你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Defender for API 警报

本文列出了从 Microsoft Defender for Cloud 获取的 Defender for API 以及启用的任何Microsoft Defender 计划的安全警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。

注意

某些最近添加的、由 Microsoft Defender 威胁智能和 Microsoft Defender for Endpoint 提供支持的警报可能未记录。

了解如何响应这些警报

了解如何导出警报

注意

来自不同源的警报可能在不同的时间后出现。 例如,需要分析网络流量的警报的出现时间,可能比虚拟机上运行的可疑进程的相关警报要晚一些。

Defender for API 警报

流向 API 终结点的 API 流量出现总体级别的可疑峰值

(API_PopulationSpikeInAPITraffic)

说明:在 API 终结点之一检测到 API 流量的可疑高峰。 检测系统使用历史流量模式建立一个基线来表示所有 IP 和终结点之间的常规 API 流量,该基线特定于每个状态代码(例如 200 成功)的 API 流量。 检测系统标记了与该基线的异常偏差,从而导致检测到可疑活动。

MITRE 策略:影响

严重性:中等

从单一 IP 地址到 API 终结点的 API 流量出现可疑峰值

(API_SpikeInAPITraffic)

说明:检测到从客户端 IP 到 API 终结点的 API 流量出现可疑峰值。 检测系统使用历史流量模式建立一个基线来表示从特定 IP 流向终结点的常规 API 流量。 检测系统标记了与该基线的异常偏差,从而导致检测到可疑活动。

MITRE 策略:影响

严重性:中等

在单一 IP 地址和 API 终结点之间传输的响应有效负载异常大

(API_SpikeInPayload)

说明:观察到 API 响应有效负载大小的可疑峰值,用于单个 IP 和其中一个 API 终结点之间的流量。 Defender for API 会根据过去 30 天的历史流量模式习得一个基线,用于表示特定 IP 和 API 终结点之间典型的 API 响应有效负载大小。 学习的基线特定于每个状态代码的 API 流量(例如 200 成功)。 触发警报的原因是 API 响应有效负载大小明显偏离历史基线。

MITRE 策略:初始访问

严重性:中等

单一 IP 地址和 API 终结点之间传输的请求正文异常大

(API_SpikeInPayload)

说明:观察到 API 请求正文大小的可疑峰值,用于单个 IP 和其中一个 API 终结点之间的流量。 Defender for API 会根据过去 30 天的历史流量模式习得一个基线,用于表示特定 IP 和 API 终结点之间典型的 API 请求正文大小。 学习的基线特定于每个状态代码的 API 流量(例如 200 成功)。 触发警报的原因是 API 请求大小明显偏离历史基线。

MITRE 策略:初始访问

严重性:中等

(预览)单个 IP 地址与 API 终结点之间的流量出现可疑的延迟峰值

(API_SpikeInLatency)

说明:观察到单个 IP 与其中一个 API 终结点之间的流量出现可疑延迟高峰。 Defender for API 会根据过去 30 天的历史流量模式习得一个基线,用于表示特定 IP 和 API 终结点之间的常规 API 流量延迟。 学习的基线特定于每个状态代码的 API 流量(例如 200 成功)。 触发警报的原因是 API 调用延迟明显偏离历史基线。

MITRE 策略:初始访问

严重性:中等

API 请求从单一 IP 地址发往异常多的不同 API 终结点

(API_SprayInRequests)

说明:观察到单个 IP 对异常大量的不同终结点进行 API 调用。 Defenders for API 会根据过去 30 天的历史流量模式习得一个基线,用于表示在 20 分钟的时段内由单个 IP 调用的不同终结点的典型数量。 触发警报的原因是单个 IP 的行为明显偏离历史基线。

MITRE 策略:发现

严重性:中等

API 终结点上的参数枚举

(API_ParameterEnumeration)

说明:访问其中一个 API 终结点时观察到单个 IP 枚举参数。 Defenders for API 会根据过去 30 天的历史流量模式习得一个基线,用于表示在 20 分钟的时段内单个 IP 访问此终结点时使用的非重复参数值的典型数量。 触发警报的原因是单个客户端 IP 最近使用异常多的非重复参数值访问终结点。

MITRE 策略:初始访问

严重性:中等

API 终结点上的分布式参数枚举

(API_DistributedParameterEnumeration)

说明:访问其中一个 API 终结点时观察到聚合用户总体(所有 IP)枚举参数。 Defenders for API 会根据过去 30 天的历史流量模式习得一个基线,用于表示在 20 分钟的时段内用户群体(所有 IP)访问终结点时使用的非重复参数值的典型数量。 触发警报的原因是用户群体最近使用异常多的非重复参数值访问终结点。

MITRE 策略:初始访问

严重性:中等

API 调用中参数值具有异常数据类型

(API_UnseenParamType)

说明:观察到单个 IP 访问其中一个 API 终结点,并使用低概率数据类型的参数值(例如字符串、整数等)。 Defender for API 会根据过去 30 天的历史流量模式学习每个 API 参数的预期数据类型。 触发警报的原因是某个 IP 最近使用以前的低概率数据类型作为参数输入访问终结点。

MITRE 策略:影响

严重性:中等

API 调用中使用了以前未见过的参数

(API_UnseenParam)

说明:观察到单个 IP 使用请求中以前看不到或超出边界的参数访问其中一个 API 终结点。 Defender for API 会根据过去 30 天的历史流量模式习得一组与终结点调用相关的预期参数。 触发警报的原因是某个 IP 最近使用以前未见过的参数访问终结点。

MITRE 策略:影响

严重性:中等

从 Tor 退出节点访问 API 终结点

(API_AccessFromTorExitNode)

说明:Tor 网络中的 IP 地址访问了其中一个 API 终结点。 Tor 是一个允许用户访问 Internet 同时隐藏其真实 IP 的网络。 尽管有合法用途,但攻击者经常在联机攻击用户的系统时使用它来隐藏其身份。

MITRE 策略:攻击前

严重性:中等

从可疑 IP 访问 API 终结点

(API_AccessFromSuspiciousIP)

说明:访问其中一个 API 终结点的 IP 地址被Microsoft威胁情报识别为具有很高的威胁概率。 在监视恶意 Internet 流量时,发现此 IP 参与攻击了其他联机目标。

MITRE 策略:攻击前

严重性:高

检测到可疑的用户代理

(API_AccessFromSuspiciousUserAgent)

说明:访问其中一个 API 终结点的请求的用户代理包含异常值,指示远程代码执行尝试。 这不一定代表有任何 API 终结点已遭入侵,但确实表明有人正在试图攻击。

MITRE 策略:执行

严重性:中等

注意

对于处于预览状态的警报:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

后续步骤