API용 Defender에 대한 경고
이 문서에서는 클라우드용 Microsoft Defender Defender for API에 대해 얻을 수 있는 보안 경고와 사용하도록 설정한 모든 Microsoft Defender 계획을 나열합니다. 사용자 환경에 표시되는 경고는 보호하는 리소스 및 서비스와 사용자 지정된 구성에 따라 다릅니다.
참고 항목
Microsoft Defender 위협 인텔리전스 및 엔드포인트용 Microsoft Defender 의해 구동되는 최근에 추가된 경고 중 일부는 문서화되지 않았을 수 있습니다.
참고 항목
다른 원본의 경고가 표시되려면 시간이 다를 수 있습니다. 예를 들어 네트워크 트래픽을 분석해야 하는 경고는 가상 머신에서 실행되는 의심스러운 프로세스와 관련된 경고보다 더 오래 걸릴 수 있습니다.
API용 Defender 경고
API 엔드포인트에 대한 API 트래픽의 의심스러운 인구 수준 급증
(API_PopulationSpikeInAPITraffic)
설명: API 엔드포인트 중 하나에서 의심스러운 API 트래픽 급증이 감지되었습니다. 검색 시스템은 기록 트래픽 패턴을 사용하여 모든 IP와 엔드포인트 간의 일상적인 API 트래픽 볼륨에 대한 기준을 설정했으며, 기준은 각 상태 코드(예: 200 성공)에 대한 API 트래픽과 관련이 있습니다. 검색 시스템은 이 기준에서 비정상적인 편차로 플래그를 지정하여 의심스러운 활동을 검색했습니다.
MITRE 전술: 영향
심각도: 보통
단일 IP 주소에서 API 엔드포인트로의 API 트래픽 급증
(API_SpikeInAPITraffic)
설명: API 트래픽의 의심스러운 급증이 클라이언트 IP에서 API 엔드포인트로 검색되었습니다. 검색 시스템은 기록 트래픽 패턴을 사용하여 특정 IP에서 엔드포인트로 들어오는 엔드포인트에 대한 일상적인 API 트래픽 볼륨에 대한 기준을 설정했습니다. 검색 시스템은 이 기준에서 비정상적인 편차로 플래그를 지정하여 의심스러운 활동을 검색했습니다.
MITRE 전술: 영향
심각도: 보통
단일 IP 주소와 API 엔드포인트 간에 전송되는 비정상적으로 큰 응답 페이로드
(API_SpikeInPayload)
설명: 단일 IP와 API 엔드포인트 중 하나 간의 트래픽에 대해 API 응답 페이로드 크기의 의심스러운 급증이 관찰되었습니다. 지난 30일 간의 기록 트래픽 패턴에 따라 Defender for API는 특정 IP와 API 엔드포인트 간의 일반적인 API 응답 페이로드 크기를 나타내는 기준을 알아봅니다. 학습된 기준은 각 상태 코드(예: 200 성공)에 대한 API 트래픽과 관련이 있습니다. API 응답 페이로드 크기가 기록 기준에서 크게 떨어져 경고가 트리거되었습니다.
MITRE 전술: 초기 액세스
심각도: 보통
단일 IP 주소와 API 엔드포인트 간에 전송되는 비정상적으로 큰 요청 본문
(API_SpikeInPayload)
설명: 단일 IP와 API 엔드포인트 중 하나 간의 트래픽에 대해 API 요청 본문 크기의 의심스러운 급증이 관찰되었습니다. 지난 30일 간의 기록 트래픽 패턴에 따라 Defender for API는 특정 IP와 API 엔드포인트 간의 일반적인 API 요청 본문 크기를 나타내는 기준을 알아봅니다. 학습된 기준은 각 상태 코드(예: 200 성공)에 대한 API 트래픽과 관련이 있습니다. API 요청 크기가 기록 기준에서 크게 달라졌기 때문에 경고가 트리거되었습니다.
MITRE 전술: 초기 액세스
심각도: 보통
(미리 보기) 단일 IP 주소와 API 엔드포인트 간의 트래픽 대기 시간 급증
(API_SpikeInLatency)
설명: 단일 IP와 API 엔드포인트 중 하나 간의 트래픽에 대해 의심스러운 대기 시간 급증이 관찰되었습니다. 지난 30일 간의 기록 트래픽 패턴에 따라 Defender for API는 특정 IP와 API 엔드포인트 간의 일상적인 API 트래픽 대기 시간을 나타내는 기준을 알아봅니다. 학습된 기준은 각 상태 코드(예: 200 성공)에 대한 API 트래픽과 관련이 있습니다. API 호출 대기 시간이 기록 기준에서 크게 벗어나서 경고가 트리거되었습니다.
MITRE 전술: 초기 액세스
심각도: 보통
API 요청은 단일 IP 주소에서 비정상적으로 많은 수의 고유 API 엔드포인트로 스프레이합니다.
(API_SprayInRequests)
설명: 비정상적으로 많은 수의 고유 엔드포인트에 대한 API 호출을 만드는 단일 IP가 관찰되었습니다. 지난 30일 동안의 기록 트래픽 패턴에 따라 API용 Defender는 20분 동안 단일 IP에서 호출하는 일반적인 고유 엔드포인트 수를 나타내는 기준을 알아봅니다. 단일 IP의 동작이 기록 기준에서 크게 벗어나서 경고가 트리거되었습니다.
MITRE 전술: 검색
심각도: 보통
API 엔드포인트의 매개 변수 열거형
(API_ParameterEnumeration)
설명: API 엔드포인트 중 하나에 액세스할 때 단일 IP가 매개 변수를 열거하는 것으로 관찰되었습니다. 지난 30일 간의 기록 트래픽 패턴에 따라 Defender for API는 20분 동안 이 엔드포인트에 액세스할 때 단일 IP에서 사용하는 일반적인 고유 매개 변수 값 수를 나타내는 기준을 알아봅니다. 단일 클라이언트 IP가 비정상적으로 많은 수의 고유 매개 변수 값을 사용하여 엔드포인트에 최근에 액세스했기 때문에 경고가 트리거되었습니다.
MITRE 전술: 초기 액세스
심각도: 보통
API 엔드포인트의 분산 매개 변수 열거형
(API_DistributedParameterEnumeration)
설명: API 엔드포인트 중 하나에 액세스할 때 집계 사용자 채우기(모든 IP)가 매개 변수를 열거하는 것으로 관찰되었습니다. 지난 30일 동안의 기록 트래픽 패턴에 따라 Defender for API는 20분 동안 엔드포인트에 액세스할 때 사용자 모집단(모든 IP)이 사용하는 일반적인 고유 매개 변수 값 수를 나타내는 기준을 알아봅니다. 사용자 채우기가 비정상적으로 많은 수의 고유 매개 변수 값을 사용하여 엔드포인트에 최근에 액세스했기 때문에 경고가 트리거되었습니다.
MITRE 전술: 초기 액세스
심각도: 보통
API 호출에서 비정상적인 데이터 형식을 사용하는 매개 변수 값
(API_UnseenParamType)
설명: 단일 IP가 API 엔드포인트 중 하나에 액세스하고 낮은 확률 데이터 형식(예: 문자열, 정수 등)의 매개 변수 값을 사용하는 것으로 관찰되었습니다. 지난 30일 동안의 기록 트래픽 패턴에 따라 Defender for API는 각 API 매개 변수에 대해 예상되는 데이터 형식을 알아봅니다. IP가 이전에 낮은 확률 데이터 형식을 매개 변수 입력으로 사용하여 엔드포인트에 최근에 액세스했기 때문에 경고가 트리거되었습니다.
MITRE 전술: 영향
심각도: 보통
이전에 API 호출에 사용된 보이지 않는 매개 변수
(API_UnseenParam)
설명: 요청에서 이전에 보이지 않거나 범위를 벗어난 매개 변수를 사용하여 API 엔드포인트 중 하나에 액세스하는 단일 IP가 관찰되었습니다. 지난 30일 간의 기록 트래픽 패턴에 따라 Defender for API는 엔드포인트 호출과 관련된 예상 매개 변수 집합을 알아봅니다. IP가 이전에 보이지 않는 매개 변수를 사용하여 엔드포인트에 최근에 액세스했기 때문에 경고가 트리거되었습니다.
MITRE 전술: 영향
심각도: 보통
Tor 종료 노드에서 API 엔드포인트로 액세스
(API_AccessFromTorExitNode)
설명: Tor 네트워크의 IP 주소가 API 엔드포인트 중 하나에 액세스했습니다. Tor는 사람들이 실제 IP를 숨기면서 인터넷에 액세스할 수 있는 네트워크입니다. 합법적인 용도는 있지만 공격자가 온라인에서 사용자의 시스템을 대상으로 할 때 ID를 숨기는 데 자주 사용됩니다.
MITRE 전술: 사전 공격
심각도: 보통
의심스러운 IP에서 API 엔드포인트 액세스
(API_AccessFromSuspiciousIP)
설명: API 엔드포인트 중 하나에 액세스하는 IP 주소는 Microsoft Threat Intelligence에서 위협이 될 확률이 높은 것으로 확인되었습니다. 악의적인 인터넷 트래픽을 관찰하는 동안 이 IP는 다른 온라인 대상을 공격하는 데 관여했습니다.
MITRE 전술: 사전 공격
심각도: 높음
의심스러운 사용자 에이전트가 검색됨
(API_AccessFromSuspiciousUserAgent)
설명: API 엔드포인트 중 하나에 액세스하는 요청의 사용자 에이전트에 원격 코드 실행 시도를 나타내는 비정상적인 값이 포함되어 있습니다. 이는 API 엔드포인트가 위반되었음을 의미하지는 않지만 시도된 공격이 진행 중임을 시사합니다.
MITRE 전술: 실행
심각도: 보통
참고 항목
미리 보기에 있는 알림의 경우 Azure 미리 보기 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.