarsnyttolastens storlek observerades för trafik mellan en enskild IP-adress och en av API-slutpunkterna. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en baslinje som representerar den typiska API-svarsnyttolaststorleken mellan en specifik IP- och API-slutpunkt. Den inlärda baslinjen är specifik för API-trafik för varje statuskod (till exempel 200 Lyckades). Aviseringen utlöstes eftersom en API-svarsnyttolaststorlek avvek avsevärt från den historiska baslinjen.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
Ovanligt stor begärandetext som överförs mellan en enda IP-adress och en API-slutpunkt
(API_SpikeInPayload)
Beskrivning: En misstänkt topp i API-begärandetextens storlek observerades för trafik mellan en enskild IP-adress och en av API-slutpunkterna. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en baslinje som representerar den typiska API-begärandetextstorleken mellan en specifik IP- och API-slutpunkt. Den inlärda baslinjen är specifik för API-trafik för varje statuskod (till exempel 200 Lyckades). Aviseringen utlöstes eftersom en API-begärandestorlek avvek avsevärt från den historiska baslinjen.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
(Förhandsversion) Misstänkt ökning av svarstiden för trafik mellan en enskild IP-adress och en API-slutpunkt
(API_SpikeInLatency)
Beskrivning: En misstänkt ökning av svarstiden observerades för trafik mellan en enskild IP-adress och en av API-slutpunkterna. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en baslinje som representerar den rutinmässiga API-trafikfördröjningen mellan en specifik IP- och API-slutpunkt. Den inlärda baslinjen är specifik för API-trafik för varje statuskod (till exempel 200 Lyckades). Aviseringen utlöstes eftersom en API-anropssvarstid avvek avsevärt från den historiska baslinjen.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
API-begäranden sprutar från en enda IP-adress till ett ovanligt stort antal distinkta API-slutpunkter
(API_SprayInRequests)
Beskrivning: En enskild IP-adress observerades när API-anrop gjordes till ett ovanligt stort antal distinkta slutpunkter. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defenders for API:er en baslinje som representerar det typiska antalet distinkta slutpunkter som anropas av en enda IP-adress i 20-minutersfönster. Aviseringen utlöstes eftersom en enskild IP-adress beteende avvek avsevärt från den historiska baslinjen.
MITRE-taktik: Identifiering
Allvarlighetsgrad: Medel
Parameteruppräkning på en API-slutpunkt
(API_ParameterEnumeration)
Beskrivning: En enskild IP-adress observerades räkna upp parametrar vid åtkomst till en av API-slutpunkterna. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en baslinje som representerar det typiska antalet distinkta parametervärden som används av en enskild IP-adress vid åtkomst till den här slutpunkten i 20-minutersfönster. Aviseringen utlöstes eftersom en enskild klient-IP nyligen använde en slutpunkt med ett ovanligt stort antal distinkta parametervärden.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
Uppräkning av distribuerade parametrar på en API-slutpunkt
(API_DistributedParameterEnumeration)
Beskrivning: Den aggregerade användarpopulationen (alla IP-adresser) observerades räkna upp parametrar vid åtkomst till en av API-slutpunkterna. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en baslinje som representerar det typiska antalet distinkta parametervärden som används av användarpopulationen (alla IP-adresser) vid åtkomst till en slutpunkt i 20-minutersfönster. Aviseringen utlöstes eftersom användarpopulationen nyligen använde en slutpunkt med ett ovanligt stort antal distinkta parametervärden.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
Parametervärden med avvikande datatyper i ett API-anrop
(API_UnseenParamType)
Beskrivning: En enskild IP-adress observerades vid åtkomst till en av dina API-slutpunkter och med hjälp av parametervärden av datatypen låg sannolikhet (till exempel sträng, heltal osv.). Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er de förväntade datatyperna för varje API-parameter. Aviseringen utlöstes eftersom en IP-adress nyligen kom åt en slutpunkt med en datatyp med tidigare låg sannolikhet som parameterindata.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Medel
Tidigare osedda parameter som används i ett API-anrop
(API_UnseenParam)
Beskrivning: En enskild IP-adress observerades vid åtkomst till en av API-slutpunkterna med hjälp av en tidigare osedda eller out-of-bounds-parameter i begäran. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en uppsättning förväntade parametrar som är associerade med anrop till en slutpunkt. Aviseringen utlöstes eftersom en IP-adress nyligen kom åt en slutpunkt med hjälp av en tidigare osynlig parameter.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Medel
Åtkomst från en tor-slutnod till en API-slutpunkt
(API_AccessFromTorExitNode)
Beskrivning: En IP-adress från Tor-nätverket har åtkomst till en av dina API-slutpunkter. Tor är ett nätverk som gör det möjligt för människor att komma åt Internet samtidigt som deras verkliga IP-adress hålls dold. Även om det finns legitima användningsområden används det ofta av angripare för att dölja sin identitet när de riktar in sig på människors system online.
MITRE-taktik: Före attack
Allvarlighetsgrad: Medel
API-slutpunktsåtkomst från misstänkt IP
(API_AccessFromSuspiciousIP)
Beskrivning: En IP-adress som har åtkomst till en av dina API-slutpunkter identifierades av Microsoft Threat Intelligence med hög sannolikhet att vara ett hot. När du observerade skadlig Internettrafik kom denna IP-adress upp som involverad i att attackera andra onlinemål.
MITRE-taktik: Före attack
Allvarlighetsgrad: Hög
Misstänkt användaragent har identifierats
(API_AccessFromSuspiciousUserAgent)
Beskrivning: Användaragenten för en begäran som kommer åt en av dina API-slutpunkter innehöll avvikande värden som tyder på ett försök att köra fjärrkod. Detta innebär inte att någon av dina API-slutpunkter har brutits, men det tyder på att ett angreppsförsök pågår.
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Kommentar
För aviseringar som är i förhandsversion: Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för