Compartir a través de


Alertas de Defender para API

En este artículo se enumeran las alertas de seguridad que puede obtener para Defender para LAS API de Microsoft Defender for Cloud y los planes de Microsoft Defender habilitados. Las alertas que se muestran en el entorno dependen de los recursos y servicios que va a proteger, y de la configuración personalizada.

Nota:

Algunas de las alertas agregadas recientemente con tecnología de Inteligencia contra amenazas de Microsoft Defender y Microsoft Defender para punto de conexión podrían no estar documentadas.

Aprenda a responder a estas alertas.

Aprenda a exportar alertas.

Nota

Las alertas de orígenes diferentes pueden tardar un tiempo distinto en aparecer. Por ejemplo, las alertas que requieren un análisis del tráfico de red pueden tardar más en aparecer que las alertas relacionadas con procesos sospechosos que se ejecutan en máquinas virtuales.

Alertas de Defender para API

Pico sospechoso de nivel de rellenado en el tráfico de API a un punto de conexión de API

(API_PopulationSpikeInAPITraffic)

Descripción: se detectó un pico sospechoso en el tráfico de API en uno de los puntos de conexión de API. El sistema de detección usó patrones de tráfico históricos para establecer una línea de base para el volumen de tráfico de API rutinario entre todas las direcciones IP y el punto de conexión, con la línea de base que es específica del tráfico de API para cada código de estado (por ejemplo, 200 Correcto). El sistema de detección marcó una desviación inusual de esta línea de base, lo que da lugar a la detección de actividad sospechosa.

Tácticas de MITRE: Impacto

Gravedad: media

Pico sospechoso en el tráfico de API desde una única dirección IP hasta un punto de conexión de API

(API_SpikeInAPITraffic)

Descripción: se detectó un pico sospechoso en el tráfico de API desde una dirección IP de cliente al punto de conexión de API. El sistema de detección usó patrones de tráfico históricos para establecer una línea de base para el volumen de tráfico de API rutinario al punto de conexión procedente de una dirección IP específica al punto de conexión. El sistema de detección marcó una desviación inusual de esta línea de base, lo que da lugar a la detección de actividad sospechosa.

Tácticas de MITRE: Impacto

Gravedad: media

Carga de respuesta inusualmente grande transmitida entre una única dirección IP y un punto de conexión de API

(API_SpikeInPayload)

Descripción: se observó un pico sospechoso en el tamaño de la carga de respuesta de api para el tráfico entre una única dirección IP y uno de los puntos de conexión de API. En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende una línea de base que representa el tamaño típico de carga de respuesta de la API entre una dirección IP específica y un punto de conexión de API. La línea base aprendida es específica del tráfico de API para cada código de estado (por ejemplo, 200 Success). La alerta se desencadenó, porque el tamaño de carga de respuesta de una API se desvió significativamente de la línea de base histórica.

Tácticas de MITRE: acceso inicial

Gravedad: media

Cuerpo de la solicitud inusualmente grande transmitido entre una única dirección IP y un punto de conexión de API

(API_SpikeInPayload)

Descripción: se observó un pico sospechoso en el tamaño del cuerpo de la solicitud de API para el tráfico entre una única dirección IP y uno de los puntos de conexión de API. En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende una línea de base que representa el tamaño típico del cuerpo de la solicitud de la API entre una dirección IP específica y un punto de conexión de API. La línea base aprendida es específica del tráfico de API para cada código de estado (por ejemplo, 200 Success). La alerta se desencadenó, porque un tamaño de solicitud de API se desvió significativamente de la línea de base histórica.

Tácticas de MITRE: acceso inicial

Gravedad: media

(Versión preliminar) Pico sospechoso de latencia del tráfico entre una única dirección IP y un punto de conexión de API

(API_SpikeInLatency)

Descripción: se observó un pico sospechoso de latencia para el tráfico entre una única dirección IP y uno de los puntos de conexión de API. En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende una línea de base que representa la latencia rutinaria del tráfico de la API entre una dirección IP específica y un punto de conexión de API. La línea base aprendida es específica del tráfico de API para cada código de estado (por ejemplo, 200 Success). La alerta se desencadenó, porque la latencia de una llamada API se desvió significativamente de la línea de base histórica.

Tácticas de MITRE: acceso inicial

Gravedad: media

Las solicitudes de API se difunden desde una sola dirección IP a un número inusualmente grande de puntos de conexión de API distintos

(API_SprayInRequests)

Descripción: se observó una única dirección IP que realiza llamadas API a un número inusualmente grande de puntos de conexión distintos. En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende una línea de base que representa la cantidad típica de puntos de conexión distintos a los que llama una única dirección IP en ventanas de 20 minutos. La alerta se desencadenó, porque el comportamiento de una única IP se desvió significativamente de la línea de base histórica.

Tácticas de MITRE: Detección

Gravedad: media

Enumeración de parámetros en un punto de conexión de API

(API_ParameterEnumeration)

Descripción: se observó una única dirección IP que enumera los parámetros al acceder a uno de los puntos de conexión de API. En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende una línea de base que representa la cantidad típica de valores de parámetro distintos que usa una única dirección IP al acceder a este punto de conexión en ventanas de 20 minutos. La alerta se desencadenó, porque una dirección IP de cliente única accedió recientemente a un punto de conexión con una cantidad inusualmente grande de valores de parámetro distintos.

Tácticas de MITRE: acceso inicial

Gravedad: media

Enumeración de parámetros distribuidos en un punto de conexión de API

(API_DistributedParameterEnumeration)

Descripción: el rellenado agregado de usuarios (todas las direcciones IP) se observó enumerando parámetros al acceder a uno de los puntos de conexión de API. En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende una línea de base que representa la cantidad típica de valores de parámetro distintos que usa el rellenado de usuarios (todas las direcciones IP) al acceder a un punto de conexión en ventanas de 20 minutos. La alerta se desencadenó, porque el rellenado del usuario accedió recientemente a un punto de conexión con una cantidad inusualmente grande de valores de parámetro distintos.

Tácticas de MITRE: acceso inicial

Gravedad: media

Valores de parámetro con tipos de datos anómalos en una llamada API

(API_UnseenParamType)

Descripción: se observó una única dirección IP que accede a uno de los puntos de conexión de API y usa valores de parámetro de un tipo de datos de baja probabilidad (por ejemplo, cadena, entero, etcetera).). En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende los tipos de datos esperados para cada parámetro de API. La alerta se desencadenó, porque una dirección IP accedió recientemente a un punto de conexión mediante un tipo de datos de probabilidad baja anteriormente como entrada de parámetros.

Tácticas de MITRE: Impacto

Gravedad: media

Parámetro no visto anteriormente que se usa en una llamada API

(API_UnseenParam)

Descripción: se observó que una única dirección IP accedía a uno de los puntos de conexión de API mediante un parámetro que no se había visto o fuera de los límites en la solicitud. En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende un conjunto de parámetros esperados asociados a las llamadas a un punto de conexión. La alerta se desencadenó, porque una dirección IP accedió recientemente a un punto de conexión mediante un parámetro no visto anteriormente.

Tácticas de MITRE: Impacto

Gravedad: media

Acceso desde un nodo de salida de Tor hasta un punto de conexión de API

(API_AccessFromTorExitNode)

Descripción: una dirección IP de la red Tor a la que se accede a uno de los puntos de conexión de API. Tor es una red que permite a las personas acceder a Internet mientras mantiene oculta su dirección IP real. Aunque hay usos legítimos, los atacantes lo usan con frecuencia para ocultar su identidad cuando se dirigen a sistemas de personas en línea.

Tácticas de MITRE: pre-ataque

Gravedad: media

Acceso al punto de conexión de API desde una dirección IP sospechosa

(API_AccessFromSuspiciousIP)

Descripción: una dirección IP que accede a uno de los puntos de conexión de API se identificó mediante Microsoft Threat Intelligence como una alta probabilidad de ser una amenaza. Mientras observa el tráfico malintencionado de Internet, esta dirección IP apareció como implicada en el ataque a otros destinos en línea.

Tácticas de MITRE: pre-ataque

Gravedad: alta

Se detectó un agente de usuario sospechoso.

(API_AccessFromSuspiciousUserAgent)

Descripción: el agente de usuario de una solicitud que accede a uno de los puntos de conexión de API contenía valores anómalos indicativos de un intento de ejecución remota de código. Esto no significa que se haya infringido ninguno de los puntos de conexión de API, pero sugiere que está en curso un intento de ataque.

Tácticas de MITRE: Ejecución

Gravedad: media

Nota:

En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.

Pasos siguientes