Azure App Service에 대한 경고
이 문서에서는 클라우드용 Microsoft Defender Azure 앱 Service에 대해 얻을 수 있는 보안 경고와 사용하도록 설정한 모든 Microsoft Defender 계획을 나열합니다. 사용자 환경에 표시되는 경고는 보호하는 리소스 및 서비스와 사용자 지정된 구성에 따라 다릅니다.
참고 항목
Microsoft Defender 위협 인텔리전스 및 엔드포인트용 Microsoft Defender 의해 구동되는 최근에 추가된 경고 중 일부는 문서화되지 않았을 수 있습니다.
참고 항목
다른 원본의 경고가 표시되려면 시간이 다를 수 있습니다. 예를 들어 네트워크 트래픽을 분석해야 하는 경고는 가상 머신에서 실행되는 의심스러운 프로세스와 관련된 경고보다 더 오래 걸릴 수 있습니다.
Azure 앱 서비스 경고
Windows App Service에서 Linux 명령을 실행하려는 시도
(AppServices_LinuxCommandOnWindows)
설명: App Service 프로세스 분석을 통해 Windows App Service에서 Linux 명령을 실행하려는 시도가 감지되었습니다. 이 작업은 웹 애플리케이션에서 실행되었습니다. 이 동작은 일반적인 웹 애플리케이션에서 취약성을 악용하는 캠페인 중에 종종 표시됩니다. (적용 대상: Windows의 App Service)
MITRE 전술: -
심각도: 보통
Azure App Service FTP 인터페이스에 연결된 IP가 위협 인텔리전스에 있음
(AppServices_IncomingTiClientIpFtp)
설명: Azure 앱 서비스 FTP 로그는 위협 인텔리전스 피드에서 발견된 원본 주소의 연결을 나타냅니다. 이 연결 도중 나열된 페이지에 사용자가 액세스했습니다. (적용 대상: Windows의 App Service 및 Linux의 App Service)
MITRE 전술: 초기 액세스
심각도: 보통
높은 권한 명령을 실행하려고 시도했습니다.
(AppServices_HighPrivilegeCommand)
설명: App Service 프로세스 분석을 통해 높은 권한이 필요한 명령을 실행하려는 시도가 감지되었습니다. 이 명령은 웹 애플리케이션 컨텍스트에서 실행되었습니다. 이 동작은 합법적일 수 있지만 웹 애플리케이션에서는 악의적인 활동에서도 이 동작이 관찰됩니다. (적용 대상: Windows의 App Service)
MITRE 전술: -
심각도: 보통
위협 인텔리전스에서 식별된 의심스러운 도메인과의 통신
(AzureDNS_ThreatIntelSuspectDomain)
설명: 리소스에서 DNS 트랜잭션을 분석하고 위협 인텔리전스 피드로 식별된 알려진 악성 도메인과 비교하여 의심스러운 도메인과의 통신이 검색되었습니다. 공격자가 악성 도메인과의 통신을 수행하는 경우가 많고, 리소스가 손상되었음을 의미할 수 있습니다.
MITRE 전술: 초기 액세스, 지속성, 실행, 명령 및 제어, 악용
심각도: 보통
비정상적인 IP 주소에서 웹 페이지에 대한 연결이 검색됨
(AppServices_AnomalousPageAccess)
설명: Azure 앱 서비스 활동 로그는 나열된 원본 IP 주소에서 중요한 웹 페이지에 대한 비정상적인 연결을 나타냅니다. 이는 누군가가 웹앱 관리 페이지에 무차별 암호 대입 공격을 시도하고 있음을 나타낼 수 있습니다. 합법적인 사용자가 새 IP 주소를 사용한 결과일 수도 있습니다. 원본 IP 주소를 신뢰할 수 있는 경우 이 리소스에 대해 이 경고를 안전하게 표시하지 않을 수 있습니다. 보안 경고를 표시하지 않는 방법을 알아보려면 클라우드용 Microsoft Defender의 경고 표시 안 함을 참조하세요. (적용 대상: Windows의 App Service 및 Linux의 App Service)
MITRE 전술: 초기 액세스
심각도: 낮음
App Service 리소스에 대한 현수 DNS 레코드 검색됨
(AppServices_DanglingDomain)
설명: 최근에 삭제된 App Service 리소스("현수 DNS" 항목이라고도 함)를 가리키는 DNS 레코드가 검색되었습니다. 이로 인해 하위 도메인 인수에 취약합니다. 하위 도메인 인수를 통해 악의적인 행위자는 조직의 도메인에 대한 트래픽을 악의적인 활동을 수행하는 사이트로 리디렉션할 수 있습니다. (적용 대상: Windows의 App Service 및 Linux의 App Service)
MITRE 전술: -
심각도: 높음
명령줄 데이터에서 인코딩된 실행 파일이 검색됨
(AppServices_Base64EncodedExecutableInCommandLineParams)
설명: {Compromised host}에서 호스트 데이터를 분석한 결과 base-64로 인코딩된 실행 파일이 검색되었습니다. 이는 이전에 일련의 명령을 통해 실행 파일을 즉석에서 생성하려고 시도하는 공격자와 연결되었으며, 개별 명령이 경고를 트리거하지 않도록 하여 침입 탐지 시스템을 회피하려고 시도했습니다. 이는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. (적용 대상: Windows의 App Service)
MITRE 전술: 방어 회피, 실행
심각도: 높음
알려진 악성 원본에서 검색된 파일 다운로드
(AppServices_SuspectDownload)
설명: 호스트 데이터를 분석한 결과 호스트의 알려진 맬웨어 원본에서 파일 다운로드가 감지되었습니다. (적용 대상: Linux의 App Service)
MITRE 전술: 권한 상승, 실행, 반출, 명령 및 제어
심각도: 보통
의심스러운 파일 다운로드가 검색됨
(AppServices_SuspectDownloadArtifacts)
설명: 호스트 데이터를 분석하여 원격 파일의 의심스러운 다운로드를 검색했습니다. (적용 대상: Linux의 App Service)
MITRE 전술: 지속성
심각도: 보통
디지털 통화 마이닝 관련 동작이 검색됨
(AppServices_DigitalCurrencyMining)
설명: Inn-Flow-WebJobs에서 호스트 데이터를 분석한 결과 일반적으로 디지털 통화 마이닝과 연결된 프로세스 또는 명령의 실행이 감지되었습니다. (적용 대상: Windows의 App Service 및 Linux의 App Service)
MITRE 전술: 실행
심각도: 높음
certutil을 사용하여 디코딩된 실행 파일
(AppServices_ExecutableDecodedUsingCertutil)
설명: [손상된 엔터티]에서 호스트 데이터를 분석한 결과, 기본 제공 관리자 유틸리티인 certutil.exe 인증서 및 인증서 데이터 조작과 관련된 주요 목적 대신 실행 파일을 디코딩하는 데 사용되고 있음을 발견했습니다. 공격자는 합법적인 관리자 도구의 기능을 악용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 certutil.exe와 같은 도구를 사용하여 악성 실행 파일을 디코딩한 다음 나중에 실행합니다. (적용 대상: Windows의 App Service)
MITRE 전술: 방어 회피, 실행
심각도: 높음
파일리스 공격 동작이 감지됨
(AppServices_FilelessAttackBehaviorDetection)
설명: 아래에 지정된 프로세스의 메모리에는 파일리스 공격에 일반적으로 사용되는 동작이 포함됩니다. 특정 동작은 다음과 같습니다. {관찰된 동작 목록}(적용 대상: Windows의 App Service 및 Linux의 App Service)
MITRE 전술: 실행
심각도: 보통
파일리스 공격 기법이 검색됨
(AppServices_FilelessAttackTechniqueDetection)
설명: 아래에 지정된 프로세스의 메모리에는 파일리스 공격 기술의 증거가 포함되어 있습니다. 파일리스 공격은 보안 소프트웨어에서 탐지를 회피하는 동안 공격자가 코드를 실행하는 데 사용됩니다. 특정 동작은 다음과 같습니다. {관찰된 동작 목록}(적용 대상: Windows의 App Service 및 Linux의 App Service)
MITRE 전술: 실행
심각도: 높음
파일리스 공격 도구 키트가 검색됨
(AppServices_FilelessAttackToolkitDetection)
설명: 아래에 지정된 프로세스의 메모리에는 파일리스 공격 도구 키트 {ToolKitName}이 포함되어 있습니다. 파일리스 공격 도구 키트는 일반적으로 파일 시스템에 존재하지 않으므로 기존 바이러스 백신 소프트웨어에서 검색하기가 어렵습니다. 특정 동작은 다음과 같습니다. {관찰된 동작 목록}(적용 대상: Windows의 App Service 및 Linux의 App Service)
MITRE 전술: 방어 회피, 실행
심각도: 높음
App Service에 대한 클라우드용 Microsoft Defender 테스트 경고(위협 아님)
(AppServices_EICAR)
설명: 클라우드용 Microsoft Defender 생성된 테스트 경고입니다. 추가 조치가 필요하지 않습니다. (적용 대상: Windows의 App Service 및 Linux의 App Service)
MITRE 전술: -
심각도: 높음
NMap 검색이 검색됨
(AppServices_Nmap)
설명: Azure 앱 서비스 활동 로그는 App Service 리소스에서 가능한 웹 지문 활동을 나타냅니다. 검색된 의심스러운 활동이 NMAP와 연결됩니다. 공격자는 종종 이 도구를 사용하여 웹 애플리케이션을 검색하여 취약성을 찾습니다. (적용 대상: Windows의 App Service 및 Linux의 App Service)
MITRE 전술: 사전 공격
심각도: 정보 제공
Azure Webapps에서 호스트되는 피싱 콘텐츠
(AppServices_PhishingContent)
설명: Azure 앱Services 웹 사이트에서 발견된 피싱 공격에 사용되는 URL입니다. 이 URL은 Microsoft 365 고객에게 전송된 피싱 공격의 일부였습니다. 해당 콘텐츠는 일반적으로 방문자가 회사 자격 증명이나 재무 정보를 합법적으로 보이는 웹 사이트에 입력하도록 유도합니다. (적용 대상: Windows의 App Service 및 Linux의 App Service)
MITRE 전술: 컬렉션
심각도: 높음
업로드 폴더의 PHP 파일
(AppServices_PhpInUploadFolder)
설명: Azure 앱 서비스 활동 로그는 업로드 폴더에 있는 의심스러운 PHP 페이지에 대한 액세스를 나타냅니다. 이 유형의 폴더는 일반적으로 PHP 파일을 포함하지 않습니다. 이러한 유형의 파일이 존재하면 임의 파일 업로드 취약성을 활용하는 악용을 나타낼 수 있습니다. (적용 대상: Windows의 App Service 및 Linux의 App Service)
MITRE 전술: 실행
심각도: 보통
가능한 Cryptocoinminer 다운로드가 검색됨
(AppServices_CryptoCoinMinerDownload)
설명: 호스트 데이터를 분석한 결과 일반적으로 디지털 통화 마이닝과 연결된 파일의 다운로드가 감지되었습니다. (적용 대상: Linux의 App Service)
MITRE 전술: 방어 회피, 명령 및 제어, 악용
심각도: 보통
가능한 데이터 반출이 감지됨
(AppServices_DataEgressArtifacts)
설명: 호스트/디바이스 데이터를 분석한 결과 가능한 데이터 송신 조건이 검색되었습니다. 공격자는 손상된 컴퓨터에서 데이터를 송신하는 경우가 많습니다. (적용 대상: Linux의 App Service)
MITRE 전술: 컬렉션, 반출
심각도: 보통
App Service 리소스에 대한 잠재적 현수 DNS 레코드가 검색됨
(AppServices_PotentialDanglingDomain)
설명: 최근에 삭제된 App Service 리소스("현수 DNS" 항목이라고도 함)를 가리키는 DNS 레코드가 검색되었습니다. 이렇게 하면 하위 도메인 인수에 취약해질 수 있습니다. 하위 도메인 인수를 통해 악의적인 행위자는 조직의 도메인에 대한 트래픽을 악의적인 활동을 수행하는 사이트로 리디렉션할 수 있습니다. 이 경우 도메인 확인 ID가 있는 텍스트 레코드가 발견되었습니다. 이러한 텍스트 레코드는 하위 도메인 인수를 방지하지만, 여전히 현수 도메인을 제거하는 것을 권장합니다. DNS 레코드를 하위 도메인을 가리키는 상태로 두면 조직의 누군가가 나중에 TXT 파일 또는 레코드를 삭제할 경우 위험에 처하게 됩니다. (적용 대상: Windows의 App Service 및 Linux의 App Service)
MITRE 전술: -
심각도: 낮음
잠재적인 역방향 셸이 검색됨
(AppServices_ReverseShell)
설명: 호스트 데이터를 분석한 결과 잠재적인 역방향 셸이 검색되었습니다. 이러한 셸은 손상된 컴퓨터를 공격자가 소유한 컴퓨터로 다시 호출하는 데 사용됩니다. (적용 대상: Linux의 App Service)
MITRE 전술: 반출, 착취
심각도: 보통
원시 데이터 다운로드가 검색됨
(AppServices_DownloadCodeFromWebsite)
설명: App Service 프로세스 분석에서 Pastebin과 같은 원시 데이터 웹 사이트에서 코드를 다운로드하려는 시도가 감지되었습니다. 이 작업은 PHP 프로세스에 의해 실행되었습니다. 이 동작은 웹 셸 또는 기타 악성 구성 요소를 App Service에 다운로드하려는 시도와 관련이 있습니다. (적용 대상: Windows의 App Service)
MITRE 전술: 실행
심각도: 보통
검색된 디스크에 curl 출력 저장
(AppServices_CurlToDisk)
설명: App Service 프로세스 분석 결과 출력이 디스크에 저장된 curl 명령의 실행이 감지되었습니다. 이 동작은 합법적일 수 있지만 웹 응용 프로그램에서는 웹 셸로 웹 사이트를 감염하려는 시도와 같은 악의적인 활동에서도 이 동작이 관찰됩니다. (적용 대상: Windows의 App Service)
MITRE 전술: -
심각도: 낮음
스팸 폴더 참조기가 검색됨
(AppServices_SpamReferrer)
설명: Azure 앱 서비스 활동 로그는 스팸 활동과 연결된 웹 사이트에서 시작된 것으로 식별된 웹 활동을 나타냅니다. 이는 웹 사이트가 손상되어 스팸 활동에 사용되는 경우에 발생할 수 있습니다. (적용 대상: Windows의 App Service 및 Linux의 App Service)
MITRE 전술: -
심각도: 낮음
취약할 수 있는 웹 페이지에 대한 의심스러운 액세스가 감지됨
(AppServices_ScanSensitivePage)
설명: Azure 앱 서비스 활동 로그는 중요한 것으로 보이는 웹 페이지에 액세스했음을 나타냅니다. 이 의심스러운 활동은 액세스 패턴이 웹 스캐너의 액세스 패턴과 유사한 소스 IP 주소에서 시작되었습니다. 이 활동은 종종 공격자가 네트워크를 스캔하여 중요하거나 취약한 웹 페이지에 액세스하려고 시도하는 것과 관련이 있습니다. (적용 대상: Windows의 App Service 및 Linux의 App Service)
MITRE 전술: -
심각도: 낮음
의심스러운 도메인 이름 참조
(AppServices_CommandlineSuspectDomain)
설명: 의심스러운 도메인 이름에 대한 참조가 검색된 호스트 데이터의 분석입니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만 악성 소프트웨어의 다운로드 또는 실행을 나타내는 경우가 많습니다. 일반적인 관련 공격자 활동에는 추가 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. (적용 대상: Linux의 App Service)
MITRE 전술: 반출
심각도: 낮음
Certutil을 사용한 의심스러운 다운로드가 감지됨
(AppServices_DownloadUsingCertutil)
설명: {NAME}에서 호스트 데이터를 분석한 결과 인증서 및 인증서 데이터 조작과 관련된 주요 목적 대신 이진 파일을 다운로드하기 위해 기본 제공 관리자 유틸리티인 certutil.exe 사용이 감지되었습니다. 공격자는 합법적인 관리자 도구의 기능을 악용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 certutil.exe를 사용하여 악성 실행 파일을 다운로드 및 디코딩한 후 나중에 실행합니다. (적용 대상: Windows의 App Service)
MITRE 전술: 실행
심각도: 보통
의심스러운 PHP 실행이 감지됨
(AppServices_SuspectPhp)
설명: 컴퓨터 로그는 의심스러운 PHP 프로세스가 실행 중임을 나타냅니다. 작업에는 PHP 프로세스를 사용하여 명령줄에서 운영 체제 명령 또는 PHP 코드를 실행하려는 시도가 포함되었습니다. 이 동작은 합법적일 수 있지만 웹 애플리케이션에서 이 동작은 웹 셸로 웹 사이트를 감염시키려는 시도와 같은 악의적인 활동을 나타낼 수 있습니다. (적용 대상: Windows의 App Service 및 Linux의 App Service)
MITRE 전술: 실행
심각도: 보통
의심스러운 PowerShell cmdlet이 실행됨
(AppServices_PowerShellPowerSploitScriptExecution)
설명: 호스트 데이터 분석은 알려진 악성 PowerShell PowerSploit cmdlet의 실행을 나타냅니다. (적용 대상: Windows의 App Service)
MITRE 전술: 실행
심각도: 보통
의심스러운 프로세스가 실행됨
(AppServices_KnownCredential AccessTools)
설명: 컴퓨터 로그는 의심스러운 프로세스인 '%{process path}'가 컴퓨터에서 실행 중임을 나타내며, 공격자가 자격 증명에 액세스하려고 시도하는 경우가 많습니다. (적용 대상: Windows의 App Service)
MITRE 전술: 자격 증명 액세스
심각도: 높음
의심스러운 프로세스 이름이 검색됨
(AppServices_ProcessWithKnownSuspiciousExtension)
설명: {NAME}에서 호스트 데이터를 분석한 결과 이름이 의심스러운 프로세스(예: 알려진 공격자 도구에 해당하거나 일반 시야에서 숨기려는 공격자 도구를 암시하는 방식으로 명명된 프로세스)가 검색되었습니다. 이 프로세스는 합법적인 활동일 수도 있고 컴퓨터 중 하나가 손상되었음을 암시할 수도 있습니다. (적용 대상: Windows의 App Service)
MITRE 전술: 지속성, 방어 회피
심각도: 보통
의심스러운 SVCHOST 프로세스가 실행됨
(AppServices_SVCHostFromInvalidPath)
설명: 시스템 프로세스 SVCHOST가 비정상적인 컨텍스트에서 실행되는 것으로 관찰되었습니다. 맬웨어는 종종 SVCHOST를 사용하여 악의적인 활동을 마스킹합니다. (적용 대상: Windows의 App Service)
MITRE 전술: 방어 회피, 실행
심각도: 높음
의심스러운 사용자 에이전트가 검색됨
(AppServices_UserAgentInjection)
설명: Azure 앱 서비스 활동 로그는 의심스러운 사용자 에이전트가 있는 요청을 나타냅니다. 이 동작은 App Service 애플리케이션에서 취약성을 악용하려는 시도를 나타낼 수 있습니다. (적용 대상: Windows의 App Service 및 Linux의 App Service)
MITRE 전술: 초기 액세스
심각도: 정보 제공
의심스러운 WordPress 테마 호출이 검색됨
(AppServices_WpThemeInjection)
설명: Azure 앱 Service 활동 로그는 App Service 리소스에서 가능한 코드 삽입 작업을 나타냅니다. 검색된 의심스러운 활동은 코드의 서버 쪽 실행을 지원하기 위해 WordPress 테마를 조작한 다음 조작된 테마 파일을 호출하는 직접 웹 요청과 유사합니다. 이러한 유형의 활동은 과거에 WordPress를 통한 공격 캠페인의 일부로 보였습니다. App Service 리소스가 WordPress 사이트를 호스팅하지 않는 경우 이 특정 코드 삽입 악용에 취약하지 않으며 리소스에 대해 이 경고를 안전하게 표시하지 않을 수 있습니다. 보안 경고를 표시하지 않는 방법을 알아보려면 클라우드용 Microsoft Defender의 경고 표시 안 함을 참조하세요. (적용 대상: Windows의 App Service 및 Linux의 App Service)
MITRE 전술: 실행
심각도: 높음
취약성 검사기가 검색됨
(AppServices_DrupalScanner)
설명: Azure 앱 서비스 활동 로그는 App Service 리소스에서 가능한 취약성 스캐너가 사용되었음을 나타냅니다. 의심스러운 활동이 CMS(콘텐츠 관리 시스템)를 대상으로 하는 도구와 유사한 것으로 검색되었습니다. App Service 리소스가 Drupal 사이트를 호스팅하지 않는 경우 이 특정 코드 삽입 악용에 취약하지 않으며 리소스에 대해 이 경고를 안전하게 표시하지 않을 수 있습니다. 보안 경고를 표시하지 않는 방법을 알아보려면 클라우드용 Microsoft Defender의 경고 표시 안 함을 참조하세요. (적용 대상: Windows의 App Service)
MITRE 전술: 사전 공격
심각도: 낮음
취약성 스캐너가 감지됨(Joomla)
(AppServices_JoomlaScanner)
설명: Azure 앱 서비스 활동 로그는 App Service 리소스에서 가능한 취약성 스캐너가 사용되었음을 나타냅니다. 의심스러운 활동이 Joomla 애플리케이션을 대상으로 하는 도구와 유사한 것으로 검색되었습니다. App Service 리소스가 Joomla 사이트를 호스팅하지 않는 경우 이 특정 코드 삽입 악용에 취약하지 않으며 리소스에 대해 이 경고를 안전하게 표시하지 않을 수 있습니다. 보안 경고를 표시하지 않는 방법을 알아보려면 클라우드용 Microsoft Defender의 경고 표시 안 함을 참조하세요. (적용 대상: Windows의 App Service 및 Linux의 App Service)
MITRE 전술: 사전 공격
심각도: 낮음
취약성 스캐너가 검색됨(WordPress)
(AppServices_WpScanner)
설명: Azure 앱 서비스 활동 로그는 App Service 리소스에서 가능한 취약성 스캐너가 사용되었음을 나타냅니다. 검색된 의심스러운 활동은 WordPress 애플리케이션을 대상으로 하는 도구와 유사합니다. App Service 리소스가 WordPress 사이트를 호스팅하지 않는 경우 이 특정 코드 삽입 악용에 취약하지 않으며 리소스에 대해 이 경고를 안전하게 표시하지 않을 수 있습니다. 보안 경고를 표시하지 않는 방법을 알아보려면 클라우드용 Microsoft Defender의 경고 표시 안 함을 참조하세요. (적용 대상: Windows의 App Service 및 Linux의 App Service)
MITRE 전술: 사전 공격
심각도: 낮음
웹 지문이 검색됨
(AppServices_WebFingerprinting)
설명: Azure 앱 서비스 활동 로그는 App Service 리소스에서 가능한 웹 지문 활동을 나타냅니다. 감지된 의심스러운 활동은 블라인드 코끼리라는 도구와 관련이 있습니다. 도구는 웹 서버를 지문 인식하고 설치된 애플리케이션 및 버전을 감지하려고 합니다. 공격자는 종종 이 도구를 사용하여 웹 애플리케이션을 검색하여 취약성을 찾습니다. (적용 대상: Windows의 App Service 및 Linux의 App Service)
MITRE 전술: 사전 공격
심각도: 보통
웹 사이트는 위협 인텔리전스 피드에서 악성으로 태그가 지정됩니다.
(AppServices_SmartScreen)
설명: 아래 설명된 대로 웹 사이트는 Windows SmartScreen에서 악성 사이트로 표시됩니다. 가양성이라고 생각되면 제공된 보고서 피드백 링크를 통해 Windows SmartScreen에 문의하세요. (적용 대상: Windows의 App Service 및 Linux의 App Service)
MITRE 전술: 컬렉션
심각도: 보통
참고 항목
미리 보기에 있는 알림의 경우 Azure 미리 보기 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.