Partager via


Alertes pour Azure App Service

Cet article répertorie les alertes de sécurité que vous pouvez obtenir pour Azure App Service à partir de Microsoft Defender pour le cloud et de tous les plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.

Remarque

Certaines des alertes récemment ajoutées alimentées par Veille des menaces Microsoft Defender et Microsoft Defender pour point de terminaison peuvent être non documentées.

Découvrez comment répondre à ces alertes.

Découvrez comment exporter des alertes.

Notes

Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.

Alertes Azure App Service

Informations complémentaires et notes

Tentative d’exécution de commandes Linux sur un service d’application Windows

(AppServices_LinuxCommandOnWindows)

Description : l’analyse des processus App Service a détecté une tentative d’exécution d’une commande Linux sur un Service d’application Windows. Cette action s’exécutait aux côtés de l’application web. Ce comportement est souvent observé pendant les campagnes qui exploitent une vulnérabilité dans une application web courante. (S’applique à : App Service sur Windows)

Tactiques MITRE : -

Gravité : moyenne

Une adresse IP qui s’est connectée à votre interface FTP Azure App Service a été trouvée dans Threat Intelligence

(AppServices_IncomingTiClientIpFtp)

Description : le journal FTP Azure App Service indique une connexion à partir d’une adresse source trouvée dans le flux de renseignement sur les menaces. Durant cette connexion, un utilisateur a accédé aux pages listées. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : Accès initial

Gravité : moyenne

Détection d’une tentative d’exécution d’une commande qui requiert des privilèges élevés

(AppServices_HighPrivilegeCommand)

Description : l’analyse des processus App Service a détecté une tentative d’exécution d’une commande nécessitant des privilèges élevés. La commande s’est exécutée dans le contexte de l’application web. Bien que ce comportement puisse être légitime, il est également constaté dans les applications web au travers d’activités malveillantes. (S’applique à : App Service sur Windows)

Tactiques MITRE : -

Gravité : moyenne

Communication avec un domaine suspect identifié par le renseignement sur les menaces

(AzureDNS_ThreatIntelSuspectDomain)

Description : La communication avec un domaine suspect a été détectée en analysant les transactions DNS de votre ressource et en comparant les domaines malveillants connus identifiés par les flux de renseignement sur les menaces. La communication avec des domaines malveillants est souvent effectuée par des attaquants et pourrait indiquer que votre ressource est compromise.

Tactiques MITRE : accès initial, persistance, exécution, commande et contrôle, exploitation

Gravité : moyenne

Détection d’une connexion à une page web à partir d’une adresse IP anormale

(AppServices_AnomalousPageAccess)

Description : le journal d’activité Azure App Service indique une connexion anormale à une page web sensible à partir de l’adresse IP source répertoriée. Cette situation peut indiquer que quelqu’un tente une attaque par force brute dans les pages d’administration de votre application web. Elle peut également être le résultat de l’utilisation d’une nouvelle adresse IP par un utilisateur légitime. Si l’adresse IP source est approuvée, vous pouvez supprimer cette alerte pour cette ressource sans problème. Pour savoir comment supprimer des alertes de sécurité, consultez Supprimer les alertes de Microsoft Defender pour le cloud. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : Accès initial

Gravité : faible

Détection d’un enregistrement DNS non résolu pour une ressource App Service

(AppServices_DanglingDomain)

Description : un enregistrement DNS qui pointe vers une ressource App Service récemment supprimée (également appelée entrée « dns déchiffrant ») a été détecté. Cela vous rend vulnérable à une prise de contrôle de sous-domaine. Les prises de contrôle de sous-domaines permettent à des acteurs malveillants de rediriger le trafic destiné au domaine d’une organisation vers un site effectuant une activité malveillante. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : -

Gravité : élevée

Détection d’un fichier exécutable encodé dans les données de la ligne de commande

(AppServices_Base64EncodedExecutableInCommandLineParams)

Description : l’analyse des données de l’hôte sur {Hôte compromis} a détecté un exécutable codé en base 64. Cette opération a déjà été associée à des attaquants tentant de construire des exécutables à la volée via une séquence de commandes, et tentant d’échapper aux systèmes de détection d’intrusion en veillant à ce qu’aucune commande ne déclenche d’alerte. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis. (S’applique à : App Service sur Windows)

Tactiques MITRE : Évasion de défense, Exécution

Gravité : élevée

Détection de téléchargements de fichiers à partir d’une source malveillante connue

(AppServices_SuspectDownload)

Description : l’analyse des données de l’hôte a détecté le téléchargement d’un fichier à partir d’une source de programmes malveillants connue sur votre hôte. (S’applique à : App Service sur Linux)

Tactiques MITRE : escalade de privilèges, exécution, exfiltration, commande et contrôle

Gravité : moyenne

Détection d’un téléchargement de fichier suspect

(AppServices_SuspectDownloadArtifacts)

Description : l’analyse des données de l’hôte a détecté un téléchargement suspect du fichier distant. (S’applique à : App Service sur Linux)

Tactiques MITRE : Persistance

Gravité : moyenne

(AppServices_DigitalCurrencyMining)

Description : l’analyse des données hôtes sur Inn-Flow-WebJobs a détecté l’exécution d’un processus ou d’une commande normalement associé à l’exploration de devises numériques. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : Exécution

Gravité : élevée

Exécutable décodé à l’aide de certutil

(AppServices_ExecutableDecodedUsingCertutil)

Description : l’analyse des données de l’hôte sur [entité compromise] a détecté que certutil.exe, un utilitaire d’administrateur intégré, était utilisé pour décoder un exécutable au lieu de son objectif standard lié à la manipulation de certificats et de données de certificat. Les attaquants sont connus pour abuser des fonctionnalités d’outils d’administration légitimes afin d’effectuer des actions malveillantes, par exemple en utilisant un outil comme certutil.exe pour décoder un fichier exécutable qui sera ensuite exécuté. (S’applique à : App Service sur Windows)

Tactiques MITRE : Évasion de défense, Exécution

Gravité : élevée

Comportement d’attaque sans fichier détecté

(AppServices_FilelessAttackBehaviorDetection)

Description : la mémoire du processus spécifié ci-dessous contient des comportements couramment utilisés par les attaques sans fichier. Les comportements spécifiques sont les suivants : {liste des comportements observés} (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : Exécution

Gravité : moyenne

Technique d’attaque sans fichier détectée

(AppServices_FilelessAttackTechniqueDetection)

Description : la mémoire du processus spécifié ci-dessous contient des preuves d’une technique d’attaque sans fichier. Les attaques sans fichier sont utilisées par les attaquants pour exécuter du code tout en échappant à la détection par le logiciel de sécurité. Les comportements spécifiques sont les suivants : {liste des comportements observés} (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : Exécution

Gravité : élevée

Kit d’attaques sans fichier détecté

(AppServices_FilelessAttackToolkitDetection)

Description : la mémoire du processus spécifié ci-dessous contient un kit de ressources d’attaque sans fichier : {ToolKitName}. Les kits d’attaques sans fichier ne sont généralement pas présents sur le système de fichiers, ce qui rend difficile la détection par un logiciel antivirus traditionnel. Les comportements spécifiques sont les suivants : {liste des comportements observés} (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : Évasion de défense, Exécution

Gravité : élevée

Alerte de test Microsoft Defender pour le cloud pour App Service (pas une menace)

(AppServices_EICAR)

Description : il s’agit d’une alerte de test générée par Microsoft Defender pour le cloud. Aucune action supplémentaire n’est requise. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : -

Gravité : élevée

Analyse NMap détectée

(AppServices_Nmap)

Description : le journal d’activité Azure App Service indique une activité d’empreinte digitale web possible sur votre ressource App Service. L’activité suspecte détectée est associée à NMAP. Les attaquants utilisent souvent cet outil pour sonder l’application web afin de rechercher les vulnérabilités. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : PreAttack

Gravité : Information

Contenu de hameçonnage hébergé sur Azure Webapps

(AppServices_PhishingContent)

Description : URL utilisée pour l’attaque par hameçonnage trouvée sur le site web Azure AppServices. Cette URL faisait partie d’une attaque par hameçonnage envoyée aux clients de Microsoft 365. En général, le contenu incite les visiteurs à entrer leurs informations d’identification d’entreprise ou leurs informations financières sur un site d’apparence légitime. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : Collection

Gravité : élevée

Fichier PHP dans le dossier de chargement

(AppServices_PhpInUploadFolder)

Description : le journal d’activité Azure App Service indique un accès à une page PHP suspecte située dans le dossier de chargement. Généralement, ce type de dossier ne contient pas de fichiers PHP. L’existence de ce type de fichier peut indiquer une exploitation tirant parti des vulnérabilités du chargement de fichiers arbitraires. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : Exécution

Gravité : moyenne

Détection d’un possible téléchargement Cryptocoinminer

(AppServices_CryptoCoinMinerDownload)

Description : l’analyse des données de l’hôte a détecté le téléchargement d’un fichier normalement associé à l’exploration de données monétaires numériques. (S’applique à : App Service sur Linux)

Tactiques MITRE : Évasion de défense, Commande et contrôle, Exploitation

Gravité : moyenne

Exfiltration de données possible détectée

(AppServices_DataEgressArtifacts)

Description : l’analyse des données de l’hôte/de l’appareil a détecté une condition de sortie de données possible. Les attaquants extraient souvent les données des ordinateurs qu’ils ont compromis. (S’applique à : App Service sur Linux)

Tactiques MITRE : Collection, Exfiltration

Gravité : moyenne

Détection d’un possible enregistrement DNS non résolu pour une ressource App Service

(AppServices_PotentialDanglingDomain)

Description : un enregistrement DNS qui pointe vers une ressource App Service récemment supprimée (également appelée entrée « dns déchiffrant ») a été détecté. Cela vous rend vulnérable à une prise de contrôle de sous-domaine. Les prises de contrôle de sous-domaines permettent à des acteurs malveillants de rediriger le trafic destiné au domaine d’une organisation vers un site effectuant une activité malveillante. Ici, un enregistrement texte avec l’ID de vérification du domaine a été détecté. Ces enregistrements texte empêchent la prise de contrôle des sous-domaines. Cependant, nous vous recommandons de supprimer le domaine non résolu. Si vous laissez l’enregistrement DNS pointer vers le sous-domaine, vous courez le risque d’une prise de contrôle si une personne de votre organisation vient à supprimer le fichier TXT ou l’enregistrement. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : -

Gravité : faible

Possible détection d’un interpréteur de commandes inverse

(AppServices_ReverseShell)

Description : l’analyse des données de l’hôte a détecté un interpréteur de commandes inverse potentiel. Ils sont utilisés pour faire en sorte que l’ordinateur compromis puisse rappeler un ordinateur qui appartient à l’attaquant. (S’applique à : App Service sur Linux)

Tactiques MITRE : Exfiltration, Exploitation

Gravité : moyenne

Détection de téléchargement de données brutes

(AppServices_DownloadCodeFromWebsite)

Description : l’analyse des processus App Service a détecté une tentative de téléchargement de code à partir de sites web de données brutes tels que Pastebin. Cette action a été exécutée par un processus PHP. Ce comportement est associé aux tentatives de téléchargement d’interpréteurs de commandes web ou autres composants malveillants sur Azure App Service. (S’applique à : App Service sur Windows)

Tactiques MITRE : Exécution

Gravité : moyenne

Détection de l’enregistrement de la sortie curl sur le disque

(AppServices_CurlToDisk)

Description : l’analyse des processus App Service a détecté l’exécution d’une commande curl dans laquelle la sortie a été enregistrée sur le disque. Bien que ce comportement puisse être légitime, il est également constaté dans les applications web au travers d’activités malveillantes telles que les tentatives d’infecter des sites web avec des interpréteurs de commandes web. (S’applique à : App Service sur Windows)

Tactiques MITRE : -

Gravité : faible

Détection d’un référent de dossier de courrier indésirable

(AppServices_SpamReferrer)

Description : le journal d’activité Azure App Service indique l’activité web identifiée comme provenant d’un site web associé à l’activité de courrier indésirable. Cela peut se produire si votre site web est compromis et utilisé pour des activités de courrier indésirable. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : -

Gravité : faible

Détection d’un accès suspect à une page web potentiellement vulnérable

(AppServices_ScanSensitivePage)

Description : le journal d’activité Azure App Service indique une page web qui semble sensible a été accessible. Cette activité suspecte provient d’une adresse IP source dont le modèle d’accès est semblable à celui d’un analyseur web. Cette activité est souvent associée à la tentative d’un attaquant pour analyser votre réseau et essayer d’accéder à des pages web sensibles ou vulnérables. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : -

Gravité : faible

Référence de nom de domaine suspecte

(AppServices_CommandlineSuspectDomain)

Description : Analyse des données de l’hôte détectées référence au nom de domaine suspect. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le signe du téléchargement ou de l’exécution d’un logiciel malveillant. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’autres logiciels malveillants ou outils d’administration distants. (S’applique à : App Service sur Linux)

Tactiques MITRE : Exfiltration

Gravité : faible

Détection d’un téléchargement suspect à l’aide de Certutil

(AppServices_DownloadUsingCertutil)

Description : l’analyse des données d’hôte sur {NAME} a détecté l’utilisation de certutil.exe, un utilitaire d’administrateur intégré, pour le téléchargement d’un fichier binaire au lieu de son objectif standard lié à la manipulation de certificats et de données de certificat. Les attaquants sont connus pour abuser des fonctionnalités d’outils d’administration légitimes afin d’effectuer des actions malveillantes, par exemple en utilisant certutil.exe pour télécharger et décoder un fichier exécutable qui sera ensuite exécuté. (S’applique à : App Service sur Windows)

Tactiques MITRE : Exécution

Gravité : moyenne

Détection de l’exécution d’un processus PHP suspect

(AppServices_SuspectPhp)

Description : les journaux d’activité des ordinateurs indiquent qu’un processus PHP suspect est en cours d’exécution. L’action incluait une tentative d’exécution de commandes de système d’exploitation ou de code PHP à partir de la ligne de commande, en utilisant le processus PHP. Bien que ce comportement puisse être légitime, dans les applications web, il peut indiquer des activités malveillantes, telles que des tentatives d’infecter des sites web avec des interpréteurs de commandes web. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : Exécution

Gravité : moyenne

Exécution de cmdlets PowerShell suspects

(AppServices_PowerShellPowerSploitScriptExecution)

Description : l’analyse des données de l’hôte indique l’exécution des applets de commande PowerSploit PowerSploit PowerShell connues. (S’applique à : App Service sur Windows)

Tactiques MITRE : Exécution

Gravité : moyenne

Exécution d’un processus suspect

(AppServices_KnownCredential AccessTools)

Description : les journaux d’activité de l’ordinateur indiquent que le processus suspect : « %{chemin du processus} » s’exécutait sur l’ordinateur, souvent associé à des tentatives d’accès aux informations d’identification. (S’applique à : App Service sur Windows)

Tactiques MITRE : Accès aux informations d’identification

Gravité : élevée

Détection d’un nom de processus suspect

(AppServices_ProcessWithKnownSuspiciousExtension)

Description : l’analyse des données de l’hôte sur {NAME} a détecté un processus dont le nom est suspect, par exemple correspondant à un outil malveillant connu ou nommé d’une manière qui suggère des outils attaquants qui essaient de se masquer en mode clair. Il peut s’agir d’un processus légitime, ou de l’indication qu’une de vos machines a été compromise. (S’applique à : App Service sur Windows)

Tactiques MITRE : Persistance, Évasion de défense

Gravité : moyenne

Exécution suspecte du processus SVCHOST

(AppServices_SVCHostFromInvalidPath)

Description : Le processus système SVCHOST a été observé en cours d’exécution dans un contexte anormal. Les programmes malveillants utilisent souvent SVCHOST pour masquer son activité malveillante. (S’applique à : App Service sur Windows)

Tactiques MITRE : Évasion de défense, Exécution

Gravité : élevée

Détection d’un agent utilisateur suspect

(AppServices_UserAgentInjection)

Description : le journal d’activité Azure App Service indique les demandes avec un agent utilisateur suspect. Ce comportement peut indiquer des tentatives d’exploitation d’une vulnérabilité dans votre application App Service. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : Accès initial

Gravité : Information

Détection d’un appel de thème WordPress suspect

(AppServices_WpThemeInjection)

Description : le journal d’activité Azure App Service indique une activité d’injection de code possible sur votre ressource App Service. L’activité suspecte détectée ressemble à une manipulation d’un thème WordPress pour prendre en charge l’exécution de code côté serveur, suivie d’une requête web directe pour appeler le fichier de thème manipulé. Ce type d’activité a été observé par le passé dans le cadre d’une campagne d’attaque visant WordPress. Si votre ressource App Service n’héberge pas de site WordPress, elle n’est pas vulnérable à ce code malveillant spécifique (qui injecte un code en exploitant une faille de sécurité). Vous pouvez donc supprimer cette alerte pour la ressource sans problème. Pour savoir comment supprimer des alertes de sécurité, consultez Supprimer les alertes de Microsoft Defender pour le cloud. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : Exécution

Gravité : élevée

Détection de l’analyseur de vulnérabilité

(AppServices_DrupalScanner)

Description : le journal d’activité Azure App Service indique qu’un scanneur de vulnérabilités possible a été utilisé sur votre ressource App Service. L’activité suspecte détectée ressemble à celle des outils ciblant les systèmes de gestion de contenu (CMS). Si votre ressource App Service n’héberge pas de site Drupal, elle n’est pas vulnérable à ce code malveillant spécifique (qui injecte un code en exploitant une faille de sécurité). Vous pouvez donc supprimer cette alerte pour la ressource sans problème. Pour savoir comment supprimer des alertes de sécurité, consultez Supprimer les alertes de Microsoft Defender pour le cloud. (S’applique à : App Service sur Windows)

Tactiques MITRE : PreAttack

Gravité : faible

Analyseur de vulnérabilité détecté (Détecté)

(AppServices_JoomlaScanner)

Description : le journal d’activité Azure App Service indique qu’un scanneur de vulnérabilités possible a été utilisé sur votre ressource App Service. L’activité suspecte détectée ressemble à celle des outils ciblant les applications Joomla. Si votre ressource App Service n’héberge pas de site Joomla, elle n’est pas vulnérable à ce code malveillant spécifique (qui injecte un code en exploitant une faille de sécurité). Vous pouvez donc supprimer cette alerte pour la ressource sans problème. Pour savoir comment supprimer des alertes de sécurité, consultez Supprimer les alertes de Microsoft Defender pour le cloud. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : PreAttack

Gravité : faible

Analyseur de vulnérabilité détecté (WordPress)

(AppServices_WpScanner)

Description : le journal d’activité Azure App Service indique qu’un scanneur de vulnérabilités possible a été utilisé sur votre ressource App Service. L’activité suspecte détectée ressemble à celle des outils ciblant les applications WordPress. Si votre ressource App Service n’héberge pas de site WordPress, elle n’est pas vulnérable à ce code malveillant spécifique (qui injecte un code en exploitant une faille de sécurité). Vous pouvez donc supprimer cette alerte pour la ressource sans problème. Pour savoir comment supprimer des alertes de sécurité, consultez Supprimer les alertes de Microsoft Defender pour le cloud. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : PreAttack

Gravité : faible

Détection d’une prise d’empreinte web

(AppServices_WebFingerprinting)

Description : le journal d’activité Azure App Service indique une activité d’empreinte digitale web possible sur votre ressource App Service. L’activité suspecte détectée est associée à un outil appelé Blind Elephant. L’outil prend l’empreinte des serveurs web et tente de détecter les applications installées et la version. Les attaquants utilisent souvent cet outil pour sonder l’application web afin de rechercher les vulnérabilités. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : PreAttack

Gravité : moyenne

Le site web est marqué comme malveillant dans le flux de renseignement sur les menaces

(AppServices_SmartScreen)

Description : Votre site web, comme décrit ci-dessous, est marqué comme un site malveillant par Windows SmartScreen. Si vous pensez qu’il s’agit d’un faux positif, contactez Windows SmartScreen par le biais du lien de commentaires fourni. (S’applique à : App Service sur Windows et App Service sur Linux)

Tactiques MITRE : Collection

Gravité : moyenne

Remarque

Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.

Étapes suivantes