Azure App Service のアラート

この記事では、Microsoft Defender for Cloud から Azure アプリ Service に対して取得できるセキュリティ アラートと、有効にしたすべての Microsoft Defender プランについて説明します。 お使いの環境で示されるアラートは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。

これらのアラートに対応する方法については、こちらを参照してください。

アラートをエクスポートする方法については、こちらを参照してください。

Azure アプリ サービスアラート

詳細な説明と注意

An attempt to run Linux commands on a Windows App Service (Windows App Service での Linux コマンドの実行試行)

(AppServices_LinuxCommandOnWindows)

説明: App Service プロセスの分析で、Windows App Service で Linux コマンドを実行しようとしましたが検出されました。 このアクションは、Web アプリケーションにより実行されていました。 この動作は、一般的な Web アプリケーションの脆弱性を悪用する活動でよく見られます。 (適用対象: App Service on Windows)

MITRE の戦術: -

重大度: 中

An IP that connected to your Azure App Service FTP Interface was found in Threat Intelligence (脅威インテリジェンスで、Azure App Service の FTP インターフェイスに接続した IP が見つかりました)

(AppServices_IncomingTiClientIpFtp)

説明: Azure アプリサービス FTP ログは、脅威インテリジェンス フィードで見つかったソース アドレスからの接続を示します。 この接続中に、ユーザーが、一覧表示されているページにアクセスしました。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: 初期アクセス

重大度: 中

Attempt to run high privilege command detected (高い特権のコマンドの実行試行が検出されました)

(AppServices_HighPrivilegeCommand)

説明: App Service プロセスの分析で、高い特権を必要とするコマンドの実行が検出されました。 このコマンドは、Web アプリケーションのコンテキストで実行されました。 この動作は、正当である可能性もありますが、Web アプリケーションでは、この動作は悪意のあるアクティビティでも観察されます。 (適用対象: App Service on Windows)

MITRE の戦術: -

重大度: 中

Communication with suspicious domain identified by threat intelligence (脅威インテリジェンスによって識別された疑わしいドメインとの通信)

(AzureDNS_ThreatIntelSuspectDomain)

説明: 疑わしいドメインとの通信は、リソースからの DNS トランザクションを分析し、脅威インテリジェンス フィードによって識別された既知の悪意のあるドメインと比較することで検出されました。 悪意のあるドメインへの通信が攻撃者によって頻繁に実行されており、リソースが侵害されている可能性があります。

MITRE の戦術: 初期アクセス、永続化、実行、コマンドと制御、悪用

重大度: 中

Connection to web page from anomalous IP address detected (異常な IP アドレスからの Web ページへの接続が検出されました)

(AppServices_AnomalousPageAccess)

説明: Azure アプリ サービス アクティビティ ログは、一覧に示されているソース IP アドレスから機密性の高い Web ページへの異常な接続を示します。 これは、何者かが Web アプリの管理ページにブルート フォース攻撃を試みていることを示している可能性があります。 正当なユーザーが新しい IP アドレスを使用した結果である可能性もあります。 ソース IP アドレスが信頼されている場合、このリソースに対するこのアラートを安全に抑制できます。 セキュリティ アラートを抑制する方法については、「Microsoft Defender for Cloud からのアラートを抑制する」を参照してください。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: 初期アクセス

重大度: 低

Dangling DNS record for an App Service resource detected (App Service リソースの未解決の DNS レコードが検出されました)

(AppServices_DanglingDomain)

説明: 最近削除された App Service リソース ("未解決の DNS" エントリとも呼ばれます) を指す DNS レコードが検出されました。 サブドメインの乗っ取りに対して無防備な状態となっています。 サブドメインの乗っ取りが発生すると、悪意のあるアクターが悪意のあるアクティビティを実行しているサイトに、組織のドメイン向けのトラフィックをリダイレクトできるようになります。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: -

重大度: 高

Detected encoded executable in command line data (コマンド ライン データでエンコードされた実行可能ファイルが検出されました)

(AppServices_Base64EncodedExecutableInCommandLineParams)

説明: {Compromised host} 上のホスト データの分析で、base-64 でエンコードされた実行可能ファイルが検出されました。 これは以前に、攻撃者が一連のコマンドで実行可能ファイルを即座に構築しようとし、個々のコマンドがアラートをトリガーしないようにすることで、侵入検出システムを回避しようとしたりすることに関連していました。 これは、正当なアクティビティ、または侵害されたホストの兆候である可能性があります。 (適用対象: App Service on Windows)

MITRE 戦術: 防御回避、実行

重大度: 高

Detected file download from a known malicious source (既知の悪意のあるソースからファイルのダウンロードが検出されました)

(AppServices_SuspectDownload)

説明: ホスト データの分析により、ホスト上の既知のマルウェア ソースからのファイルのダウンロードが検出されました。 (適用対象: App Service on Linux)

MITRE の戦術: 特権エスカレーション、実行、流出、コマンドと制御

重大度: 中

Detected suspicious file download (不審なファイルのダウンロードが検出されました)

(AppServices_SuspectDownloadArtifacts)

説明: ホスト データの分析で、リモート ファイルの疑わしいダウンロードが検出されました。 (適用対象: App Service on Linux)

MITRE の戦術: 永続化

重大度: 中

Digital currency mining related behavior detected (デジタル通貨マイニング関連の動作が検出されました)

(AppServices_DigitalCurrencyMining)

説明: Inn-Flow-WebJobs 上のホスト データの分析により、通常はデジタル通貨マイニングに関連付けられているプロセスまたはコマンドの実行が検出されました。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: 実行

重大度: 高

Executable decoded using certutil (certutil を使用してデコードされた実行可能ファイル)

(AppServices_ExecutableDecodedUsingCertutil)

説明: [セキュリティ侵害されたエンティティ] のホスト データの分析では、証明書と証明書データの操作に関連するメインストリームの目的ではなく、組み込みの管理者ユーティリティである certutil.exe が実行可能ファイルのデコードに使用されていることが検出されました。 攻撃者は、正規の管理者ツールの機能を悪用して悪意のある操作を実行することがわかっています。たとえば、悪意のある実行ファイルのデコードに certutil.exe などのツールが使用され、デコード後のファイルが実行されることがあります。 (適用対象: App Service on Windows)

MITRE 戦術: 防御回避、実行

重大度: 高

Fileless attack behavior detected (ファイルレス攻撃動作が検出されました)

(AppServices_FilelessAttackBehaviorDetection)

説明: 以下に示すプロセスのメモリには、ファイルレス攻撃でよく使用される動作が含まれています。 特定の動作には、{観察された動作の一覧} が含まれます (適用対象: Windows 上の App Service と Linux 上の App Service)

MITRE の戦術: 実行

重大度: 中

Fileless attack technique detected (ファイルレス攻撃手法が検出されました)

(AppServices_FilelessAttackTechniqueDetection)

説明: 以下に示すプロセスのメモリには、ファイルレス攻撃手法の証拠が含まれています。 ファイルレス攻撃は、攻撃者がセキュリティ ソフトウェアによる検出を回避しながらコードを実行するために使用されます。 特定の動作には、{観察された動作の一覧} が含まれます (適用対象: Windows 上の App Service と Linux 上の App Service)

MITRE の戦術: 実行

重大度: 高

Fileless attack toolkit detected (ファイルレス攻撃ツールキットが検出されました)

(AppServices_FilelessAttackToolkitDetection)

説明: 以下に示すプロセスのメモリには、ファイルレス攻撃ツールキット {ToolKitName} が含まれています。 ファイルレス攻撃ツールキットは通常、ファイル システムに存在せず、従来のウイルス対策ソフトウェアによる検出を困難にします。 特定の動作には、{観察された動作の一覧} が含まれます (適用対象: Windows 上の App Service と Linux 上の App Service)

MITRE 戦術: 防御回避、実行

重大度: 高

Microsoft Defender for Cloud test alert for App Service (not a threat) (App Service に対する Microsoft Defender for Cloud のテスト アラート (脅威ではありません))

(AppServices_EICAR)

説明: これは、Microsoft Defender for Cloud によって生成されるテスト アラートです。 これ以外の操作は必要ありません。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: -

重大度: 高

NMap scanning detected (NMap スキャンが検出されました)

(AppServices_Nmap)

説明: Azure アプリ サービス アクティビティ ログは、App Service リソースで Web フィンガープリント アクティビティの可能性を示します。 検出された不審なアクティビティは、NMAP と関連しています。 攻撃者は、Web アプリケーションを調べて脆弱性を見つけるために、このツールを使用することがよくあります。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: プレアタッチ

重大度: 情報

Phishing content hosted on Azure Webapps (Azure Webapps でホストされているコンテンツのフィッシング)

(AppServices_PhishingContent)

説明: Azure アプリServices Web サイトで見つかったフィッシング攻撃に使用される URL。 この URL は、Microsoft 365 のお客様に送信されたフィッシング攻撃の一部でした。 通常、このコンテンツでは、訪問者が正規に見える Web サイトに自分の会社の資格情報または財務情報を入力するよう誘導します。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: コレクション

重大度: 高

PHP file in upload folder (アップロード フォルダー内の PHP ファイル)

(AppServices_PhpInUploadFolder)

説明: Azure アプリ サービス アクティビティ ログは、アップロード フォルダーにある疑わしい PHP ページへのアクセスを示します。 この種のフォルダーには通常、PHP ファイルは含まれません。 この種のファイルが存在する場合は、任意のファイル アップロードの脆弱性を利用した悪用を示している可能性があります。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: 実行

重大度: 中

Possible Cryptocoinminer download detected (Cryptocoinminer のダウンロードの可能性が検出されました)

(AppServices_CryptoCoinMinerDownload)

説明: ホスト データの分析により、通常はデジタル通貨マイニングに関連付けられているファイルのダウンロードが検出されました。 (適用対象: App Service on Linux)

MITRE 戦術: 防御回避、コマンドアンドコントロール、悪用

重大度: 中

Possible data exfiltration detected (データ流出の可能性が検出されました)

(AppServices_DataEgressArtifacts)

説明: ホスト/デバイス データの分析で、データエグレス状態の可能性が検出されました。 攻撃者は多くの場合、侵害したマシンからデータを送信します。 (適用対象: App Service on Linux)

MITRE の戦術: コレクション、流出

重大度: 中

Potential dangling DNS record for an App Service resource detected (App Service リソースに対する潜在的な未解決の DNS レコードが検出されました)

(AppServices_PotentialDanglingDomain)

説明: 最近削除された App Service リソース ("未解決の DNS" エントリとも呼ばれます) を指す DNS レコードが検出されました。 サブドメインの乗っ取りに対して無防備な状態となっている可能性があります。 サブドメインの乗っ取りが発生すると、悪意のあるアクターが悪意のあるアクティビティを実行しているサイトに、組織のドメイン向けのトラフィックをリダイレクトできるようになります。 このケースでは、ドメイン検証 ID を含んだテキスト レコードが見つかりました。 そのようなテキスト レコードにはサブドメインの乗っ取りを防ぐ効果がありますが、それでも未解決のドメインを削除することをお勧めします。 そのサブドメインを指す DNS レコードを放置すると、今後、その TXT ファイルまたはレコードが組織内のだれかによって削除された場合にリスクが生じます。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: -

重大度: 低

Potential reverse shell detected (リバース シェルの可能性が検出されました)

(AppServices_ReverseShell)

説明: ホスト データの分析で、潜在的な逆シェルが検出されました。 これらは、攻撃者が所有しているマシンに、侵害されたマシンからコールバックするために使用されます。 (適用対象: App Service on Linux)

MITRE の戦術: 流出、悪用

重大度: 中

Raw data download detected (生データのダウンロードが検出されました)

(AppServices_DownloadCodeFromWebsite)

説明: App Service プロセスの分析で、Pastebin などの生データ Web サイトからコードをダウンロードしようとしました。 このアクションは PHP プロセスによって実行されました。 この動作は、Web シェルやその他の悪意のあるコンポーネントを App Service にダウンロードする試行に関連付けられています。 (適用対象: App Service on Windows)

MITRE の戦術: 実行

重大度: 中

Saving curl output to disk detected (curl 出力のディスクへの保存が検出されました)

(AppServices_CurlToDisk)

説明: App Service プロセスの分析により、出力がディスクに保存された curl コマンドの実行が検出されました。 この動作は、正当である可能性もありますが、Web アプリケーションでは、この動作は Web シェルで Web サイトを感染させようとするなどの悪意のあるアクティビティでも観察されます。 (適用対象: App Service on Windows)

MITRE の戦術: -

重大度: 低

Spam folder referrer detected (スパム フォルダーの参照元が検出されました)

(AppServices_SpamReferrer)

説明: Azure アプリ サービス アクティビティ ログは、スパム アクティビティに関連付けられている Web サイトから送信されたものとして識別された Web アクティビティを示します。 これは、Web サイトが侵害され、スパム アクティビティに使用された場合に発生する可能性があります。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: -

重大度: 低

Suspicious access to possibly vulnerable web page detected (脆弱な可能性がある Web ページへの不審なアクセスが検出されました)

(AppServices_ScanSensitivePage)

説明: Azure アプリサービス アクティビティ ログは、機密性の高いと思われる Web ページにアクセスされたことを示します。 この不審なアクティビティは、Web スキャナーによるものに似たアクセス パターンを持つソース IP アドレスから発生しています。 このアクティビティは、多くの場合、攻撃者がネットワークをスキャンして、機密性が高いか脆弱な Web ページへのアクセス権を取得しようとする試みと関連しています。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: -

重大度: 低

Suspicious domain name reference (不審なドメイン名参照)

(AppServices_CommandlineSuspectDomain)

説明: 疑わしいドメイン名への参照が検出されたホスト データの分析。 このようなアクティビティはユーザーの正当な行動の場合もありますが、悪意のあるソフトウェアのダウンロードまたは実行を示していることがよくあります。 攻撃者の一般的な関連アクティビティには、さらに悪意のあるソフトウェアまたはリモート管理ツールのダウンロードと実行が含まれる可能性があります。 (適用対象: App Service on Linux)

MITRE の戦術: 流出

重大度: 低

Suspicious download using Certutil detected (Certutil を使用した不審なダウンロード)

(AppServices_DownloadUsingCertutil)

説明: {NAME} でのホスト データの分析では、証明書と証明書データの操作に関連するメインストリームの目的ではなく、バイナリをダウンロードするための組み込みの管理者ユーティリティであるcertutil.exeが使用されているのが検出されました。 攻撃者は、正規の管理者ツールの機能を悪用して悪意のある操作を実行することがわかっています。たとえば、certutil.exe を使用して、後で実行される悪意のある実行ファイルをダウンロードしてデコードしたりします。 (適用対象: App Service on Windows)

MITRE の戦術: 実行

重大度: 中

Suspicious PHP execution detected (不審な PHP の実行が検出されました)

(AppServices_SuspectPhp)

説明: マシン ログは、疑わしい PHP プロセスが実行されていることを示します。 このアクションには、PHP プロセスを使用してコマンドラインからオペレーティング システム コマンドまたは PHP コードを実行する試みが含まれていました。 この動作は、正当である可能性もありますが、Web アプリケーションでは、この動作は Web シェルで Web サイトを感染させようとするなどの悪意のあるアクティビティを示している可能性があります。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: 実行

重大度: 中

Suspicious PowerShell cmdlets executed (不審な PowerShell コマンドレットが実行されました)

(AppServices_PowerShellPowerSploitScriptExecution)

説明: ホスト データの分析は、既知の悪意のある PowerShell PowerSploit コマンドレットの実行を示します。 (適用対象: App Service on Windows)

MITRE の戦術: 実行

重大度: 中

Suspicious process executed (不審なプロセスが実行されました)

(AppServices_KnownCredential AccessTools)

説明: マシン ログは、疑わしいプロセス '%{process path}' がコンピューター上で実行されていることを示します。これは、多くの場合、攻撃者が資格情報にアクセスしようとしたときに関連付けられています。 (適用対象: App Service on Windows)

MITRE の戦術: 資格情報アクセス

重大度: 高

Suspicious process name detected (不審なプロセス名が検出されました)

(AppServices_ProcessWithKnownSuspiciousExtension)

説明: {NAME} 上のホスト データの分析では、名前が疑わしいプロセスが検出されました。たとえば、既知の攻撃者ツールに対応しているか、攻撃者のツールを示唆する方法で名前が付けられ、明白に隠そうとします。 このプロセスは、正当なアクティビティである場合もあれば、マシンのいずれかが侵害されたことを示している可能性もあります。 (適用対象: App Service on Windows)

MITRE 戦術: 永続化、防御回避

重大度: 中

Suspicious SVCHOST process executed (不審な SVCHOST プロセスが実行されました)

(AppServices_SVCHostFromInvalidPath)

説明: システム プロセス SVCHOST が異常なコンテキストで実行されていることを確認しました。 マルウェアは、多くの場合、悪意のあるアクティビティをマスクするために SVCHOST を使用します。 (適用対象: App Service on Windows)

MITRE 戦術: 防御回避、実行

重大度: 高

Suspicious User Agent detected (不審なユーザー エージェントが検出されました)

(AppServices_UserAgentInjection)

説明: Azure アプリ サービス アクティビティ ログは、疑わしいユーザー エージェントを使用した要求を示します。 この動作は、App Service アプリケーションの脆弱性を悪用する試行を示している可能性があります。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: 初期アクセス

重大度: 情報

Suspicious WordPress theme invocation detected (不審な WordPress テーマの呼び出しが検出されました)

(AppServices_WpThemeInjection)

説明: Azure アプリ サービス アクティビティ ログは、App Service リソースで発生する可能性のあるコード挿入アクティビティを示します。 検出された不審なアクティビティは、WordPress テーマの操作のアクティビティに似ています。このアクティビティはサーバー側でのコードの実行をサポートし、その実行の後に、操作されたテーマ ファイルを呼び出すための直接の Web 要求が続きます。 この種類のアクティビティは、WordPress での攻撃活動の一環として過去に確認されています。 App Service リソースが WordPress サイトをホストしていない場合は、この特定のコード インジェクション攻撃に対して脆弱ではないので、そのリソースに対するこのアラートを安全に抑制できます。 セキュリティ アラートを抑制する方法については、「Microsoft Defender for Cloud からのアラートを抑制する」を参照してください。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: 実行

重大度: 高

Vulnerability scanner detected (脆弱性スキャナーが検出されました)

(AppServices_DrupalScanner)

説明: Azure アプリ Service アクティビティ ログは、App Service リソースで脆弱性スキャナーが使用された可能性があることを示します。 検出された不審なアクティビティは、コンテンツ管理システム (CMS) をターゲットにしているツールのアクティビティに似ています。 App Service リソースが Drupal サイトをホストしていない場合は、この特定のコード インジェクション攻撃に対して脆弱ではないので、そのリソースに対するこのアラートを安全に抑制できます。 セキュリティ アラートを抑制する方法については、「Microsoft Defender for Cloud からのアラートを抑制する」を参照してください。 (適用対象: App Service on Windows)

MITRE の戦術: プレアタッチ

重大度: 低

脆弱性スキャナーが検出されました (Joomla)

(AppServices_JoomlaScanner)

説明: Azure アプリ Service アクティビティ ログは、App Service リソースで脆弱性スキャナーが使用された可能性があることを示します。 検出された不審なアクティビティは、Joomla アプリケーションをターゲットにしているツールのアクティビティに似ています。 App Service リソースが Joomla サイトをホストしていない場合は、この特定のコード インジェクション攻撃に対して脆弱ではないので、そのリソースに対するこのアラートを安全に抑制できます。 セキュリティ アラートを抑制する方法については、「Microsoft Defender for Cloud からのアラートを抑制する」を参照してください。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: プレアタッチ

重大度: 低

脆弱性スキャナーが検出されました (WordPress)

(AppServices_WpScanner)

説明: Azure アプリ Service アクティビティ ログは、App Service リソースで脆弱性スキャナーが使用された可能性があることを示します。 検出された不審なアクティビティは、WordPress アプリケーションをターゲットにしているツールのアクティビティに似ています。 App Service リソースが WordPress サイトをホストしていない場合は、この特定のコード インジェクション攻撃に対して脆弱ではないので、そのリソースに対するこのアラートを安全に抑制できます。 セキュリティ アラートを抑制する方法については、「Microsoft Defender for Cloud からのアラートを抑制する」を参照してください。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: プレアタッチ

重大度: 低

Web fingerprinting detected (Web フィンガー プリントが検出されました)

(AppServices_WebFingerprinting)

説明: Azure アプリ サービス アクティビティ ログは、App Service リソースで Web フィンガープリント アクティビティの可能性を示します。 検出された不審なアクティビティは、Blind Elephant と呼ばれるツールと関連しています。 このツールは、Web サーバーのフィンガープリントを取得し、インストールされているアプリケーションとバージョンを検出しようとします。 攻撃者は、Web アプリケーションを調べて脆弱性を見つけるために、このツールを使用することがよくあります。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: プレアタッチ

重大度: 中

Website is tagged as malicious in threat intelligence feed (Web サイトが脅威インテリジェンス フィードで悪意のあるものとしてタグ付けされています)

(AppServices_SmartScreen)

説明: 以下に説明する Web サイトは、Windows SmartScreen によって悪意のあるサイトとしてマークされます。 擬陽性であると考えられる場合は、提供されているレポート フィードバック リンクを使用して Windows SmartScreen までお問い合わせください。 (適用対象: App Service on Windows と App Service on Linux)

MITRE の戦術: コレクション

重大度: 中

次のステップ

• Microsoft Defender for Cloud のセキュリティアラート
• Microsoft Defender for Cloud でのセキュリティの警告の管理と対応
• クラウドデータに対して Defender を継続的にエクスポートする