你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文列出了可能从 Microsoft Defender for Cloud,以及从所启用的任何 Microsoft Defender 计划中获取的 Azure 应用服务安全警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。
注释
某些最近添加的、由 Microsoft Defender 威胁智能和 Microsoft Defender for Endpoint 提供支持的警报可能未记录。
Azure 应用服务警报
云原生检测
应用服务在应用程序层运行,使 Web 应用能够处理用户交互和管理请求流。 Defender for App Services 分析这些请求中的模式,以确定可能指示安全威胁的行为。 捕获 Web 请求日志中的关键事件,这些事件指示潜在的安全威胁,例如尝试执行未经授权的代码或作应用程序逻辑。
Defender for App Services 捕获的可疑作示例包括:
远程代码执行 可以允许攻击者运行任意命令,从而可能控制应用程序环境。
注入尝试 可以作应用程序逻辑或访问敏感数据,从而导致数据泄露或未经授权的作。
泄露指示器 可以指示应用程序已遭入侵,并可能利用这些指标来针对其他系统或服务发起攻击。
工作负载运行时检测
Defender for App Services 监视工作负荷运行时活动以检测可疑作,包括进程创建事件。
可疑工作负载运行时活动的示例包括:
Web shell 活动 - Defender for App Services 监视正在运行的容器上的活动,以识别类似于 Web shell 调用的行为。
加密挖掘活动 - Defender for App Services 使用多个启发法来识别正在运行的容器上的加密挖掘活动,包括可疑下载活动、CPU 优化、可疑进程执行等。
侦查工具 – Defender for App Services 可识别已用于恶意活动的侦察工具的使用。
注释
对于处于预览状态的警报:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。