Výstrahy pro službu Aplikace Azure Service
Tento článek uvádí výstrahy zabezpečení, které můžete získat pro službu Aplikace Azure z programu Microsoft Defender for Cloud a všech plánů Programu Microsoft Defender, které jste povolili. Výstrahy zobrazené ve vašem prostředí závisí na prostředcích a službách, které chráníte, a na vlastní konfiguraci.
Poznámka:
Některé nedávno přidané výstrahy využívající Analýza hrozeb v programu Microsoft Defender a Microsoft Defender for Endpoint můžou být nezdokumentované.
Přečtěte si, jak na tato upozornění reagovat.
Zjistěte, jak exportovat upozornění.
Poznámka:
Zobrazení výstrah z různých zdrojů může trvat různě dlouho. Například výstrahy, které vyžadují analýzu síťového provozu, můžou trvat déle, než se zobrazí výstrahy související s podezřelými procesy spuštěnými na virtuálních počítačích.
upozornění služby Aplikace Azure
Pokus o spuštění linuxových příkazů ve službě Windows App Service
(AppServices_LinuxCommandOnWindows)
Popis: Analýza procesů služby App Service zjistila pokus o spuštění příkazu Linuxu ve službě Windows App Service. Tuto akci spustila webová aplikace. Toto chování se často projevuje během kampaní, které zneužívají ohrožení zabezpečení v běžné webové aplikaci. (Platí pro: App Service ve Windows)
Taktika MITRE: -
Závažnost: Střední
Ip adresa připojená k rozhraní FTP služby Aplikace Azure byla nalezena v analýze hrozeb.
(AppServices_IncomingTiClientIpFtp)
Popis: Aplikace Azure protokol FTP služby označuje připojení ze zdrojové adresy, která byla nalezena v informačním kanálu analýzy hrozeb. Během tohoto připojení uživatel přistupoval ke stránkám uvedeným. (Platí pro: App Service ve Windows a App Service v Linuxu)
Taktika MITRE: Počáteční přístup
Závažnost: Střední
Byl zjištěn pokus o spuštění příkazu s vysokou úrovní oprávnění.
(AppServices_HighPrivilegeCommand)
Popis: Analýza procesů služby App Service zjistila pokus o spuštění příkazu, který vyžaduje vysoká oprávnění. Příkaz se spustil v kontextu webové aplikace. I když toto chování může být legitimní, ve webových aplikacích se toto chování také vyskytuje ve škodlivých aktivitách. (Platí pro: App Service ve Windows)
Taktika MITRE: -
Závažnost: Střední
Komunikace s podezřelou doménou identifikovanou analýzou hrozeb
(AzureDNS_ThreatIntelSuspectDomain)
Popis: Komunikace s podezřelou doménou byla zjištěna analýzou transakcí DNS z vašeho prostředku a porovnáním se známými škodlivými doménami identifikovanými informačními kanály analýzy hrozeb. Komunikace se škodlivými doménami se často provádí útočníky a může to znamenat, že dojde k ohrožení vašeho prostředku.
Taktika MITRE: Počáteční přístup, trvalost, spuštění, příkaz a řízení, zneužití
Závažnost: Střední
Zjistili jsme připojení k webové stránce z neobvyklé IP adresy.
(AppServices_AnomalousPageAccess)
Popis: Aplikace Azure Protokol aktivit služby označuje neobvyklé připojení k citlivé webové stránce z uvedené zdrojové IP adresy. To může znamenat, že se někdo pokouší o útok hrubou silou na stránky pro správu vaší webové aplikace. Může to být také výsledek nové IP adresy, kterou používá legitimní uživatel. Pokud je zdrojová IP adresa důvěryhodná, můžete tuto výstrahu pro tento prostředek bezpečně potlačit. Informace o tom, jak potlačit výstrahy zabezpečení, najdete v tématu Potlačení výstrah z Programu Microsoft Defender pro cloud. (Platí pro: App Service ve Windows a App Service v Linuxu)
Taktika MITRE: Počáteční přístup
Závažnost: Nízká
Zjištěný záznam DNS pro prostředek služby App Service
(AppServices_DanglingDomain)
Popis: Byl zjištěn záznam DNS, který odkazuje na nedávno odstraněný prostředek služby App Service (označovaný také jako "položka DNS pro dangling DNS"). To vás nechá náchylné k převzetí subdomény. Převzetí subdomény umožňuje škodlivým účastníkům přesměrovat provoz určený pro doménu organizace na web provádějící škodlivou činnost. (Platí pro: App Service ve Windows a App Service v Linuxu)
Taktika MITRE: -
Závažnost: Vysoká
Zjištěný spustitelný soubor zakódovaný v datech příkazového řádku
(AppServices_Base64EncodedExecutableInCommandLineParams)
Popis: Analýza dat hostitele na {Ohrožený hostitel} zjistila spustitelný soubor s kódováním base-64. To bylo dříve spojeno s útočníky, kteří se pokusili vytvořit spustitelné soubory v rámci průběžného procházení posloupnosti příkazů a pokusili se vyhnout systémům detekce neoprávněných vniknutí tím, že by se zajistilo, že žádný jednotlivý příkaz neaktivuje výstrahu. Může to být legitimní aktivita nebo označení ohroženého hostitele. (Platí pro: App Service ve Windows)
Taktika MITRE: Obrana před únikem, provádění
Závažnost: Vysoká
Zjištěný soubor ke stažení ze známého škodlivého zdroje
(AppServices_SuspectDownload)
Popis: Analýza hostitelských dat zjistila stažení souboru ze známého zdroje malwaru na vašem hostiteli. (Platí pro: App Service v Linuxu)
Taktika MITRE: Eskalace oprávnění, spuštění, exfiltrace, příkaz a řízení
Závažnost: Střední
Zjištění podezřelého stahování souborů
(AppServices_SuspectDownloadArtifacts)
Popis: Analýza dat hostitele zjistila podezřelé stažení vzdáleného souboru. (Platí pro: App Service v Linuxu)
Taktika MITRE: Trvalost
Závažnost: Střední
Zjistilo se chování související s dolováním digitálních měn
(AppServices_DigitalCurrencyMining)
Popis: Analýza hostitelských dat na Inn-Flow-WebJobs zjistila provádění procesu nebo příkazu obvykle spojené s dolováním digitální měny. (Platí pro: App Service ve Windows a App Service v Linuxu)
Taktika MITRE: Provádění
Závažnost: Vysoká
Dekódovaný spustitelný soubor pomocí nástroje certutil
(AppServices_ExecutableDecodedUsingCertutil)
Popis: Analýza hostitelských dat v [ohrožené entitě] zjistila, že certutil.exe, integrovaný nástroj správce, byl používán k dekódování spustitelného souboru místo jeho hlavního účelu, který souvisí s manipulací s certifikáty a daty certifikátů. O útočnících je známo, že zneužívají funkce legitimních nástrojů pro správce k provádění škodlivých akcí, například pomocí nástroje, jako je certutil.exe, dekódují škodlivý spustitelný soubor, který se následně spustí. (Platí pro: App Service ve Windows)
Taktika MITRE: Obrana před únikem, provádění
Závažnost: Vysoká
Zjistilo se chování útoku bez souborů
(AppServices_FilelessAttackBehaviorDetection)
Popis: Paměť níže uvedeného procesu obsahuje chování běžně používané útoky bez souborů. Mezi konkrétní chování patří: {seznam pozorovaných chování} (platí pro: App Service ve Windows a App Service v Linuxu)
Taktika MITRE: Provádění
Závažnost: Střední
Zjištěná technika útoku bez souborů
(AppServices_FilelessAttackTechniqueDetection)
Popis: Paměť níže uvedeného procesu obsahuje důkazy o technice útoku bez souborů. Útoky bez souborů používají útočníci ke spouštění kódu při odstraňování detekce bezpečnostním softwarem. Mezi konkrétní chování patří: {seznam pozorovaných chování} (platí pro: App Service ve Windows a App Service v Linuxu)
Taktika MITRE: Provádění
Závažnost: Vysoká
Zjištěná sada nástrojů pro útoky bez souborů
(AppServices_FilelessAttackToolkitDetection)
Popis: Paměť níže uvedeného procesu obsahuje sadu nástrojů pro útok bez souborů: {ToolKitName}. Sady nástrojů pro útoky bez souborů obvykle nemají přítomnost v systému souborů, což ztěžuje detekci tradičního antivirového softwaru. Mezi konkrétní chování patří: {seznam pozorovaných chování} (platí pro: App Service ve Windows a App Service v Linuxu)
Taktika MITRE: Obrana před únikem, provádění
Závažnost: Vysoká
Upozornění microsoft Defenderu pro cloudový test služby App Service (ne hrozba)
(AppServices_EICAR)
Popis: Toto je testovací výstraha vygenerovaná programem Microsoft Defender for Cloud. Nevyžaduje se žádná další akce. (Platí pro: App Service ve Windows a App Service v Linuxu)
Taktika MITRE: -
Závažnost: Vysoká
Zjistila se kontrola NMap
(AppServices_Nmap)
Popis: Aplikace Azure protokol aktivit služby označuje možnou aktivitu otisku prstu na webu u vašeho prostředku služby App Service. Zjištěná podezřelá aktivita je přidružená k NMAP. Útočníci často používají tento nástroj ke zjišťování ohrožení zabezpečení webové aplikace. (Platí pro: App Service ve Windows a App Service v Linuxu)
Taktika MITRE: Předběžné připojení
Závažnost: Informační
Phishingový obsah hostovaný ve webových aplikacích Azure
(AppServices_PhishingContent)
Popis: Adresa URL použitá pro útok phishing nalezený na webu Aplikace Azure Services. Tato adresa URL byla součástí útoku phishing odeslaného zákazníkům Microsoftu 365. Obsah obvykle láká návštěvníky k zadávání firemních přihlašovacích údajů nebo finančních informací na legitimní web. (Platí pro: App Service ve Windows a App Service v Linuxu)
Taktika MITRE: Kolekce
Závažnost: Vysoká
Soubor PHP ve složce pro nahrání
(AppServices_PhpInUploadFolder)
Popis: Aplikace Azure Protokol aktivit služby označuje přístup k podezřelé stránce PHP umístěné ve složce pro nahrání. Tento typ složky obvykle neobsahuje soubory PHP. Existence tohoto typu souboru může znamenat zneužití, které využívá ohrožení zabezpečení spočívající v nahrání libovolného souboru. (Platí pro: App Service ve Windows a App Service v Linuxu)
Taktika MITRE: Provádění
Závažnost: Střední
Zjistilo se možné stažení cryptocoinmineru
(AppServices_CryptoCoinMinerDownload)
Popis: Analýza hostitelských dat zjistila stažení souboru, který je obvykle přidružen k dolování digitální měny. (Platí pro: App Service v Linuxu)
Taktika MITRE: Obrana před únikem, velitelství a řízení, zneužití
Závažnost: Střední
Byla zjištěna možná exfiltrace dat.
(AppServices_DataEgressArtifacts)
Popis: Analýza dat hostitele nebo zařízení zjistila možnou podmínku výchozího přenosu dat. Útočníci často zasílají data z počítačů, u kterých došlo k ohrožení zabezpečení. (Platí pro: App Service v Linuxu)
Taktika MITRE: Kolekce, Exfiltrace
Závažnost: Střední
Zjištěný potenciální záznam DNS pro prostředek služby App Service
(AppServices_PotentialDanglingDomain)
Popis: Byl zjištěn záznam DNS, který odkazuje na nedávno odstraněný prostředek služby App Service (označovaný také jako "položka DNS pro dangling DNS"). To může být náchylné k převzetí subdomény. Převzetí subdomény umožňuje škodlivým účastníkům přesměrovat provoz určený pro doménu organizace na web provádějící škodlivou činnost. V tomto případě byl nalezen textový záznam s ID ověření domény. Takové textové záznamy brání převzetí subdomény, ale přesto doporučujeme odebrat dangling doménu. Pokud necháte záznam DNS odkazující na subdoménu, riskujete, pokud někdo z vaší organizace odstraní soubor TXT nebo záznam v budoucnu. (Platí pro: App Service ve Windows a App Service v Linuxu)
Taktika MITRE: -
Závažnost: Nízká
Zjistilo se potenciální zpětné prostředí
(AppServices_ReverseShell)
Popis: Analýza dat hostitele zjistila potenciální reverzní prostředí. Používají se k získání ohroženého počítače, který by útočníkovi volal zpět do počítače. (Platí pro: App Service v Linuxu)
Taktika MITRE: Exfiltrace, zneužití
Závažnost: Střední
Zjistilo se stahování nezpracovaných dat
(AppServices_DownloadCodeFromWebsite)
Popis: Analýza procesů služby App Service zjistila pokus o stažení kódu z nezpracovaných webů, jako je pastebin. Tuto akci spustil proces PHP. Toto chování je spojené s pokusy o stažení webových prostředí nebo jiných škodlivých komponent do služby App Service. (Platí pro: App Service ve Windows)
Taktika MITRE: Provádění
Závažnost: Střední
Zjištění výstupu curl na disk
(AppServices_CurlToDisk)
Popis: Analýza procesů služby App Service zjistila spuštění příkazu curl, ve kterém byl výstup uložen na disk. I když toto chování může být legitimní, ve webových aplikacích se toto chování také vyskytuje ve škodlivých aktivitách, jako jsou pokusy o nakazování webů webovými prostředími. (Platí pro: App Service ve Windows)
Taktika MITRE: -
Závažnost: Nízká
Zjistil se odkazující na složku spamu.
(AppServices_SpamReferrer)
Popis: Aplikace Azure Protokol aktivit služby označuje webovou aktivitu, která byla identifikována jako pocházející z webu přidruženého k spamové aktivitě. K tomu může dojít v případě ohrožení vašeho webu a jeho použití pro aktivitu spamu. (Platí pro: App Service ve Windows a App Service v Linuxu)
Taktika MITRE: -
Závažnost: Nízká
Byl zjištěn podezřelý přístup k potenciálně zranitelné webové stránce.
(AppServices_ScanSensitivePage)
Popis: Aplikace Azure protokol aktivit služby označuje webovou stránku, která se zdá být citlivá, byla přístupná. Tato podezřelá aktivita pochází ze zdrojové IP adresy, jejíž vzor přístupu se podobá vzoru webového skeneru. Tato aktivita je často spojena s pokusem útočníka o kontrolu sítě a pokusu o získání přístupu k citlivým nebo ohroženým webovým stránkám. (Platí pro: App Service ve Windows a App Service v Linuxu)
Taktika MITRE: -
Závažnost: Nízká
Referenční informace o podezřelém názvu domény
(AppServices_CommandlineSuspectDomain)
Popis: Analýza dat hostitele zjistila odkaz na podezřelý název domény. Tato aktivita, zatímco pravděpodobně legitimní chování uživatelů, je často indikací stažení nebo spuštění škodlivého softwaru. Typická aktivita související s útočníkem pravděpodobně zahrnuje stažení a spuštění dalšího škodlivého softwaru nebo nástrojů pro vzdálenou správu. (Platí pro: App Service v Linuxu)
Taktika MITRE: Exfiltrace
Závažnost: Nízká
Podezřelé stahování pomocí nástroje Certutil bylo zjištěno
(AppServices_DownloadUsingCertutil)
Popis: Analýza hostitelských dat na serveru {NAME} zjistila použití certutil.exe, integrovaného nástroje správce pro stahování binárního souboru místo jeho hlavního účelu, který souvisí s manipulací s certifikáty a daty certifikátů. Útočníci znají zneužití funkcí legitimních nástrojů správce k provádění škodlivých akcí, například pomocí certutil.exe ke stažení a dekódování škodlivého spustitelného souboru, který se následně spustí. (Platí pro: App Service ve Windows)
Taktika MITRE: Provádění
Závažnost: Střední
Zjistilo se podezřelé spuštění PHP.
(AppServices_SuspectPhp)
Popis: Protokoly počítačů označují, že je spuštěn podezřelý proces PHP. Akce zahrnovala pokus o spuštění příkazů operačního systému nebo kódu PHP z příkazového řádku pomocí procesu PHP. I když toto chování může být legitimní, může toto chování ve webových aplikacích znamenat škodlivé aktivity, jako jsou pokusy o infikování webů webovými prostředími. (Platí pro: App Service ve Windows a App Service v Linuxu)
Taktika MITRE: Provádění
Závažnost: Střední
Spustily se podezřelé rutiny PowerShellu.
(AppServices_PowerShellPowerSploitScriptExecution)
Popis: Analýza dat hostitele indikuje spuštění známých škodlivých rutin PowerShell PowerSploit. (Platí pro: App Service ve Windows)
Taktika MITRE: Provádění
Závažnost: Střední
Spustil se podezřelý proces.
(AppServices_KnownCredential AccessTools)
Popis: Protokoly počítačů označují, že podezřelý proces: %{cesta procesu} byla spuštěna na počítači, což je často spojeno s pokusy útočníka o přístup k přihlašovacím údajům. (Platí pro: App Service ve Windows)
Taktika MITRE: Přístup k přihlašovacím údajům
Závažnost: Vysoká
Byl zjištěn podezřelý název procesu.
(AppServices_ProcessWithKnownSuspiciousExtension)
Popis: Analýza hostitelských dat v nástroji {NAME} zjistila proces, jehož název je podezřelý, například odpovídající známému nástroji útočníka nebo pojmenovaným způsobem, který naznačuje nástroje útočníka, které se snaží skrýt v prostém dohledu. Tento proces může být legitimní aktivitou nebo indikací, že došlo k ohrožení jednoho z vašich počítačů. (Platí pro: App Service ve Windows)
Taktika MITRE: trvalost, obranná úniky
Závažnost: Střední
Spustil se podezřelý proces SVCHOST.
(AppServices_SVCHostFromInvalidPath)
Popis: Systémový proces SVCHOST byl pozorován spuštěný v neobvyklém kontextu. Malware často používá SVCHOST k maskování škodlivé aktivity. (Platí pro: App Service ve Windows)
Taktika MITRE: Obrana před únikem, provádění
Závažnost: Vysoká
Zjištěn podezřelý uživatelský agent
(AppServices_UserAgentInjection)
Popis: Aplikace Azure protokol aktivit služby indikuje požadavky s podezřelým uživatelským agentem. Toto chování může značit pokusy o zneužití chyby zabezpečení ve vaší aplikaci služby App Service. (Platí pro: App Service ve Windows a App Service v Linuxu)
Taktika MITRE: Počáteční přístup
Závažnost: Informační
Zjištění podezřelého vyvolání motivu WordPressu
(AppServices_WpThemeInjection)
Popis: Aplikace Azure protokol aktivit služby označuje možnou aktivitu injektáže kódu u vašeho prostředku služby App Service. Zjištěná podezřelá aktivita se podobá manipulaci s motivem WordPress, která podporuje provádění kódu na straně serveru, následované přímým webovým požadavkem na vyvolání manipulovaného souboru motivu. Tento typ aktivity byl zobrazen v minulosti jako součást kampaně útoku přes WordPress. Pokud váš prostředek služby App Service není hostitelem webu WordPress, není ohrožený tímto konkrétním zneužitím injektáže kódu a můžete toto upozornění bezpečně potlačit pro daný prostředek. Informace o tom, jak potlačit výstrahy zabezpečení, najdete v tématu Potlačení výstrah z Programu Microsoft Defender pro cloud. (Platí pro: App Service ve Windows a App Service v Linuxu)
Taktika MITRE: Provádění
Závažnost: Vysoká
Zjištěná kontrola ohrožení zabezpečení
(AppServices_DrupalScanner)
Popis: Aplikace Azure protokol aktivit služby indikuje, že se ve vašem prostředku služby App Service použila možná kontrola ohrožení zabezpečení. Zjištěná podezřelá aktivita se podobá nástroji, které cílí na systém správy obsahu (CMS). Pokud váš prostředek služby App Service není hostitelem webu Drupal, není ohrožený tímto konkrétním zneužitím injektáže kódu a můžete toto upozornění bezpečně potlačit pro daný prostředek. Informace o tom, jak potlačit výstrahy zabezpečení, najdete v tématu Potlačení výstrah z Programu Microsoft Defender pro cloud. (Platí pro: App Service ve Windows)
Taktika MITRE: Předběžné připojení
Závažnost: Nízká
Zjištěný skener ohrožení zabezpečení (Apple)
(AppServices_JoomlaScanner)
Popis: Aplikace Azure protokol aktivit služby indikuje, že se ve vašem prostředku služby App Service použila možná kontrola ohrožení zabezpečení. Podezřelá aktivita se zjistila podobně jako nástroje cílené na aplikace Typu. Pokud váš prostředek služby App Service není hostitelem webu Macu, není ohrožený tímto konkrétním zneužitím injektáže kódu a můžete toto upozornění bezpečně potlačit pro daný prostředek. Informace o tom, jak potlačit výstrahy zabezpečení, najdete v tématu Potlačení výstrah z Programu Microsoft Defender pro cloud. (Platí pro: App Service ve Windows a App Service v Linuxu)
Taktika MITRE: Předběžné připojení
Závažnost: Nízká
Zjištěná kontrola ohrožení zabezpečení (WordPress)
(AppServices_WpScanner)
Popis: Aplikace Azure protokol aktivit služby indikuje, že se ve vašem prostředku služby App Service použila možná kontrola ohrožení zabezpečení. Podezřelá aktivita se zjistila podobně jako nástroje, které cílí na aplikace WordPress. Pokud váš prostředek služby App Service není hostitelem webu WordPress, není ohrožený tímto konkrétním zneužitím injektáže kódu a můžete toto upozornění bezpečně potlačit pro daný prostředek. Informace o tom, jak potlačit výstrahy zabezpečení, najdete v tématu Potlačení výstrah z Programu Microsoft Defender pro cloud. (Platí pro: App Service ve Windows a App Service v Linuxu)
Taktika MITRE: Předběžné připojení
Závažnost: Nízká
Byl zjištěn otisk prstu na webu.
(AppServices_WebFingerprinting)
Popis: Aplikace Azure protokol aktivit služby označuje možnou aktivitu otisku prstu na webu u vašeho prostředku služby App Service. Zjištěná podezřelá aktivita je spojena s nástrojem s názvem Slepý slon. Webové servery otisku prstu nástroje a pokusí se rozpoznat nainstalované aplikace a verzi. Útočníci často používají tento nástroj ke zjišťování ohrožení zabezpečení webové aplikace. (Platí pro: App Service ve Windows a App Service v Linuxu)
Taktika MITRE: Předběžné připojení
Závažnost: Střední
Web je označený jako škodlivý v informačním kanálu analýzy hrozeb.
(AppServices_SmartScreen)
Popis: Web, jak je popsáno níže, je označen jako škodlivý web filtrem Windows SmartScreen. Pokud si myslíte, že se jedná o falešně pozitivní, obraťte se na filtr Windows SmartScreen prostřednictvím poskytnutého odkazu na zpětnou vazbu sestavy. (Platí pro: App Service ve Windows a App Service v Linuxu)
Taktika MITRE: Kolekce
Závažnost: Střední
Poznámka:
Upozornění, která jsou ve verzi Preview: Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.