Výstrahy pro službu Aplikace Azure Service

Tento článek uvádí výstrahy zabezpečení, které můžete získat pro službu Aplikace Azure z programu Microsoft Defender for Cloud a všech plánů Programu Microsoft Defender, které jste povolili. Výstrahy zobrazené ve vašem prostředí závisí na prostředcích a službách, které chráníte, a na vlastní konfiguraci.

Přečtěte si, jak na tato upozornění reagovat.

Zjistěte, jak exportovat upozornění.

Další podrobnosti a poznámky

(AppServices_LinuxCommandOnWindows)

Popis: Analýza procesů služby App Service zjistila pokus o spuštění příkazu Linuxu ve službě Windows App Service. Tuto akci spustila webová aplikace. Toto chování se často projevuje během kampaní, které zneužívají ohrožení zabezpečení v běžné webové aplikaci. (Platí pro: App Service ve Windows)

Taktika MITRE: -

Závažnost: Střední

(AppServices_IncomingTiClientIpFtp)

Popis: Aplikace Azure protokol FTP služby označuje připojení ze zdrojové adresy, která byla nalezena v informačním kanálu analýzy hrozeb. Během tohoto připojení uživatel přistupoval ke stránkám uvedeným. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Počáteční přístup

Závažnost: Střední

(AppServices_HighPrivilegeCommand)

Popis: Analýza procesů služby App Service zjistila pokus o spuštění příkazu, který vyžaduje vysoká oprávnění. Příkaz se spustil v kontextu webové aplikace. I když toto chování může být legitimní, ve webových aplikacích se toto chování také vyskytuje ve škodlivých aktivitách. (Platí pro: App Service ve Windows)

Taktika MITRE: -

Závažnost: Střední

(AzureDNS_ThreatIntelSuspectDomain)

Popis: Komunikace s podezřelou doménou byla zjištěna analýzou transakcí DNS z vašeho prostředku a porovnáním se známými škodlivými doménami identifikovanými informačními kanály analýzy hrozeb. Komunikace se škodlivými doménami se často provádí útočníky a může to znamenat, že dojde k ohrožení vašeho prostředku.

Taktika MITRE: Počáteční přístup, trvalost, spuštění, příkaz a řízení, zneužití

Závažnost: Střední

(AppServices_AnomalousPageAccess)

Popis: Aplikace Azure Protokol aktivit služby označuje neobvyklé připojení k citlivé webové stránce z uvedené zdrojové IP adresy. To může znamenat, že se někdo pokouší o útok hrubou silou na stránky pro správu vaší webové aplikace. Může to být také výsledek nové IP adresy, kterou používá legitimní uživatel. Pokud je zdrojová IP adresa důvěryhodná, můžete tuto výstrahu pro tento prostředek bezpečně potlačit. Informace o tom, jak potlačit výstrahy zabezpečení, najdete v tématu Potlačení výstrah z Programu Microsoft Defender pro cloud. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Počáteční přístup

Závažnost: Nízká

(AppServices_DanglingDomain)

Popis: Byl zjištěn záznam DNS, který odkazuje na nedávno odstraněný prostředek služby App Service (označovaný také jako "položka DNS pro dangling DNS"). To vás nechá náchylné k převzetí subdomény. Převzetí subdomény umožňuje škodlivým účastníkům přesměrovat provoz určený pro doménu organizace na web provádějící škodlivou činnost. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: -

Závažnost: Vysoká

(AppServices_Base64EncodedExecutableInCommandLineParams)

Popis: Analýza dat hostitele na {Ohrožený hostitel} zjistila spustitelný soubor s kódováním base-64. To bylo dříve spojeno s útočníky, kteří se pokusili vytvořit spustitelné soubory v rámci průběžného procházení posloupnosti příkazů a pokusili se vyhnout systémům detekce neoprávněných vniknutí tím, že by se zajistilo, že žádný jednotlivý příkaz neaktivuje výstrahu. Může to být legitimní aktivita nebo označení ohroženého hostitele. (Platí pro: App Service ve Windows)

Taktika MITRE: Obrana před únikem, provádění

Závažnost: Vysoká

(AppServices_SuspectDownload)

Popis: Analýza hostitelských dat zjistila stažení souboru ze známého zdroje malwaru na vašem hostiteli. (Platí pro: App Service v Linuxu)

Taktika MITRE: Eskalace oprávnění, spuštění, exfiltrace, příkaz a řízení

Závažnost: Střední

(AppServices_SuspectDownloadArtifacts)

Popis: Analýza dat hostitele zjistila podezřelé stažení vzdáleného souboru. (Platí pro: App Service v Linuxu)

Taktika MITRE: Trvalost

Závažnost: Střední

(AppServices_DigitalCurrencyMining)

Popis: Analýza hostitelských dat na Inn-Flow-WebJobs zjistila provádění procesu nebo příkazu obvykle spojené s dolováním digitální měny. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Provádění

Závažnost: Vysoká

(AppServices_ExecutableDecodedUsingCertutil)

Popis: Analýza hostitelských dat v [ohrožené entitě] zjistila, že certutil.exe, integrovaný nástroj správce, byl používán k dekódování spustitelného souboru místo jeho hlavního účelu, který souvisí s manipulací s certifikáty a daty certifikátů. O útočnících je známo, že zneužívají funkce legitimních nástrojů pro správce k provádění škodlivých akcí, například pomocí nástroje, jako je certutil.exe, dekódují škodlivý spustitelný soubor, který se následně spustí. (Platí pro: App Service ve Windows)

Taktika MITRE: Obrana před únikem, provádění

Závažnost: Vysoká

(AppServices_FilelessAttackBehaviorDetection)

Popis: Paměť níže uvedeného procesu obsahuje chování běžně používané útoky bez souborů. Mezi konkrétní chování patří: {seznam pozorovaných chování} (platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Provádění

Závažnost: Střední

(AppServices_FilelessAttackTechniqueDetection)

Popis: Paměť níže uvedeného procesu obsahuje důkazy o technice útoku bez souborů. Útoky bez souborů používají útočníci ke spouštění kódu při odstraňování detekce bezpečnostním softwarem. Mezi konkrétní chování patří: {seznam pozorovaných chování} (platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Provádění

Závažnost: Vysoká

(AppServices_FilelessAttackToolkitDetection)

Popis: Paměť níže uvedeného procesu obsahuje sadu nástrojů pro útok bez souborů: {ToolKitName}. Sady nástrojů pro útoky bez souborů obvykle nemají přítomnost v systému souborů, což ztěžuje detekci tradičního antivirového softwaru. Mezi konkrétní chování patří: {seznam pozorovaných chování} (platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Obrana před únikem, provádění

Závažnost: Vysoká

(AppServices_EICAR)

Popis: Toto je testovací výstraha vygenerovaná programem Microsoft Defender for Cloud. Nevyžaduje se žádná další akce. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: -

Závažnost: Vysoká

(AppServices_Nmap)

Popis: Aplikace Azure protokol aktivit služby označuje možnou aktivitu otisku prstu na webu u vašeho prostředku služby App Service. Zjištěná podezřelá aktivita je přidružená k NMAP. Útočníci často používají tento nástroj ke zjišťování ohrožení zabezpečení webové aplikace. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Předběžné připojení

Závažnost: Informační

(AppServices_PhishingContent)

Popis: Adresa URL použitá pro útok phishing nalezený na webu Aplikace Azure Services. Tato adresa URL byla součástí útoku phishing odeslaného zákazníkům Microsoftu 365. Obsah obvykle láká návštěvníky k zadávání firemních přihlašovacích údajů nebo finančních informací na legitimní web. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Kolekce

Závažnost: Vysoká

(AppServices_PhpInUploadFolder)

Popis: Aplikace Azure Protokol aktivit služby označuje přístup k podezřelé stránce PHP umístěné ve složce pro nahrání. Tento typ složky obvykle neobsahuje soubory PHP. Existence tohoto typu souboru může znamenat zneužití, které využívá ohrožení zabezpečení spočívající v nahrání libovolného souboru. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Provádění

Závažnost: Střední

(AppServices_CryptoCoinMinerDownload)

Popis: Analýza hostitelských dat zjistila stažení souboru, který je obvykle přidružen k dolování digitální měny. (Platí pro: App Service v Linuxu)

Taktika MITRE: Obrana před únikem, velitelství a řízení, zneužití

Závažnost: Střední

(AppServices_DataEgressArtifacts)

Popis: Analýza dat hostitele nebo zařízení zjistila možnou podmínku výchozího přenosu dat. Útočníci často zasílají data z počítačů, u kterých došlo k ohrožení zabezpečení. (Platí pro: App Service v Linuxu)

Taktika MITRE: Kolekce, Exfiltrace

Závažnost: Střední

(AppServices_PotentialDanglingDomain)

Popis: Byl zjištěn záznam DNS, který odkazuje na nedávno odstraněný prostředek služby App Service (označovaný také jako "položka DNS pro dangling DNS"). To může být náchylné k převzetí subdomény. Převzetí subdomény umožňuje škodlivým účastníkům přesměrovat provoz určený pro doménu organizace na web provádějící škodlivou činnost. V tomto případě byl nalezen textový záznam s ID ověření domény. Takové textové záznamy brání převzetí subdomény, ale přesto doporučujeme odebrat dangling doménu. Pokud necháte záznam DNS odkazující na subdoménu, riskujete, pokud někdo z vaší organizace odstraní soubor TXT nebo záznam v budoucnu. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: -

Závažnost: Nízká

(AppServices_ReverseShell)

Popis: Analýza dat hostitele zjistila potenciální reverzní prostředí. Používají se k získání ohroženého počítače, který by útočníkovi volal zpět do počítače. (Platí pro: App Service v Linuxu)

Taktika MITRE: Exfiltrace, zneužití

Závažnost: Střední

(AppServices_DownloadCodeFromWebsite)

Popis: Analýza procesů služby App Service zjistila pokus o stažení kódu z nezpracovaných webů, jako je pastebin. Tuto akci spustil proces PHP. Toto chování je spojené s pokusy o stažení webových prostředí nebo jiných škodlivých komponent do služby App Service. (Platí pro: App Service ve Windows)

Taktika MITRE: Provádění

Závažnost: Střední

(AppServices_CurlToDisk)

Popis: Analýza procesů služby App Service zjistila spuštění příkazu curl, ve kterém byl výstup uložen na disk. I když toto chování může být legitimní, ve webových aplikacích se toto chování také vyskytuje ve škodlivých aktivitách, jako jsou pokusy o nakazování webů webovými prostředími. (Platí pro: App Service ve Windows)

Taktika MITRE: -

Závažnost: Nízká

(AppServices_SpamReferrer)

Popis: Aplikace Azure Protokol aktivit služby označuje webovou aktivitu, která byla identifikována jako pocházející z webu přidruženého k spamové aktivitě. K tomu může dojít v případě ohrožení vašeho webu a jeho použití pro aktivitu spamu. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: -

Závažnost: Nízká

(AppServices_ScanSensitivePage)

Popis: Aplikace Azure protokol aktivit služby označuje webovou stránku, která se zdá být citlivá, byla přístupná. Tato podezřelá aktivita pochází ze zdrojové IP adresy, jejíž vzor přístupu se podobá vzoru webového skeneru. Tato aktivita je často spojena s pokusem útočníka o kontrolu sítě a pokusu o získání přístupu k citlivým nebo ohroženým webovým stránkám. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: -

Závažnost: Nízká

(AppServices_CommandlineSuspectDomain)

Popis: Analýza dat hostitele zjistila odkaz na podezřelý název domény. Tato aktivita, zatímco pravděpodobně legitimní chování uživatelů, je často indikací stažení nebo spuštění škodlivého softwaru. Typická aktivita související s útočníkem pravděpodobně zahrnuje stažení a spuštění dalšího škodlivého softwaru nebo nástrojů pro vzdálenou správu. (Platí pro: App Service v Linuxu)

Taktika MITRE: Exfiltrace

Závažnost: Nízká

(AppServices_DownloadUsingCertutil)

Popis: Analýza hostitelských dat na serveru {NAME} zjistila použití certutil.exe, integrovaného nástroje správce pro stahování binárního souboru místo jeho hlavního účelu, který souvisí s manipulací s certifikáty a daty certifikátů. Útočníci znají zneužití funkcí legitimních nástrojů správce k provádění škodlivých akcí, například pomocí certutil.exe ke stažení a dekódování škodlivého spustitelného souboru, který se následně spustí. (Platí pro: App Service ve Windows)

Taktika MITRE: Provádění

Závažnost: Střední

(AppServices_SuspectPhp)

Popis: Protokoly počítačů označují, že je spuštěn podezřelý proces PHP. Akce zahrnovala pokus o spuštění příkazů operačního systému nebo kódu PHP z příkazového řádku pomocí procesu PHP. I když toto chování může být legitimní, může toto chování ve webových aplikacích znamenat škodlivé aktivity, jako jsou pokusy o infikování webů webovými prostředími. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Provádění

Závažnost: Střední

(AppServices_PowerShellPowerSploitScriptExecution)

Popis: Analýza dat hostitele indikuje spuštění známých škodlivých rutin PowerShell PowerSploit. (Platí pro: App Service ve Windows)

Taktika MITRE: Provádění

Závažnost: Střední

(AppServices_KnownCredential AccessTools)

Popis: Protokoly počítačů označují, že podezřelý proces: %{cesta procesu} byla spuštěna na počítači, což je často spojeno s pokusy útočníka o přístup k přihlašovacím údajům. (Platí pro: App Service ve Windows)

Taktika MITRE: Přístup k přihlašovacím údajům

Závažnost: Vysoká

(AppServices_ProcessWithKnownSuspiciousExtension)

Popis: Analýza hostitelských dat v nástroji {NAME} zjistila proces, jehož název je podezřelý, například odpovídající známému nástroji útočníka nebo pojmenovaným způsobem, který naznačuje nástroje útočníka, které se snaží skrýt v prostém dohledu. Tento proces může být legitimní aktivitou nebo indikací, že došlo k ohrožení jednoho z vašich počítačů. (Platí pro: App Service ve Windows)

Taktika MITRE: trvalost, obranná úniky

Závažnost: Střední

(AppServices_SVCHostFromInvalidPath)

Popis: Systémový proces SVCHOST byl pozorován spuštěný v neobvyklém kontextu. Malware často používá SVCHOST k maskování škodlivé aktivity. (Platí pro: App Service ve Windows)

Taktika MITRE: Obrana před únikem, provádění

Závažnost: Vysoká

(AppServices_UserAgentInjection)

Popis: Aplikace Azure protokol aktivit služby indikuje požadavky s podezřelým uživatelským agentem. Toto chování může značit pokusy o zneužití chyby zabezpečení ve vaší aplikaci služby App Service. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Počáteční přístup

Závažnost: Informační

(AppServices_WpThemeInjection)

Popis: Aplikace Azure protokol aktivit služby označuje možnou aktivitu injektáže kódu u vašeho prostředku služby App Service. Zjištěná podezřelá aktivita se podobá manipulaci s motivem WordPress, která podporuje provádění kódu na straně serveru, následované přímým webovým požadavkem na vyvolání manipulovaného souboru motivu. Tento typ aktivity byl zobrazen v minulosti jako součást kampaně útoku přes WordPress. Pokud váš prostředek služby App Service není hostitelem webu WordPress, není ohrožený tímto konkrétním zneužitím injektáže kódu a můžete toto upozornění bezpečně potlačit pro daný prostředek. Informace o tom, jak potlačit výstrahy zabezpečení, najdete v tématu Potlačení výstrah z Programu Microsoft Defender pro cloud. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Provádění

Závažnost: Vysoká

(AppServices_DrupalScanner)

Popis: Aplikace Azure protokol aktivit služby indikuje, že se ve vašem prostředku služby App Service použila možná kontrola ohrožení zabezpečení. Zjištěná podezřelá aktivita se podobá nástroji, které cílí na systém správy obsahu (CMS). Pokud váš prostředek služby App Service není hostitelem webu Drupal, není ohrožený tímto konkrétním zneužitím injektáže kódu a můžete toto upozornění bezpečně potlačit pro daný prostředek. Informace o tom, jak potlačit výstrahy zabezpečení, najdete v tématu Potlačení výstrah z Programu Microsoft Defender pro cloud. (Platí pro: App Service ve Windows)

Taktika MITRE: Předběžné připojení

Závažnost: Nízká

(AppServices_JoomlaScanner)

Popis: Aplikace Azure protokol aktivit služby indikuje, že se ve vašem prostředku služby App Service použila možná kontrola ohrožení zabezpečení. Podezřelá aktivita se zjistila podobně jako nástroje cílené na aplikace Typu. Pokud váš prostředek služby App Service není hostitelem webu Macu, není ohrožený tímto konkrétním zneužitím injektáže kódu a můžete toto upozornění bezpečně potlačit pro daný prostředek. Informace o tom, jak potlačit výstrahy zabezpečení, najdete v tématu Potlačení výstrah z Programu Microsoft Defender pro cloud. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Předběžné připojení

Závažnost: Nízká

(AppServices_WpScanner)

Popis: Aplikace Azure protokol aktivit služby indikuje, že se ve vašem prostředku služby App Service použila možná kontrola ohrožení zabezpečení. Podezřelá aktivita se zjistila podobně jako nástroje, které cílí na aplikace WordPress. Pokud váš prostředek služby App Service není hostitelem webu WordPress, není ohrožený tímto konkrétním zneužitím injektáže kódu a můžete toto upozornění bezpečně potlačit pro daný prostředek. Informace o tom, jak potlačit výstrahy zabezpečení, najdete v tématu Potlačení výstrah z Programu Microsoft Defender pro cloud. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Předběžné připojení

Závažnost: Nízká

(AppServices_WebFingerprinting)

Popis: Aplikace Azure protokol aktivit služby označuje možnou aktivitu otisku prstu na webu u vašeho prostředku služby App Service. Zjištěná podezřelá aktivita je spojena s nástrojem s názvem Slepý slon. Webové servery otisku prstu nástroje a pokusí se rozpoznat nainstalované aplikace a verzi. Útočníci často používají tento nástroj ke zjišťování ohrožení zabezpečení webové aplikace. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Předběžné připojení

Závažnost: Střední

(AppServices_SmartScreen)

Popis: Web, jak je popsáno níže, je označen jako škodlivý web filtrem Windows SmartScreen. Pokud si myslíte, že se jedná o falešně pozitivní, obraťte se na filtr Windows SmartScreen prostřednictvím poskytnutého odkazu na zpětnou vazbu sestavy. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Kolekce

Závažnost: Střední

• Výstrahy zabezpečení v Programu Microsoft Defender pro cloud
• Správa a zpracování výstrah zabezpečení v Microsoft Defenderu for Cloud
• Průběžný export defenderu pro cloudová data