auditování pro Azure SQL Database a Azure Synapse Analytics

PLATÍ PRO: Azure SQL Database Azure Synapse Analytics

auditování pro Azure SQL Database a Azure Synapse Analytics sleduje události databáze a zapisuje je do protokolu auditu ve vašem účtu služby azure storage, Log Analytics pracovním prostoru nebo Event Hubs.

Auditování také:

• Pomáhá zajistit dodržování předpisů, porozumět databázové aktivitě a získat přehled o nesrovnalostech a anomáliích, které můžou značit problémy obchodního charakteru nebo vzbuzovat podezření na narušení zabezpečení.

• Umožňuje a usnadňuje dodržování předpisů, i když soulad s těmito standardy nezaručuje. Další informace o programech Azure, které podporují dodržování standardů, najdete v Centru zabezpečení Azure, kde najdete aktuální seznam certifikací dodržování předpisů SQL.

Přehled

auditování SQL Database můžete použít k těmto akcím:

• Zachovejte záznam auditu vybraných událostí. Můžete definovat akce databáze, které se mají auditovat.
• Sestava aktivity databáze. Můžete využít nakonfigurované sestavy a řídicí panel, abyste mohli rychle začít s vytvářením sestav aktivit a událostí.
• Analýza sestav. Můžete vyhledávat podezřelé události, neobvyklou aktivitu a trendy.

Omezení auditování

• služba Premium storage se v tuto chvíli nepodporuje.
• hierarchický obor názvů pro Azure Data Lake Storage Gen2 účet úložiště se v tuto chvíli nepodporuje.
• Povolení auditování u pozastavené služby Azure synapse se nepodporuje. Pokud chcete povolit auditování, obnovte službu Azure Synapse.
• auditování pro fondy SQL služby Azure Synapse podporuje pouze výchozí skupiny akcí auditu.

Definování zásad auditování na úrovni serveru vs. databáze

zásady auditování se dají definovat pro určitou databázi nebo jako výchozí zásady serveru v Azure (které hostují SQL Database nebo Azure Synapse):

• Zásady serveru se vztahují na všechny existující a nově vytvořené databáze na serveru.

• Pokud je auditování serveru povoleno, bude vždy použito pro databázi. Databáze bude auditována bez ohledu na nastavení auditování databáze.

• Pokud jsou zásady auditování definované na úrovni databáze v pracovním prostoru Log Analytics nebo v umístění centra událostí, následující operace nezachovají zásady auditování na úrovni zdrojové databáze:

  • Kopie databáze
  • Obnovení k určitému bodu v čase
  • Geografická replikace (sekundární databáze nebude mít auditování na úrovni databáze)

• Povolení auditování v databázi kromě jeho povolení na serveru nepřepisuje ani nemění žádné nastavení auditování serveru. Oba audity budou existovat vedle sebe. Jinými slovy, databáze je auditována dvakrát; jednou zásadami serveru a jednou zásadami databáze.

  Poznámka

  Měli byste se vyhnout vzájemnému povolení auditování serveru i auditování objektů BLOB databáze, pokud:

  • Pro konkrétní databázi chcete použít jiný účet úložiště, dobu uchování nebo Log Analytics pracovní prostor .
  • Chcete auditovat typy a kategorie událostí pro konkrétní databázi, která se liší od ostatních databází na serveru. Například můžete mít vložená vložení tabulky, která musí být auditována pouze pro konkrétní databázi.

  V opačném případě doporučujeme povolit pouze auditování na úrovni serveru a ponechat auditování na úrovni databáze zakázané pro všechny databáze.

Poznámky

• Protokoly auditu se píší pro doplňovací objekty blob v úložišti objektů BLOB v Azure ve vašem předplatném Azure.
• protokoly auditu jsou ve formátu. xel a lze je otevřít pomocí SQL Server Management Studio (SSMS).
• Pokud chcete nakonfigurovat úložiště neměnného protokolu pro události auditu na úrovni serveru nebo databáze, postupujte podle pokynů Azure Storage. Pokud konfigurujete neměnné úložiště objektů blob, ujistěte se, že jste vybrali možnost umožnit další připojení .
• protokoly auditu můžete zapsat na účet Azure Storage za virtuální sítí nebo bránou firewall. Konkrétní pokyny najdete v tématu zápis auditu do účtu úložiště za virtuální sítí a branou firewall.
• Podrobnosti o formátu protokolu, hierarchii složky úložiště a zásadách vytváření názvů najdete v referenčních informacích o formátu protokolu auditu objektů BLOB.
• Na replikách jen pro čtení je auditování povolené automaticky. další podrobnosti o hierarchii složek úložiště, konvencí pojmenování a formátu protokolu najdete v tématu formát protokolu auditu SQL Database.
• při použití ověřování Azure AD se záznamy neúspěšných přihlášení nezobrazí v protokolu auditu SQL. chcete-li zobrazit záznamy auditu neúspěšných přihlášení, je nutné navštívit portál Azure Active Directory, který protokoluje podrobnosti o těchto událostech.
• Brána směruje přihlášení do konkrétní instance, ve které se databáze nachází. V případě přihlášení AAD se přihlašovací údaje ověřují před pokusem o použití daného uživatele k přihlášení do požadované databáze. V případě selhání nedojde k přístupu k požadované databázi, a proto nedojde k auditování. v případě přihlášení SQL se přihlašovací údaje ověřují podle požadovaných dat, takže v tomto případě je můžete auditovat. V obou případech se auditují úspěšná přihlášení, která získají přístup k databázi.
• Po dokončení konfigurace nastavení auditování můžete zapnout funkci detekce nové hrozby a nakonfigurovat e-maily tak, aby přijímaly výstrahy zabezpečení. Pokud používáte detekci hrozeb, obdržíte proaktivní výstrahy týkající se neobvykléch databázových aktivit, které mohou označovat potenciální bezpečnostní hrozby. Další informace najdete v tématu Začínáme s detekcí hrozeb.
• po zkopírování databáze s povoleným auditováním do jiného logického serveru Azure SQL může obdržet e-mail s upozorněním, že se audit nezdařil. Jedná se o známý problém a auditování by mělo fungovat podle očekávání u nově zkopírované databáze.

Nastavení auditování pro server

Výchozí zásada auditování zahrnuje všechny akce a následující sadu skupin akcí, které budou auditovat všechny dotazy a uložené procedury provedené proti databázi a také úspěšná a neúspěšná přihlášení:

• BATCH_COMPLETED_GROUP
• SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
• FAILED_DATABASE_AUTHENTICATION_GROUP

auditování můžete nakonfigurovat pro různé typy akcí a skupin akcí pomocí prostředí PowerShell, jak je popsáno v části správa SQL Databaseho auditu pomocí Azure PowerShell .

Azure SQL Database a Azure Synapse Audit ukládá 4000 znaků dat pro pole znaků v záznamu auditu. Pokud příkaz nebo data_sensitivity_information hodnoty vrácené z auditované akce obsahují více než 4000 znaků, všechna data za prvních 4000 znaků budou zkrácena a nebudou auditována. V následující části je popsána konfigurace auditování pomocí Azure Portal.

1. Přejděte na Azure Portal.

2. v podokně SQL databáze nebo serveru SQL přejděte na audit pod záhlavím zabezpečení.

3. Pokud dáváte přednost nastavení zásad auditování serveru, můžete vybrat odkaz Zobrazit nastavení serveru na stránce auditování databáze. Pak můžete zobrazit nebo upravit nastavení auditování serveru. Zásady auditování serveru se vztahují na všechny existující a nově vytvořené databáze na tomto serveru.

   

4. Pokud chcete povolit auditování na úrovni databáze, přepněte auditování na zapnuto. Pokud je povolené auditování serveru, bude audit konfigurovaný pro databázi existovat vedle sebe s auditem serveru.

5. Máte několik možností, jak nakonfigurovat, kam budou zapsány protokoly auditu. Protokoly můžete zapsat do účtu služby Azure Storage, do Log Analytics pracovního prostoru pro spotřebu pomocí protokolů Azure Monitor nebo do centra událostí pro spotřebu pomocí centra událostí. Můžete nakonfigurovat libovolnou kombinaci těchto možností a protokoly auditu se zapíší do každého z nich.

   

Auditování operací podpora Microsoftu

auditování operací podpora Microsoftu pro Azure SQL Server umožňuje auditovat činnosti pracovníků podpory společnosti Microsoft, když potřebují přístup k vašemu serveru během žádosti o podporu. Tato funkce, společně s vaším auditem, umožňuje větší transparentnost zaměstnanců a umožňuje detekci anomálií, vizualizaci trendů a ochranu před únikem informací.

pokud chcete povolit auditování podpora Microsoftuch operací, přejděte k auditu pod záhlavím zabezpečení v podokně Azure SQL serveru a přepněte možnost povolit auditování operací podpory microsoftu na zapnuto.

Chcete-li zkontrolovat protokoly auditu podpora Microsoftu operací v pracovním prostoru Log Analytics, použijte následující dotaz:

AzureDiagnostics
| where Category == "DevOpsOperationsAudit"

Máte možnost zvolit si pro tento protokol auditování jiný cíl úložiště nebo použít stejnou konfiguraci auditování pro váš server.

Auditovat cíl úložiště

pokud chcete nakonfigurovat zápis protokolů auditu na účet úložiště, vyberte Storage , když se dostanete k části auditování . Vyberte účet úložiště Azure, do kterého se budou ukládat protokoly, a pak vyberte dobu uchování otevřením Upřesnit vlastnosti. Potom klikněte na Uložit. Odstraní se protokoly starší než doba uchovávání.

• Výchozí hodnota doby uchovávání je 0 (neomezené uchovávání). Tuto hodnotu můžete změnit přesunutím posuvníku Uchování (dny) v části Upřesnit vlastnosti při konfiguraci účtu úložiště pro auditování.

  • Pokud změníte dobu uchovávání z 0 (neomezené uchovávání) na jakoukoli jinou hodnotu, mějte na paměti, že uchovávání se bude vztahovat pouze na protokoly zapsané po změně hodnoty uchovávání (protokoly zapsané během období, kdy bylo uchovávání nastaveno na neomezené, se zachovají i po povolení uchovávání).

  

Auditování do cíle Log Analytics

Pokud chcete nakonfigurovat zápis protokolů auditu do pracovního prostoru služby Log Analytics, vyberte Log Analytics a otevřete podrobnosti Log Analytics. Vyberte pracovní prostor služby Log Analytics, kam se budou zapisovat protokoly, a pak klikněte na OK. Pokud jste ještě nevytvářely pracovní prostor služby Log Analytics, najdete informace v tématu Vytvoření pracovního prostoru služby Log Analytics v Azure Portal.

Další podrobnosti o pracovním Azure Monitor Log Analytics najdete v tématu Návrh nasazení protokolů Azure Monitor logů.

Auditování do cíle centra událostí

Pokud chcete nakonfigurovat zápis protokolů auditu do centra událostí, vyberte Centrum událostí. Vyberte centrum událostí, kam se budou zapisovat protokoly, a pak klikněte na Uložit. Ujistěte se, že je centrum událostí ve stejné oblasti jako vaše databáze a server.

Analýza protokolů a sestav auditu

Pokud jste se rozhodli zapisovat protokoly auditu do Log Analytics:

• Použijete Azure Portal Otevřete příslušnou databázi. V horní části stránky Auditování databáze vyberte Zobrazit protokoly auditu.

  

• Protokoly pak můžete zobrazit dvěma způsoby:

  Kliknutím na Log Analytics v horní části stránky Záznamy auditu otevřete zobrazení Protokoly v pracovním prostoru služby Log Analytics, kde můžete přizpůsobit časový rozsah a vyhledávací dotaz.

  

  Kliknutím na Zobrazit řídicí panel v horní části stránky Záznamy auditu otevřete řídicí panel zobrazující informace o protokolech auditu, kde můžete přejít k podrobnostem Zabezpečení Přehledy, Přístup k citlivým datům a další. Tento řídicí panel je navržený tak, aby vám pomohl získat přehled o zabezpečení vašich dat. Můžete také přizpůsobit časový rozsah a vyhledávací dotaz.

  

  

• Případně můžete k protokolům auditu přistupovat také z okna Log Analytics. Otevřete pracovní prostor služby Log Analytics a v části Obecné klikněte na Protokoly. Můžete začít jednoduchým dotazem, například: vyhledejte SQLSecurityAuditEvents a zobrazte protokoly auditu. Odtud můžete pomocí protokolů auditu Azure Monitor pokročilé vyhledávání dat protokolu auditu. Azure Monitor protokoly poskytují provozní přehledy v reálném čase pomocí integrovaného vyhledávání a vlastních řídicích panelů, které vám umožní snadno analyzovat miliony záznamů napříč všemi úlohami a servery. Další užitečné informace o jazyku a Azure Monitor protokolů najdete v referenčních informacích Azure Monitor prohledávání protokolů.

Pokud jste se rozhodli zapisovat protokoly auditu do centra událostí:

• Pokud chcete využívat data protokolů auditu z centra událostí, budete muset nastavit datový proud, který bude využívat události a zapisovat je do cíle. Další informace najdete v Azure Event Hubs dokumentaci.
• Protokoly auditu v centru událostí se zachycuje v těle událostí Apache Avro a ukládají se pomocí formátování JSON s kódováním UTF-8. Ke čtení protokolů auditu můžete použít nástroje Avro nebo podobné nástroje, které dokáží tento formát zpracovat.

Pokud jste se rozhodli zapisovat protokoly auditu do účtu úložiště Azure, můžete k zobrazení protokolů použít několik metod:

• Protokoly auditu se agregují v účtu, který jste zvolili během instalace. Protokoly auditu můžete prozkoumat pomocí nástroje, jako je Průzkumník služby Azure Storage. Ve službě Azure Storage se protokoly auditování ukládají jako kolekce souborů objektů blob v kontejneru s názvem sqldbauditlogs. Další podrobnosti o hierarchii složek úložiště, konvencích vytváření názvů a formátu protokolu najdete v SQL Database protokolu auditu.

• Použijete Azure Portal Otevřete příslušnou databázi. V horní části stránky Auditování databáze klikněte na Zobrazit protokoly auditu.

  

  Otevře se záznamy auditu, ze kterých budete moct zobrazit protokoly.

  • Konkrétní data můžete zobrazit kliknutím na Filtr v horní části stránky Záznamy auditu.

  • Mezi záznamy auditu, které byly vytvořeny zásadou auditu serveru, a zásadou auditu databáze můžete přepínat přepnutím zdroje auditu.

    

• Pomocí funkce system sys.fn_get_audit_file (T-SQL) vrátit data protokolu auditu v tabulkovém formátu. Další informace o používání této funkce najdete v tématu sys.fn_get_audit_file.

• Použití možnosti Sloučit soubory auditu SQL Server Management Studio (počínaje SSMS 17):

  1. V nabídce SSMS vyberte File Open Merge Audit Files (Soubor > otevřít sloučení souborů > auditu).

     

  2. Otevře se dialogové okno Přidat soubory auditu. Vyberte jednu z možností Přidat a zvolte, jestli se mají sloučit soubory auditu z místního disku nebo je importovat z Azure Storage. Musíte zadat podrobnosti o Azure Storage účtu a klíč účtu.

  3. Po přidání všech souborů ke sloučení kliknutím na OK dokončete operaci sloučení.

  4. Sloučený soubor se otevře v nástroji SSMS, kde ho můžete zobrazit a analyzovat, a také ho exportovat do souboru NAS nebo CSV nebo do tabulky.

• Použijte Power BI. Data protokolu auditu můžete zobrazit a analyzovat v Power BI. Další informace a přístup k šabloně ke stažení najdete v tématu Analýza dat protokolu auditu v Power BI.

• Stažení souborů protokolu z Azure Storage objektů blob prostřednictvím portálu nebo pomocí nástroje, jako je Průzkumník služby Azure Storage.

  • Po místním stažení souboru protokolu dvojím kliknutím otevřete, zobrazte a analyzujte protokoly v aplikaci SSMS.
  • Můžete také stáhnout více souborů současně prostřednictvím Průzkumník služby Azure Storage. To můžete udělat tak, že kliknete pravým tlačítkem na konkrétní podsložku a vyberete Uložit jako a uložíte ji do místní složky.

• Další metody:

  • Po stažení několika souborů nebo podsložek, které obsahují soubory protokolu, je můžete sloučit místně, jak je popsáno v pokynech ke sloučení souborů auditu aplikace SSMS popsaných výše.
  • Programové zobrazení protokolů auditování objektů blob: Dotazování souborů rozšířených událostí pomocí PowerShellu

Produkční postupy

Auditování geograficky replikovaných databází

Když u geograficky replikovaných databází povolíte auditování primární databáze, bude mít sekundární databáze identické zásady auditování. Auditování sekundární databáze je také možné nastavit povolením auditování na sekundárním serveru nezávisle na primární databázi.

• Na úrovni serveru (doporučeno): Zapněte auditování jak na primárním serveru, tak i na sekundárním serveru – primární a sekundární databáze se budou auditovat nezávisle na základě příslušných zásad na úrovni serveru.
• Na úrovni databáze: Auditování na úrovni databáze pro sekundární databáze je možné nakonfigurovat pouze z nastavení auditování primární databáze.

  • Auditování se musí povolit na samotné primární databázi, ne na serveru.

  • Po povolení auditování v primární databázi se povolí i u sekundární databáze.

    Důležité

    Při auditování na úrovni databáze bude nastavení úložiště pro sekundární databázi stejné jako u primární databáze, což způsobí provoz mezi oblastmi. Doporučujeme povolit jenom auditování na úrovni serveru a nechat auditování na úrovni databáze zakázané pro všechny databáze.

Storage opětovného vygenerování klíče

V produkčním prostředí budete klíče úložiště pravděpodobně pravidelně aktualizovat. Při zápisu protokolů auditu do úložiště Azure je potřeba při aktualizaci klíčů zásady auditování znovu otevřít. Postup je následující:

1. V části Storage otevřete Upřesnit Storage. V poli Storage Access Key (Sekundární) vyberte Secondary (Sekundární). Pak v horní části stránky konfigurace auditování klikněte na Uložit.

   

2. Přejděte na stránku konfigurace úložiště a znovu vygenerujte primární přístupový klíč.

   

3. Zpět na stránku konfigurace auditování, přepněte přístupový klíč k úložišti ze sekundárního na primární a pak klikněte na OK. Pak v horní části stránky konfigurace auditování klikněte na Uložit.

4. Zpět na stránku konfigurace úložiště a znovu vygenerujte sekundární přístupový klíč (v rámci přípravy na cyklus aktualizace dalšího klíče).

Správa Azure SQL Database auditování

Použití Azure Powershell

Rutiny PowerShellu (včetně podpory klauzule WHERE pro další filtrování):

• Vytvoření nebo aktualizace zásad auditování databáze (Set-AzSqlDatabaseAudit)
• Vytvoření nebo aktualizace zásad auditování serveru (Set-AzSqlServerAudit)
• Získání zásad auditování databáze (Get-AzSqlDatabaseAudit)
• Získání zásad auditování serveru (Get-AzSqlServerAudit)
• Odebrání zásad auditování databáze (Remove-AzSqlDatabaseAudit)
• Odebrání zásad auditování serveru (Remove-AzSqlServerAudit)

Příklad skriptu najdete v tématu Konfigurace auditování a detekce hrozeb pomocí PowerShellu.

Pomocí rozhraní REST API

REST API:

• Vytvoření nebo aktualizace zásad auditování databáze
• Vytvoření nebo aktualizace zásad auditování serveru
• Získání zásad auditování databáze
• Získání zásad auditování serveru

Rozšířené zásady s podporou klauzule WHERE pro další filtrování:

• Vytvoření nebo aktualizace zásad rozšířeného auditování databáze
• Vytvoření nebo aktualizace zásad rozšířeného auditování serveru
• Získání zásad rozšířeného auditování databáze
• Získání zásad rozšířeného auditování serveru

Použití Azure CLI

• Správa zásad auditování serveru
• Správa zásad auditování databáze

Použití šablon Azure Resource Manageru

Auditování auditu Azure SQL Database pomocí Azure Resource Manager, jak je znázorněno v těchto příkladech:

• Nasazení virtuálního Azure SQL Database s povoleným auditováním pro zápis protokolů auditu do účtu služby Azure Blob Storage
• Nasazení služby Azure SQL Database s povoleným auditováním pro zápis protokolů auditu do Log Analytics
• Nasazení aplikace Azure SQL Database s povoleným auditováním pro zápis protokolů auditu do Event Hubs

Viz také

• Seriál Data Exposed (Data Exposed) Co je nového v Azure SQL auditování na webu Channel 9
• Auditování SQL spravované instance
• Auditování pro SQL Server