Azure App Service 警示

本文列出您可能從 適用於雲端的 Microsoft Defender 取得 Azure App 服務 的安全性警示，以及您啟用的任何Microsoft Defender 方案。 您環境中顯示的警示取決於您要保護的資源和服務，以及您的自定義組態。

注意

Microsoft Defender 威脅情報 和 適用於端點的 Microsoft Defender 提供電源的一些最近新增的警示可能未記載。

瞭解如何回應這些警示。

瞭解如何匯出警示。

注意

來自不同來源的警示可能需要不同時間才會出現。 例如，需要分析網路流量的警示，可能會比與虛擬機上執行的可疑進程相關的警示出現的時間更長。

Azure App 服務 警示

進一步的詳細數據和附註

嘗試在 Windows App Service 上執行 Linux 命令

（AppServices_LinuxCommandOnWindows）

描述：分析 App Service 進程時偵測到嘗試在 Windows App Service 上執行 Linux 命令。 此動作是由 Web 應用程式執行。 在利用常見 Web 應用程式中弱點的行銷活動中，通常會看到此行為。 （適用於：Windows 上的 App Service）

MITRE 策略： -

嚴重性：中

在威脅情報中找到連線至 Azure App 服務 FTP 介面的IP

（AppServices_IncomingTiClientIpFtp）

描述：Azure App 服務 FTP 記錄指出從威脅情報摘要中找到的來源地址連線。 在此連線期間，使用者存取列出的頁面。 （適用於：Windows 上的 App Service 和 Linux 上的 App Service）

MITRE 策略：初始存取

嚴重性：中

嘗試執行偵測到的高許可權命令

（AppServices_HighPrivilegeCommand）

描述：分析 App Service 進程偵測到嘗試執行需要高許可權的命令。 命令在 Web 應用程式內容中執行。 雖然此行為可能是合法的，但在 Web 應用程式中，也會在惡意活動中觀察到此行為。 （適用於：Windows 上的 App Service）

MITRE 策略： -

嚴重性：中

與威脅情報所識別可疑網域的通訊

（AzureDNS_ThreatIntelSuspectDomain）

描述：藉由分析來自您資源的 DNS 交易，並與威脅情報摘要識別的已知惡意網域進行比較，偵測到與可疑網域的通訊。 攻擊者經常執行與惡意網域的通訊，並可能表示您的資源遭到入侵。

MITRE 策略：初始存取、持續性、執行、命令和控制、惡意探索

嚴重性：中

從偵測到異常IP位址的網頁連線

（AppServices_AnomalousPageAccess）

描述：Azure App 服務 活動記錄指出從列出的來源IP位址與敏感性網頁的異常連線。 這可能表示有人嘗試對 Web 應用程式系統管理頁面進行暴力密碼破解攻擊。 也可能是合法使用者使用新IP位址的結果。 如果來源 IP 位址受信任，您可以安全地隱藏此資源的此警示。 若要瞭解如何隱藏安全性警示，請參閱隱藏來自 適用於雲端的 Microsoft Defender 的警示。 （適用於：Windows 上的 App Service 和 Linux 上的 App Service）

MITRE 策略：初始存取

嚴重性：低

偵測到 App Service 資源的懸空 DNS 記錄

（AppServices_DanglingDomain）

描述：已偵測到指向最近刪除的App Service資源（也稱為「懸空 DNS」專案的 DNS 記錄。 這可讓您容易受到子域接管的影響。 子網域接管可讓惡意執行者將組織網域的流量重新導向至執行惡意活動的網站。 （適用於：Windows 上的 App Service 和 Linux 上的 App Service）

MITRE 策略： -

嚴重性：高

在命令行數據中偵測到編碼的可執行檔

（AppServices_Base64EncodedExecutableInCommandLineParams）

描述：在 {Compromised host} 上分析主機數據時，偵測到 base-64 編碼的可執行檔。 這先前已與嘗試透過一連串命令即時建構可執行文件的攻擊者相關聯，並藉由確保沒有任何個別命令觸發警示來逃避入侵檢測系統。 這可能是合法的活動，或表示主機遭到入侵。 （適用於：Windows 上的 App Service）

MITRE 策略： 防禦逃避， 執行

嚴重性：高

偵測到從已知惡意來源下載的檔案

（AppServices_SuspectDownload）

描述：分析主機數據時，偵測到從您主機上已知惡意代碼來源下載檔案。 （適用於：Linux 上的 App Service）

MITRE 策略：許可權提升、執行、外泄、命令和控制

嚴重性：中

偵測到可疑的檔案下載

（AppServices_SuspectDownloadArtifacts）

描述：分析主機數據時偵測到遠端檔案的可疑下載。 （適用於：Linux 上的 App Service）

MITRE 策略：持續性

嚴重性：中

偵測到的數位資產採礦相關行為

（AppServices_DigitalCurrencyMining）

描述：在 Inn-Flow-WebJobs 上分析主機數據時，偵測到執行通常與貨幣採礦相關聯的進程或命令。 （適用於：Windows 上的 App Service 和 Linux 上的 App Service）

MITRE 策略：執行

嚴重性：高

使用 certutil 譯碼的可執行檔

（AppServices_ExecutableDecodedUsingCertutil）

描述：在 [Compromised 實體] 上分析主機數據時，偵測到內建系統管理員公用程式certutil.exe用來譯碼可執行檔，而不是與操作憑證和憑證數據相關的主要用途。 攻擊者已知會濫用合法系統管理員工具的功能來執行惡意動作，例如使用像是certutil.exe之類的工具來譯碼隨後執行的惡意可執行檔。 （適用於：Windows 上的 App Service）

MITRE 策略： 防禦逃避， 執行

嚴重性：高

偵測到無檔案攻擊行為

（AppServices_FilelessAttackBehaviorDetection）

描述：下列指定的進程的記憶體包含無檔案攻擊常用的行為。 特定行為包括：{觀察到的行為清單}（適用於：Windows 上的 App Service 和 Linux 上的 App Service）

MITRE 策略：執行

嚴重性：中

偵測到無檔案攻擊技術

（AppServices_FilelessAttackTechniqueDetection）

描述：下列指定的進程的記憶體包含無檔案攻擊技術的證據。 攻擊者會使用無檔案攻擊來執行程式碼，同時逃避安全性軟體的偵測。 特定行為包括：{觀察到的行為清單}（適用於：Windows 上的 App Service 和 Linux 上的 App Service）

MITRE 策略：執行

嚴重性：高

偵測到無檔案攻擊工具組

（AppServices_FilelessAttackToolkitDetection）

描述：下列指定的進程的記憶體包含無檔案攻擊工具組：{ToolKitName}。 無檔案攻擊工具組通常沒有文件系統上的存在，使得傳統防病毒軟體的偵測變得困難。 特定行為包括：{觀察行為清單}（適用於：Windows 上的 App Service 和 Linux 上的 App Service）

MITRE 策略： 防禦逃避， 執行

嚴重性：高

適用於雲端的 Microsoft Defender App Service 的測試警示 （不是威脅）

（AppServices_EICAR）

描述：這是 適用於雲端的 Microsoft Defender 所產生的測試警示。 無須進行任何進一步的動作。 （適用於：Windows 上的 App Service 和 Linux 上的 App Service）

MITRE 策略： -

嚴重性：高

偵測到 NMap 掃描

（AppServices_Nmap）

描述：Azure App 服務 活動記錄指出 App Service 資源上可能的 Web 指紋活動。 偵測到的可疑活動與NMAP相關聯。 攻擊者通常會使用此工具來探查 Web 應用程式，以找出弱點。 （適用於：Windows 上的 App Service 和 Linux 上的 App Service）

MITRE 策略:P reAttack

嚴重性：資訊

Azure Webapps 上裝載的網路釣魚內容

（AppServices_PhishingContent）

描述：在 Azure AppServices 網站上用於網路釣魚攻擊的 URL。 此 URL 是傳送給 Microsoft 365 個客戶的網路釣魚攻擊的一部分。 內容通常會吸引訪客進入其公司認證或財務資訊進入合法外觀的網站。 （適用於：Windows 上的 App Service 和 Linux 上的 App Service）

MITRE 策略：集合

嚴重性：高

upload 資料夾中的 PHP 檔案

（AppServices_PhpInUploadFolder）

描述：Azure App 服務 活動記錄指出存取位於上傳資料夾中的可疑 PHP 頁面。 這種類型的資料夾通常不包含 PHP 檔案。 這類檔案的存在可能表示利用任意檔案上傳弱點的惡意探索。 （適用於：Windows 上的 App Service 和 Linux 上的 App Service）

MITRE 策略：執行

嚴重性：中

偵測到可能的 Cryptocrminer 下載

（AppServices_CryptoCoinMinerDownload）

描述：分析主機數據時，偵測到通常與數位資產採礦相關聯的檔案下載。 （適用於：Linux 上的 App Service）

MITRE 策略：防禦逃避、指揮和控制、惡意探索

嚴重性：中

偵測到可能的數據外洩

（AppServices_DataEgressArtifacts）

描述：分析主機/裝置數據時偵測到可能的數據輸出條件。 攻擊者通常會從他們遭入侵的計算機輸出數據。 （適用於：Linux 上的 App Service）

MITRE 策略：集合、外泄

嚴重性：中

偵測到 App Service 資源的潛在懸空 DNS 記錄

（AppServices_PotentialDanglingDomain）

描述：已偵測到指向最近刪除的App Service資源（也稱為「懸空 DNS」專案的 DNS 記錄。 這可能會讓您容易遭受子域接管。 子網域接管可讓惡意執行者將組織網域的流量重新導向至執行惡意活動的網站。 在此情況下，找到具有網域驗證標識碼的文字記錄。 這類文字記錄會防止子域接管，但仍建議您移除懸空網域。 如果您讓 DNS 記錄指向您組織中的任何人在未來刪除 TXT 檔案或記錄時，您面臨風險的子域。 （適用於：Windows 上的 App Service 和 Linux 上的 App Service）

MITRE 策略： -

嚴重性：低

偵測到潛在的反向殼層

（AppServices_ReverseShell）

描述：分析主機數據時偵測到潛在的反向殼層。 這些是用來取得遭入侵的計算機，以呼叫攻擊者擁有的計算機。 （適用於：Linux 上的 App Service）

MITRE 策略：外泄、惡意探索

嚴重性：中

偵測到原始數據下載

（AppServices_DownloadCodeFromWebsite）

描述：分析 App Service 進程偵測到嘗試從原始數據網站下載程式代碼，例如 Pastebin。 此動作是由 PHP 程式執行。 此行為與嘗試將 Web 殼層或其他惡意元件下載至 App Service 相關聯。 （適用於：Windows 上的 App Service）

MITRE 策略：執行

嚴重性：中

將 curl 輸出儲存到偵測到的磁碟

（AppServices_CurlToDisk）

描述：分析 App Service 進程偵測到執行 curl 命令，其中輸出已儲存至磁碟。 雖然此行為可能是合法的，但在 Web 應用程式中，此行為也會在惡意活動中觀察到，例如嘗試使用 Web 殼層感染網站。 （適用於：Windows 上的 App Service）

MITRE 策略： -

嚴重性：低

偵測到垃圾郵件資料夾查閱者

（AppServices_SpamReferrer）

描述：Azure App 服務 活動記錄指出識別為源自與垃圾郵件活動相關聯網站的Web活動。 如果您的網站遭到入侵並用於垃圾郵件活動，就會發生這種情況。 （適用於：Windows 上的 App Service 和 Linux 上的 App Service）

MITRE 策略： -

嚴重性：低

偵測到可疑存取可能易受攻擊的網頁

（AppServices_ScanSensitivePage）

描述：Azure App 服務 活動記錄指出存取了看似敏感的網頁。 此可疑活動源自來源IP位址，其存取模式類似於Web掃描器的IP位址。 此活動通常與攻擊者嘗試掃描網路以嘗試取得敏感性或易受攻擊網頁的存取權相關聯。 （適用於：Windows 上的 App Service 和 Linux 上的 App Service）

MITRE 策略： -

嚴重性：低

可疑域名參考

（AppServices_CommandlineSuspectDomain）

描述：分析偵測到可疑域名參考的主機數據。 這類活動雖然可能是合法的用戶行為，但經常會指出下載或執行惡意軟體。 一般相關的攻擊者活動可能會包含進一步惡意軟體或遠端管理工具的下載和執行。 （適用於：Linux 上的 App Service）

MITRE 策略：外洩

嚴重性：低

偵測到使用 Certutil 偵測到可疑下載

（AppServices_DownloadUsingCertutil）

描述：在 {NAME} 上分析主機數據時，偵測到使用內建系統管理員公用程式certutil.exe，以下載二進位檔，而不是與操作憑證和憑證數據相關的主流用途。 攻擊者已知會濫用合法系統管理員工具的功能來執行惡意動作，例如使用certutil.exe下載和譯碼隨後執行的惡意可執行檔。 （適用於：Windows 上的 App Service）

MITRE 策略：執行

嚴重性：中

偵測到可疑的 PHP 執行

（AppServices_SuspectPhp）

描述：計算機記錄指出可疑的 PHP 進程正在執行。 動作包含使用 PHP 程式，嘗試從命令行執行作業系統命令或 PHP 程式代碼。 雖然此行為可能是合法的，但在 Web 應用程式中，此行為可能表示惡意活動，例如嘗試使用 Web 殼層感染網站。 （適用於：Windows 上的 App Service 和 Linux 上的 App Service）

MITRE 策略：執行

嚴重性：中

執行的可疑 PowerShell Cmdlet

（AppServices_PowerShellPowerSploitScriptExecution）

描述：主機數據的分析表示執行已知的惡意 PowerShell PowerSploit Cmdlet。 （適用於：Windows 上的 App Service）

MITRE 策略：執行

嚴重性：中

執行可疑的進程

（AppServices_KnownCredential AccessTools）

描述：計算機記錄指出可疑進程：『%{進程路徑}』 正在計算機上執行，通常與攻擊者嘗試存取認證相關聯。 （適用於：Windows 上的 App Service）

MITRE 策略：認證存取

嚴重性：高

偵測到可疑的進程名稱

（AppServices_ProcessWithKnownSuspiciousExtension）

描述：分析 {NAME} 上的主機數據時，偵測到名稱可疑的程式，例如對應至已知的攻擊者工具，或以暗示攻擊者工具在純視中隱藏的方式命名。 此程式可能是合法的活動，或表示您的其中一部機器遭到入侵。 （適用於：Windows 上的 App Service）

MITRE 策略：持續性、防禦逃避

嚴重性：中

執行可疑的 SVCHOST 進程

（AppServices_SVCHostFromInvalidPath）

描述：系統進程 SVCHOST 觀察到在異常內容中執行。 惡意代碼通常會使用SVCHOST來遮罩其惡意活動。 （適用於：Windows 上的 App Service）

MITRE 策略： 防禦逃避， 執行

嚴重性：高

偵測到可疑的使用者代理程式

（AppServices_UserAgentInjection）

描述：Azure App 服務 活動記錄指出具有可疑使用者代理程式的要求。 此行為可以指出嘗試惡意探索App Service 應用程式中的弱點。 （適用於：Windows 上的 App Service 和 Linux 上的 App Service）

MITRE 策略：初始存取

嚴重性：資訊

偵測到可疑的 WordPress 主題調用

（AppServices_WpThemeInjection）

描述：Azure App 服務 活動記錄指出 App Service 資源上可能的程式代碼插入活動。 偵測到的可疑活動類似於 WordPress 主題的操作，以支援伺服器端執行程式碼，後面接著直接的 Web 要求來叫用操作的主題檔案。 過去曾看到這種活動是 WordPress 攻擊活動的一部分。 如果您的 App Service 資源未載入 WordPress 網站，它並不容易受到此特定程式代碼插入惡意探索的影響，而且您可以安全地隱藏資源的此警示。 若要瞭解如何隱藏安全性警示，請參閱隱藏來自 適用於雲端的 Microsoft Defender 的警示。 （適用於：Windows 上的 App Service 和 Linux 上的 App Service）

MITRE 策略：執行

嚴重性：高

偵測到弱點掃描器

（AppServices_DrupalScanner）

描述：Azure App 服務 活動記錄指出 App Service 資源上使用了可能的弱點掃描器。 偵測到的可疑活動類似於以內容管理系統 （CMS） 為目標的工具。 如果您的 App Service 資源未載入 Drupal 網站，它並不容易受到此特定程式代碼插入惡意探索的影響，而且您可以安全地隱藏資源的此警示。 若要瞭解如何隱藏安全性警示，請參閱隱藏來自 適用於雲端的 Microsoft Defender 的警示。 （適用於：Windows 上的 App Service）

MITRE 策略:P reAttack

嚴重性：低

偵測到弱點掃描器 （Joomla）

（AppServices_JoomlaScanner）

描述：Azure App 服務 活動記錄指出 App Service 資源上使用了可能的弱點掃描器。 偵測到的可疑活動類似於以 Joomla 應用程式為目標的工具。 如果您的 App Service 資源未載入 Joomla 網站，它並不容易受到此特定程式代碼插入惡意探索的影響，而且您可以安全地隱藏資源的此警示。 若要瞭解如何隱藏安全性警示，請參閱隱藏來自 適用於雲端的 Microsoft Defender 的警示。 （適用於：Windows 上的 App Service 和 Linux 上的 App Service）

MITRE 策略:P reAttack

嚴重性：低

偵測到弱點掃描器 （WordPress）

（AppServices_WpScanner）

描述：Azure App 服務 活動記錄指出 App Service 資源上使用了可能的弱點掃描器。 偵測到的可疑活動類似於以 WordPress 應用程式為目標的工具。 如果您的 App Service 資源未載入 WordPress 網站，它並不容易受到此特定程式代碼插入惡意探索的影響，而且您可以安全地隱藏資源的此警示。 若要瞭解如何隱藏安全性警示，請參閱隱藏來自 適用於雲端的 Microsoft Defender 的警示。 （適用於：Windows 上的 App Service 和 Linux 上的 App Service）

MITRE 策略:P reAttack

嚴重性：低

偵測到 Web 指紋

（AppServices_WebFingerprinting）

描述：Azure App 服務 活動記錄指出 App Service 資源上可能的 Web 指紋活動。 偵測到的可疑活動與稱為盲象的工具相關聯。 此工具會指紋網頁伺服器，並嘗試偵測已安裝的應用程式和版本。 攻擊者通常會使用此工具來探查 Web 應用程式，以找出弱點。 （適用於：Windows 上的 App Service 和 Linux 上的 App Service）

MITRE 策略:P reAttack

嚴重性：中

網站在威脅情報摘要中標記為惡意

（AppServices_SmartScreen）

描述：如以下所述，您的網站會標示為 Windows SmartScreen 的惡意網站。 如果您認為這是誤判，請透過提供的報表意見反應連結連絡 Windows SmartScreen。 （適用於：Windows 上的 App Service 和 Linux 上的 App Service）

MITRE 策略：集合

嚴重性：中

注意

針對處於預覽狀態的警示： Azure 預覽補充條款 包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款。

下一步

• 適用於雲端的 Microsoft Defender 中的安全性警示
• 管理及回應適用於雲端的 Microsoft Defender 中的安全性警示
• 持續匯出適用於雲端的 Defender 資料