Avvisi per Servizio app di Azure
Questo articolo elenca gli avvisi di sicurezza che è possibile ottenere per il servizio app Azure da Microsoft Defender per il cloud ed eventuali piani di Microsoft Defender abilitati. Gli avvisi visualizzati nell'ambiente dipendono dalle risorse e dai servizi protetti e dalla configurazione personalizzata.
Nota
Alcuni degli avvisi aggiunti di recente basati su Microsoft Defender Threat Intelligence e Microsoft Defender per endpoint potrebbero non essere documentati.
Informazioni su come rispondere a questi avvisi.
Informazioni su come esportare gli avvisi.
Nota
Gli avvisi provenienti da origini diverse potrebbero comparire in tempi diversi. Ad esempio, la visualizzazione degli avvisi che richiedono l'analisi del traffico di rete potrebbe richiedere più tempo rispetto agli avvisi correlati a processi sospetti in esecuzione sulle macchine virtuali.
avvisi del servizio app Azure
Tentativo di eseguire comandi Linux in un servizio app di Windows
(AppServices_LinuxCommandOnWindows)
Descrizione: l'analisi dei processi di servizio app ha rilevato un tentativo di eseguire un comando Linux in un servizio app Windows. Questa azione è stata eseguita dall'applicazione Web. Questo comportamento si osserva spesso durante le campagne che sfruttano una vulnerabilità in un'applicazione Web comune. (Si applica a: servizio app in Windows)
Tattiche MITRE: -
Gravità: medio
Un IP connesso all'interfaccia FTP di Servizio app di Azure è stato rilevato in Intelligence per le minacce
(AppServices_IncomingTiClientIpFtp)
Descrizione: app Azure log FTP del servizio indica una connessione da un indirizzo di origine trovato nel feed di intelligence per le minacce. Durante questa connessione, un utente ha eseguito l'accesso alle pagine elencate. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Accesso iniziale
Gravità: medio
Rilevato tentativo di eseguire un comando con privilegi elevati
(AppServices_HighPrivilegeCommand)
Descrizione: l'analisi dei processi di servizio app ha rilevato un tentativo di eseguire un comando che richiede privilegi elevati. Il comando è stato eseguito nel contesto dell'applicazione Web. Benché questo comportamento possa essere legittimo, nelle applicazioni Web viene riscontrato anche nelle attività dannose. (Si applica a: servizio app in Windows)
Tattiche MITRE: -
Gravità: medio
Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce
(AzureDNS_ThreatIntelSuspectDomain)
Descrizione: la comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa.
Tattiche MITRE: accesso iniziale, persistenza, esecuzione, comando e controllo, sfruttamento
Gravità: medio
Rilevata connessione alla pagina Web da un indirizzo IP anomalo
(AppServices_AnomalousPageAccess)
Descrizione: app Azure log attività del servizio indica una connessione anomala a una pagina Web sensibile dall'indirizzo IP di origine elencato. Potrebbe indicare che un utente sta tentando un attacco di forza bruta contro le pagine di amministrazione dell'app Web. Potrebbe anche essere il risultato di un nuovo indirizzo IP usato da un utente legittimo. Se l'indirizzo IP di origine è attendibile, è possibile eliminare in modo sicuro questo avviso per questa risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Accesso iniziale
Gravità: Bassa
Rilevato record DNS dangling per una risorsa servizio app
(AppServices_DanglingDomain)
Descrizione: è stato rilevato un record DNS che punta a una risorsa di servizio app eliminata di recente (nota anche come voce DNS "dangling DNS". In questo modo è possibile eseguire l'acquisizione di un sottodominio. Le acquisizioni di sottodomini consentono agli utenti malintenzionati di reindirizzare il traffico destinato al dominio di un'organizzazione a un sito che esegue attività dannose. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: -
Gravità: alta
Rilevato file eseguibile codificato nei dati della riga di comando
(AppServices_Base64EncodedExecutableInCommandLineParams)
Descrizione: l'analisi dei dati dell'host in {host compromesso} ha rilevato un eseguibile con codifica base 64. Questa operazione è stata precedentemente associata all'attività di utenti malintenzionati che tentano di creare file eseguibili in tempo reale tramite una sequenza di comandi e cercano di eludere i sistemi di rilevamento intrusioni, assicurando che nessun comando singolo attivi un avviso. Potrebbe trattarsi di un'attività legittima o indicare un host compromesso. (Si applica a: servizio app in Windows)
Tattiche MITRE: Evasione della difesa, esecuzione
Gravità: alta
Rilevato download di un file da un'origine dannosa nota
(AppServices_SuspectDownload)
Descrizione: l'analisi dei dati dell'host ha rilevato il download di un file da un'origine malware nota nell'host. (Si applica a: servizio app in Linux)
Tattiche MITRE: Escalation dei privilegi, esecuzione, esfiltrazione, comando e controllo
Gravità: medio
Rilevato download di un file sospetto
(AppServices_SuspectDownloadArtifacts)
Descrizione: l'analisi dei dati host ha rilevato un download sospetto di file remoto. (Si applica a: servizio app in Linux)
Tattiche MITRE: Persistenza
Gravità: medio
Rilevato comportamento correlato al mining della valuta digitale
(AppServices_DigitalCurrencyMining)
Descrizione: l'analisi dei dati host in Inn-Flow-WebJobs ha rilevato l'esecuzione di un processo o di un comando normalmente associato al data mining di valuta digitale. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Esecuzione
Gravità: alta
File eseguibile decodificato tramite certutil
(AppServices_ExecutableDecodedUsingCertutil)
Descrizione: l'analisi dei dati dell'host su [entità compromessa] ha rilevato che certutil.exe, un'utilità di amministrazione predefinita, è stata usata per decodificare un eseguibile invece del relativo scopo mainstream correlato alla modifica dei certificati e dei dati del certificato. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando uno strumento come certutil.exe per decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente. (Si applica a: servizio app in Windows)
Tattiche MITRE: Evasione della difesa, esecuzione
Gravità: alta
Rilevato comportamento di attacco senza file
(AppServices_FilelessAttackBehaviorDetection)
Descrizione: la memoria del processo specificato di seguito contiene comportamenti comunemente usati dagli attacchi senza file. I comportamenti specifici includono: {elenco di comportamenti osservati} (si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Esecuzione
Gravità: medio
Rilevata tecnica di attacco senza file
(AppServices_FilelessAttackTechniqueDetection)
Descrizione: la memoria del processo specificato di seguito contiene l'evidenza di una tecnica di attacco senza file. Gli attacchi senza file vengono usati dagli utenti malintenzionati per eseguire codice, eludendo il rilevamento da parte del software di sicurezza. I comportamenti specifici includono: {elenco di comportamenti osservati} (si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Esecuzione
Gravità: alta
Rilevato toolkit di attacco senza file
(AppServices_FilelessAttackToolkitDetection)
Descrizione: la memoria del processo specificato di seguito contiene un toolkit di attacco senza file: {ToolKitName}. I toolkit di attacco senza file in genere non sono presenti nel file system ed è quindi difficile rilevarli con i tradizionali software antivirus. I comportamenti specifici includono: {elenco di comportamenti osservati} (si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Evasione della difesa, esecuzione
Gravità: alta
Microsoft Defender per il cloud avviso di test per servizio app (non una minaccia)
(AppServices_EICAR)
Descrizione: si tratta di un avviso di test generato da Microsoft Defender per il cloud. Non sono necessarie ulteriori azioni. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: -
Gravità: alta
Rilevata analisi NMap
(AppServices_Nmap)
Descrizione: app Azure log attività del servizio indica una possibile attività di impronta digitale Web nella risorsa servizio app. L'attività sospetta rilevata è associata a NMAP. Spesso gli utenti malintenzionati usano questo strumento per eseguire il probe dell'applicazione Web per trovare vulnerabilità. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: PreAttack
Gravità: informativo
Contenuto di phishing ospitato in App Web di Azure
(AppServices_PhishingContent)
Descrizione: URL usato per l'attacco di phishing trovato nel sito Web app Azure Services. Questo URL fa parte di un attacco di phishing inviato ai clienti di Microsoft 365. Il contenuto induce in genere i visitatori a immettere le proprie credenziali aziendali o informazioni finanziarie in un sito Web che sembra legittimo. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Raccolta
Gravità: alta
File PHP nella cartella di caricamento
(AppServices_PhpInUploadFolder)
Descrizione: app Azure log attività del servizio indica un accesso a una pagina PHP sospetta che si trova nella cartella di caricamento. Questo tipo di cartella in genere non contiene file PHP. L'esistenza di questo tipo di file potrebbe indicare un exploit che sfrutta le vulnerabilità del caricamento di un file arbitrario. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Esecuzione
Gravità: medio
Rilevato un possibile download di Cryptocoinminer
(AppServices_CryptoCoinMinerDownload)
Descrizione: l'analisi dei dati host ha rilevato il download di un file normalmente associato al data mining digitale. (Si applica a: servizio app in Linux)
Tattiche MITRE: evasione della difesa, comando e controllo, sfruttamento
Gravità: medio
Rilevata possibile esfiltrazione di dati
(AppServices_DataEgressArtifacts)
Descrizione: l'analisi dei dati host/dispositivo ha rilevato una possibile condizione di uscita dei dati. Spesso gli utenti malintenzionati estraggono dati dai computer compromessi. (Si applica a: servizio app in Linux)
Tattiche MITRE: Raccolta, Esfiltrazione
Gravità: medio
Rilevato potenziale record DNS dangling per una risorsa servizio app
(AppServices_PotentialDanglingDomain)
Descrizione: è stato rilevato un record DNS che punta a una risorsa di servizio app eliminata di recente (nota anche come voce DNS "dangling DNS". Ciò potrebbe causare un'acquisizione di sottodominio. Le acquisizioni di sottodomini consentono agli utenti malintenzionati di reindirizzare il traffico destinato al dominio di un'organizzazione a un sito che esegue attività dannose. In questo caso, è stato trovato un record di testo con l'ID di verifica del dominio. Tali record di testo impediscono l'acquisizione del sottodominio, ma è comunque consigliabile rimuovere il dominio incerto.Such text records prevent subdomain takeover but we still recommend removing the dangling domain. Se si lascia il record DNS che punta al sottodominio a rischio se qualcuno dell'organizzazione elimina il file TXT o il record in futuro. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: -
Gravità: Bassa
Rilevata potenziale shell inversa
(AppServices_ReverseShell)
Descrizione: l'analisi dei dati host ha rilevato una potenziale shell inversa. Questo metodo viene usato per ottenere un computer compromesso da richiamare in un computer di proprietà di un utente malintenzionato. (Si applica a: servizio app in Linux)
Tattiche MITRE: esfiltrazione, sfruttamento
Gravità: medio
Rilevato download di dati non elaborati
(AppServices_DownloadCodeFromWebsite)
Descrizione: l'analisi dei processi di servizio app ha rilevato un tentativo di scaricare codice da siti Web di dati non elaborati, ad esempio Pastebin. Questa azione è stata eseguita da un processo PHP. Questo comportamento è associato a tentativi di scaricare web shell o altri componenti dannosi nel servizio app. (Si applica a: servizio app in Windows)
Tattiche MITRE: Esecuzione
Gravità: medio
Rilevato salvataggio dell'output di curl su disco
(AppServices_CurlToDisk)
Descrizione: l'analisi dei processi di servizio app ha rilevato l'esecuzione di un comando curl in cui l'output è stato salvato sul disco. Benché questo comportamento possa essere legittimo, nelle applicazioni Web viene osservato anche in relazione ad attività dannose, ad esempio in occasione di tentativi di infettare i siti Web con web shell. (Si applica a: servizio app in Windows)
Tattiche MITRE: -
Gravità: Bassa
Rilevato referrer alla cartella di posta indesiderata
(AppServices_SpamReferrer)
Descrizione: app Azure log attività del servizio indica l'attività Web identificata come originata da un sito Web associato all'attività di posta indesiderata. Questo problema può verificarsi se il sito Web viene compromesso e usato per attività di posta indesiderata. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: -
Gravità: Bassa
Rilevato accesso sospetto a una pagina Web potenzialmente vulnerabile
(AppServices_ScanSensitivePage)
Descrizione: app Azure log attività del servizio indica che è stato eseguito l'accesso a una pagina Web che sembra essere sensibile. Questa attività sospetta ha origine da un indirizzo IP di origine il cui modello di accesso è simile a quello di uno scanner Web. Questa attività è spesso associata a un tentativo da parte di un utente malintenzionato di analizzare la rete per tentare di accedere a pagine Web sensibili o vulnerabili. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: -
Gravità: Bassa
Riferimento a nome di dominio sospetto
(AppServices_CommandlineSuspectDomain)
Descrizione: analisi dei dati host rilevati riferimento al nome di dominio sospetto. Tale attività, sebbene possibilmente legittimo comportamento dell'utente, è spesso un'indicazione del download o dell'esecuzione di software dannoso. È probabile che le attività tipiche correlate agli utenti malintenzionati includano il download e l'esecuzione di software dannoso o strumenti di amministrazione remota aggiuntivi. (Si applica a: servizio app in Linux)
Tattiche MITRE: esfiltrazione
Gravità: Bassa
Rilevato download sospetto con Certutil
(AppServices_DownloadUsingCertutil)
Descrizione: l'analisi dei dati dell'host in {NAME} ha rilevato l'uso di certutil.exe, un'utilità di amministrazione predefinita, per il download di un file binario anziché il relativo scopo mainstream correlato alla modifica dei certificati e dei dati del certificato. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando certutil.exe per scaricare e decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente. (Si applica a: servizio app in Windows)
Tattiche MITRE: Esecuzione
Gravità: medio
Rilevata esecuzione PHP sospetta
(AppServices_SuspectPhp)
Descrizione: i log del computer indicano che è in esecuzione un processo PHP sospetto. L'azione include un tentativo di eseguire comandi del sistema operativo o codice PHP dalla riga di comando usando il processo PHP. Benché questo comportamento possa essere legittimo, nelle applicazioni Web potrebbe indicare attività dannose, ad esempio tentativi di infettare i siti Web con web shell. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Esecuzione
Gravità: medio
Esecuzione di cmdlet di PowerShell sospetti
(AppServices_PowerShellPowerSploitScriptExecution)
Descrizione: l'analisi dei dati dell'host indica l'esecuzione di cmdlet powerSploit dannosi noti. (Si applica a: servizio app in Windows)
Tattiche MITRE: Esecuzione
Gravità: medio
Esecuzione di processo sospetto
(AppServices_KnownCredential AccessTools)
Descrizione: i log del computer indicano che il processo sospetto: '%{percorso processo}' è in esecuzione nel computer, spesso associato a tentativi di accesso alle credenziali da parte dell'utente malintenzionato. (Si applica a: servizio app in Windows)
Tattiche MITRE: Accesso alle credenziali
Gravità: alta
Rilevato nome di processo sospetto
(AppServices_ProcessWithKnownSuspiciousExtension)
Descrizione: l'analisi dei dati dell'host in {NAME} ha rilevato un processo il cui nome è sospetto, ad esempio corrispondente a uno strumento utente malintenzionato noto o denominato in modo che sia allusivo di strumenti di attacco che tentano di nascondersi in modo semplice. Questo processo potrebbe indicare un'attività legittima o che uno dei computer è stato compromesso. (Si applica a: servizio app in Windows)
Tattiche MITRE: persistenza, evasione della difesa
Gravità: medio
Esecuzione di un processo SVCHOST sospetto
(AppServices_SVCHostFromInvalidPath)
Descrizione: il processo di sistema SVCHOST è stato osservato in esecuzione in un contesto anomalo. Il malware usa spesso SVCHOST per mascherare la sua attività dannosa. (Si applica a: servizio app in Windows)
Tattiche MITRE: Evasione della difesa, esecuzione
Gravità: alta
Rilevato agente utente sospetto
(AppServices_UserAgentInjection)
Descrizione: app Azure log attività del servizio indica le richieste con agente utente sospetto. Questo comportamento può indicare tentativi di sfruttare una vulnerabilità nell'applicazione del servizio app. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Accesso iniziale
Gravità: informativo
Rilevata chiamata a un tema di WordPress sospetta
(AppServices_WpThemeInjection)
Descrizione: app Azure log attività del servizio indica una possibile attività di inserimento del codice nella risorsa servizio app. L'attività sospetta rilevata assomiglia a quella di manipolazione di un tema di WordPress per supportare l'esecuzione del codice sul lato server, seguita da una richiesta Web diretta per richiamare il file di tema manipolato. Questo tipo di attività è stato riscontrato in passato come parte di una campagna di attacco contro WordPress. Se la risorsa servizio app non ospita un sito WordPress, non è vulnerabile a questo exploit di inserimento di codice specifico ed è possibile eliminare in modo sicuro questo avviso per la risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Esecuzione
Gravità: alta
Rilevato rilevatore di vulnerabilità
(AppServices_DrupalScanner)
Descrizione: app Azure log attività del servizio indica che è stato usato un possibile scanner di vulnerabilità nella risorsa servizio app. L'attività sospetta rilevata è simile a quella degli strumenti destinati a un sistema di gestione dei contenuti (CMS). Se la risorsa servizio app non ospita un sito Drupal, non è vulnerabile a questo exploit di inserimento di codice specifico ed è possibile eliminare in modo sicuro questo avviso per la risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud. (Si applica a: servizio app in Windows)
Tattiche MITRE: PreAttack
Gravità: Bassa
Rilevato scanner di vulnerabilità (Inoltrato)
(AppServices_JoomlaScanner)
Descrizione: app Azure log attività del servizio indica che è stato usato un possibile scanner di vulnerabilità nella risorsa servizio app. L'attività sospetta rilevata è simile a quella degli strumenti destinati alle applicazioni Joomla. Se la risorsa di servizio app non ospita un sito di Necessariamente, non è vulnerabile a questo exploit di inserimento di codice specifico ed è possibile eliminare in modo sicuro questo avviso per la risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: PreAttack
Gravità: Bassa
Rilevato scanner di vulnerabilità (WordPress)
(AppServices_WpScanner)
Descrizione: app Azure log attività del servizio indica che è stato usato un possibile scanner di vulnerabilità nella risorsa servizio app. L'attività sospetta rilevata è simile a quella degli strumenti destinati alle applicazioni WordPress. Se la risorsa servizio app non ospita un sito WordPress, non è vulnerabile a questo exploit di inserimento di codice specifico ed è possibile eliminare in modo sicuro questo avviso per la risorsa. Per informazioni su come eliminare gli avvisi di sicurezza, vedere Eliminare gli avvisi da Microsoft Defender per il cloud. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: PreAttack
Gravità: Bassa
Rilevato Web fingerprinting
(AppServices_WebFingerprinting)
Descrizione: app Azure log attività del servizio indica una possibile attività di impronta digitale Web nella risorsa servizio app. L'attività sospetta rilevata è associata a uno strumento chiamato Blind Elephant. Lo strumento individua l'impronta digitale dei server Web e tenta di rilevare le applicazioni installate e la versione. Spesso gli utenti malintenzionati usano questo strumento per eseguire il probe dell'applicazione Web per trovare vulnerabilità. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: PreAttack
Gravità: medio
Il sito Web è contrassegnato come dannoso nel feed di intelligence sulle minacce
(AppServices_SmartScreen)
Descrizione: il sito Web come descritto di seguito è contrassegnato come sito dannoso da Windows SmartScreen. Se si ritiene che sia un falso positivo, contattare Windows SmartScreen tramite il collegamento per la segnalazione di feedback fornito. (Si applica a: servizio app in Windows e servizio app in Linux)
Tattiche MITRE: Raccolta
Gravità: medio
Nota
Per gli avvisi in anteprima: le condizioni supplementari di anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.