Aviseringar för Azure App Service
I den här artikeln visas de säkerhetsaviseringar som du kan få för Azure App Service från Microsoft Defender för molnet och alla Microsoft Defender-planer som du har aktiverat. De aviseringar som visas i din miljö beror på de resurser och tjänster som du skyddar och din anpassade konfiguration.
Kommentar
Några av de nyligen tillagda aviseringarna som drivs av Informacije o pretnjama za Microsoft Defender och Microsoft Defender za krajnju tačku kan vara odokumenterade.
Lär dig hur du svarar på dessa aviseringar.
Lär dig hur du exporterar aviseringar.
Kommentar
Aviseringar från olika källor kan ta olika tid att visas. Aviseringar som kräver analys av nätverkstrafik kan till exempel ta längre tid att visas än aviseringar relaterade till misstänkta processer som körs på virtuella datorer.
Azure App Service-aviseringar
Mer information och anteckningar
Ett försök att köra Linux-kommandon på en Windows App Service
(AppServices_LinuxCommandOnWindows)
Beskrivning: Analys av App Service-processer upptäckte ett försök att köra ett Linux-kommando på en Windows App Service. Den här åtgärden kördes av webbprogrammet. Det här beteendet visas ofta under kampanjer som utnyttjar en säkerhetsrisk i ett gemensamt webbprogram. (Gäller för: App Service i Windows)
MITRE-taktik: -
Allvarlighetsgrad: Medel
En IP-adress som är ansluten till azure App Service FTP-gränssnittet hittades i Threat Intelligence
(AppServices_IncomingTiClientIpFtp)
Beskrivning: Azure App Service FTP-loggen anger en anslutning från en källadress som hittades i hotinformationsflödet. Under den här anslutningen har en användare använt sidorna i listan. (Gäller för: App Service i Windows och App Service i Linux)
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
Försök att köra högprivilegier har identifierats
(AppServices_HighPrivilegeCommand)
Beskrivning: Analys av App Service-processer upptäckte ett försök att köra ett kommando som kräver hög behörighet. Kommandot kördes i webbprogramkontexten. Det här beteendet kan vara legitimt, men i webbprogram observeras även det här beteendet i skadliga aktiviteter. (Gäller för: App Service i Windows)
MITRE-taktik: -
Allvarlighetsgrad: Medel
Kommunikation med misstänkt domän identifierad av hotinformation
(AzureDNS_ThreatIntelSuspectDomain)
Beskrivning: Kommunikation med misstänkt domän upptäcktes genom att analysera DNS-transaktioner från din resurs och jämföra med kända skadliga domäner som identifieras av hotinformationsflöden. Kommunikation till skadliga domäner utförs ofta av angripare och kan innebära att din resurs komprometteras.
MITRE-taktik: Initial åtkomst, beständighet, körning, kommando och kontroll, utnyttjande
Allvarlighetsgrad: Medel
Anslutning till webbsida från avvikande IP-adress har identifierats
(AppServices_AnomalousPageAccess)
Beskrivning: Azure App Service-aktivitetsloggen anger en avvikande anslutning till en känslig webbsida från den angivna käll-IP-adressen. Detta kan tyda på att någon försöker utföra en råstyrkeattack på dina webbappsadministrationssidor. Det kan också bero på att en ny IP-adress används av en legitim användare. Om källans IP-adress är betrodd kan du på ett säkert sätt ignorera den här aviseringen för den här resursen. Information om hur du undertrycker säkerhetsaviseringar finns i Ignorera aviseringar från Microsoft Defender för molnet. (Gäller för: App Service i Windows och App Service i Linux)
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Låg
Dangling DNS-post för en App Service-resurs identifierad
(AppServices_DanglingDomain)
Beskrivning: En DNS-post som pekar på en nyligen borttagen App Service-resurs (även kallad "dangling DNS"-post) har identifierats. Detta gör dig mottaglig för ett underdomänövertagande. Underdomänövertaganden gör det möjligt för skadliga aktörer att omdirigera trafik som är avsedd för en organisations domän till en webbplats som utför skadlig aktivitet. (Gäller för: App Service i Windows och App Service i Linux)
MITRE-taktik: -
Allvarlighetsgrad: Hög
Identifierad kodad körbar fil i kommandoradsdata
(AppServices_Base64EncodedExecutableInCommandLineParams)
Beskrivning: Analys av värddata på {Komprometterad värd} identifierade en base-64-kodad körbar fil. Detta har tidigare associerats med angripare som försöker konstruera körbara filer i farten genom en sekvens med kommandon och försöker undvika intrångsidentifieringssystem genom att säkerställa att inget enskilt kommando utlöser en avisering. Detta kan vara legitim aktivitet eller en indikation på en komprometterad värd. (Gäller för: App Service i Windows)
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Hög
Filnedladdning från en känd skadlig källa har identifierats
(AppServices_SuspectDownload)
Beskrivning: Analys av värddata har upptäckt nedladdningen av en fil från en känd källa för skadlig kod på värden. (Gäller för: App Service i Linux)
MITRE-taktik: Privilege Escalation, Execution, Exfiltration, Command and Control
Allvarlighetsgrad: Medel
Misstänkt filnedladdning har identifierats
(AppServices_SuspectDownloadArtifacts)
Beskrivning: Analys av värddata har upptäckt misstänkt nedladdning av fjärrfil. (Gäller för: App Service i Linux)
MITRE-taktik: Beständighet
Allvarlighetsgrad: Medel
Digitalt valutautvinningsrelaterat beteende har identifierats
(AppServices_DigitalCurrencyMining)
Beskrivning: Analys av värddata på Inn-Flow-WebJobs identifierade körningen av en process eller ett kommando som normalt är associerat med utvinning av digital valuta. (Gäller för: App Service i Windows och App Service i Linux)
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
Körbar avkodad med certutil
(AppServices_ExecutableDecodedUsingCertutil)
Beskrivning: Analys av värddata på [komprometterad entitet] upptäckte att certutil.exe, ett inbyggt administratörsverktyg, användes för att avkoda en körbar fil i stället för dess mainstream-syfte som rör manipulering av certifikat och certifikatdata. Angripare är kända för att missbruka funktioner hos legitima administratörsverktyg för att utföra skadliga åtgärder, till exempel med ett verktyg som certutil.exe, för att avkoda en skadlig körbar fil som sedan ska köras. (Gäller för: App Service i Windows)
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Hög
Fillöst attackbeteende har identifierats
(AppServices_FilelessAttackBehaviorDetection)
Beskrivning: Minnet av processen som anges nedan innehåller beteenden som ofta används av fillösa attacker. Specifika beteenden är: {lista över observerade beteenden} (gäller för: App Service i Windows och App Service i Linux)
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Fillös attackteknik har identifierats
(AppServices_FilelessAttackTechniqueDetection)
Beskrivning: Minnet av processen som anges nedan innehåller bevis på en fillös attackteknik. Fillösa attacker används av angripare för att köra kod vid undvikande av identifiering av säkerhetsprogramvara. Specifika beteenden är: {lista över observerade beteenden} (gäller för: App Service i Windows och App Service i Linux)
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
Fillös attackverktyg har identifierats
(AppServices_FilelessAttackToolkitDetection)
Beskrivning: Minnet av processen som anges nedan innehåller en fillös attackverktyg: {ToolKitName}. Fillösa attackverktyg har vanligtvis inte någon närvaro i filsystemet, vilket gör det svårt att identifiera traditionella antivirusprogram. Specifika beteenden är: {lista över observerade beteenden} (gäller för: App Service i Windows och App Service i Linux)
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Hög
Testavisering för Microsoft Defender för molnet för App Service (inte ett hot)
(AppServices_EICAR)
Beskrivning: Det här är en testavisering som genereras av Microsoft Defender för molnet. Ingen ytterligare åtgärd krävs. (Gäller för: App Service i Windows och App Service i Linux)
MITRE-taktik: -
Allvarlighetsgrad: Hög
NMap-genomsökning har identifierats
(AppServices_Nmap)
Beskrivning: Azure App Service-aktivitetsloggen anger en möjlig aktivitet med fingeravtryck på din App Service-resurs. Den misstänkta aktiviteten som identifieras är associerad med NMAP. Angripare använder ofta det här verktyget för att söka efter säkerhetsrisker i webbprogrammet. (Gäller för: App Service i Windows och App Service i Linux)
MITRE-taktik: PreAttack
Allvarlighetsgrad: Information
Nätfiskeinnehåll som finns i Azure Webapps
(AppServices_PhishingContent)
Beskrivning: URL som används för nätfiskeattacker som finns på Azure AppServices webbplats. Den här URL:en var en del av en nätfiskeattack som skickades till Microsoft 365-kunder. Innehållet lockar vanligtvis besökare att ange sina företagsautentiseringsuppgifter eller finansiell information på en legitim webbplats. (Gäller för: App Service i Windows och App Service i Linux)
MITRE-taktik: Samling
Allvarlighetsgrad: Hög
PHP-fil i uppladdningsmapp
(AppServices_PhpInUploadFolder)
Beskrivning: Azure App Service-aktivitetsloggen anger en åtkomst till en misstänkt PHP-sida som finns i uppladdningsmappen. Den här typen av mapp innehåller vanligtvis inte PHP-filer. Förekomsten av den här typen av fil kan tyda på ett utnyttjande som utnyttjar sårbarheter för godtycklig filuppladdning. (Gäller för: App Service i Windows och App Service i Linux)
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Möjlig nedladdning av Cryptocoinminer har identifierats
(AppServices_CryptoCoinMinerDownload)
Beskrivning: Analys av värddata har upptäckt nedladdningen av en fil som normalt är associerad med utvinning av digital valuta. (Gäller för: App Service i Linux)
MITRE-taktik: Försvarsundandragande, kommando och kontroll, utnyttjande
Allvarlighetsgrad: Medel
Möjlig dataexfiltrering har identifierats
(AppServices_DataEgressArtifacts)
Beskrivning: Analys av värd-/enhetsdata identifierade ett möjligt datautgående villkor. Angripare tar ofta ut data från datorer som de har komprometterat. (Gäller för: App Service i Linux)
MITRE-taktik: Samling, Exfiltrering
Allvarlighetsgrad: Medel
Potentiell dangling DNS-post för en App Service-resurs har identifierats
(AppServices_PotentialDanglingDomain)
Beskrivning: En DNS-post som pekar på en nyligen borttagen App Service-resurs (även kallad "dangling DNS"-post) har identifierats. Detta kan göra dig mottaglig för ett underdomänövertagande. Underdomänövertaganden gör det möjligt för skadliga aktörer att omdirigera trafik som är avsedd för en organisations domän till en webbplats som utför skadlig aktivitet. I det här fallet hittades en textpost med domänverifierings-ID:t. Sådana textposter förhindrar underdomänövertagande, men vi rekommenderar ändå att du tar bort dangling-domänen. Om du lämnar DNS-posten pekar på underdomänen är du i riskzonen om någon i din organisation tar bort TXT-filen eller posten i framtiden. (Gäller för: App Service i Windows och App Service i Linux)
MITRE-taktik: -
Allvarlighetsgrad: Låg
Potentiellt omvändt gränssnitt har identifierats
(AppServices_ReverseShell)
Beskrivning: Analys av värddata identifierade ett potentiellt omvändt gränssnitt. Dessa används för att få en komprometterad dator att anropa tillbaka till en dator som en angripare äger. (Gäller för: App Service i Linux)
MITRE-taktik: Exfiltrering, exploatering
Allvarlighetsgrad: Medel
Nedladdning av rådata har identifierats
(AppServices_DownloadCodeFromWebsite)
Beskrivning: Analys av App Service-processer upptäckte ett försök att ladda ned kod från rådatawebbplatser som Pastebin. Den här åtgärden kördes av en PHP-process. Det här beteendet är kopplat till försök att ladda ned webbgränssnitt eller andra skadliga komponenter till App Service. (Gäller för: App Service i Windows)
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Spara curl-utdata till disk identifierad
(AppServices_CurlToDisk)
Beskrivning: Analys av App Service-processer identifierade körningen av ett curl-kommando där utdata sparades på disken. Det här beteendet kan vara legitimt, men i webbprogram observeras även det här beteendet i skadliga aktiviteter, till exempel försök att infektera webbplatser med webbgränssnitt. (Gäller för: App Service i Windows)
MITRE-taktik: -
Allvarlighetsgrad: Låg
Mappreferens för skräppost har identifierats
(AppServices_SpamReferrer)
Beskrivning: Aktivitetsloggen i Azure App Service anger webbaktivitet som har identifierats som från en webbplats som är associerad med skräppostaktivitet. Detta kan inträffa om din webbplats komprometteras och används för skräppostaktivitet. (Gäller för: App Service i Windows och App Service i Linux)
MITRE-taktik: -
Allvarlighetsgrad: Låg
Misstänkt åtkomst till potentiellt sårbar webbsida har identifierats
(AppServices_ScanSensitivePage)
Beskrivning: Aktivitetsloggen i Azure App Service anger en webbsida som verkar vara känslig. Den här misstänkta aktiviteten kommer från en käll-IP-adress vars åtkomstmönster liknar en webbskanners. Den här aktiviteten är ofta associerad med ett försök av en angripare att genomsöka nätverket för att försöka få åtkomst till känsliga eller sårbara webbsidor. (Gäller för: App Service i Windows och App Service i Linux)
MITRE-taktik: -
Allvarlighetsgrad: Låg
Referens för misstänkt domännamn
(AppServices_CommandlineSuspectDomain)
Beskrivning: Analys av värddata upptäckt referens till misstänkt domännamn. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, är ofta en indikation på nedladdning eller körning av skadlig programvara. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av ytterligare skadlig programvara eller fjärradministrationsverktyg. (Gäller för: App Service i Linux)
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Låg
Misstänkt nedladdning med Certutil har identifierats
(AppServices_DownloadUsingCertutil)
Beskrivning: Analys av värddata på {NAME} identifierade användningen av certutil.exe, ett inbyggt administratörsverktyg, för nedladdning av en binär fil i stället för dess mainstream-syfte som relaterar till att manipulera certifikat och certifikatdata. Angripare är kända för att missbruka funktioner i legitima administratörsverktyg för att utföra skadliga åtgärder, till exempel med hjälp av certutil.exe för att ladda ned och avkoda en skadlig körbar fil som sedan kommer att köras. (Gäller för: App Service i Windows)
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Misstänkt PHP-körning har identifierats
(AppServices_SuspectPhp)
Beskrivning: Datorloggar visar att en misstänkt PHP-process körs. Åtgärden inkluderade ett försök att köra operativsystemkommandon eller PHP-kod från kommandoraden med hjälp av PHP-processen. Även om det här beteendet kan vara legitimt kan det här beteendet i webbprogram tyda på skadliga aktiviteter, till exempel försök att infektera webbplatser med webbgränssnitt. (Gäller för: App Service i Windows och App Service i Linux)
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Misstänkta PowerShell-cmdletar körs
(AppServices_PowerShellPowerSploitScriptExecution)
Beskrivning: Analys av värddata indikerar körning av kända skadliga PowerShell PowerSploit-cmdletar. (Gäller för: App Service i Windows)
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Misstänkt process har körts
(AppServices_KnownCredential AccessTools)
Beskrivning: Datorloggar indikerar att den misstänkta processen: %{process path} kördes på datorn, ofta associerad med angripares försök att komma åt autentiseringsuppgifter. (Gäller för: App Service i Windows)
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Hög
Misstänkt processnamn har identifierats
(AppServices_ProcessWithKnownSuspiciousExtension)
Beskrivning: Analys av värddata på {NAME} identifierade en process vars namn är misstänkt, till exempel motsvarande ett känt verktyg för angripare eller namngivet på ett sätt som tyder på angripares verktyg som försöker dölja i klarsynthet. Den här processen kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats. (Gäller för: App Service i Windows)
MITRE-taktik: Beständighet, försvarsundandragande
Allvarlighetsgrad: Medel
Misstänkt SVCHOST-process körs
(AppServices_SVCHostFromInvalidPath)
Beskrivning: Systemprocessen SVCHOST observerades köras i en onormal kontext. Skadlig kod använder ofta SVCHOST för att maskera dess skadliga aktivitet. (Gäller för: App Service i Windows)
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Hög
Misstänkt användaragent har identifierats
(AppServices_UserAgentInjection)
Beskrivning: Aktivitetsloggen i Azure App Service anger begäranden med misstänkt användaragent. Det här beteendet kan tyda på försök att utnyttja en säkerhetsrisk i App Service-programmet. (Gäller för: App Service i Windows och App Service i Linux)
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Information
Misstänkt WordPress-temaanrop har identifierats
(AppServices_WpThemeInjection)
Beskrivning: Azure App Service-aktivitetsloggen anger en möjlig kodinmatningsaktivitet på din App Service-resurs. Den misstänkta aktiviteten som identifieras liknar en manipulering av WordPress-temat för att stödja körning av kod på serversidan, följt av en direkt webbbegäran om att anropa den manipulerade temafilen. Den här typen av aktivitet sågs tidigare som en del av en attackkampanj över WordPress. Om din App Service-resurs inte är värd för en WordPress-webbplats är den inte sårbar för den här specifika kodinmatningsexploateringen och du kan på ett säkert sätt undertrycka den här aviseringen för resursen. Information om hur du undertrycker säkerhetsaviseringar finns i Ignorera aviseringar från Microsoft Defender för molnet. (Gäller för: App Service i Windows och App Service i Linux)
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
Sårbarhetsskanner identifierad
(AppServices_DrupalScanner)
Beskrivning: Azure App Service-aktivitetsloggen anger att en möjlig sårbarhetsskanner användes på din App Service-resurs. Den misstänkta aktiviteten som identifieras liknar den för verktyg som riktar sig mot ett innehållshanteringssystem (CMS). Om din App Service-resurs inte är värd för en Drupal-webbplats är den inte sårbar för den här specifika kodinmatningsexploateringen och du kan på ett säkert sätt undertrycka den här aviseringen för resursen. Information om hur du undertrycker säkerhetsaviseringar finns i Ignorera aviseringar från Microsoft Defender för molnet. (Gäller för: App Service i Windows)
MITRE-taktik: PreAttack
Allvarlighetsgrad: Låg
Sårbarhetsskanner identifierad (Joomla)
(AppServices_JoomlaScanner)
Beskrivning: Azure App Service-aktivitetsloggen anger att en möjlig sårbarhetsskanner användes på din App Service-resurs. Den misstänkta aktiviteten som identifieras liknar den för verktyg som riktar sig till Joomla-program. Om din App Service-resurs inte är värd för en Joomla-webbplats är den inte sårbar för den här specifika kodinmatningsexploateringen och du kan på ett säkert sätt förhindra den här aviseringen för resursen. Information om hur du undertrycker säkerhetsaviseringar finns i Ignorera aviseringar från Microsoft Defender för molnet. (Gäller för: App Service i Windows och App Service i Linux)
MITRE-taktik: PreAttack
Allvarlighetsgrad: Låg
Sårbarhetsskanner identifierad (WordPress)
(AppServices_WpScanner)
Beskrivning: Azure App Service-aktivitetsloggen anger att en möjlig sårbarhetsskanner användes på din App Service-resurs. Den misstänkta aktiviteten som identifieras liknar den för verktyg som riktar sig till WordPress-program. Om din App Service-resurs inte är värd för en WordPress-webbplats är den inte sårbar för den här specifika kodinmatningsexploateringen och du kan på ett säkert sätt undertrycka den här aviseringen för resursen. Information om hur du undertrycker säkerhetsaviseringar finns i Ignorera aviseringar från Microsoft Defender för molnet. (Gäller för: App Service i Windows och App Service i Linux)
MITRE-taktik: PreAttack
Allvarlighetsgrad: Låg
Webb fingeravtryck har identifierats
(AppServices_WebFingerprinting)
Beskrivning: Azure App Service-aktivitetsloggen anger en möjlig aktivitet med fingeravtryck på din App Service-resurs. Den misstänkta aktiviteten som identifieras är associerad med ett verktyg som kallas Blind Elephant. Verktyget fingeravtryck webbservrar och försöker identifiera installerade program och version. Angripare använder ofta det här verktyget för att söka efter säkerhetsrisker i webbprogrammet. (Gäller för: App Service i Windows och App Service i Linux)
MITRE-taktik: PreAttack
Allvarlighetsgrad: Medel
Webbplatsen taggas som skadlig i hotinformationsflödet
(AppServices_SmartScreen)
Beskrivning: Webbplatsen enligt beskrivningen nedan är markerad som en skadlig webbplats av Windows SmartScreen. Om du tror att det här är en falsk positiv identifiering kontaktar du Windows SmartScreen via länken för rapportfeedback. (Gäller för: App Service i Windows och App Service i Linux)
MITRE-taktik: Samling
Allvarlighetsgrad: Medel
Kommentar
För aviseringar som är i förhandsversion: Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.