Avvisi per Defender per le API
Questo articolo elenca gli avvisi di sicurezza che è possibile ottenere per Defender per le API da Microsoft Defender per il cloud ed eventuali piani di Microsoft Defender abilitati. Gli avvisi visualizzati nell'ambiente dipendono dalle risorse e dai servizi protetti e dalla configurazione personalizzata.
Nota
Alcuni degli avvisi aggiunti di recente basati su Microsoft Defender Threat Intelligence e Microsoft Defender per endpoint potrebbero non essere documentati.
Informazioni su come rispondere a questi avvisi.
Informazioni su come esportare gli avvisi.
Nota
Gli avvisi provenienti da origini diverse potrebbero comparire in tempi diversi. Ad esempio, la visualizzazione degli avvisi che richiedono l'analisi del traffico di rete potrebbe richiedere più tempo rispetto agli avvisi correlati a processi sospetti in esecuzione sulle macchine virtuali.
Avvisi di Defender per LE API
Picco sospetto a livello di popolamento nel traffico DELL'API verso un endpoint API
(API_PopulationSpikeInAPITraffic)
Descrizione: è stato rilevato un picco sospetto nel traffico dell'API in uno degli endpoint API. Il sistema di rilevamento usa modelli di traffico cronologici per stabilire una linea di base per il volume di traffico api di routine tra tutti gli INDIRIZZI IP e l'endpoint, con la baseline specifica per il traffico API per ogni codice di stato (ad esempio 200 Operazione riuscita). Il sistema di rilevamento ha segnalato una deviazione insolita da questa linea di base che porta al rilevamento di attività sospette.
Tattiche MITRE: Impatto
Gravità: medio
Picco sospetto nel traffico dell'API da un singolo indirizzo IP a un endpoint API
(API_SpikeInAPITraffic)
Descrizione: è stato rilevato un picco sospetto nel traffico dell'API da un IP client all'endpoint API. Il sistema di rilevamento usa modelli di traffico cronologici per stabilire una linea di base per il volume di traffico dell'API di routine verso l'endpoint proveniente da un indirizzo IP specifico all'endpoint. Il sistema di rilevamento ha segnalato una deviazione insolita da questa linea di base che porta al rilevamento di attività sospette.
Tattiche MITRE: Impatto
Gravità: medio
Payload di risposta insolitamente grande trasmesso tra un singolo indirizzo IP e un endpoint API
(API_SpikeInPayload)
Descrizione: è stato osservato un picco sospetto nelle dimensioni del payload della risposta API per il traffico tra un singolo INDIRIZZO IP e uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per API apprende una baseline che rappresenta le dimensioni tipiche del payload della risposta API tra un indirizzo IP specifico e un endpoint API. La baseline appresa è specifica per il traffico API per ogni codice di stato (ad esempio, 200 Operazione riuscita). L'avviso è stato attivato perché le dimensioni del payload della risposta API sono state deviate in modo significativo rispetto alla baseline cronologica.
Tattiche MITRE: accesso iniziale
Gravità: medio
Corpo della richiesta insolitamente grande trasmesso tra un singolo indirizzo IP e un endpoint API
(API_SpikeInPayload)
Descrizione: è stato osservato un picco sospetto nelle dimensioni del corpo della richiesta API per il traffico tra un singolo INDIRIZZO IP e uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per API apprende una baseline che rappresenta la tipica dimensione del corpo della richiesta API tra un indirizzo IP specifico e un endpoint API. La baseline appresa è specifica per il traffico API per ogni codice di stato (ad esempio, 200 Operazione riuscita). L'avviso è stato attivato perché le dimensioni di una richiesta API sono state deviate in modo significativo rispetto alla baseline cronologica.
Tattiche MITRE: accesso iniziale
Gravità: medio
(Anteprima) Picco sospetto di latenza per il traffico tra un singolo indirizzo IP e un endpoint API
(API_SpikeInLatency)
Descrizione: è stato osservato un picco sospetto di latenza per il traffico tra un singolo INDIRIZZO IP e uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende una baseline che rappresenta la latenza del traffico api di routine tra un indirizzo IP specifico e un endpoint API. La baseline appresa è specifica per il traffico API per ogni codice di stato (ad esempio, 200 Operazione riuscita). L'avviso è stato attivato perché una latenza di chiamata API è stata deviata in modo significativo dalla baseline cronologica.
Tattiche MITRE: accesso iniziale
Gravità: medio
Le richieste API spruzzano da un singolo indirizzo IP a un numero insolitamente elevato di endpoint API distinti
(API_SprayInRequests)
Descrizione: è stato osservato un singolo INDIRIZZO IP che effettua chiamate API a un numero insolitamente elevato di endpoint distinti. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per le API apprende una baseline che rappresenta il numero tipico di endpoint distinti chiamati da un singolo IP in finestre di 20 minuti. L'avviso è stato attivato perché il comportamento di un singolo IP è stato deviato in modo significativo dalla baseline cronologica.
Tattiche MITRE: Individuazione
Gravità: medio
Enumerazione dei parametri in un endpoint API
(API_ParameterEnumeration)
Descrizione: è stato osservato un singolo INDIRIZZO IP che enumera i parametri durante l'accesso a uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende una baseline che rappresenta il numero tipico di valori di parametri distinti usati da un singolo IP durante l'accesso a questo endpoint in finestre di 20 minuti. L'avviso è stato attivato perché un singolo IP client ha eseguito di recente l'accesso a un endpoint usando un numero insolitamente elevato di valori di parametri distinti.
Tattiche MITRE: accesso iniziale
Gravità: medio
Enumerazione dei parametri distribuiti in un endpoint API
(API_DistributedParameterEnumeration)
Descrizione: il popolamento utenti aggregato (tutti gli INDIRIZZI IP) è stato osservato enumerando i parametri durante l'accesso a uno degli endpoint API. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende una baseline che rappresenta il numero tipico di valori di parametri distinti usati dal popolamento dell'utente (tutti gli INDIRIZZI IP) durante l'accesso a un endpoint in finestre di 20 minuti. L'avviso è stato attivato perché l'utente ha recentemente eseguito l'accesso a un endpoint usando un numero insolitamente elevato di valori di parametro distinti.
Tattiche MITRE: accesso iniziale
Gravità: medio
Valori dei parametri con tipi di dati anomali in una chiamata API
(API_UnseenParamType)
Descrizione: è stato osservato un singolo INDIRIZZO IP che accede a uno degli endpoint API e usa i valori dei parametri di un tipo di dati a bassa probabilità , ad esempio stringa, integer e così via. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende i tipi di dati previsti per ogni parametro API. L'avviso è stato attivato perché un indirizzo IP ha eseguito di recente l'accesso a un endpoint usando un tipo di dati di probabilità precedentemente basso come input di parametro.
Tattiche MITRE: Impatto
Gravità: medio
Parametro precedentemente non visibile usato in una chiamata API
(API_UnseenParam)
Descrizione: è stato osservato un singolo INDIRIZZO IP che accede a uno degli endpoint API usando un parametro precedentemente non visualizzato o fuori limite nella richiesta. In base ai modelli di traffico cronologici degli ultimi 30 giorni, Defender per LE API apprende un set di parametri previsti associati alle chiamate a un endpoint. L'avviso è stato attivato perché un indirizzo IP ha eseguito di recente l'accesso a un endpoint usando un parametro non visualizzato in precedenza.
Tattiche MITRE: Impatto
Gravità: medio
Accesso da un nodo di uscita tor a un endpoint API
(API_AccessFromTorExitNode)
Descrizione: un indirizzo IP dalla rete Tor ha eseguito l'accesso a uno degli endpoint API. Tor è una rete che consente agli utenti di accedere a Internet mantenendo nascosto il proprio IP reale. Anche se esistono usi legittimi, viene spesso usato dagli utenti malintenzionati per nascondere la propria identità quando sono destinati ai sistemi online delle persone.
Tattiche MITRE: Pre-attacco
Gravità: medio
Accesso all'endpoint API da un indirizzo IP sospetto
(API_AccessFromSuspiciousIP)
Descrizione: un indirizzo IP che accede a uno degli endpoint API è stato identificato da Microsoft Threat Intelligence come una probabilità elevata di essere una minaccia. Durante l'osservazione del traffico Internet dannoso, questo IP è venuto come coinvolto nell'attaccare altri obiettivi online.
Tattiche MITRE: Pre-attacco
Gravità: alta
Rilevato agente utente sospetto
(API_AccessFromSuspiciousUserAgent)
Descrizione: l'agente utente di una richiesta che accede a uno degli endpoint API contiene valori anomali indicativi di un tentativo di esecuzione del codice remoto. Ciò non significa che uno degli endpoint API è stato violato, ma suggerisce che è in corso un tentativo di attacco.
Tattiche MITRE: Esecuzione
Gravità: medio
Nota
Per gli avvisi in anteprima: le condizioni supplementari di anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.