共用方式為


適用於 API 的 Defender 的警示

本文列出您可能從 適用於雲端的 Microsoft Defender 取得適用於適用於 API 的 Defender 安全性警示,以及您啟用的任何Microsoft Defender 方案。 您環境中顯示的警示取決於您要保護的資源和服務,以及您的自定義組態。

注意

一些由 Microsoft Defender 威脅情報 和 適用於端點的 Microsoft Defender 提供電源的最近新增警示可能未記載。

瞭解如何回應這些警示

瞭解如何匯出警示

注意

來自不同來源的警示可能需要不同時間才會出現。 例如,需要分析網路流量的警示,可能會比與虛擬機上執行的可疑進程相關的警示出現的時間更長。

適用於 API 的 Defender 警示

API 端點的可疑母體層級尖峰

(API_PopulationSpikeInAPITraffic)

描述:在其中一個 API 端點偵測到 API 流量的可疑尖峰。 偵測系統會使用歷程記錄流量模式來建立所有IP與端點之間的例行API流量流量基準,而每個狀態代碼的API流量專用基準(例如200成功)。 偵測系統標示出此基準的異常偏差,導致偵測可疑活動。

MITRE 策略:影響

嚴重性:中

從單一IP位址到 API 端點的 API 流量可疑尖峰

(API_SpikeInAPITraffic)

描述:從用戶端 IP 到 API 端點偵測到 API 流量的可疑尖峰。 偵測系統會使用歷程記錄流量模式,為來自特定IP到端點的端點建立例行API流量磁碟區的基準。 偵測系統標示出此基準的異常偏差,導致偵測可疑活動。

MITRE 策略:影響

嚴重性:中

單一IP位址與 API 端點之間傳輸的異常大型響應承載

(API_SpikeInPayload)

描述:針對單一IP與其中一個 API 端點之間的流量,觀察到 API 回應承載大小的可疑尖峰。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會學習基準,代表特定 IP 和 API 端點之間的一般 API 回應承載大小。 學習的基準是針對每個狀態代碼的 API 流量所特有(例如 200 成功)。 已觸發警示,因為 API 回應承載大小明顯偏離歷史基準。

MITRE 策略:初始存取

嚴重性:中

單一IP位址與 API 端點之間傳輸的異常大型要求主體

(API_SpikeInPayload)

描述:針對單一IP與其中一個 API 端點之間的流量,觀察到 API 要求主體大小的可疑尖峰。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會學習基準,代表特定 IP 與 API 端點之間的一般 API 要求主體大小。 學習的基準是針對每個狀態代碼的 API 流量所特有(例如 200 成功)。 已觸發警示,因為 API 要求大小明顯偏離歷史基準。

MITRE 策略:初始存取

嚴重性:中

(預覽)單一IP位址與 API 端點之間流量的可疑延遲尖峰

(API_SpikeInLatency)

描述:觀察到單一IP與其中一個API端點之間流量的可疑延遲尖峰。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會瞭解一個基準,代表特定 IP 與 API 端點之間的例行 API 流量延遲。 學習的基準是針對每個狀態代碼的 API 流量所特有(例如 200 成功)。 已觸發警示,因為 API 呼叫延遲明顯偏離歷史基準。

MITRE 策略:初始存取

嚴重性:中

API 要求從單一IP位址噴洒到異常大量的不同 API 端點

(API_SprayInRequests)

描述:觀察到單一IP對異常大量的不同端點進行API呼叫。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會學習基準,代表單一 IP 跨 20 分鐘時段呼叫的一般相異端點數目。 警示已觸發,因為單一IP的行為與歷史基準明顯偏離。

MITRE 策略:探索

嚴重性:中

API 端點上的參數列舉

(API_ParameterEnumeration)

描述:存取其中一個 API 端點時,觀察到列舉參數的單一 IP。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會學習基準,代表單一 IP 在跨 20 分鐘時段存取此端點時所使用的一般相異參數值數目。 已觸發警示,因為單一用戶端 IP 最近會使用異常大量的相異參數值來存取端點。

MITRE 策略:初始存取

嚴重性:中

API 端點上的分散式參數列舉

(API_DistributedParameterEnumeration)

描述:存取其中一個 API 端點時,觀察到匯總使用者母體擴展 (所有 IP) 列舉參數。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會學習基準,代表使用者母體擴展 (所有 IP) 在存取 20 分鐘時段時所使用的一般相異參數值數目。 已觸發警示,因為使用者母體最近會使用異常大量的相異參數值來存取端點。

MITRE 策略:初始存取

嚴重性:中

API 呼叫中具有異常數據類型的參數值

(API_UnseenParamType)

描述:觀察到單一IP存取您的其中一個API端點,並使用低機率數據類型的參數值(例如字串、整數等)。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會瞭解每個 API 參數的預期數據類型。 已觸發警示,因為IP最近使用先前的低機率數據類型做為參數輸入來存取端點。

MITRE 策略:影響

嚴重性:中

先前在 API 呼叫中使用的看不見參數

(API_UnseenParam)

描述:觀察到單一IP會使用要求中先前未見或超出界限的參數來存取其中一個API端點。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會學習一組與端點呼叫相關聯的預期參數。 已觸發警示,因為IP最近使用先前看不見的參數存取端點。

MITRE 策略:影響

嚴重性:中

從 Tor 結束節點存取 API 端點

(API_AccessFromTorExitNode)

描述:來自 Tor 網路的 IP 位址已存取您的其中一個 API 端點。 Tor 是一種網路,可讓使用者存取因特網,同時隱藏其真正的 IP。 雖然有合法的用途,但攻擊者在在線鎖定人員系統時,經常會使用來隱藏其身分識別。

MITRE 策略:攻擊前

嚴重性:中

來自可疑IP的 API 端點存取

(API_AccessFromSuspiciousIP)

描述:存取其中一個 API 端點的 IP 位址是由Microsoft威脅情報識別為高機率的威脅。 在觀察惡意因特網流量時,此IP涉及攻擊其他在線目標。

MITRE 策略:攻擊前

嚴重性:高

偵測到可疑的使用者代理程式

(API_AccessFromSuspiciousUserAgent)

描述:存取其中一個 API 端點之要求的使用者代理程式包含異常值,表示嘗試遠端程式代碼執行。 這並不表示您的任何 API 端點都遭到入侵,但確實表示嘗試的攻擊正在進行中。

MITRE 策略:執行

嚴重性:中

注意

針對處於預覽狀態的警示: Azure 預覽補充條款 包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款。

下一步