Оповещения для службы приложений Azure

В этой статье перечислены оповещения системы безопасности, которые вы можете получить для службы приложение Azure из Microsoft Defender для облака и всех включенных планов Microsoft Defender. Оповещения, отображаемые в вашей среде, зависят от защищаемых ресурсов, служб и настроенной конфигурации.

Примечание.

Некоторые из недавно добавленных оповещений, созданных Аналитика угроз Microsoft Defender и Microsoft Defender для конечной точки, могут быть незадокументированы.

Узнайте, как реагировать на эти оповещения.

Узнайте, как экспортировать оповещения.

Примечание.

Время, требуемое для отображения оповещений из разных источников, может отличаться. Например, для отображения оповещений, требующих анализа сетевого трафика, может потребоваться больше времени, чем для оповещений, связанных с выполнением подозрительных процессов на виртуальных машинах.

оповещения службы приложение Azure

Дополнительные сведения и примечания

An attempt to run Linux commands on a Windows App Service (Попытка выполнить команды Linux в службе приложений Windows)

(AppServices_LinuxCommandOnWindows)

Описание. Анализ процессов Служба приложений обнаружил попытку выполнить команду Linux на Служба приложений Windows. Это действие выполнялось веб-приложением. Такое поведение часто встречается, когда используются уязвимости в общем веб-приложении. (Применимо к: Служба приложений в Windows)

Тактика MITRE: -

Серьезность: средний

В аналитике угроз обнаружен IP-адрес, подключенный к интерфейсу FTP Службы приложений Azure.

(AppServices_IncomingTiClientIpFtp)

Описание: приложение Azure журнал FTP службы указывает подключение из исходного адреса, найденного в канале аналитики угроз. Во время этого подключения пользователь обратился к указанным страницам. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: первоначальный доступ

Серьезность: средний

Attempt to run high privilege command detected (Обнаружена попытка запуска команды с высоким уровнем привилегий)

(AppServices_HighPrivilegeCommand)

Описание. Анализ процессов Служба приложений обнаружил попытку выполнить команду, требующую высоких привилегий. Команда выполнена в контексте веб-приложения. Хотя такое поведение может быть допустимым, в веб-приложениях такое поведение часто наблюдается для вредоносных действий. (Применимо к: Служба приложений в Windows)

Тактика MITRE: -

Серьезность: средний

Связь с подозрительным доменом, обнаруженным посредством аналитики угроз

(AzureDNS_ThreatIntelSuspectDomain)

Описание. Взаимодействие с подозрительным доменом было обнаружено путем анализа транзакций DNS из ресурса и сравнения с известными вредоносными доменами, идентифицированными веб-каналами аналитики угроз. Обмен данными с вредоносными доменами часто осуществляется злоумышленниками и может свидетельствовать о компрометации ресурса.

Тактика MITRE: начальный доступ, сохраняемость, выполнение, управление и управление, эксплуатация

Серьезность: средний

Connection to web page from anomalous IP address detected (Обнаружено подключение к веб-странице с аномальным IP-адресом)

(AppServices_AnomalousPageAccess)

Описание: приложение Azure журнал действий службы указывает аномальное подключение к конфиденциальной веб-странице из указанного исходного IP-адреса. Это может означать, что кто-то пытается выполнить атаку методом подбора на страницах администрирования веб-приложения. Это также может быть результатом использования нового IP-адреса, используемого полномочным пользователем. Если исходный IP-адрес является доверенным, можно отключить это оповещение для этого ресурса. Сведения о подавлении оповещений системы безопасности см. в разделе Отключение оповещений из Microsoft Defender для облака. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: первоначальный доступ

Серьезность: низкая

Обнаружена недействительная запись DNS для ресурса Службы приложений

(AppServices_DanglingDomain)

Описание. Обнаружена запись DNS, указывающая на недавно удаленный ресурс Служба приложений (также известный как "дальняя запись DNS"). Это может привести к перенаправлению поддомена. Захват поддоменов позволяет злоумышленникам перенаправлять трафик, предназначенный для домена организации, на сайт, выполняющий вредоносную деятельность. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: -

Серьезность: высокий уровень

Detected encoded executable in command line data (Обнаружен закодированный исполняемый файл в данных командной строки)

(AppServices_Base64EncodedExecutableInCommandLineParams)

Описание. Анализ данных узла на {скомпрометированном узле} обнаружил исполняемый файл в кодировке Base-64. Ранее это было связано со злоумышленниками, пытающимися самостоятельно создавать исполняемые файлы в режиме реального времени через последовательность команд, чтобы не позволить системе обнаружить вторжения. Таким образом ни одна из отдельных команд не выдаст оповещение. Это может быть допустимое действие или признак скомпрометированного узла. (Применимо к: Служба приложений в Windows)

Тактика MITRE: Оборона Evasion, Выполнение

Серьезность: высокий уровень

Detected file download from a known malicious source (Обнаружено скачивание файла из известного вредоносного источника)

(AppServices_SuspectDownload)

Описание. Анализ данных узла обнаружил скачивание файла из известного источника вредоносных программ на узле. (Применимо к: Служба приложений в Linux)

Тактика MITRE: эскалация привилегий, выполнение, эксфильтрация, управление и управление

Серьезность: средний

Detected suspicious file download (Обнаружено скачивание подозрительного файла)

(AppServices_SuspectDownloadArtifacts)

Описание. Анализ данных узла обнаружил подозрительный скачивание удаленного файла. (Применимо к: Служба приложений в Linux)

Тактика MITRE: сохраняемость

Серьезность: средний

Digital currency mining related behavior detected (Обнаружено поведение, связанное с майнингом цифровых валют)

(AppServices_DigitalCurrencyMining)

Описание. Анализ данных узла в веб-заданиях Inn-Flow-WebJobs обнаружил выполнение процесса или команды, обычно связанного с интеллектуальным анализом цифровых валют. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: Выполнение

Серьезность: высокий уровень

Executable decoded using certutil (Исполняемый файл декодирован с помощью средства CertUtil)

(AppServices_ExecutableDecodedUsingCertutil)

Описание. Анализ данных узла в [скомпрометируемой сущности] обнаружил, что certutil.exe, встроенная служебная программа администратора, использовалась для декодирования исполняемого файла вместо основной цели, которая связана с управлением сертификатами и данными сертификатов. Злоумышленники злоупотребляют функциональностью допустимых инструментов администратора для выполнения вредоносных действий, например, используют certutil.exe для декодирования вредоносного исполняемого файла, который впоследствии будет выполнен. (Применимо к: Служба приложений в Windows)

Тактика MITRE: Оборона Evasion, Выполнение

Серьезность: высокий уровень

Fileless attack behavior detected (Обнаружено поведение бесфайловой атаки)

(AppServices_FilelessAttackBehaviorDetection)

Описание. Память процесса, указанного ниже, содержит поведение, обычно используемое атаками без файлов. К конкретным действиям относятся: {список наблюдаемых действий} (применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: Выполнение

Серьезность: средний

Fileless attack technique detected (Обнаружен метод бесфайловой атаки)

(AppServices_FilelessAttackTechniqueDetection)

Описание. Память процесса, указанного ниже, содержит доказательства метода атаки без файлов. Бесфайловые атаки используются злоумышленниками для выполнения кода и обхода системы безопасности. К конкретным действиям относятся: {список наблюдаемых действий} (применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: Выполнение

Серьезность: высокий уровень

Fileless attack toolkit detected (Обнаружен набор средств для бесфайловой атаки)

(AppServices_FilelessAttackToolkitDetection)

Описание. Память процесса, указанного ниже, содержит набор средств атак без файлов: {ToolKitName}. Наборы средств для бесфайловых атак обычно не оставляют следов в файловой системе, что затрудняет их обнаружение традиционными антивирусными программами. К конкретным действиям относятся: {список наблюдаемых действий} (применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: Оборона Evasion, Выполнение

Серьезность: высокий уровень

Microsoft Defender for Cloud test alert for App Service (not a threat) (Тестовое оповещение Microsoft Defender для облака для службы приложений (не угроза))

(AppServices_EICAR)

Описание. Это тестовое оповещение, созданное Microsoft Defender для облака. Дополнительные действия не требуются. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: -

Серьезность: высокий уровень

Обнаружено сканирование NMap

(AppServices_Nmap)

Описание: журнал действий службы приложение Azure указывает возможное действие веб-отпечатков пальцев в ресурсе Служба приложений. Обнаруженное подозрительные действие связано с NMAP. Злоумышленники часто используют это средство для проверки веб-приложений на наличие уязвимостей. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: PreAttack

Серьезность: информационная

Phishing content hosted on Azure Webapps (Фишинговое содержимое, размещенное в веб-приложениях Azure)

(AppServices_PhishingContent)

Описание: URL-адрес, используемый для фишинга, найденного на веб-сайте приложение Azure Services. Этот URL-адрес был частью фишинговой атаки, отправленной клиентам Microsoft 365. Содержимое, как правило, вынуждает посетителей вводить свои корпоративные учетные данные или финансовую информацию на поддельном веб-сайте. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: Коллекция

Серьезность: высокий уровень

PHP file in upload folder (Файл PHP в папке отправки)

(AppServices_PhpInUploadFolder)

Описание: приложение Azure журнал действий службы указывает на доступ к подозрительной странице PHP, расположенной в папке отправки. Этот тип папки обычно не содержит PHP-файлы. Наличие такого типа файлов может свидетельствовать о несанкционированном использовании с помощью преимуществ уязвимостей произвольной загрузки файлов. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: Выполнение

Серьезность: средний

Обнаружено потенциальное скачивание криптомайнера

(AppServices_CryptoCoinMinerDownload)

Описание. Анализ данных узла обнаружил скачивание файла, обычно связанного с интеллектуальным анализом цифровых валют. (Применимо к: Служба приложений в Linux)

Тактика MITRE: Оборона Evasion, Командная и Контрольная, Эксплуатация

Серьезность: средний

Possible data exfiltration detected (Обнаружена возможная кража данных)

(AppServices_DataEgressArtifacts)

Описание. Анализ данных узла или устройства обнаружил возможное условие исходящего трафика данных. Злоумышленники часто выводят данные из скомпрометированных ими компьютеров. (Применимо к: Служба приложений в Linux)

Тактика MITRE: Коллекция, эксфильтрация

Серьезность: средний

Обнаружена возможная недействительная запись DNS для ресурса Службы приложений

(AppServices_PotentialDanglingDomain)

Описание. Обнаружена запись DNS, указывающая на недавно удаленный ресурс Служба приложений (также известный как "дальняя запись DNS"). Это может привести к перенаправлению поддомена. Захват поддоменов позволяет злоумышленникам перенаправлять трафик, предназначенный для домена организации, на сайт, выполняющий вредоносную деятельность. В этом случае найдена текстовая запись с идентификатором проверки домена. Такие записи не связаны с возможным перенаправлением поддомена, но мы рекомендуем удалить недействительный домен. Если вы оставляете запись DNS, указывающую на поддомен, вы рискуете, если любой пользователь в вашей организации удаляет TXT-файл или запись в будущем. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: -

Серьезность: низкая

Potential reverse shell detected (Обнаружена потенциальная обратная оболочка)

(AppServices_ReverseShell)

Описание. Анализ данных узла обнаружил потенциальную обратную оболочку. Она используется для того, чтобы скомпрометированный компьютер связывался с компьютером, принадлежащим злоумышленнику. (Применимо к: Служба приложений в Linux)

Тактика MITRE: эксфильтрация, эксплуатация

Серьезность: средний

Raw data download detected (Обнаружена загрузка необработанных данных)

(AppServices_DownloadCodeFromWebsite)

Описание. Анализ процессов Служба приложений обнаружил попытку скачать код с веб-сайтов необработанных данных, таких как Pastebin. Это действие выполнялось процессом PHP. Это поведение связано с попыткой загрузки веб-оболочек или других вредоносных компонентов в Службу приложений. (Применимо к: Служба приложений в Windows)

Тактика MITRE: Выполнение

Серьезность: средний

Saving curl output to disk detected (Обнаружено сохранение выходных данных curl на диск)

(AppServices_CurlToDisk)

Описание. Анализ процессов Служба приложений обнаружил выполнение команды curl, в которой выходные данные были сохранены на диске. Хотя такое поведение может быть допустимым, в веб-приложениях такое поведение часто наблюдается во вредоносных действиях, таких как попытки заражения веб-сайтов с помощью веб-оболочек. (Применимо к: Служба приложений в Windows)

Тактика MITRE: -

Серьезность: низкая

Spam folder referrer detected (Обнаружены ссылки на папку с нежелательной почтой)

(AppServices_SpamReferrer)

Описание: журнал действий службы приложение Azure указывает на веб-активность, которая была определена как исходная из веб-сайта, связанного с действием нежелательной почты. Это может произойти, если ваш веб-сайт скомпрометирован и используется для рассылки нежелательной почты. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: -

Серьезность: низкая

Suspicious access to possibly vulnerable web page detected (Обнаружен подозрительный доступ к потенциально уязвимой веб-странице)

(AppServices_ScanSensitivePage)

Описание: приложение Azure журнал действий службы указывает веб-страницу, к ней доступ к ней. Это подозрительное действие поступает с IP-адреса, который демонстрирует характерное для веб-сканера поведение доступа. Это действие часто связано с попыткой злоумышленника проверить сеть, чтобы попытаться получить доступ к конфиденциальным или уязвимым веб-страницам. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: -

Серьезность: низкая

Подозрительная ссылка на доменное имя

(AppServices_CommandlineSuspectDomain)

Описание. Анализ обнаруженных данных узла ссылается на подозрительное доменное имя. Такое действие, хотя и может быть допустимым поведением пользователя, часто указывает на скачивание или выполнение вредоносного ПО. К типичным действиям, связанным с активностью злоумышленников, можно отнести загрузку и выполнение дополнительного вредоносного ПО или средств удаленного администрирования. (Применимо к: Служба приложений в Linux)

Тактика MITRE: Эксфильтрация

Серьезность: низкая

Suspicious download using Certutil detected (Обнаружена подозрительная загрузка с помощью команды certutil)

(AppServices_DownloadUsingCertutil)

Описание. Анализ данных узла на {NAME} обнаружил использование certutil.exe встроенной служебной программы администратора для скачивания двоичного файла вместо основной цели, связанной с управлением сертификатами и данными сертификатов. Злоумышленники злоупотребляют функциональностью допустимых инструментов администратора для выполнения вредоносных действий, например используют certutil.exe для скачивания и декодирования вредоносного исполняемого файла, который впоследствии будет выполнен. (Применимо к: Служба приложений в Windows)

Тактика MITRE: Выполнение

Серьезность: средний

Suspicious PHP execution detected (Обнаружено выполнение подозрительного процесса PHP)

(AppServices_SuspectPhp)

Описание. Журналы компьютеров указывают на выполнение подозрительного процесса PHP. Действие включало в себя попытку выполнить команды операционной системы или код PHP из командной строки с помощью процесса PHP. Хотя такое поведение может быть допустимым, в веб-приложениях такое поведение часто наблюдается во вредоносных действиях, таких как попытки заражения веб-сайтов с помощью веб-оболочек. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: Выполнение

Серьезность: средний

Suspicious PowerShell cmdlets executed (Выполнены подозрительные командлеты PowerShell)

(AppServices_PowerShellPowerSploitScriptExecution)

Описание. Анализ данных узла указывает на выполнение известных вредоносных командлетов PowerShell PowerSploit. (Применимо к: Служба приложений в Windows)

Тактика MITRE: Выполнение

Серьезность: средний

Suspicious process executed (Выполнение подозрительных процессов)

(AppServices_KnownCredential AccessTools)

Описание. Журналы компьютеров указывают на то, что подозрительный процесс: "%{путь к процессу}" запущен на компьютере, часто связанный с попытками злоумышленника получить доступ к учетным данным. (Применимо к: Служба приложений в Windows)

Тактика MITRE: доступ к учетным данным

Серьезность: высокий уровень

Suspicious process name detected (Обнаружен процесс с подозрительным именем)

(AppServices_ProcessWithKnownSuspiciousExtension)

Описание. Анализ данных узла на {NAME} обнаружил процесс, имя которого подозрительно, например, соответствующее известному инструменту злоумышленника или именованному таким образом, что предлагает средства злоумышленника, которые пытаются скрыться в виде обычного вида. Этот процесс может быть допустимым действием или признаком того, что один из ваших компьютеров был скомпрометирован. (Применимо к: Служба приложений в Windows)

Тактика MITRE: Сохраняемость, Оборона Evasion

Серьезность: средний

Suspicious SVCHOST process executed (Выполнение подозрительных процессов SVCHOST)

(AppServices_SVCHostFromInvalidPath)

Описание. Системный процесс SVCHOST был замечен в ненормальном контексте. Вредоносные программы часто используют SVCHOST для маскирования вредоносных действий. (Применимо к: Служба приложений в Windows)

Тактика MITRE: Оборона Evasion, Выполнение

Серьезность: высокий уровень

Suspicious User Agent detected (Обнаружен подозрительный агент пользователя)

(AppServices_UserAgentInjection)

Описание: приложение Azure журнал действий службы указывает запросы с подозрительным агентом пользователя. Такое поведение может указывать на попытки использования уязвимости в приложении службы приложений. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: первоначальный доступ

Серьезность: информационная

Suspicious WordPress theme invocation detected (Обнаружен подозрительный вызов темы WordPress)

(AppServices_WpThemeInjection)

Описание: журнал действий службы приложение Azure указывает на возможное действие внедрения кода в ресурсе Служба приложений. Обнаруженное подозрительное действие напоминает шаблон управления темой WordPress для поддержки выполнения кода на стороне сервера, за которым следует прямой веб-запрос для вызова файла управляемой темы. Этот тип активности может быть частью атаки на WordPress. Если ваш Служба приложений ресурс не размещает сайт WordPress, он не уязвим для этого конкретного эксплойтов внедрения кода, и вы можете безопасно отключить это оповещение для ресурса. Сведения о подавлении оповещений системы безопасности см. в разделе Отключение оповещений из Microsoft Defender для облака. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: Выполнение

Серьезность: высокий уровень

Vulnerability scanner detected (Обнаружен сканер уязвимостей)

(AppServices_DrupalScanner)

Описание: журнал действий службы приложение Azure указывает, что в ресурсе Служба приложений использовался возможный сканер уязвимостей. Обнаруженные подозрительные действия похожи на действия средств, атакующих системы управления содержимым (CMS). Если ресурс Служба приложений не размещает сайт Drupal, он не уязвим для этого конкретного эксплойта внедрения кода, и вы можете безопасно отключить это оповещение для ресурса. Сведения о подавлении оповещений системы безопасности см. в разделе Отключение оповещений из Microsoft Defender для облака. (Применимо к: Служба приложений в Windows)

Тактика MITRE: PreAttack

Серьезность: низкая

Обнаружен сканер уязвимостей (Http)

(AppServices_JoomlaScanner)

Описание: журнал действий службы приложение Azure указывает, что в ресурсе Служба приложений использовался возможный сканер уязвимостей. Обнаруженные подозрительные действия напоминают действия служб, атакующих приложения Joomla. Если ваш Служба приложений ресурс не размещает сайт Найм, он не уязвим для этого конкретного эксплойт внедрения кода, и вы можете безопасно отключить это оповещение для ресурса. Сведения о подавлении оповещений системы безопасности см. в разделе Отключение оповещений из Microsoft Defender для облака. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: PreAttack

Серьезность: низкая

Обнаружен сканер уязвимостей (WordPress)

(AppServices_WpScanner)

Описание: журнал действий службы приложение Azure указывает, что в ресурсе Служба приложений использовался возможный сканер уязвимостей. Обнаруженные подозрительные действия похожи на действия средств, атакующих приложения WordPress. Если ваш Служба приложений ресурс не размещает сайт WordPress, он не уязвим для этого конкретного эксплойтов внедрения кода, и вы можете безопасно отключить это оповещение для ресурса. Сведения о подавлении оповещений системы безопасности см. в разделе Отключение оповещений из Microsoft Defender для облака. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: PreAttack

Серьезность: низкая

Web fingerprinting detected (Обнаружены веб-отпечатки)

(AppServices_WebFingerprinting)

Описание: журнал действий службы приложение Azure указывает возможное действие веб-отпечатков пальцев в ресурсе Служба приложений. Обнаруженное подозрительное действие связано со средством, которое называется Blind Elephant. Средство снимает отпечатки с веб-серверов и пытается обнаружить установленные приложения и их версии. Злоумышленники часто используют это средство для проверки веб-приложений на наличие уязвимостей. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: PreAttack

Серьезность: средний

Веб-сайт помечен как вредоносный в канале Threat Intelligence

(AppServices_SmartScreen)

Описание. Веб-сайт, как описано ниже, помечается как вредоносный сайт с помощью Windows SmartScreen. Если вы считаете этот результат ложноположительным, обратитесь в службу поддержки Windows SmartScreen по указанной ссылке для отзывов. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: Коллекция

Серьезность: средний

Примечание.

Для предварительных версий оповещений: предварительная версия дополнительных условий использования Azure включает дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.

Следующие шаги

• Оповещения системы безопасности в Microsoft Defender для облака
• Управление оповещениями системы безопасности и реагирование на них в Microsoft Defender для облака
• Непрерывный экспорт данных Defender для облака