Azure 应用服务警报

本文列出了可能从 Microsoft Defender for Cloud,以及从所启用的任何 Microsoft Defender 计划中获取的 Azure 应用服务安全警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。

注意

一些最近添加的 Microsoft Defender 威胁智能支持的警报可能未记录。

了解如何响应这些警报

了解如何导出警报

注意

来自不同源的警报可能在不同的时间后出现。 例如,需要分析网络流量的警报的出现时间,可能比虚拟机上运行的可疑进程的相关警报要晚一些。

Azure 应用服务警报

更多详细信息和说明

有人尝试在 Windows 应用服务上运行 Linux 命令

(AppServices_LinuxCommandOnWindows)

说明:应用服务分析进程检测到有人尝试在 Windows 应用服务上运行 Linux 命令。 此操作由 Web 应用运行。 此行为在恶意软件活动中经常出现,旨在利用常见 Web 应用中的漏洞。 (适用于:Windows 上的应用服务)

MITRE 策略:-

严重性:中等

在威胁情报中发现连接到 Azure 应用服务 FTP 接口的 IP

(AppServices_IncomingTiClientIpFtp)

说明:Azure 应用服务 FTP 日志指示某个连接的源地址在威胁情报源中。 在此连接期间,用户访问了列出的页面。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)

MITRE 策略:初始访问

严重性:中等

检测到有人尝试运行高特权命令

(AppServices_HighPrivilegeCommand)

说明:分析应用服务进程时检测到有人尝试运行需要高特权的命令。 命令在 Web 应用上下文中运行。 虽然此行为可能合法,但在 Web 应用程序中,此行为也会在恶意活动中观察到。 (适用于:Windows 上的应用服务)

MITRE 策略:-

严重性:中等

与威胁情报识别的可疑域通信

(AzureDNS_ThreatIntelSuspectDomain)

说明:通过分析资源中的 DNS 事务并与威胁情报源识别的已知恶意域进行比较,检测到了与可疑域之间的通信。 攻击者会频繁执行与恶意域的通信,这样的通信可能意味着你的资源已遭受入侵。

MITRE 策略:初始访问、持久性、执行、命令和控制、利用

严重性:中等

检测到有人从异常 IP 地址连接到网页

(AppServices_AnomalousPageAccess)

说明:Azure 应用服务活动日志指示从列出的源 IP 地址到敏感网页的异常连接。 这可能指示有人正在尝试对 Web 应用管理页面发起暴力攻击。 但也可能是因为某位合法用户使用了新的 IP 地址。 如果源 IP 地址受信任,则可以安全地对此资源禁止显示此警报。 若要了解如何抑制安全警报,请参阅抑制 Microsoft Defender For Cloud 发出的警报。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)

MITRE 策略:初始访问

严重性:低

检测到应用服务资源存在无关联的 DNS 记录

(AppServices_DanglingDomain)

说明:检测到一条 DNS 记录,它指向近期已被删除的应用服务资源(该记录也称为“无关联的 DNS”条目)。 这使你容易遭到子域接管。 子域接管使恶意操作者能够将专用于某组织的域的流量重定向到一个执行恶意活动的站点。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)

MITRE 策略:-

严重性:高

在命令行数据中检测到编码的可执行文件

(AppServices_Base64EncodedExecutableInCommandLineParams)

说明:{Compromised host} 上的主机数据分析检测到 base-64 编码的可执行文件。 此警报之前与攻击者的以下行为相关:试图通过一系列命令动态构造可执行文件,以及试图通过确保任何单个命令都不会触发警报来避开入侵检测系统。 这可能是合法活动,也可能指示主机遭到入侵。 (适用于:Windows 上的应用服务)

MITRE 策略:防御规避、执行

严重性:高

检测到来自已知恶意来源的文件下载

(AppServices_SuspectDownload)

说明:主机数据分析检测到在你的主机上从已知恶意来源下载了文件。 (适用于:Linux 上的应用服务)

MITRE 策略:特权提升、执行、外泄、命令和控制

严重性:中等

检测到可疑的文件下载

(AppServices_SuspectDownloadArtifacts)

说明:主机数据分析检测到可疑的远程文件下载。 (适用于:Linux 上的应用服务)

MITRE 策略:持久性

严重性:中等

(AppServices_DigitalCurrencyMining)

说明:分析 Inn-Flow-WebJobs 上的主机数据时检测到在执行通常与数字货币挖掘关联的进程或命令。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)

MITRE 策略:执行

严重性:高

使用 certutil 解码的可执行文件

(AppServices_ExecutableDecodedUsingCertutil)

说明:分析 [Compromised entity] 上的主机数据时检测到,内置管理员实用工具 certutil.exe 并未用于与操作证书和证书数据相关的主流用途,而是用于解码可执行文件。 我们知道,攻击者可以滥用合法的管理员工具的功能来执行恶意操作,例如,使用 certutil.exe 之类的工具来解码恶意的可执行文件,随后执行该文件。 (适用于:Windows 上的应用服务)

MITRE 策略:防御规避、执行

严重性:高

检测到无文件攻击行为

(AppServices_FilelessAttackBehaviorDetection)

说明:下面的指定进程的内存包含无文件攻击通常使用的行为。 特定行为包括:{list of observed behaviors}(适用于:Windows 上的应用服务和 Linux 上的应用服务)

MITRE 策略:执行

严重性:中等

检测到无文件攻击技术

(AppServices_FilelessAttackTechniqueDetection)

说明:以下指定进程的内存中包含无文件攻击方法的证据。 攻击者使用无文件攻击来执行代码,同时避开安全软件的检测。 特定行为包括:{list of observed behaviors}(适用于:Windows 上的应用服务和 Linux 上的应用服务)

MITRE 策略:执行

严重性:高

检测到无文件攻击工具包

(AppServices_FilelessAttackToolkitDetection)

说明:下面的指定进程的内存包含一个无文件攻击工具包:{ToolKitName}。 无文件攻击工具包通常不存在于文件系统中,因此难以使用传统防病毒软件进行检测。 特定行为包括:{list of observed behaviors}(适用于:Windows 上的应用服务和 Linux 上的应用服务)

MITRE 策略:防御规避、执行

严重性:高

适用于应用服务的 Microsoft Defender for Cloud 测试警报(非威胁)

(AppServices_EICAR)

说明:这是由 Microsoft Defender for Cloud 生成的测试警报。 无需执行其他操作。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)

MITRE 策略:-

严重性:高

检测到 NMap 扫描

(AppServices_Nmap)

说明:Azure 应用服务活动日志指示应用服务资源上可能存在 Web 指纹识别活动。 检测到的可疑活动与 NMAP 关联。 攻击者通常使用此工具来探测 Web 应用程序,从而查找漏洞。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)

MITRE 策略:PreAttack

严重性:信息性

Azure Web 应用上托管了网络钓鱼内容

(AppServices_PhishingContent)

说明:在 Azure 应用服务网站上发现用于网络钓鱼攻击的 URL。 此 URL 是发送给 Microsoft 365 客户的网络钓鱼攻击的一部分。 相关内容通常引诱访问者在看似合法的网站中输入其企业凭据或财务信息。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)

MITRE 策略:集合

严重性:高

上传文件夹中的 PHP 文件

(AppServices_PhpInUploadFolder)

说明:Azure 应用服务活动日志指示有人访问上传文件夹中的可疑 PHP 页面。 此类型的文件夹通常不包含 PHP 文件。 存在这种类型的文件可能指示有人利用了任意文件上传漏洞。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)

MITRE 策略:执行

严重性:中等

检测到潜在 Cryptocoinminer 下载

(AppServices_CryptoCoinMinerDownload)

说明:主机数据分析检测到文件下载,这通常与数字货币挖掘相关联。 (适用于:Linux 上的应用服务)

MITRE 策略:防御规避、命令和控制、利用

严重性:中等

检测到可能存在数据外泄

(AppServices_DataEgressArtifacts)

说明:主机/设备数据分析检测到可能存在数据流出的情况。 攻击者通常会从入侵的计算机中流出数据。 (适用于:Linux 上的应用服务)

MITRE 策略:集合、外泄

严重性:中等

检测到应用服务资源可能存在无关联的 DNS 记录

(AppServices_PotentialDanglingDomain)

说明:检测到一条 DNS 记录,它指向近期已被删除的应用服务资源(该记录也称为“无关联的 DNS”条目)。 这可能会导致你遭到子域接管。 子域接管使恶意操作者能够将专用于某组织的域的流量重定向到一个执行恶意活动的站点。 在这种情况下,找到的是具有域验证 ID 的文本记录。 此类文本记录会防止子域接管,但仍请删除无关联的域。 如果保留指向子域的 DNS 记录,那么当今后你组织中的任何人删除 TXT 文件或记录时,你会有风险。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)

MITRE 策略:-

严重性:低

检测到潜在的反向 shell

(AppServices_ReverseShell)

说明:主机数据分析检测到潜在的反向 shell。 它们用于让遭到入侵的计算机回调到攻击者拥有的计算机中。 (适用于:Linux 上的应用服务)

MITRE 策略:外泄、利用

严重性:中等

检测到原始数据下载

(AppServices_DownloadCodeFromWebsite)

说明:应用服务进程分析检测到有人尝试从 Pastebin 这样的原始数据网站下载代码。 此操作由 PHP 进程运行。 此行为与尝试将 Web shell 或其他恶意组件下载到应用服务关联。 (适用于:Windows 上的应用服务)

MITRE 策略:执行

严重性:中等

检测到有人将 cURL 输出保存到磁盘

(AppServices_CurlToDisk)

说明:应用服务分析进程检测到有人运行将输出保存到磁盘的 Curl 命令。 虽然这种行为可能合法,但在 Web 应用中,这种行为也会出现在恶意活动中,例如试图利用 Web shell 感染网站。 (适用于:Windows 上的应用服务)

MITRE 策略:-

严重性:低

检测到垃圾邮件文件夹引荐来源

(AppServices_SpamReferrer)

说明:Azure 应用服务活动日志指示已标识的 Web 活动源自与垃圾邮件活动关联的网站。 如果你的网站遭到入侵并被用于垃圾邮件活动,就会发生这种情况。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)

MITRE 策略:-

严重性:低

检测到有人可疑地访问可能易受攻击的网页

(AppServices_ScanSensitivePage)

说明:Azure 应用服务活动日志指示有人访问了可能敏感的网页。 此可疑活动源自访问模式与 Web 扫描程序类似的源 IP 地址。 此活动通常与攻击者试图扫描你的网络以尝试获取敏感或易受攻击网页的访问权限相关联。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)

MITRE 策略:-

严重性:低

可疑域名引用

(AppServices_CommandlineSuspectDomain)

说明:主机数据分析检测到对可疑域名的引用。 此类活动虽然可能是合法的用户行为,但它们往往指示下载或执行了恶意软件。 典型的相关攻击者活动可能包括下载和执行进一步的恶意软件或远程管理工具。 (适用于:Linux 上的应用服务)

MITRE 策略:外泄

严重性:低

检测到使用 Certutil 进行可疑下载

(AppServices_DownloadUsingCertutil)

说明:分析 {NAME} 上的主机数据时检测到,内置管理员实用工具 certutil.exe 并未用于与操作证书和证书数据相关的主流用途,而是被用于下载二进制文件。 我们知道,攻击者会滥用合法管理员工具的功能来执行恶意操作,例如,使用 certutil.exe 来下载和解码恶意的可执行文件,随后执行该文件。 (适用于:Windows 上的应用服务)

MITRE 策略:执行

严重性:中等

检测到可疑 PHP 执行活动

(AppServices_SuspectPhp)

说明:计算机日志指示有可疑 PHP 进程正在运行。 该操作包含尝试使用 PHP 进程从命令行运行操作系统命令或 PHP 代码。 虽然这种行为可能合法,但在 Web 应用中,它也可能指示恶意活动,例如试图利用 Web shell 感染网站。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)

MITRE 策略:执行

严重性:中等

执行了可疑的 PowerShell cmdlet

(AppServices_PowerShellPowerSploitScriptExecution)

说明:主机数据分析指示有人执行了已知的恶意 PowerShell PowerSploit cmdlet。 (适用于:Windows 上的应用服务)

MITRE 策略:执行

严重性:中等

执行了可疑进程

(AppServices_KnownCredential AccessTools)

说明:计算机日志指示计算机上运行了可疑进程“%{process path}”,该进程通常与攻击者尝试访问凭据关联。 (适用于:Windows 上的应用服务)

MITRE 策略:凭据访问

严重性:高

检测到可疑的进程名称

(AppServices_ProcessWithKnownSuspiciousExtension)

说明:分析 {NAME} 上的主机数据时检测到名称可疑的进程,例如,该进程对应于某个已知的攻击者工具,或其命名方式表明存在试图在众目睽睽下隐藏的攻击者工具。 此进程可能是合法活动,也可能指示某台计算机已遭到入侵。 (适用于:Windows 上的应用服务)

MITRE 策略:持久性、防御规避

严重性:中等

执行了可疑的 SVCHOST 进程

(AppServices_SVCHostFromInvalidPath)

说明:检测到系统进程 SVCHOST 在异常上下文中运行。 恶意软件通常使用 SVCHOST 来掩饰其恶意活动。 (适用于:Windows 上的应用服务)

MITRE 策略:防御规避、执行

严重性:高

检测到可疑的用户代理

(AppServices_UserAgentInjection)

说明:Azure 应用服务活动日志指示有请求使用可疑的用户代理。 此行为可能指示有人试图利用应用服务应用程序中的漏洞。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)

MITRE 策略:初始访问

严重性:信息性

检测到可疑的 WordPress 主题调用

(AppServices_WpThemeInjection)

说明:Azure 应用服务活动日志指示应用服务资源上可能存在代码注入活动。 检测到的可疑活动类似于操作 WordPress 主题以支持服务器端代码执行,然后发出直接 Web 请求以调用被操作的主题文件。 这种活动在过去被视为针对 WordPress 的攻击活动的一部分。 如果应用服务资源不承载 WordPress 站点,则它不容易受到此特定代码注入漏洞的攻击,你可以安全地对该资源禁止显示此警报。 若要了解如何抑制安全警报,请参阅抑制 Microsoft Defender For Cloud 发出的警报。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)

MITRE 策略:执行

严重性:高

检测到漏洞扫描程序

(AppServices_DrupalScanner)

说明:Azure 应用服务活动日志指示可能有人对应用服务资源使用了漏洞扫描程序。 检测到的可疑活动类似于针对内容管理系统 (CMS) 的工具的活动。 如果应用服务资源不承载 Drupal 站点,则它不容易受到此特定代码注入漏洞的攻击,你可以安全地对该资源禁止显示此警报。 若要了解如何抑制安全警报,请参阅抑制 Microsoft Defender For Cloud 发出的警报。 (适用于:Windows 上的应用服务)

MITRE 策略:PreAttack

严重性:低

检测到漏洞扫描程序 (Joomla)

(AppServices_JoomlaScanner)

说明:Azure 应用服务活动日志指示可能有人对应用服务资源使用了漏洞扫描程序。 检测到的可疑活动类似于针对 Joomla 应用程序的工具的活动。 如果应用服务资源不承载 Joomla 站点,则它不容易受到此特定代码注入漏洞的攻击,你可以安全地对该资源禁止显示此警报。 若要了解如何抑制安全警报,请参阅抑制 Microsoft Defender For Cloud 发出的警报。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)

MITRE 策略:PreAttack

严重性:低

检测到漏洞扫描程序 (WordPress)

(AppServices_WpScanner)

说明:Azure 应用服务活动日志指示可能有人对应用服务资源使用了漏洞扫描程序。 检测到的可疑活动类似于针对 WordPress 应用程序的工具的活动。 如果应用服务资源不承载 WordPress 站点,则它不容易受到此特定代码注入漏洞的攻击,你可以安全地对该资源禁止显示此警报。 若要了解如何抑制安全警报,请参阅抑制 Microsoft Defender For Cloud 发出的警报。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)

MITRE 策略:PreAttack

严重性:低

检测到 Web 指纹识别活动

(AppServices_WebFingerprinting)

说明:Azure 应用服务活动日志指示应用服务资源上可能存在 Web 指纹识别活动。 该检测到的可疑活动与名为 Blind Elephant 的工具关联。 该工具采集 Web 服务器的指纹,并尝试检测已安装的应用程序及其版本。 攻击者通常使用此工具来探测 Web 应用程序,从而查找漏洞。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)

MITRE 策略:PreAttack

严重性:中等

网站在威胁情报源中被标记为恶意

(AppServices_SmartScreen)

说明:Windows SmartScreen 将你的网站(如下所述)标记为恶意网站。 如果你认为这是误报,请通过提供的报表反馈链接联系 Windows SmartScreen。 (适用于:Windows 上的应用服务和 Linux 上的应用服务)

MITRE 策略:集合

严重性:中等

注意

对于处于预览状态的警报:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

后续步骤