Alertas para o Serviço de Aplicativo do Azure
Este artigo lista os alertas de segurança que você pode receber para o Serviço de Aplicativo do Azure do Microsoft Defender for Cloud e quaisquer planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo e da sua configuração personalizada.
Nota
Alguns dos alertas adicionados recentemente com o Microsoft Defender Threat Intelligence e o Microsoft Defender for Endpoint podem não estar documentados.
Saiba como responder a esses alertas.
Nota
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para aparecer. Por exemplo, alertas que exigem análise do tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Alertas do Serviço de Aplicativo do Azure
Uma tentativa de executar comandos do Linux em um Serviço de Aplicativo do Windows
(AppServices_LinuxCommandOnWindows)
Descrição: A análise dos processos do Serviço de Aplicativo detetou uma tentativa de executar um comando Linux em um Serviço de Aplicativo do Windows. Esta ação foi executada pelo aplicativo Web. Esse comportamento geralmente é visto durante campanhas que exploram uma vulnerabilidade em um aplicativo Web comum. (Aplica-se a: Serviço de Aplicativo no Windows)
Gravidade: Média
Um IP conectado à Interface FTP do Serviço de Aplicativo do Azure foi encontrado no Threat Intelligence
(AppServices_IncomingTiClientIpFtp)
Descrição: o log FTP do Serviço de Aplicativo do Azure indica uma conexão de um endereço de origem que foi encontrada no feed de inteligência de ameaças. Durante essa conexão, um usuário acessou as páginas listadas. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Acesso Inicial
Gravidade: Média
Tentativa de executar o comando de alto privilégio detetado
(AppServices_HighPrivilegeCommand)
Descrição: A análise dos processos do Serviço de Aplicativo detetou uma tentativa de executar um comando que requer altos privilégios. O comando foi executado no contexto do aplicativo Web. Embora esse comportamento possa ser legítimo, em aplicativos da Web esse comportamento também é observado em atividades maliciosas. (Aplica-se a: Serviço de Aplicativo no Windows)
Gravidade: Média
Comunicação com domínio suspeito identificado por informações sobre ameaças
(AzureDNS_ThreatIntelSuspectDomain)
Descrição: A comunicação com um domínio suspeito foi detetada analisando as transações DNS do seu recurso e comparando com domínios mal-intencionados conhecidos identificados por feeds de inteligência de ameaças. A comunicação com domínios maliciosos é frequentemente realizada por atacantes e pode implicar que o seu recurso está comprometido.
Táticas MITRE: Acesso Inicial, Persistência, Execução, Comando e Controle, Exploração
Gravidade: Média
Ligação à página Web a partir de um endereço IP anómalo detetado
(AppServices_AnomalousPageAccess)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica uma conexão anômala com uma página da Web confidencial a partir do endereço IP de origem listado. Isso pode indicar que alguém está tentando um ataque de força bruta nas páginas de administração do seu aplicativo Web. Também pode ser o resultado de um novo endereço IP sendo usado por um usuário legítimo. Se o endereço IP de origem for confiável, você poderá suprimir com segurança esse alerta para este recurso. Para saber como suprimir alertas de segurança, consulte Suprimir alertas do Microsoft Defender for Cloud. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Acesso Inicial
Gravidade: Baixa
Registro DNS persistente para um recurso do Serviço de Aplicativo detetado
(AppServices_DanglingDomain)
Descrição: foi detetado um registo DNS que aponta para um recurso do Serviço de Aplicação recentemente eliminado (também conhecido como entrada "DNS pendente"). Isso deixa você suscetível a uma aquisição de subdomínio. As obtenções de controlo de subdomínios permitem que os intervenientes maliciosos redirecionem o tráfego destinado ao domínio de uma organização para um site que realiza atividades maliciosas. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Gravidade: Alta
Executável codificado detetado em dados de linha de comando
(AppServices_Base64EncodedExecutableInCommandLineParams)
Descrição: A análise dos dados do host em {Host comprometido} detetou um executável codificado em base 64. Isso já foi associado a invasores que tentam construir executáveis em tempo real através de uma sequência de comandos e tentam escapar de sistemas de deteção de intrusão, garantindo que nenhum comando individual acione um alerta. Isso pode ser uma atividade legítima ou uma indicação de um host comprometido. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Download de arquivo detetado de uma fonte maliciosa conhecida
(AppServices_SuspectDownload)
Descrição: A análise dos dados do host detetou o download de um arquivo de uma fonte de malware conhecida em seu host. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas MITRE: Escalonamento de Privilégios, Execução, Exfiltração, Comando e Controle
Gravidade: Média
Descarregamento de ficheiros suspeitos detetado
(AppServices_SuspectDownloadArtifacts)
Descrição: A análise dos dados do host detetou o descarregamento suspeito do arquivo remoto. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas MITRE: Persistência
Gravidade: Média
Comportamento relacionado à mineração de moeda digital detetado
(AppServices_DigitalCurrencyMining)
Descrição: A análise dos dados do host no Inn-Flow-WebJobs detetou a execução de um processo ou comando normalmente associado à mineração de moeda digital. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Execução
Gravidade: Alta
Executável decodificado usando certutil
(AppServices_ExecutableDecodedUsingCertutil)
Descrição: A análise dos dados do host em [Entidade comprometida] detetou que o certutil.exe, um utilitário de administrador interno, estava sendo usado para decodificar um executável em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas de administração legítimas para efetuar ações maliciosas, por exemplo, utilizando uma ferramenta como o certutil.exe para descodificar um executável malicioso que, em seguida, será executado posteriormente. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Comportamento de ataque sem arquivo detetado
(AppServices_FilelessAttackBehaviorDetection)
Descrição: A memória do processo especificado abaixo contém comportamentos comumente usados por ataques sem arquivo. Os comportamentos específicos incluem: {lista de comportamentos observados} (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Execução
Gravidade: Média
Técnica de ataque sem arquivo detetada
(AppServices_FilelessAttackTechniqueDetection)
Descrição: A memória do processo especificado abaixo contém evidências de uma técnica de ataque sem ficheiros. Os ataques sem ficheiros são utilizados pelos atacantes para executar código enquanto evitam a deteção por software de segurança. Os comportamentos específicos incluem: {lista de comportamentos observados} (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Execução
Gravidade: Alta
Kit de ferramentas de ataque sem arquivo detetado
(AppServices_FilelessAttackToolkitDetection)
Descrição: A memória do processo especificado abaixo contém um kit de ferramentas de ataque sem arquivo: {ToolKitName}. Os kits de ferramentas de ataque sem arquivo normalmente não estão presentes no sistema de arquivos, dificultando a deteção pelo software antivírus tradicional. Os comportamentos específicos incluem: {lista de comportamentos observados} (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Alerta de teste do Microsoft Defender for Cloud para o Serviço de Aplicativo (não é uma ameaça)
(AppServices_EICAR)
Descrição: Este é um alerta de teste gerado pelo Microsoft Defender for Cloud. Não é necessária mais nenhuma ação. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Gravidade: Alta
Verificação NMap detetada
(AppServices_Nmap)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica uma possível atividade de impressão digital da Web em seu recurso do Serviço de Aplicativo. A atividade suspeita detetada está associada ao NMAP. Os atacantes geralmente usam essa ferramenta para sondar o aplicativo Web para encontrar vulnerabilidades. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: PreAttack
Gravidade: Informativo
Conteúdo de phishing hospedado em Webapps do Azure
(AppServices_PhishingContent)
Descrição: URL usada para ataque de phishing encontrada no site do Azure AppServices. Este URL fazia parte de um ataque de phishing enviado a clientes do Microsoft 365. O conteúdo normalmente atrai os visitantes a inserir suas credenciais corporativas ou informações financeiras em um site de aparência legítima. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Coleção
Gravidade: Alta
Arquivo PHP na pasta de upload
(AppServices_PhpInUploadFolder)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica um acesso a uma página PHP suspeita localizada na pasta de carregamento. Este tipo de pasta geralmente não contém arquivos PHP. A existência deste tipo de ficheiro pode indicar uma exploração que tira partido de vulnerabilidades arbitrárias de carregamento de ficheiros. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Execução
Gravidade: Média
Possível download de Cryptocoinminer detetado
(AppServices_CryptoCoinMinerDownload)
Descrição: A análise dos dados do host detetou o download de um arquivo normalmente associado à mineração de moeda digital. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas MITRE: Evasão de Defesa, Comando e Controle, Exploração
Gravidade: Média
Possível exfiltração de dados detetada
(AppServices_DataEgressArtifacts)
Descrição: A análise dos dados do host/dispositivo detetou uma possível condição de saída de dados. Os atacantes geralmente emitem dados de máquinas que comprometeram. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas MITRE: Coleta, Exfiltração
Gravidade: Média
Registro DNS pendente potencial para um recurso do Serviço de Aplicativo detetado
(AppServices_PotentialDanglingDomain)
Descrição: foi detetado um registo DNS que aponta para um recurso do Serviço de Aplicação recentemente eliminado (também conhecido como entrada "DNS pendente"). Isso pode deixá-lo suscetível a uma aquisição de subdomínio. As obtenções de controlo de subdomínios permitem que os intervenientes maliciosos redirecionem o tráfego destinado ao domínio de uma organização para um site que realiza atividades maliciosas. Nesse caso, foi encontrado um registro de texto com a ID de Verificação de Domínio. Esses registros de texto impedem a tomada de controle do subdomínio, mas ainda recomendamos remover o domínio pendente. Se você deixar o registro DNS apontando para o subdomínio, correrá o risco se alguém em sua organização excluir o arquivo TXT ou registro no futuro. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Gravidade: Baixa
Potencial shell reverso detetado
(AppServices_ReverseShell)
Descrição: A análise dos dados do host detetou um potencial shell reverso. Eles são usados para fazer com que uma máquina comprometida chame de volta para uma máquina que um invasor possui. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas MITRE: Exfiltração, Exploração
Gravidade: Média
Download de dados brutos detetado
(AppServices_DownloadCodeFromWebsite)
Descrição: A análise dos processos do Serviço de Aplicativo detetou uma tentativa de baixar código de sites de dados brutos, como o Pastebin. Esta ação foi executada por um processo PHP. Esse comportamento está associado a tentativas de baixar shells da Web ou outros componentes mal-intencionados para o Serviço de Aplicativo. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Execução
Gravidade: Média
Salvando a saída curl no disco detetado
(AppServices_CurlToDisk)
Descrição: A análise dos processos do Serviço de Aplicativo detetou a execução de um comando curl no qual a saída foi salva no disco. Embora esse comportamento possa ser legítimo, em aplicativos da Web esse comportamento também é observado em atividades maliciosas, como tentativas de infetar sites com shells da Web. (Aplica-se a: Serviço de Aplicativo no Windows)
Gravidade: Baixa
Referenciador de pasta de spam detetado
(AppServices_SpamReferrer)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica a atividade da Web que foi identificada como originária de um site associado à atividade de spam. Isso pode ocorrer se o seu site for comprometido e usado para atividades de spam. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Gravidade: Baixa
Acesso suspeito a página da Web possivelmente vulnerável detetado
(AppServices_ScanSensitivePage)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica que uma página da Web que parece ser confidencial foi acessada. Esta atividade suspeita originou-se de um endereço IP de origem cujo padrão de acesso se assemelha ao de um scanner da web. Esta atividade está frequentemente associada a uma tentativa de um intruso de analisar a sua rede para tentar obter acesso a páginas Web sensíveis ou vulneráveis. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Gravidade: Baixa
Referência de nome de domínio suspeita
(AppServices_CommandlineSuspectDomain)
Descrição: Análise dos dados do host detetados referência a nome de domínio suspeito. Tal atividade, embora possivelmente comportamento legítimo do utilizador, é frequentemente uma indicação do descarregamento ou execução de software mal-intencionado. É provável que a atividade típica de invasores relacionados inclua o download e a execução de outros softwares mal-intencionados ou ferramentas de administração remota. (Aplica-se a: Serviço de Aplicativo no Linux)
Táticas MITRE: Exfiltração
Gravidade: Baixa
Download suspeito usando Certutil detetado
(AppServices_DownloadUsingCertutil)
Descrição: A análise dos dados do host em {NAME} detetou o uso do certutil.exe, um utilitário de administrador integrado, para o download de um binário em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas legítimas de administrador para executar ações maliciosas, por exemplo, usando certutil.exe para baixar e decodificar um executável mal-intencionado que será executado posteriormente. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Execução
Gravidade: Média
Execução suspeita de PHP detetada
(AppServices_SuspectPhp)
Descrição: Os logs da máquina indicam que um processo PHP suspeito está em execução. A ação incluiu uma tentativa de executar comandos do sistema operacional ou código PHP a partir da linha de comando, usando o processo PHP. Embora esse comportamento possa ser legítimo, em aplicativos da Web esse comportamento pode indicar atividades maliciosas, como tentativas de infetar sites com shells da Web. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Execução
Gravidade: Média
Cmdlets suspeitos do PowerShell executados
(AppServices_PowerShellPowerSploitScriptExecution)
Descrição: a análise dos dados do host indica a execução de cmdlets PowerSploit do PowerShell mal-intencionados conhecidos. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Execução
Gravidade: Média
Processo suspeito executado
(AppServices_KnownCredential AccessTools)
Descrição: Os logs da máquina indicam que o processo suspeito: '%{caminho do processo}' estava em execução na máquina, geralmente associado a tentativas de invasores de acessar credenciais. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Acesso a credenciais
Gravidade: Alta
Nome do processo suspeito detetado
(AppServices_ProcessWithKnownSuspiciousExtension)
Descrição: A análise dos dados do host em {NAME} detetou um processo cujo nome é suspeito, por exemplo, correspondendo a uma ferramenta de invasor conhecida ou nomeado de uma forma sugestiva de ferramentas invasoras que tentam se esconder à vista de todos. Este processo pode ser uma atividade legítima ou uma indicação de que uma das suas máquinas foi comprometida. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Persistência, Evasão de Defesa
Gravidade: Média
Processo SVCHOST suspeito executado
(AppServices_SVCHostFromInvalidPath)
Descrição: O processo do sistema SVCHOST foi observado em execução em um contexto anormal. O malware geralmente usa SVCHOST para mascarar sua atividade maliciosa. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Agente de usuário suspeito detetado
(AppServices_UserAgentInjection)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica solicitações com agente de usuário suspeito. Esse comportamento pode indicar tentativas de explorar uma vulnerabilidade em seu aplicativo do Serviço de Aplicativo. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Acesso Inicial
Gravidade: Informativo
Invocação suspeita de tema WordPress detetada
(AppServices_WpThemeInjection)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica uma possível atividade de injeção de código em seu recurso do Serviço de Aplicativo. A atividade suspeita detetada se assemelha à de uma manipulação do tema WordPress para suportar a execução de código do lado do servidor, seguida por uma solicitação direta da web para invocar o arquivo de tema manipulado. Este tipo de atividade foi visto no passado como parte de uma campanha de ataque ao WordPress. Se o recurso do Serviço de Aplicativo não estiver hospedando um site WordPress, ele não estará vulnerável a essa exploração específica de injeção de código e você poderá suprimir esse alerta para o recurso com segurança. Para saber como suprimir alertas de segurança, consulte Suprimir alertas do Microsoft Defender for Cloud. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Execução
Gravidade: Alta
Verificador de vulnerabilidade detetado
(AppServices_DrupalScanner)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica que um possível verificador de vulnerabilidades foi usado em seu recurso do Serviço de Aplicativo. A atividade suspeita detetada assemelha-se à de ferramentas direcionadas a um sistema de gerenciamento de conteúdo (CMS). Se o recurso do Serviço de Aplicativo não estiver hospedando um site do Drupal, ele não estará vulnerável a essa exploração específica de injeção de código e você poderá suprimir esse alerta para o recurso com segurança. Para saber como suprimir alertas de segurança, consulte Suprimir alertas do Microsoft Defender for Cloud. (Aplica-se a: Serviço de Aplicativo no Windows)
Táticas MITRE: PreAttack
Gravidade: Baixa
Verificador de vulnerabilidade detetado (Joomla)
(AppServices_JoomlaScanner)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica que um possível verificador de vulnerabilidades foi usado em seu recurso do Serviço de Aplicativo. A atividade suspeita detetada assemelha-se à de ferramentas direcionadas a aplicações Joomla. Se o recurso do Serviço de Aplicativo não estiver hospedando um site Joomla, ele não estará vulnerável a essa exploração específica de injeção de código e você poderá suprimir esse alerta para o recurso com segurança. Para saber como suprimir alertas de segurança, consulte Suprimir alertas do Microsoft Defender for Cloud. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: PreAttack
Gravidade: Baixa
Verificador de vulnerabilidade detetado (WordPress)
(AppServices_WpScanner)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica que um possível verificador de vulnerabilidades foi usado em seu recurso do Serviço de Aplicativo. A atividade suspeita detetada se assemelha à de ferramentas direcionadas a aplicativos WordPress. Se o recurso do Serviço de Aplicativo não estiver hospedando um site WordPress, ele não estará vulnerável a essa exploração específica de injeção de código e você poderá suprimir esse alerta para o recurso com segurança. Para saber como suprimir alertas de segurança, consulte Suprimir alertas do Microsoft Defender for Cloud. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: PreAttack
Gravidade: Baixa
Impressão digital da Web detetada
(AppServices_WebFingerprinting)
Descrição: o log de atividades do Serviço de Aplicativo do Azure indica uma possível atividade de impressão digital da Web em seu recurso do Serviço de Aplicativo. A atividade suspeita detetada está associada a uma ferramenta chamada Blind Elephant. A ferramenta de impressão digital servidores web e tenta detetar os aplicativos instalados e versão. Os atacantes geralmente usam essa ferramenta para sondar o aplicativo Web para encontrar vulnerabilidades. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: PreAttack
Gravidade: Média
O site é marcado como malicioso no feed de inteligência de ameaças
(AppServices_SmartScreen)
Descrição: Seu site, conforme descrito abaixo, é marcado como um site mal-intencionado pelo Windows SmartScreen. Se você acha que isso é um falso positivo, entre em contato com o Windows SmartScreen através do link de feedback de relatório fornecido. (Aplica-se a: Serviço de Aplicativo no Windows e Serviço de Aplicativo no Linux)
Táticas MITRE: Coleção
Gravidade: Média
Nota
Para alertas que estão em pré-visualização: Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.