Alertas do Serviço de Aplicativo do Azure
Este artigo lista os alertas de segurança que você pode receber para o Serviço de Aplicativo do Azure do Microsoft Defender para Nuvem e todos os planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.
Observação
Alguns dos alertas adicionados recentemente com a plataforma Microsoft Defender Threat Intelligence e Microsoft Defender para Ponto de Extremidade podem não estar documentados.
Saiba como responder a esses alertas.
Observação
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para serem exibidos. Por exemplo, alertas que exigem análise de tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Alertas do Serviço de Aplicativo do Azure
Uma tentativa de executar comandos do Linux em um Serviço de Aplicativo do Windows
(AppServices_LinuxCommandOnWindows)
Descrição: a análise dos processos do Serviço de Aplicativo detectou uma tentativa de executar um comando do Linux em um Serviço de Aplicativo do Windows. A ação estava sendo executada pelo aplicativo Web. Esse comportamento geralmente é visto durante campanhas que exploram uma vulnerabilidade em um aplicativo Web comum. (Aplica-se a: Serviço de Aplicativo no Windows)
Gravidade: Média
Um IP que se conectou à interface FTP do Serviço de Aplicativo do Azure foi encontrado na ferramenta Inteligência Contra Ameaças
(AppServices_IncomingTiClientIpFtp)
Descrição: o log de FTP do Serviço de Aplicativo do Azure indica uma conexão de um endereço de origem encontrado no feed de inteligência contra ameaças. Durante a conexão, um usuário acessou as páginas listadas. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Acesso Inicial
Gravidade: Média
Tentativa de executar o comando de alto privilégio detectado
(AppServices_HighPrivilegeCommand)
Descrição: a análise dos processos do Serviço de Aplicativo detectou uma tentativa de executar um comando que requer privilégios altos. O comando foi executado no contexto do aplicativo Web. Embora esse comportamento possa ser legítimo, em aplicativos Web esse comportamento também é observado em atividades mal-intencionadas. (Aplica-se a: Serviço de Aplicativo no Windows)
Gravidade: Média
Comunicação com um domínio suspeito identificado pela inteligência contra ameaças
(AzureDNS_ThreatIntelSuspectDomain)
Descrição: a comunicação com o domínio suspeito foi detectada analisando as transações de DNS do recurso e comparando-a com domínios mal-intencionados conhecidos identificados por feeds de inteligência contra ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido.
Táticas MITRE: Acesso Inicial, Persistência, Execução, Comando e Controle, Exploração
Gravidade: Média
Conexão com a página da Web de endereço IP anormal detectada
(AppServices_AnomalousPageAccess)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica uma conexão anômala com uma página da Web confidencial do endereço IP de origem listado. Pode indicar que alguém está tentando um ataque de força bruta em suas páginas de administração do aplicativo Web. Também pode ser resultado de um novo endereço IP sendo usado por um usuário legítimo. Se o endereço IP de origem for confiável, você poderá suprimir com segurança o alerta para esse recurso. Para saber como suprimir alertas de segurança, confira Suprimir alertas do Microsoft Defender para Nuvem. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Acesso Inicial
Gravidade: Baixa
Registro DNS pendente para um recurso do Serviço de Aplicativo detectado
(AppServices_DanglingDomain)
Descrição: foi detectado um registro DNS que aponta para um recurso do Serviço de Aplicativo excluído recentemente (também conhecido como entrada "DNS pendente"). Isso deixa você suscetível a uma invasão de subdomínio. As invasões de subdomínio permitem que os atores mal-intencionados redirecionem o tráfego destinado ao domínio de uma organização a um site que executa atividades mal-intencionadas. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Gravidade: Alta
Executável codificado detectado em dados da linha de comando
(AppServices_Base64EncodedExecutableInCommandLineParams)
Descrição: a análise dos dados do host em {Compromised host} detectou um executável codificado em base 64. Anteriormente, isso foi associado a invasores tentando construir executáveis imediatamente por meio de uma sequência de comandos e fugir dos sistemas de detecção de intrusão, garantindo que nenhum comando individual dispare um alerta. Pode ser uma atividade legítima ou uma indicação de um host comprometido. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Download de arquivo de uma fonte mal-intencionada conhecida detectado
(AppServices_SuspectDownload)
Descrição: a análise dos dados do host detectou o download de um arquivo de uma fonte de malware conhecida em seu host. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas MITRE: Escalonamento de Privilégios, Execução, Exfiltração, Comando e Controle
Gravidade: Média
Download de arquivo suspeito detectado
(AppServices_SuspectDownloadArtifacts)
Descrição: a análise dos dados do host detectou o download suspeito do arquivo remoto. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas do MITRE: Persistência
Gravidade: Média
Comportamento relacionado à mineração de moeda digital detectado
(AppServices_DigitalCurrencyMining)
Descrição: A análise dos dados do host no Inn-Flow-WebJobs detectou a execução de um processo ou comando normalmente associado à mineração de moeda digital. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas do MITRE: Execução
Gravidade: Alta
Executável decodificado usando certutil
(AppServices_ExecutableDecodedUsingCertutil)
Descrição: a análise dos dados do host em [Entidade comprometida] detectou que o certutil.exe, um utilitário de administrador integrado, estava sendo usado para decodificar um executável em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usando uma ferramenta como o certutil.exe para decodificar um executável mal-intencionado que será executado posteriormente. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Comportamento de ataque sem arquivos detectado
(AppServices_FilelessAttackBehaviorDetection)
Descrição: a memória do processo especificado abaixo contém comportamentos comumente usados por ataques sem arquivo. Os comportamentos específicos incluem: {lista de comportamentos observados} (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas do MITRE: Execução
Gravidade: Média
Técnica de ataque de sem arquivos detectada
(AppServices_FilelessAttackTechniqueDetection)
Descrição: a memória do processo especificado abaixo contém evidências de uma técnica de ataque sem arquivo. Ataques sem arquivo são usados por invasores para executar código e, ao mesmo tempo, escapar da detecção do software de segurança. Os comportamentos específicos incluem: {lista de comportamentos observados} (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas do MITRE: Execução
Gravidade: Alta
Kit de ferramentas de ataque sem arquivos detectado
(AppServices_FilelessAttackToolkitDetection)
Descrição: a memória do processo especificado abaixo contém um kit de ferramentas de ataque sem arquivo: {ToolKitName}. Os kits de ferramentas de ataque sem arquivo normalmente não estão presentes no sistema de arquivos, dificultando a detecção pelo software antivírus tradicional. Os comportamentos específicos incluem: {lista de comportamentos observados} (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Alerta de teste do Microsoft Defender para Nuvem para o Serviço de Aplicativo (não é uma ameaça)
(AppServices_EICAR)
Descrição: este é um alerta de teste gerado pelo Microsoft Defender para Nuvem. Nenhuma outra ação é necessária. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Gravidade: Alta
Verificação de NMap detectada
(AppServices_Nmap)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica uma possível atividade de impressão digital da Web no recurso do Serviço de Aplicativo. A atividade suspeita detectada está associada ao NMAP. Os invasores geralmente usam essa ferramenta a fim de investigar o aplicativo Web para encontrar vulnerabilidades. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Pré-ataque
Gravidade: Informativo
Conteúdo de phishing hospedado no Azure WebApps
(AppServices_PhishingContent)
Descrição: URL usada para ataque de phishing encontrada no site do Azure AppServices. Essa URL fazia parte de um ataque de phishing enviado para clientes do Microsoft 365. O conteúdo normalmente atrai os visitantes para inserir as credenciais corporativas ou informações financeiras em um site de aparência legítima. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Coleção
Gravidade: Alta
Arquivo PHP na pasta de carregamento
(AppServices_PhpInUploadFolder)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica um acesso a uma página PHP suspeita localizada na pasta de carregamento. Esse tipo de pasta geralmente não contém arquivos PHP. A existência desse tipo de arquivo pode indicar uma exploração aproveitando vulnerabilidades de carregamento de arquivo arbitrárias. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas do MITRE: Execução
Gravidade: Média
Possível download de Cryptocoinminer detectado
(AppServices_CryptoCoinMinerDownload)
Descrição: a análise dos dados do host detectou o download de um arquivo normalmente associado à mineração de moeda digital. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas MITRE: Evasão de Defesa, Comando e Controle, Exploração
Gravidade: Média
Possível exfiltração dos dados detectada
(AppServices_DataEgressArtifacts)
Descrição: a análise dos dados do host/dispositivo detectou uma possível condição de saída de dados. Os invasores geralmente removem dados de saída de computadores comprometidos. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas MITRE: Coleta, Exfiltração
Gravidade: Média
Potencial registro DNS pendente para um recurso do Serviço de Aplicativo detectado
(AppServices_PotentialDanglingDomain)
Descrição: foi detectado um registro DNS que aponta para um recurso do Serviço de Aplicativo excluído recentemente (também conhecido como entrada "DNS pendente"). Isso pode deixar você suscetível a uma invasão de subdomínio. As invasões de subdomínio permitem que os atores mal-intencionados redirecionem o tráfego destinado ao domínio de uma organização a um site que executa atividades mal-intencionadas. Nesse caso, foi encontrado um registro de texto com a ID de verificação de domínio. Esses registros de texto impedem a invasão do domínio, mas ainda recomendamos remover o domínio pendente. Se deixar o registro de DNS apontando para o subdomínio, você estará correndo um risco se alguém na sua organização excluir o arquivo ou registro TXT no futuro. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Gravidade: Baixa
Possível shell reverso detectado
(AppServices_ReverseShell)
Descrição: A análise dos dados do host detectou um potencial shell reverso. São usados para que um computador comprometido faça um retorno de chamada para um computador que um invasor possui. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas do MITRE: Exfiltração, Exploração
Gravidade: Média
Download de dados brutos detectado
(AppServices_DownloadCodeFromWebsite)
Descrição: a análise dos processos do Serviço de Aplicativo detectou uma tentativa de baixar código de sites de dados brutos, como o Pastebin. A ação foi executada por um processo PHP. O comportamento é associado a tentativas de download de web shells ou outros componentes mal-intencionados para o Serviço de Aplicativo. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas do MITRE: Execução
Gravidade: Média
Salvamento de saída de ondulação para disco detectado
(AppServices_CurlToDisk)
Descrição: a análise dos processos do Serviço de Aplicativo detectou a execução de um comando curl no qual a saída foi salva no disco. Embora o comportamento possa ser legítimo, em aplicativos Web, esse comportamento também é observado em atividades mal-intencionadas, como tentativas de infectar sites com web shells. (Aplica-se a: Serviço de Aplicativo no Windows)
Gravidade: Baixa
Referenciador de pasta de spam detectado
(AppServices_SpamReferrer)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica a atividade da Web que foi identificada como originada de um site associado à atividade de spam. Isso poderá ocorrer se o seu site for comprometido e usado para atividades de spam. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Gravidade: Baixa
Acesso suspeito detectado a uma página da Web possivelmente vulnerável
(AppServices_ScanSensitivePage)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica que uma página da Web que parece ser confidencial foi acessada. Essa atividade suspeita é originada de um endereço IP cujo padrão de acesso é semelhante ao de uma verificação da Web. Essa atividade geralmente está associada a uma tentativa de um invasor verificar sua rede para tentar obter acesso a páginas da Web sigilosas ou vulneráveis. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Gravidade: Baixa
Referência de nome de domínio suspeito
(AppServices_CommandlineSuspectDomain)
Descrição: a análise dos dados do host detectou referência a um nome de domínio suspeito. Essa atividade, embora seja possivelmente um comportamento de um usuário legítimo, é, muitas vezes, uma indicação do download ou da execução de um software mal-intencionado. A atividade típica relacionada ao invasor provavelmente incluirá o download e a execução de um software mal-intencionado adicional ou de ferramentas de administração remota. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas do MITRE: Exfiltração
Gravidade: Baixa
Download suspeito usando o Certutil detectado
(AppServices_DownloadUsingCertutil)
Descrição: a análise de dados do host em {NAME} detectou o uso do certutil.exe, um utilitário de administrador integrado, para o download de um binário em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os invasores são conhecidos por abusar da funcionalidade de ferramentas de administrador legítimas para executar ações mal-intencionadas, por exemplo, usar o certutil.exe para baixar e decodificar um executável mal-intencionado que será executado posteriormente. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas do MITRE: Execução
Gravidade: Média
Execução de PHP suspeito detectada
(AppServices_SuspectPhp)
Descrição: os logs da máquina indicam que um processo PHP suspeito está em execução. A ação incluiu uma tentativa de executar comandos do sistema operacional ou código PHP na linha de comando usando o processo PHP. Embora o comportamento possa ser legítimo, em aplicativos Web, esse comportamento também pode indicar atividades mal-intencionadas, como tentativas de infectar sites com web shells. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas do MITRE: Execução
Gravidade: Média
Cmdlets suspeitos do PowerShell executados
(AppServices_PowerShellPowerSploitScriptExecution)
Descrição: a análise de dados do host indica a execução de cmdlets PowerSploit mal-intencionados conhecidos. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas do MITRE: Execução
Gravidade: Média
Processo suspeito executado
(AppServices_KnownCredential AccessTools)
Descrição: os logs da máquina indicam que o processo suspeito: '%{process path}' estava em execução na máquina, geralmente associado a tentativas de invasores de acessar credenciais. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Acesso a credenciais
Gravidade: Alta
Nome de processo suspeito detectado
(AppServices_ProcessWithKnownSuspiciousExtension)
Descrição: a análise de dados do host em {NAME} detectou um processo cujo nome é suspeito, por exemplo, correspondendo a uma ferramenta invasora conhecida ou nomeado de uma forma sugestiva de ferramentas invasoras que tentam se esconder à vista de todos. O processo pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRA: Persistência, Evasão de Defesa
Gravidade: Média
Processo SVCHOST suspeito executado
(AppServices_SVCHostFromInvalidPath)
Descrição: o processo do sistema SVCHOST foi observado em execução em um contexto anormal. O malware geralmente usa o SVCHOST para mascarar sua atividade maliciosa. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Agente de usuário suspeito detectado
(AppServices_UserAgentInjection)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica solicitações com agente de usuário suspeito. Esse comportamento pode indicar tentativas de exploração de uma vulnerabilidade em seu aplicativo do Serviço de Aplicativo. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Acesso Inicial
Gravidade: Informativo
Invocação de tema do WordPress suspeita detectada
(AppServices_WpThemeInjection)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica uma possível atividade de injeção de código no recurso do Serviço de Aplicativo. A atividade suspeita detectada se assemelha à manipulação de tema do WordPress para dar suporte à execução de código no lado do servidor, seguida por uma solicitação direta da Web para invocar o arquivo de tema manipulado. Esse tipo de atividade foi visto no passado como parte de uma campanha de ataque no WordPress. Se não estiver hospedando um site do WordPress, o recurso do seu Serviço de Aplicativo não estará vulnerável a essa exploração de injeção de código específica e você poderá suprimir esse alerta para o recurso com segurança. Para saber como suprimir alertas de segurança, confira Suprimir alertas do Microsoft Defender para Nuvem. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas do MITRE: Execução
Gravidade: Alta
Verificação de vulnerabilidades detectada
(AppServices_DrupalScanner)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica que um possível verificador de vulnerabilidade foi usado no recurso do Serviço de Aplicativo. A atividade suspeita detectada assemelha-se à de ferramentas direcionadas a um CMS (sistema de gerenciamento de conteúdo). Se não estiver hospedando um site do Drupal, o recurso do seu Serviço de Aplicativo não estará vulnerável a essa exploração de injeção de código específica e você poderá suprimir com segurança esse alerta para o recurso. Para saber como suprimir alertas de segurança, confira Suprimir alertas do Microsoft Defender para Nuvem. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Pré-ataque
Gravidade: Baixa
Scanner de vulnerabilidade detectado (Joomla)
(AppServices_JoomlaScanner)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica que um possível verificador de vulnerabilidade foi usado no recurso do Serviço de Aplicativo. A atividade suspeita detectada se assemelha à de ferramentas direcionadas a aplicativos Joomla. Se não estiver hospedando um site do Joomla, o recurso do Serviço de Aplicativo não estará vulnerável a essa exploração de injeção de código específica e você poderá suprimir com segurança esse alerta para o recurso. Para saber como suprimir alertas de segurança, confira Suprimir alertas do Microsoft Defender para Nuvem. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Pré-ataque
Gravidade: Baixa
Scanner de vulnerabilidade detectado (WordPress)
(AppServices_WpScanner)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica que um possível verificador de vulnerabilidade foi usado no recurso do Serviço de Aplicativo. A atividade suspeita detectada se assemelha à de ferramentas direcionadas a aplicativos WordPress. Se não estiver hospedando um site do WordPress, o recurso do seu Serviço de Aplicativo não estará vulnerável a essa exploração de injeção de código específica e você poderá suprimir esse alerta para o recurso com segurança. Para saber como suprimir alertas de segurança, confira Suprimir alertas do Microsoft Defender para Nuvem. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Pré-ataque
Gravidade: Baixa
Impressão digital da web detectada
(AppServices_WebFingerprinting)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica uma possível atividade de impressão digital da Web no recurso do Serviço de Aplicativo. A atividade suspeita detectada está associada a uma ferramenta chamada Blind Elephant. A ferramenta deixa as impressões digitais em servidores Web e tenta detectar os aplicativos instalados e as versões deles. Os invasores geralmente usam essa ferramenta a fim de investigar o aplicativo Web para encontrar vulnerabilidades. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Pré-ataque
Gravidade: Média
O site é marcado como mal-intencionado no feed de inteligência contra ameaças
(AppServices_SmartScreen)
Descrição: Seu site, conforme descrito abaixo, é marcado como um site mal-intencionado pelo Windows SmartScreen. Se você considerar que este é um falso positivo, entre em contato com o Windows SmartScreen por meio do link de comentários do relatório fornecido. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Coleção
Gravidade: Média
Observação
Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.