適用於 API 的 Defender 的警示
本文列出您可能從 適用於雲端的 Microsoft Defender 取得適用於適用於 API 的 Defender 安全性警示,以及您啟用的任何Microsoft Defender 方案。 您環境中顯示的警示取決於您要保護的資源和服務,以及您的自定義組態。
注意
一些由 Microsoft Defender 威脅情報 和 適用於端點的 Microsoft Defender 提供電源的最近新增警示可能未記載。
注意
來自不同來源的警示可能需要不同時間才會出現。 例如,需要分析網路流量的警示,可能會比與虛擬機上執行的可疑進程相關的警示出現的時間更長。
適用於 API 的 Defender 警示
API 端點的可疑母體層級尖峰
(API_PopulationSpikeInAPITraffic)
描述:在其中一個 API 端點偵測到 API 流量的可疑尖峰。 偵測系統會使用歷程記錄流量模式來建立所有IP與端點之間的例行API流量流量基準,而每個狀態代碼的API流量專用基準(例如200成功)。 偵測系統標示出此基準的異常偏差,導致偵測可疑活動。
MITRE 策略:影響
嚴重性:中
從單一IP位址到 API 端點的 API 流量可疑尖峰
(API_SpikeInAPITraffic)
描述:從用戶端 IP 到 API 端點偵測到 API 流量的可疑尖峰。 偵測系統會使用歷程記錄流量模式,為來自特定IP到端點的端點建立例行API流量磁碟區的基準。 偵測系統標示出此基準的異常偏差,導致偵測可疑活動。
MITRE 策略:影響
嚴重性:中
單一IP位址與 API 端點之間傳輸的異常大型響應承載
(API_SpikeInPayload)
描述:針對單一IP與其中一個 API 端點之間的流量,觀察到 API 回應承載大小的可疑尖峰。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會學習基準,代表特定 IP 和 API 端點之間的一般 API 回應承載大小。 學習的基準是針對每個狀態代碼的 API 流量所特有(例如 200 成功)。 已觸發警示,因為 API 回應承載大小明顯偏離歷史基準。
MITRE 策略:初始存取
嚴重性:中
單一IP位址與 API 端點之間傳輸的異常大型要求主體
(API_SpikeInPayload)
描述:針對單一IP與其中一個 API 端點之間的流量,觀察到 API 要求主體大小的可疑尖峰。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會學習基準,代表特定 IP 與 API 端點之間的一般 API 要求主體大小。 學習的基準是針對每個狀態代碼的 API 流量所特有(例如 200 成功)。 已觸發警示,因為 API 要求大小明顯偏離歷史基準。
MITRE 策略:初始存取
嚴重性:中
(預覽)單一IP位址與 API 端點之間流量的可疑延遲尖峰
(API_SpikeInLatency)
描述:觀察到單一IP與其中一個API端點之間流量的可疑延遲尖峰。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會瞭解一個基準,代表特定 IP 與 API 端點之間的例行 API 流量延遲。 學習的基準是針對每個狀態代碼的 API 流量所特有(例如 200 成功)。 已觸發警示,因為 API 呼叫延遲明顯偏離歷史基準。
MITRE 策略:初始存取
嚴重性:中
API 要求從單一IP位址噴洒到異常大量的不同 API 端點
(API_SprayInRequests)
描述:觀察到單一IP對異常大量的不同端點進行API呼叫。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會學習基準,代表單一 IP 跨 20 分鐘時段呼叫的一般相異端點數目。 警示已觸發,因為單一IP的行為與歷史基準明顯偏離。
MITRE 策略:探索
嚴重性:中
API 端點上的參數列舉
(API_ParameterEnumeration)
描述:存取其中一個 API 端點時,觀察到列舉參數的單一 IP。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會學習基準,代表單一 IP 在跨 20 分鐘時段存取此端點時所使用的一般相異參數值數目。 已觸發警示,因為單一用戶端 IP 最近會使用異常大量的相異參數值來存取端點。
MITRE 策略:初始存取
嚴重性:中
API 端點上的分散式參數列舉
(API_DistributedParameterEnumeration)
描述:存取其中一個 API 端點時,觀察到匯總使用者母體擴展 (所有 IP) 列舉參數。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會學習基準,代表使用者母體擴展 (所有 IP) 在存取 20 分鐘時段時所使用的一般相異參數值數目。 已觸發警示,因為使用者母體最近會使用異常大量的相異參數值來存取端點。
MITRE 策略:初始存取
嚴重性:中
API 呼叫中具有異常數據類型的參數值
(API_UnseenParamType)
描述:觀察到單一IP存取您的其中一個API端點,並使用低機率數據類型的參數值(例如字串、整數等)。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會瞭解每個 API 參數的預期數據類型。 已觸發警示,因為IP最近使用先前的低機率數據類型做為參數輸入來存取端點。
MITRE 策略:影響
嚴重性:中
先前在 API 呼叫中使用的看不見參數
(API_UnseenParam)
描述:觀察到單一IP會使用要求中先前未見或超出界限的參數來存取其中一個API端點。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會學習一組與端點呼叫相關聯的預期參數。 已觸發警示,因為IP最近使用先前看不見的參數存取端點。
MITRE 策略:影響
嚴重性:中
從 Tor 結束節點存取 API 端點
(API_AccessFromTorExitNode)
描述:來自 Tor 網路的 IP 位址已存取您的其中一個 API 端點。 Tor 是一種網路,可讓使用者存取因特網,同時隱藏其真正的 IP。 雖然有合法的用途,但攻擊者在在線鎖定人員系統時,經常會使用來隱藏其身分識別。
MITRE 策略:攻擊前
嚴重性:中
來自可疑IP的 API 端點存取
(API_AccessFromSuspiciousIP)
描述:存取其中一個 API 端點的 IP 位址是由Microsoft威脅情報識別為高機率的威脅。 在觀察惡意因特網流量時,此IP涉及攻擊其他在線目標。
MITRE 策略:攻擊前
嚴重性:高
偵測到可疑的使用者代理程式
(API_AccessFromSuspiciousUserAgent)
描述:存取其中一個 API 端點之要求的使用者代理程式包含異常值,表示嘗試遠端程式代碼執行。 這並不表示您的任何 API 端點都遭到入侵,但確實表示嘗試的攻擊正在進行中。
MITRE 策略:執行
嚴重性:中
注意
針對處於預覽狀態的警示: Azure 預覽補充條款 包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款。