Partager via


Alertes pour Defender pour les API

Cet article répertorie les alertes de sécurité que vous pouvez obtenir pour Defender pour les API de Microsoft Defender pour le cloud et les plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.

Remarque

Certaines des alertes récemment ajoutées alimentées par Veille des menaces Microsoft Defender et Microsoft Defender pour point de terminaison peuvent être non documentées.

Découvrez comment répondre à ces alertes.

Découvrez comment exporter des alertes.

Notes

Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.

Alertes Defender pour les API

Pic suspect au niveau de la population dans le trafic d’API vers un point de terminaison d’API

(API_PopulationSpikeInAPITraffic)

Description : Un pic suspect du trafic d’API a été détecté sur l’un des points de terminaison de l’API. Le système de détection a utilisé des modèles de trafic historique pour établir une ligne de base pour le volume de trafic d’API de routine entre toutes les adresses IP et le point de terminaison, la ligne de base étant spécifique au trafic d’API pour chaque code d’état (par exemple, 200 – Réussite). Le système de détection a marqué un écart inhabituel par rapport à cette ligne de base, ce qui a entraîné la détection d’activités suspectes.

Tactiques MITRE : Impact

Gravité : moyenne

Pic suspect dans le trafic d’API d’une adresse IP unique vers un point de terminaison d’API

(API_SpikeInAPITraffic)

Description : Un pic suspect du trafic d’API a été détecté d’une adresse IP cliente vers le point de terminaison de l’API. Le système de détection a utilisé des modèles de trafic historique pour établir une ligne de base pour le volume de trafic d’API de routine vers le point de terminaison provenant d’une adresse IP spécifique vers le point de terminaison. Le système de détection a marqué un écart inhabituel par rapport à cette ligne de base, ce qui a entraîné la détection d’activités suspectes.

Tactiques MITRE : Impact

Gravité : moyenne

Charge utile de réponse inhabituellement importante transmise entre une seule adresse IP et un point de terminaison d’API

(API_SpikeInPayload)

Description : Un pic suspect de taille de charge utile de réponse d’API a été observé pour le trafic entre une seule adresse IP et l’un des points de terminaison d’API. En fonction des modèles de trafic historique des 30 derniers jours, Defender pour les API apprend une ligne de base qui représente la taille de charge utile de réponse d’API standard entre une adresse IP et un point de terminaison d’API spécifiques. La base de référence apprise est spécifique au trafic d’API pour chaque code d’état (par exemple, 200 Réussite). L’alerte a été déclenchée, car une taille de charge utile de réponse d’API a considérablement dévié de la ligne de base historique.

Tactiques MITRE : Accès initial

Gravité : moyenne

Corps de la demande inhabituellement important transmis entre une seule adresse IP et un point de terminaison d’API

(API_SpikeInPayload)

Description : Un pic suspect de taille du corps de la demande d’API a été observé pour le trafic entre une seule adresse IP et l’un des points de terminaison de l’API. En fonction des modèles de trafic historique des 30 derniers jours, Defender pour les API apprend une ligne de base qui représente la taille de corps de la demande d’API standard entre une adresse IP et un point de terminaison d’API spécifiques. La base de référence apprise est spécifique au trafic d’API pour chaque code d’état (par exemple, 200 Réussite). L’alerte a été déclenchée, car une taille de demande d’API a considérablement dévié de la ligne de base historique.

Tactiques MITRE : Accès initial

Gravité : moyenne

(Préversion) Pic suspect dans la latence pour le trafic entre une seule adresse IP et un point de terminaison d’API

(API_SpikeInLatency)

Description : Un pic suspect de latence a été observé pour le trafic entre une seule adresse IP et l’un des points de terminaison d’API. En fonction des modèles de trafic historique des 30 derniers jours, Defender pour les API apprend une ligne de base qui représente la latence du trafic d’API de routine entre une adresse IP et un point de terminaison d’API spécifiques. La base de référence apprise est spécifique au trafic d’API pour chaque code d’état (par exemple, 200 Réussite). L’alerte a été déclenchée, car une latence d’appel d’API a considérablement dévié de la ligne de base historique.

Tactiques MITRE : Accès initial

Gravité : moyenne

Pulvérisation des requêtes d’API à partir d’une seule adresse IP vers un nombre inhabituellement élevé de points de terminaison d’API distincts

(API_SprayInRequests)

Description : une seule adresse IP a été observée lors de l’exécution d’appels d’API vers un nombre inhabituel de points de terminaison distincts. En fonction des modèles de trafic historique des 30 derniers jours, Defender pour les API apprend une ligne de base qui représente le nombre standard de points de terminaison distincts appelés par une seule adresse IP sur des périodes de 20 minutes. L’alerte a été déclenchée, car le comportement d’une seule adresse IP a considérablement dévié de la ligne de base historique.

Tactiques MITRE : Découverte

Gravité : moyenne

Énumération de paramètres sur un point de terminaison d’API

(API_ParameterEnumeration)

Description : une seule adresse IP a été observée lors de l’énumération des paramètres lors de l’accès à l’un des points de terminaison d’API. En fonction des modèles de trafic historique des 30 derniers jours, Defender pour les API apprend une ligne de base qui représente le nombre standard de valeurs de paramètres distinctes utilisées par une seule adresse IP lors de l’accès à ce point de terminaison sur des périodes de 20 minutes. L’alerte a été déclenchée, car une seule adresse IP cliente a récemment accédé à un point de terminaison à l’aide d’un nombre inhabituellement élevé de valeurs de paramètres distinctes.

Tactiques MITRE : Accès initial

Gravité : moyenne

Énumération de paramètres distribuée sur un point de terminaison d’API

(API_DistributedParameterEnumeration)

Description : la population d’utilisateurs agrégées (toutes les adresses IP) a été observée lors de l’énumération des paramètres lors de l’accès à l’un des points de terminaison d’API. En fonction des modèles de trafic historique des 30 derniers jours, Defender pour les API apprend une ligne de base qui représente le nombre standard de valeurs de paramètres distinctes utilisées par la population d’utilisateurs (toutes les adresses IP) lors de l’accès à un point de terminaison sur des périodes de 20 minutes. L’alerte a été déclenchée, car la population d’utilisateurs a récemment accédé à un point de terminaison à l’aide d’un nombre inhabituellement élevé de valeurs de paramètres distinctes.

Tactiques MITRE : Accès initial

Gravité : moyenne

Valeur(s) de paramètres avec des types de données anormaux dans un appel d’API

(API_UnseenParamType)

Description : une adresse IP unique a été observée lors de l’accès à l’un de vos points de terminaison d’API et à l’aide de valeurs de paramètre d’un type de données à faible probabilité (par exemple, chaîne, entier, etc.). En fonction des modèles de trafic historique des 30 derniers jours, Defender pour les API apprend les types de données attendus pour chaque paramètre d’API. L’alerte a été déclenchée, car une adresse IP a récemment accédé à un point de terminaison à l’aide d’un type de données à probabilité auparavant faible comme entrée de paramètre.

Tactiques MITRE : Impact

Gravité : moyenne

Paramètre auparavant invisible utilisé dans un appel d’API

(API_UnseenParam)

Description : une seule adresse IP a été observée lors de l’accès à l’un des points de terminaison d’API à l’aide d’un paramètre précédemment invisible ou hors limites dans la requête. En fonction des modèles de trafic historique des 30 derniers jours, Defender pour les API apprend un ensemble de paramètres attendus associés aux appels à un point de terminaison. L’alerte a été déclenchée, car une adresse IP a récemment accédé à un point de terminaison à l’aide d’un paramètre auparavant invisible.

Tactiques MITRE : Impact

Gravité : moyenne

Accès à partir d’un nœud de sortie Tor à un point de terminaison d’API

(API_AccessFromTorExitNode)

Description : une adresse IP du réseau Tor a accédé à l’un de vos points de terminaison d’API. Tor est un réseau qui permet aux utilisateurs d’accéder à Internet tout en gardant leur adresse IP réelle masquée. Bien qu’il existe des utilisations légitimes, il est fréquemment utilisé par les attaquants pour masquer leur identité quand ils ciblent les systèmes en ligne des personnes.

Tactiques MITRE : pré-attaque

Gravité : moyenne

Accès à un point de terminaison d’API à partir d’une adresse IP suspecte

(API_AccessFromSuspiciousIP)

Description : Une adresse IP accédant à l’un de vos points de terminaison d’API a été identifiée par Microsoft Threat Intelligence comme ayant une probabilité élevée d’être une menace. Lors de l’observation du trafic Internet malveillant, cette adresse IP a été impliquée dans l’attaque d’autres cibles en ligne.

Tactiques MITRE : pré-attaque

Gravité : élevée

Détection d’un agent utilisateur suspect

(API_AccessFromSuspiciousUserAgent)

Description : L’agent utilisateur d’une requête accédant à l’un de vos points de terminaison d’API contenait des valeurs anormales indiquant une tentative d’exécution de code à distance. Cela ne signifie pas qu’il y a eu violation de vos points de terminaison d’API, mais suggère qu’une tentative d’attaque est en cours.

Tactiques MITRE : Exécution

Gravité : moyenne

Remarque

Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.

Étapes suivantes