Alertas de Azure App Service
En este artículo se enumeran las alertas de seguridad que puede obtener para App de Azure servicio de Microsoft Defender for Cloud y los planes de Microsoft Defender que ha habilitado. Las alertas que se muestran en el entorno dependen de los recursos y servicios que va a proteger, y de la configuración personalizada.
Nota:
Algunas de las alertas agregadas recientemente con tecnología de Inteligencia contra amenazas de Microsoft Defender y Microsoft Defender para punto de conexión podrían no estar documentadas.
Aprenda a responder a estas alertas.
Nota
Las alertas de orígenes diferentes pueden tardar un tiempo distinto en aparecer. Por ejemplo, las alertas que requieren un análisis del tráfico de red pueden tardar más en aparecer que las alertas relacionadas con procesos sospechosos que se ejecutan en máquinas virtuales.
alertas del servicio App de Azure
Intento de ejecución de comandos de Linux en una instancia de App Service de Windows
(AppServices_LinuxCommandOnWindows)
Descripción: el análisis de los procesos de App Service detectó un intento de ejecutar un comando de Linux en un servicio de aplicaciones de Windows. La aplicación web estaba ejecutando esta acción. Este comportamiento se ve a menudo en campañas que aprovechan una vulnerabilidad en una aplicación web común (se aplica a: App Service en Windows)
Tácticas de MITRE: -
Gravedad: media
Se ha encontrado en Información sobre amenazas una dirección IP que se ha conectado a la interfaz de FTP de Azure App Service
(AppServices_IncomingTiClientIpFtp)
Descripción: App de Azure registro FTP del servicio indica una conexión desde una dirección de origen que se encontró en la fuente de inteligencia sobre amenazas. Durante esta conexión, un usuario ha accedido a las páginas que aquí se indican. (se aplica a: App Service en Windows y App Service en Linux)
Tácticas de MITRE: acceso inicial
Gravedad: media
Intento de ejecución de comando con privilegios elevados detectado
(AppServices_HighPrivilegeCommand)
Descripción: el análisis de los procesos de App Service detectó un intento de ejecutar un comando que requiere privilegios elevados. El comando se ejecutó en el contexto de la aplicación web. Aunque este comportamiento puede ser legítimo, en aplicaciones web también se observa en actividades malintencionadas. (se aplica a: App Service en Windows)
Tácticas de MITRE: -
Gravedad: media
Comunicación con un dominio sospechoso identificado por inteligencia sobre amenazas
(AzureDNS_ThreatIntelSuspectDomain)
Descripción: la comunicación con un dominio sospechoso se detectó mediante el análisis de transacciones DNS desde el recurso y la comparación con dominios malintencionados conocidos identificados por fuentes de inteligencia sobre amenazas. A menudo, los atacantes realizan comunicación con dominios malintencionados y pueden implicar que el recurso se ve comprometido.
Tácticas de MITRE: acceso inicial, persistencia, ejecución, comando y control, explotación
Gravedad: media
Conexión a página web desde una dirección IP anómala detectada
(AppServices_AnomalousPageAccess)
Descripción: App de Azure registro de actividad del servicio indica una conexión anómala a una página web confidencial desde la dirección IP de origen indicada. Esto podría indicar que alguien está intentando realizar un ataque por fuerza bruta en las páginas de administración de la aplicación web. También puede deberse a que un usuario legítimo esté utilizando una nueva dirección IP. Si la dirección IP de origen es de confianza, puede suprimir de forma segura esta alerta para este recurso. Para obtener información sobre cómo suprimir las alertas de seguridad, consulte Supresión de alertas de Microsoft Defender for Cloud. (se aplica a: App Service en Windows y App Service en Linux)
Tácticas de MITRE: acceso inicial
Gravedad: baja
Registro de DNS pendiente para un recurso de App Service detectado
(AppServices_DanglingDomain)
Descripción: se ha detectado un registro DNS que apunta a un recurso de App Service eliminado recientemente (también conocido como entrada "DNS pendiente". Esto permite que puedan realizar una adquisición de un subdominio. Las adquisiciones de subdominios permiten a los actores malintencionados redirigir el tráfico destinado al dominio de una organización a un sitio que realiza una actividad malintencionada. (se aplica a: App Service en Windows y App Service en Linux)
Tácticas de MITRE: -
Gravedad: alta
Se detectó un archivo ejecutable codificado en los datos de la línea de comandos.
(AppServices_Base64EncodedExecutableInCommandLineParams)
Descripción: el análisis de datos de host en {Compromised host} detectó un ejecutable codificado en base 64. Esto se ha asociado previamente con atacantes que intentan crear archivos ejecutables sobre la marcha mediante una secuencia de comandos e intentan eludir los sistemas de detección de intrusiones al asegurarse de que ningún comando individual desencadena una alerta. Esto podría indicar una actividad legítima o que un host se encuentra en peligro. (se aplica a: App Service en Windows)
Tácticas de MITRE: Evasión de defensa, Ejecución
Gravedad: alta
Se detectó una descarga de archivos desde un origen malintencionado conocido.
(AppServices_SuspectDownload)
Descripción: el análisis de los datos del host ha detectado la descarga de un archivo de un origen de malware conocido en el host. (se aplica a: App Service en Linux)
Tácticas de MITRE: Elevación de privilegios, Ejecución, Filtración, Comando y Control
Gravedad: media
Se detectó una descarga de archivos sospechosa.
(AppServices_SuspectDownloadArtifacts)
Descripción: el análisis de los datos del host ha detectado una descarga sospechosa del archivo remoto. (se aplica a: App Service en Linux)
Tácticas de MITRE: Persistencia
Gravedad: media
Se detectó un comportamiento relacionado con la minería de datos de moneda digital.
(AppServices_DigitalCurrencyMining)
Descripción: el análisis de datos de host en Inn-Flow-WebJobs detectó la ejecución de un proceso o comando normalmente asociado a la minería de moneda digital. (se aplica a: App Service en Windows y App Service en Linux)
Tácticas de MITRE: Ejecución
Gravedad: alta
Archivo ejecutable descodificado mediante certutil
(AppServices_ExecutableDecodedUsingCertutil)
Descripción: el análisis de datos de host en [Entidad en peligro] detectó que certutil.exe, una utilidad de administrador integrada, se usaba para descodificar un archivo ejecutable en lugar de su propósito estándar relacionado con la manipulación de certificados y datos de certificado. Se sabe que los atacantes abusan de la funcionalidad de herramientas de administrador legítimas para realizar acciones malintencionadas; por ejemplo, utilizan una herramienta como certutil.exe para descodificar un ejecutable malintencionado que se ejecutará posteriormente. (se aplica a: App Service en Windows)
Tácticas de MITRE: Evasión de defensa, Ejecución
Gravedad: alta
Comportamiento de ataque sin archivos detectado
(AppServices_FilelessAttackBehaviorDetection)
Descripción: la memoria del proceso especificado a continuación contiene comportamientos que suelen usar los ataques sin archivos. Entre los comportamientos específicos se incluyen: {lista de comportamientos observados} (se aplica a: App Service en Windows y App Service en Linux)
Tácticas de MITRE: Ejecución
Gravedad: media
Se detectó una técnica de ataque sin archivos
(AppServices_FilelessAttackTechniqueDetection)
Descripción: la memoria del proceso especificado a continuación contiene evidencias de una técnica de ataque sin archivos. Los atacantes usan los ataques sin archivos para ejecutar código y evitar ser detectados por el software de seguridad. Entre los comportamientos específicos se incluyen: {lista de comportamientos observados} (se aplica a: App Service en Windows y App Service en Linux)
Tácticas de MITRE: Ejecución
Gravedad: alta
Kit de herramientas de ataques sin archivos detectado
(AppServices_FilelessAttackToolkitDetection)
Descripción: la memoria del proceso especificado a continuación contiene un kit de herramientas de ataques sin archivos: {ToolKitName}. Los kits de herramientas de ataque sin archivos no tienen presencia en el sistema de archivos, lo que dificulta la detección mediante el software antivirus tradicional. Entre los comportamientos específicos se incluyen: {lista de comportamientos observados} (se aplica a: App Service en Windows y App Service en Linux)
Tácticas de MITRE: Evasión de defensa, Ejecución
Gravedad: alta
Alerta de prueba de Microsoft Defender for Cloud para App Service (no una amenaza)
(AppServices_EICAR)
Descripción: se trata de una alerta de prueba generada por Microsoft Defender for Cloud. No es necesario realizar ninguna acción adicional. (se aplica a: App Service en Windows y App Service en Linux)
Tácticas de MITRE: -
Gravedad: alta
Exploración de NMap detectada
(AppServices_Nmap)
Descripción: App de Azure registro de actividad del servicio indica una posible actividad de huella digital web en el recurso de App Service. La actividad sospechosa detectada está asociada a NMAP. Los atacantes utilizan a menudo esta herramienta para sondear la aplicación web en busca de vulnerabilidades. (se aplica a: App Service en Windows y App Service en Linux)
Tácticas de MITRE: PreAttack
Gravedad: informativo
Contenido de suplantación de identidad hospedado en Azure Web Apps
(AppServices_PhishingContent)
Descripción: dirección URL usada para el ataque de suplantación de identidad que se encuentra en el sitio web de App de Azure Services. Esta dirección URL formaba parte de un ataque de suplantación de identidad enviado a clientes de Microsoft 365. Normalmente, el contenido empuja a los visitantes a introducir sus credenciales corporativas o información financiera en un sitio web de aspecto legítimo. (se aplica a: App Service en Windows y App Service en Linux)
Tácticas de MITRE: Colección
Gravedad: alta
Archivo PHP en la carpeta de carga
(AppServices_PhpInUploadFolder)
Descripción: App de Azure registro de actividad del servicio indica un acceso a una página PHP sospechosa ubicada en la carpeta de carga. Este tipo de carpeta no suele contener archivos PHP. La existencia de este tipo de archivo podría indicar un ataque que aprovecha vulnerabilidades de carga de archivos arbitrarias. (se aplica a: App Service en Windows y App Service en Linux)
Tácticas de MITRE: Ejecución
Gravedad: media
Se ha detectado la posible descarga de Cryptocoinminer
(AppServices_CryptoCoinMinerDownload)
Descripción: el análisis de los datos del host ha detectado la descarga de un archivo normalmente asociado a la minería de moneda digital. (se aplica a: App Service en Linux)
Tácticas de MITRE: Evasión de defensa, Comando y Control, Explotación
Gravedad: media
Posible filtración de datos detectada
(AppServices_DataEgressArtifacts)
Descripción: el análisis de los datos de host o dispositivo detectó una posible condición de salida de datos. A menudo, los atacantes extraen datos de las máquinas que han puesto en peligro. (se aplica a: App Service en Linux)
Tácticas de MITRE: Colección, Filtración
Gravedad: media
Se ha detectado un potencial registro de DNS pendiente para un recurso de App Service detectado
(AppServices_PotentialDanglingDomain)
Descripción: se ha detectado un registro DNS que apunta a un recurso de App Service eliminado recientemente (también conocido como entrada "DNS pendiente". Esto permite que puedan realizar una adquisición de un subdominio. Las adquisiciones de subdominios permiten a los actores malintencionados redirigir el tráfico destinado al dominio de una organización a un sitio que realiza una actividad malintencionada. En este caso, se encontró un registro de texto con el identificador de comprobación de dominio. Estos registros de texto impiden la adquisición de subdominios, pero aun así, se recomienda quitar el dominio pendiente. Si deja el registro de DNS apuntando al subdominio, correrá peligro si cualquiera de su organización elimina el archivo TXT o el registro en el futuro. (se aplica a: App Service en Windows y App Service en Linux)
Tácticas de MITRE: -
Gravedad: baja
Se detectó un posible shell inverso.
(AppServices_ReverseShell)
Descripción: el análisis de los datos del host detectó un posible shell inverso. Se usan para hacer que una máquina en peligro devuelva una llamada a una máquina de un atacante. (se aplica a: App Service en Linux)
Tácticas de MITRE: Filtración, Explotación
Gravedad: media
Se detectó una descarga de datos sin procesar.
(AppServices_DownloadCodeFromWebsite)
Descripción: el análisis de los procesos de App Service detectó un intento de descargar código de sitios web de datos sin procesar, como Pastebin. Esta acción la ejecutó un proceso de PHP. Este comportamiento está asociado a intentos de descargar shells web u otros componentes malintencionados en App Service. (se aplica a: App Service en Windows)
Tácticas de MITRE: Ejecución
Gravedad: media
Se detectó el almacenamiento de la salida de cURL en el disco.
(AppServices_CurlToDisk)
Descripción: el análisis de los procesos de App Service detectó la ejecución de un comando curl en el que la salida se guardó en el disco. Aunque este comportamiento puede ser legítimo, en aplicaciones web también se observa en actividades malintencionadas, como intentos de infectar sitios web con shells web. (se aplica a: App Service en Windows)
Tácticas de MITRE: -
Gravedad: baja
Se detectó un origen de referencia de la carpeta de correo no deseado.
(AppServices_SpamReferrer)
Descripción: App de Azure registro de actividad del servicio indica la actividad web que se identificó como originada en un sitio web asociado a la actividad de correo no deseado. Esto puede ocurrir si el sitio web está en peligro y se usa para una actividad de spam. (se aplica a: App Service en Windows y App Service en Linux)
Tácticas de MITRE: -
Gravedad: baja
Acceso sospechoso a página web posiblemente vulnerable detectado
(AppServices_ScanSensitivePage)
Descripción: App de Azure registro de actividad del servicio indica una página web a la que parece que se ha accedido con información confidencial. Esta actividad sospechosa se ha originado en una dirección IP de origen cuyo patrón de acceso es similar al de un escáner web. Esta actividad suele estar asociada a un intento de un atacante de examinar la red para intentar obtener acceso a páginas web confidenciales o vulnerables. (se aplica a: App Service en Windows y App Service en Linux)
Tácticas de MITRE: -
Gravedad: baja
Referencia de nombre de dominio sospechoso
(AppServices_CommandlineSuspectDomain)
Descripción: el análisis de los datos de host detectó una referencia a un nombre de dominio sospechoso. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, a menudo indica la descarga o ejecución de software malintencionado. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota adicionales. (se aplica a: App Service en Linux)
Tácticas de MITRE: Filtración
Gravedad: baja
Se detectó una descarga sospechosa mediante CertUtil.
(AppServices_DownloadUsingCertutil)
Descripción: el análisis de datos de host en {NAME} detectó el uso de certutil.exe, una utilidad de administrador integrada, para la descarga de un archivo binario en lugar de su propósito estándar relacionado con la manipulación de certificados y datos de certificados. Se sabe que los atacantes usan la funcionalidad de herramientas de administrador legítimas para realizar acciones malintencionadas. Por ejemplo, utilizan certutil.exe para descargar y descodificar un archivo ejecutable malintencionado que se ejecutará posteriormente. (se aplica a: App Service en Windows)
Tácticas de MITRE: Ejecución
Gravedad: media
Ejecución de PHP sospechoso detectada
(AppServices_SuspectPhp)
Descripción: los registros de la máquina indican que se está ejecutando un proceso PHP sospechoso. La acción incluye un intento de ejecutar comandos del sistema operativo o código PHP desde la línea de comandos mediante el proceso PHP. Aunque este comportamiento puede ser legítimo, en aplicaciones web podría indicar actividades malintencionadas, como intentos de infectar sitios web con shells web. (se aplica a: App Service en Windows y App Service en Linux)
Tácticas de MITRE: Ejecución
Gravedad: media
SE ejecutaron cmdlets de PowerShell sospechosos.
(AppServices_PowerShellPowerSploitScriptExecution)
Descripción: el análisis de datos de host indica la ejecución de cmdlets conocidos malintencionados de PowerShell PowerSploit. (se aplica a: App Service en Windows)
Tácticas de MITRE: Ejecución
Gravedad: media
Se ejecutó un proceso sospechoso.
(AppServices_KnownCredential AccessTools)
Descripción: los registros de la máquina indican que el proceso sospechoso: '%{ruta de acceso del proceso}' se estaba ejecutando en la máquina, a menudo asociado a los intentos de atacantes de acceder a las credenciales. (se aplica a: App Service en Windows)
Tácticas de MITRE: Acceso a credenciales
Gravedad: alta
Se detectó un nombre de proceso sospechoso.
(AppServices_ProcessWithKnownSuspiciousExtension)
Descripción: el análisis de datos de host en {NAME} detectó un proceso cuyo nombre es sospechoso, por ejemplo, correspondiente a una herramienta de atacante conocida o denominada de una manera que es sugerente de herramientas de atacante que intentan ocultarse a simple vista. Este proceso podría indicar una actividad legítima o que una de sus máquinas se ha puesto en peligro. (se aplica a: App Service en Windows)
Tácticas de MITRE: persistencia, evasión de defensa
Gravedad: media
Se ejecutó el proceso SVCHOST sospechoso.
(AppServices_SVCHostFromInvalidPath)
Descripción: el proceso del sistema SVCHOST se observó en ejecución en un contexto anómalo. El malware suele usar SVCHOST para enmascarar su actividad malintencionada. (se aplica a: App Service en Windows)
Tácticas de MITRE: Evasión de defensa, Ejecución
Gravedad: alta
Se detectó un agente de usuario sospechoso.
(AppServices_UserAgentInjection)
Descripción: App de Azure registro de actividad del servicio indica las solicitudes con un agente de usuario sospechoso. Este comportamiento puede indicar que se realizaron intentos para aprovechar una vulnerabilidad en la aplicación de App Service. (se aplica a: App Service en Windows y App Service en Linux)
Tácticas de MITRE: acceso inicial
Gravedad: informativo
Invocación de tema de WordPress sospechoso detectada
(AppServices_WpThemeInjection)
Descripción: App de Azure registro de actividad del servicio indica una posible actividad de inyección de código en el recurso de App Service. La actividad sospechosa detectada se parece a la de una manipulación de un tema de WordPress para permitir la ejecución de código en el servidor, seguida de una solicitud web directa para invocar el archivo con el tema manipulado. En el pasado, este tipo de actividad se ha observado como parte de una campaña de ataques a través de WordPress. Si el recurso de App Service no hospeda un sitio de WordPress, no es vulnerable a esta vulnerabilidad de inyección de código específica y puede suprimir esta alerta de forma segura para el recurso. Para obtener información sobre cómo suprimir las alertas de seguridad, consulte Supresión de alertas de Microsoft Defender for Cloud. (se aplica a: App Service en Windows y App Service en Linux)
Tácticas de MITRE: Ejecución
Gravedad: alta
Se detectó un detector de vulnerabilidades.
(AppServices_DrupalScanner)
Descripción: App de Azure registro de actividad del servicio indica que se usó un posible analizador de vulnerabilidades en el recurso de App Service. La actividad sospechosa detectada es similar a la de las herramientas que tienen como destino un sistema de administración de contenido (CMS). Si el recurso de App Service no hospeda un sitio de Drupal, no es vulnerable a esta vulnerabilidad de inyección de código específica y puede suprimir esta alerta de forma segura para el recurso. Para obtener información sobre cómo suprimir las alertas de seguridad, consulte Supresión de alertas de Microsoft Defender for Cloud. (se aplica a: App Service en Windows)
Tácticas de MITRE: PreAttack
Gravedad: baja
Detector de vulnerabilidades detectado (Joomla)
(AppServices_JoomlaScanner)
Descripción: App de Azure registro de actividad del servicio indica que se usó un posible analizador de vulnerabilidades en el recurso de App Service. La actividad sospechosa detectada es similar a la de las herramientas que tienen como destino aplicaciones de Joomla. Si el recurso de App Service no hospeda un sitio de Joomla, no es vulnerable a esta vulnerabilidad de inyección de código específica y puede suprimir esta alerta de forma segura para el recurso. Para obtener información sobre cómo suprimir las alertas de seguridad, consulte Supresión de alertas de Microsoft Defender for Cloud. (se aplica a: App Service en Windows y App Service en Linux)
Tácticas de MITRE: PreAttack
Gravedad: baja
Detector de vulnerabilidades detectado (WordPress)
(AppServices_WpScanner)
Descripción: App de Azure registro de actividad del servicio indica que se usó un posible analizador de vulnerabilidades en el recurso de App Service. La actividad sospechosa detectada es similar a la de las herramientas que tienen como destino aplicaciones de WordPress. Si el recurso de App Service no hospeda un sitio de WordPress, no es vulnerable a esta vulnerabilidad de inyección de código específica y puede suprimir esta alerta de forma segura para el recurso. Para obtener información sobre cómo suprimir las alertas de seguridad, consulte Supresión de alertas de Microsoft Defender for Cloud. (se aplica a: App Service en Windows y App Service en Linux)
Tácticas de MITRE: PreAttack
Gravedad: baja
Huella digital web detectada
(AppServices_WebFingerprinting)
Descripción: App de Azure registro de actividad del servicio indica una posible actividad de huella digital web en el recurso de App Service. La actividad sospechosa detectada está asociada con una herramienta llamada Blind Elephant. La herramienta crea una huella digital de servidores web e intenta detectar las aplicaciones instaladas y su versión. Los atacantes utilizan a menudo esta herramienta para sondear la aplicación web en busca de vulnerabilidades. (se aplica a: App Service en Windows y App Service en Linux)
Tácticas de MITRE: PreAttack
Gravedad: media
El sitio web se etiqueta como malintencionado en una fuente de inteligencia sobre amenazas
(AppServices_SmartScreen)
Descripción: el sitio web como se describe a continuación se marca como un sitio malintencionado de Windows SmartScreen. Si cree que se trata de un falso positivo, póngase en contacto con Windows SmartScreen mediante el vínculo de comentarios de informe proporcionado. (se aplica a: App Service en Windows y App Service en Linux)
Tácticas de MITRE: Colección
Gravedad: media
Nota:
En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.