你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 应用服务警报
本文列出了从 Microsoft Defender for Cloud 获取Azure App 服务以及启用的任何Microsoft Defender 计划的安全警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。
注意
一些最近添加的由 Microsoft Defender 威胁智能 和 Microsoft Defender for Endpoint 提供支持的警报可能未记录。
注意
来自不同源的警报可能在不同的时间后出现。 例如,需要分析网络流量的警报的出现时间,可能比虚拟机上运行的可疑进程的相关警报要晚一些。
Azure App 服务警报
有人尝试在 Windows 应用服务上运行 Linux 命令
(AppServices_LinuxCommandOnWindows)
说明:分析App 服务进程检测到尝试在 Windows App 服务上运行 Linux 命令。 此操作由 Web 应用运行。 此行为在恶意软件活动中经常出现,旨在利用常见 Web 应用中的漏洞。 (适用于:Windows 上的应用服务)
MITRE 策略: -
严重性:中等
在威胁情报中发现连接到 Azure 应用服务 FTP 接口的 IP
(AppServices_IncomingTiClientIpFtp)
说明:Azure App 服务 FTP 日志指示来自威胁情报源中找到的源地址的连接。 在此连接期间,用户访问了列出的页面。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)
MITRE 策略:初始访问
严重性:中等
检测到有人尝试运行高特权命令
(AppServices_HighPrivilegeCommand)
说明:分析App 服务进程检测到尝试运行需要高特权的命令。 命令在 Web 应用上下文中运行。 虽然此行为可能合法,但在 Web 应用程序中,此行为也会在恶意活动中观察到。 (适用于:Windows 上的应用服务)
MITRE 策略: -
严重性:中等
与威胁情报识别的可疑域通信
(AzureDNS_ThreatIntelSuspectDomain)
说明:通过分析来自资源的 DNS 事务并与威胁情报源标识的已知恶意域进行比较,检测到与可疑域的通信。 攻击者会频繁执行与恶意域的通信,这样的通信可能意味着你的资源已遭受入侵。
MITRE 策略:初始访问、持久性、执行、命令和控制、利用
严重性:中等
检测到有人从异常 IP 地址连接到网页
(AppServices_AnomalousPageAccess)
说明:Azure App 服务活动日志指示从列出的源 IP 地址到敏感网页的异常连接。 这可能指示有人正在尝试对 Web 应用管理页面发起暴力攻击。 但也可能是因为某位合法用户使用了新的 IP 地址。 如果源 IP 地址受信任,则可以安全地对此资源禁止显示此警报。 若要了解如何抑制安全警报,请参阅抑制 Microsoft Defender For Cloud 发出的警报。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)
MITRE 策略:初始访问
严重性:低
检测到应用服务资源存在无关联的 DNS 记录
(AppServices_DanglingDomain)
说明:检测到指向最近删除的App 服务资源(也称为“悬空 DNS”条目)的 DNS 记录。 这使你容易遭到子域接管。 子域接管使恶意操作者能够将专用于某组织的域的流量重定向到一个执行恶意活动的站点。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)
MITRE 策略: -
严重性:高
在命令行数据中检测到编码的可执行文件
(AppServices_Base64EncodedExecutableInCommandLineParams)
说明:{Compromised host} 上的主机数据分析检测到 base-64 编码的可执行文件。 此警报之前与攻击者的以下行为相关:试图通过一系列命令动态构造可执行文件,以及试图通过确保任何单个命令都不会触发警报来避开入侵检测系统。 这可能是合法活动,也可能指示主机遭到入侵。 (适用于:Windows 上的应用服务)
MITRE 策略:防御逃避、执行
严重性:高
检测到来自已知恶意来源的文件下载
(AppServices_SuspectDownload)
说明:主机数据分析检测到从主机上的已知恶意软件源下载文件。 (适用于:Linux 上的应用服务)
MITRE 策略:特权提升、执行、外泄、命令和控制
严重性:中等
检测到可疑的文件下载
(AppServices_SuspectDownloadArtifacts)
说明:主机数据分析检测到远程文件的可疑下载。 (适用于:Linux 上的应用服务)
MITRE 策略:持久性
严重性:中等
检测到数字货币挖掘相关行为
(AppServices_DigitalCurrencyMining)
说明:Inn-Flow-WebJobs 上的主机数据分析检测到执行通常与数字资产挖掘关联的进程或命令。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)
MITRE 策略:执行
严重性:高
使用 certutil 解码的可执行文件
(AppServices_ExecutableDecodedUsingCertutil)
说明:[已泄露实体]上的主机数据分析检测到,certutil.exe(一个内置管理员实用工具)用于解码可执行文件,而不是与操作证书和证书数据相关的主流用途。 我们知道,攻击者可以滥用合法的管理员工具的功能来执行恶意操作,例如,使用 certutil.exe 之类的工具来解码恶意的可执行文件,随后执行该文件。 (适用于:Windows 上的应用服务)
MITRE 策略:防御逃避、执行
严重性:高
检测到无文件攻击行为
(AppServices_FilelessAttackBehaviorDetection)
说明:下面指定的进程的内存包含无文件攻击常用的行为。 特定行为包括:{观察行为列表}(适用于:Windows 上的App 服务和 Linux 上的App 服务)
MITRE 策略:执行
严重性:中等
检测到无文件攻击技术
(AppServices_FilelessAttackTechniqueDetection)
说明:下面指定的进程的内存包含无文件攻击技术的证据。 攻击者使用无文件攻击来执行代码,同时避开安全软件的检测。 特定行为包括:{观察行为列表}(适用于:Windows 上的App 服务和 Linux 上的App 服务)
MITRE 策略:执行
严重性:高
检测到无文件攻击工具包
(AppServices_FilelessAttackToolkitDetection)
说明:下面指定的进程的内存包含无文件攻击工具包:{ToolKitName}。 无文件攻击工具包通常不存在于文件系统中,因此难以使用传统防病毒软件进行检测。 特定行为包括:{观察行为列表}(适用于:Windows 上的App 服务和 Linux 上的App 服务)
MITRE 策略:防御逃避、执行
严重性:高
适用于应用服务的 Microsoft Defender for Cloud 测试警报(非威胁)
(AppServices_EICAR)
说明:这是由 Microsoft Defender for Cloud 生成的测试警报。 无需执行其他操作。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)
MITRE 策略: -
严重性:高
检测到 NMap 扫描
(AppServices_Nmap)
说明:Azure App 服务活动日志指示App 服务资源上可能存在的 Web 指纹活动。 检测到的可疑活动与 NMAP 关联。 攻击者通常使用此工具来探测 Web 应用程序,从而查找漏洞。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)
MITRE 策略:PreAttack
严重性:信息性
Azure Web 应用上托管了网络钓鱼内容
(AppServices_PhishingContent)
说明:用于在 Azure 应用Services 网站上发现的网络钓鱼攻击的 URL。 此 URL 是发送给 Microsoft 365 客户的网络钓鱼攻击的一部分。 相关内容通常引诱访问者在看似合法的网站中输入其企业凭据或财务信息。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)
MITRE 策略:集合
严重性:高
上传文件夹中的 PHP 文件
(AppServices_PhpInUploadFolder)
说明:Azure App 服务活动日志指示访问位于上传文件夹中的可疑 PHP 页面。 此类型的文件夹通常不包含 PHP 文件。 存在这种类型的文件可能指示有人利用了任意文件上传漏洞。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)
MITRE 策略:执行
严重性:中等
检测到潜在 Cryptocoinminer 下载
(AppServices_CryptoCoinMinerDownload)
说明:主机数据分析检测到通常与数字签名挖掘关联的文件下载。 (适用于:Linux 上的应用服务)
MITRE 策略:防御逃避、指挥和控制、剥削
严重性:中等
检测到可能存在数据外泄
(AppServices_DataEgressArtifacts)
说明:主机/设备数据分析检测到可能的数据出口条件。 攻击者通常会从入侵的计算机中流出数据。 (适用于:Linux 上的应用服务)
MITRE 策略:收集、外泄
严重性:中等
检测到应用服务资源可能存在无关联的 DNS 记录
(AppServices_PotentialDanglingDomain)
说明:检测到指向最近删除的App 服务资源(也称为“悬空 DNS”条目)的 DNS 记录。 这可能会导致你遭到子域接管。 子域接管使恶意操作者能够将专用于某组织的域的流量重定向到一个执行恶意活动的站点。 在这种情况下,找到的是具有域验证 ID 的文本记录。 此类文本记录会防止子域接管,但仍请删除无关联的域。 如果保留指向子域的 DNS 记录,那么当今后你组织中的任何人删除 TXT 文件或记录时,你会有风险。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)
MITRE 策略: -
严重性:低
检测到潜在的反向 shell
(AppServices_ReverseShell)
说明:分析主机数据检测到潜在的反向 shell。 它们用于让遭到入侵的计算机回调到攻击者拥有的计算机中。 (适用于:Linux 上的应用服务)
MITRE 策略:外泄、剥削
严重性:中等
检测到原始数据下载
(AppServices_DownloadCodeFromWebsite)
说明:分析App 服务进程检测到尝试从原始数据网站(如 Pastebin)下载代码。 此操作由 PHP 进程运行。 此行为与尝试将 Web shell 或其他恶意组件下载到应用服务关联。 (适用于:Windows 上的应用服务)
MITRE 策略:执行
严重性:中等
检测到有人将 cURL 输出保存到磁盘
(AppServices_CurlToDisk)
说明:分析App 服务进程检测到运行 curl 命令,其中输出保存到磁盘。 虽然这种行为可能合法,但在 Web 应用中,这种行为也会出现在恶意活动中,例如试图利用 Web shell 感染网站。 (适用于:Windows 上的应用服务)
MITRE 策略: -
严重性:低
检测到垃圾邮件文件夹引荐来源
(AppServices_SpamReferrer)
说明:Azure App 服务活动日志指示标识为源自与垃圾邮件活动关联的网站的 Web 活动。 如果你的网站遭到入侵并被用于垃圾邮件活动,就会发生这种情况。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)
MITRE 策略: -
严重性:低
检测到有人可疑地访问可能易受攻击的网页
(AppServices_ScanSensitivePage)
说明:Azure App 服务活动日志指示访问了看似敏感的网页。 此可疑活动源自访问模式与 Web 扫描程序类似的源 IP 地址。 此活动通常与攻击者试图扫描你的网络以尝试获取敏感或易受攻击网页的访问权限相关联。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)
MITRE 策略: -
严重性:低
可疑域名引用
(AppServices_CommandlineSuspectDomain)
说明:分析检测到对可疑域名的引用的主机数据。 此类活动虽然可能是合法的用户行为,但它们往往指示下载或执行了恶意软件。 典型的相关攻击者活动可能包括下载和执行进一步的恶意软件或远程管理工具。 (适用于:Linux 上的应用服务)
MITRE 策略:外泄
严重性:低
检测到使用 Certutil 进行可疑下载
(AppServices_DownloadUsingCertutil)
说明:{NAME} 上的主机数据分析检测到使用certutil.exe(内置管理员实用工具)下载二进制文件,而不是与操作证书和证书数据相关的主流用途。 我们知道,攻击者会滥用合法管理员工具的功能来执行恶意操作,例如,使用 certutil.exe 来下载和解码恶意的可执行文件,随后执行该文件。 (适用于:Windows 上的应用服务)
MITRE 策略:执行
严重性:中等
检测到可疑 PHP 执行活动
(AppServices_SuspectPhp)
说明:计算机日志指示正在运行可疑的 PHP 进程。 该操作包含尝试使用 PHP 进程从命令行运行操作系统命令或 PHP 代码。 虽然这种行为可能合法,但在 Web 应用中,它也可能指示恶意活动,例如试图利用 Web shell 感染网站。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)
MITRE 策略:执行
严重性:中等
执行了可疑的 PowerShell cmdlet
(AppServices_PowerShellPowerSploitScriptExecution)
说明:主机数据分析指示执行已知的恶意 PowerShell PowerSploit cmdlet。 (适用于:Windows 上的应用服务)
MITRE 策略:执行
严重性:中等
执行了可疑进程
(AppServices_KnownCredential AccessTools)
说明:计算机日志指示可疑进程:“%{process path}”正在计算机上运行,通常与攻击者尝试访问凭据相关联。 (适用于:Windows 上的应用服务)
MITRE 策略:凭据访问
严重性:高
检测到可疑的进程名称
(AppServices_ProcessWithKnownSuspiciousExtension)
说明:分析 {NAME} 上的主机数据检测到一个名称可疑的进程,例如,与已知的攻击者工具相对应,或者以暗示攻击者工具(试图在明目中隐藏)的方式命名。 此进程可能是合法活动,也可能指示某台计算机已遭到入侵。 (适用于:Windows 上的应用服务)
MITRE 策略:持久性、防御逃避
严重性:中等
执行了可疑的 SVCHOST 进程
(AppServices_SVCHostFromInvalidPath)
说明:系统进程 SVCHOST 观察到在异常上下文中运行。 恶意软件通常使用 SVCHOST 来掩盖其恶意活动。 (适用于:Windows 上的应用服务)
MITRE 策略:防御逃避、执行
严重性:高
检测到可疑的用户代理
(AppServices_UserAgentInjection)
说明:Azure App 服务活动日志指示具有可疑用户代理的请求。 此行为可能指示有人试图利用应用服务应用程序中的漏洞。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)
MITRE 策略:初始访问
严重性:信息性
检测到可疑的 WordPress 主题调用
(AppServices_WpThemeInjection)
说明:Azure App 服务活动日志指示App 服务资源上可能存在的代码注入活动。 检测到的可疑活动类似于操作 WordPress 主题以支持服务器端代码执行,然后发出直接 Web 请求以调用被操作的主题文件。 这种活动在过去被视为针对 WordPress 的攻击活动的一部分。 如果应用服务资源不承载 WordPress 站点,则它不容易受到此特定代码注入漏洞的攻击,你可以安全地对该资源禁止显示此警报。 若要了解如何抑制安全警报,请参阅抑制 Microsoft Defender For Cloud 发出的警报。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)
MITRE 策略:执行
严重性:高
检测到漏洞扫描程序
(AppServices_DrupalScanner)
说明:Azure App 服务活动日志指示在App 服务资源上使用可能的漏洞扫描程序。 检测到的可疑活动类似于针对内容管理系统 (CMS) 的工具的活动。 如果应用服务资源不承载 Drupal 站点,则它不容易受到此特定代码注入漏洞的攻击,你可以安全地对该资源禁止显示此警报。 若要了解如何抑制安全警报,请参阅抑制 Microsoft Defender For Cloud 发出的警报。 (适用于:Windows 上的应用服务)
MITRE 策略:PreAttack
严重性:低
检测到漏洞扫描程序 (Joomla)
(AppServices_JoomlaScanner)
说明:Azure App 服务活动日志指示在App 服务资源上使用可能的漏洞扫描程序。 检测到的可疑活动类似于针对 Joomla 应用程序的工具的活动。 如果应用服务资源不承载 Joomla 站点,则它不容易受到此特定代码注入漏洞的攻击,你可以安全地对该资源禁止显示此警报。 若要了解如何抑制安全警报,请参阅抑制 Microsoft Defender For Cloud 发出的警报。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)
MITRE 策略:PreAttack
严重性:低
检测到漏洞扫描程序 (WordPress)
(AppServices_WpScanner)
说明:Azure App 服务活动日志指示在App 服务资源上使用可能的漏洞扫描程序。 检测到的可疑活动类似于针对 WordPress 应用程序的工具的活动。 如果应用服务资源不承载 WordPress 站点,则它不容易受到此特定代码注入漏洞的攻击,你可以安全地对该资源禁止显示此警报。 若要了解如何抑制安全警报,请参阅抑制 Microsoft Defender For Cloud 发出的警报。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)
MITRE 策略:PreAttack
严重性:低
检测到 Web 指纹识别活动
(AppServices_WebFingerprinting)
说明:Azure App 服务活动日志指示App 服务资源上可能存在的 Web 指纹活动。 该检测到的可疑活动与名为 Blind Elephant 的工具关联。 该工具采集 Web 服务器的指纹,并尝试检测已安装的应用程序及其版本。 攻击者通常使用此工具来探测 Web 应用程序,从而查找漏洞。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)
MITRE 策略:PreAttack
严重性:中等
网站在威胁情报源中被标记为恶意
(AppServices_SmartScreen)
说明:如下所述,您的网站被 Windows SmartScreen 标记为恶意网站。 如果你认为这是误报,请通过提供的报表反馈链接联系 Windows SmartScreen。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)
MITRE 策略:集合
严重性:中等
注意
对于处于预览状态的警报:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈