API'ler için Defender uyarıları
Bu makalede, Bulut için Microsoft Defender api'ler için Defender ve etkinleştirdiğiniz tüm Microsoft Defender planları için alabileceğiniz güvenlik uyarıları listelenir. Ortamınızda gösterilen uyarılar, koruduğunuz kaynaklara ve hizmetlere ve özelleştirilmiş yapılandırmanıza bağlıdır.
Not
Microsoft Defender Tehdit Analizi ve Uç Nokta için Microsoft Defender tarafından desteklenen son eklenen uyarılardan bazıları belgelenmemiş olabilir.
Bu uyarılara nasıl yanıt vereceğinizi öğrenin.
Uyarıları dışarı aktarmayı öğrenin.
Not
Farklı kaynaklardan gelen uyarıların görünmesi farklı zaman alabilir. Örneğin, ağ trafiğinin analizini gerektiren uyarıların görünmesi, sanal makinelerde çalışan şüpheli işlemlerle ilgili uyarılardan daha uzun sürebilir.
API'ler için Defender uyarıları
API uç noktasına API trafiğinde şüpheli popülasyon düzeyinde ani artış
(API_PopulationSpikeInAPITraffic)
Açıklama: API uç noktalarından birinde API trafiğinde şüpheli bir ani artış algılandı. Algılama sistemi, tüm IP'ler ve uç nokta arasında rutin API trafik hacmi için bir temel oluşturmak için geçmiş trafik desenlerini kullanır ve temel her durum kodu için API trafiğine özgü olur (örneğin, 200 Başarı). Algılama sistemi, şüpheli etkinliğin algılanması için bu temelden olağan dışı bir sapma işaretlemiştir.
MITRE taktikleri: Etki
Önem Derecesi: Orta
Tek bir IP adresinden BIR API uç noktasına API trafiğinde şüpheli ani artış
(API_SpikeInAPITraffic)
Açıklama: İstemci IP'sinden API uç noktasına API trafiğinde şüpheli bir ani artış algılandı. Algılama sistemi, belirli bir IP'den uç noktaya gelen uç noktaya rutin API trafik hacmi için bir temel oluşturmak üzere geçmiş trafik desenlerini kullandı. Algılama sistemi, şüpheli etkinliğin algılanması için bu temelden olağan dışı bir sapma işaretlemiştir.
MITRE taktikleri: Etki
Önem Derecesi: Orta
Tek bir IP adresi ile API uç noktası arasında olağan dışı büyük yanıt yükü iletilir
(API_SpikeInPayload)
Açıklama: Tek bir IP ile API uç noktalarından biri arasındaki trafik için API yanıt yükü boyutunda şüpheli bir artış gözlemlendi. Son 30 güne ait geçmiş trafik desenlerini temel alan API'ler için Defender, belirli bir IP ve API uç noktası arasındaki tipik API yanıt yükü boyutunu temsil eden bir temel öğrenir. Öğrenilen temel, her durum kodu için API trafiğine özgüdür (örneğin, 200 Başarı). Api yanıt yükü boyutu geçmiş temelden önemli ölçüde sapma olduğundan uyarı tetiklendi.
MITRE taktikleri: İlk erişim
Önem Derecesi: Orta
Tek bir IP adresi ile API uç noktası arasında olağan dışı büyük istek gövdesi iletilir
(API_SpikeInPayload)
Açıklama: Tek bir IP ile API uç noktalarından biri arasındaki trafik için API isteği gövdesi boyutunda şüpheli bir artış gözlemlendi. Son 30 güne ait geçmiş trafik desenlerini temel alan API'ler için Defender, belirli bir IP ile API uç noktası arasındaki tipik API isteği gövde boyutunu temsil eden bir temel öğrenir. Öğrenilen temel, her durum kodu için API trafiğine özgüdür (örneğin, 200 Başarı). Api isteği boyutu geçmiş taban çizgisinden önemli ölçüde saptığı için uyarı tetiklendi.
MITRE taktikleri: İlk erişim
Önem Derecesi: Orta
(Önizleme) Tek bir IP adresi ile API uç noktası arasındaki trafik için şüpheli gecikme süresi artışı
(API_SpikeInLatency)
Açıklama: Tek bir IP ile API uç noktalarından biri arasındaki trafikte gecikme süresinde şüpheli bir ani artış gözlemlendi. Son 30 güne ait geçmiş trafik desenlerini temel alan API'ler için Defender, belirli bir IP ile API uç noktası arasındaki rutin API trafiği gecikme süresini temsil eden bir temel öğrenir. Öğrenilen temel, her durum kodu için API trafiğine özgüdür (örneğin, 200 Başarı). Api çağrısı gecikme süresi geçmiş temelden önemli ölçüde sapma olduğundan uyarı tetiklendi.
MITRE taktikleri: İlk erişim
Önem Derecesi: Orta
API istekleri, tek bir IP adresinden olağan dışı derecede çok sayıda farklı API uç noktasına püskürtülür
(API_SprayInRequests)
Açıklama: Olağanüstü sayıda farklı uç noktaya API çağrıları yapan tek bir IP gözlemlendi. Son 30 güne ait geçmiş trafik desenlerini temel alan API'ler için Defender'lar, 20 dakikalık pencereler arasında tek bir IP tarafından çağrılan tipik ayrı uç nokta sayısını temsil eden bir taban çizgisi öğrenir. Tek bir IP'nin davranışı geçmiş temelden önemli ölçüde saptığı için uyarı tetiklendi.
MITRE taktikleri: Bulma
Önem Derecesi: Orta
API uç noktasında parametre numaralandırması
(API_ParameterEnumeration)
Açıklama: API uç noktalarına erişilirken parametrelerin numaralandırıldığı tek bir IP gözlemlendi. Son 30 güne ait geçmiş trafik desenlerini temel alan API'ler için Defender, 20 dakikalık pencerelerde bu uç noktaya erişirken tek bir IP tarafından kullanılan tipik benzersiz parametre değerlerinin sayısını gösteren bir taban çizgisi öğrenir. Tek bir istemci IP'sinin son zamanlarda çok fazla sayıda farklı parametre değeri kullanarak uç noktaya erişmesi nedeniyle uyarı tetiklendi.
MITRE taktikleri: İlk erişim
Önem Derecesi: Orta
BIR API uç noktasında dağıtılmış parametre numaralandırması
(API_DistributedParameterEnumeration)
Açıklama: API uç noktalarına erişilirken parametrelerin numaralandırıldığı toplam kullanıcı popülasyonu (tüm IP'ler) gözlemlendi. Son 30 güne ait geçmiş trafik desenlerini temel alan API'ler için Defender, 20 dakikalık pencerelerde bir uç noktaya erişirken kullanıcı popülasyonu (tüm IP'ler) tarafından kullanılan tipik ayrı parametre değerlerinin sayısını gösteren bir taban çizgisi öğrenir. Kullanıcı popülasyonu son zamanlarda çok fazla sayıda farklı parametre değeri kullanarak bir uç noktaya erişmiş olduğundan uyarı tetiklendi.
MITRE taktikleri: İlk erişim
Önem Derecesi: Orta
API çağrısında anormal veri türlerine sahip parametre değerleri
(API_UnseenParamType)
Açıklama: API uç noktalarınızdan birine erişen ve düşük olasılıklı veri türü (örneğin, dize, tamsayı vb.) parametre değerleri kullanılarak tek bir IP gözlemlendi. Son 30 güne ait geçmiş trafik desenlerini temel alan API'ler için Defender, her API parametresi için beklenen veri türlerini öğrenir. Bir IP yakın zamanda parametre girişi olarak daha önce düşük olasılıklı bir veri türü kullanarak bir uç noktaya erişildiğinden uyarı tetiklendi.
MITRE taktikleri: Etki
Önem Derecesi: Orta
Api çağrısında daha önce görünmeyen parametre kullanılıyor
(API_UnseenParam)
Açıklama: İstekte daha önce görünmeyen veya sınır dışı parametresi kullanılarak API uç noktalarından birine erişen tek bir IP gözlemlendi. Son 30 güne ait geçmiş trafik desenlerini temel alan API'ler için Defender, uç noktaya yapılan çağrılarla ilişkili bir dizi beklenen parametreyi öğrenir. Uyarı tetiklendi çünkü bir IP yakın zamanda daha önce görünmeyen bir parametre kullanarak bir uç noktaya erişti.
MITRE taktikleri: Etki
Önem Derecesi: Orta
Tor çıkış düğümünden API uç noktasına erişim
(API_AccessFromTorExitNode)
Açıklama: Tor ağından bir IP adresi API uç noktalarınızdan birine erişti. Tor, kişilerin gerçek IP'lerini gizli tutarken İnternet'e erişmesini sağlayan bir ağdır. Yasal kullanımlar olsa da, saldırganlar tarafından çevrimiçi ortamda kişilerin sistemlerini hedeflediklerinde kimliklerini gizlemek için sıklıkla kullanılır.
MITRE taktikleri: Saldırı öncesi
Önem Derecesi: Orta
Şüpheli IP'den API Uç Noktası erişimi
(API_AccessFromSuspiciousIP)
Açıklama: API uç noktalarınızdan birine erişen bir IP adresi, Microsoft Threat Intelligence tarafından tehdit olma olasılığı yüksek olarak belirlendi. Kötü amaçlı İnternet trafiğini gözlemlerken, bu IP diğer çevrimiçi hedeflere saldırmaya dahil olarak ortaya çıktı.
MITRE taktikleri: Saldırı öncesi
Önem Derecesi: Yüksek
Şüpheli Kullanıcı Aracısı algılandı
(API_AccessFromSuspiciousUserAgent)
Açıklama: API uç noktalarınızdan birine erişen bir isteğin kullanıcı aracısı, uzaktan kod yürütme girişimini gösteren anormal değerler içeriyordu. Bu, API uç noktalarınızdan herhangi birinin ihlal edildiğini göstermez, ancak bir saldırı girişiminin devam ettiğini gösterir.
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Not
Önizleme aşamasındaki uyarılar için: Azure Önizleme Ek Koşulları beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.