Advanced Threat Protection pro Azure SQL DatabaseAdvanced Threat Protection for Azure SQL Database

Rozšířená ochrana před internetovými útoky pro Azure SQL Database a SQL Data Warehouse detekuje aktivity neobvyklé, které označují neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití.Advanced Threat Protection for Azure SQL Database and SQL Data Warehouse detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases.

Rozšířená ochrana před internetovými útoky je součástí nabídky Rozšířené služby Data Security (ADS), což je jednotný balíček pro pokročilé funkce zabezpečení SQL.Advanced Threat Protection is part of the Advanced data security (ADS) offering, which is a unified package for advanced SQL security capabilities. Rozšířená ochrana před internetovými útoky je dostupná a spravovaná prostřednictvím centrálního portálu SQL ADS.Advanced Threat Protection can be accessed and managed via the central SQL ADS portal.

Poznámka

Toto téma se týká k Azure SQL serveru a databází SQL Database a SQL Data Warehouse, které jsou vytvořené na serveru Azure SQL.This topic applies to Azure SQL server, and to both SQL Database and SQL Data Warehouse databases that are created on the Azure SQL server. Pro zjednodušení se SQL Database používá k označení SQL Database i SQL Data Warehouse.For simplicity, SQL Database is used when referring to both SQL Database and SQL Data Warehouse.

Co je rozšířená ochrana před internetovými útokyWhat is Advanced Threat Protection

Rozšířená ochrana před internetovými útoky poskytuje novou vrstvu zabezpečení, která zákazníkům umožňuje rozpoznávat a reagovat na potenciální hrozby při jejich výskytu tím, že poskytuje výstrahy zabezpečení pro aktivity neobvyklé.Advanced Threat Protection provides a new layer of security, which enables customers to detect and respond to potential threats as they occur by providing security alerts on anomalous activities. Uživatelům se zobrazí výstraha o podezřelých databázových aktivitách, potenciálních ohroženích zabezpečení a útocích prostřednictvím injektáže SQL a také o vzorcích dotazů neobvyklé Database.Users receive an alert upon suspicious database activities, potential vulnerabilities, and SQL injection attacks, as well as anomalous database access and queries patterns. Rozšířená ochrana před internetovými útoky integruje výstrahy s Azure Security Center, což zahrnuje podrobnosti o podezřelé aktivitě a doporučuje akci, jak tuto hrozbu prozkoumat a zmírnit.Advanced Threat Protection integrates alerts with Azure Security Center, which include details of suspicious activity and recommend action on how to investigate and mitigate the threat. Rozšířená ochrana před internetovými útoky usnadňuje řešení potenciálních hrozeb pro databázi, aniž by museli být odborníkem na zabezpečení nebo mohli spravovat pokročilé systémy monitorování zabezpečení.Advanced Threat Protection makes it simple to address potential threats to the database without the need to be a security expert or manage advanced security monitoring systems.

V případě úplného šetření doporučujeme povolit SQL Database auditování, které zapisuje databázové události do protokolu auditu ve vašem účtu služby Azure Storage.For a full investigation experience, it is recommended to enable SQL Database Auditing, which writes database events to an audit log in your Azure storage account.

Výstrahy rozšířené ochrany před internetovými útokyAdvanced Threat Protection alerts

Rozšířená ochrana před internetovými útoky pro Azure SQL Database detekuje aktivity neobvyklé indikující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití a může aktivovat následující výstrahy:Advanced Threat Protection for Azure SQL Database detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases and it can trigger the following alerts:

  • Zranitelnost vůči INJEKTÁŽE SQL: Tato výstraha se aktivuje, když aplikace vygeneruje chybný příkaz SQL v databázi.Vulnerability to SQL injection: This alert is triggered when an application generates a faulty SQL statement in the database. Tato výstraha může značit možnou zranitelnost vůči útokům prostřednictvím injektáže SQL.This alert may indicate a possible vulnerability to SQL injection attacks. Existují dva možné důvody vygenerování chybného příkazu:There are two possible reasons for the generation of a faulty statement:

    • Chyba v kódu aplikace, která způsobí sestavení chybného příkazu jazyka SQLA defect in application code that constructs the faulty SQL statement
    • Kód aplikace ani uložené procedury neupravují uživatelský vstup při sestavování chybného příkazu SQL, který může být zneužit pro injektáž SQL.Application code or stored procedures don't sanitize user input when constructing the faulty SQL statement, which may be exploited for SQL Injection
  • Potenciální útok prostřednictvím injektáže SQL: Tato výstraha se aktivuje v případě výskytu aktivního zneužití zranitelnosti identifikované aplikace v důsledku injektáže SQL.Potential SQL injection: This alert is triggered when an active exploit happens against an identified application vulnerability to SQL injection. Znamená to, že se útočník pokouší vložit škodlivé příkazy SQL s použitím zranitelného kódu aplikace nebo uložených procedur.This means the attacker is trying to inject malicious SQL statements using the vulnerable application code or stored procedures.

  • Přístup z neobvyklého umístění: Tato výstraha se aktivuje, pokud dojde ke změně vzoru přístupu k serveru SQL, když se někdo k serveru SQL přihlásil z neobvyklé geografické lokality.Access from unusual location: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual geographical location. V některých případech výstraha detekuje legitimní akci (nová aplikace nebo údržba prováděná vývojářem).In some cases, the alert detects a legitimate action (a new application or developer maintenance). V jiných případech výstraha detekuje škodlivou akci (bývalý zaměstnanec, externí útočník).In other cases, the alert detects a malicious action (former employee, external attacker).

  • Přístup z neobvyklého datového centra Azure: Tato výstraha se aktivuje, pokud dojde ke změně vzoru přístupu k serveru SQL, když se někdo k serveru SQL nedávno přihlásil z neobvyklého datového centra Azure.Access from unusual Azure data center: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual Azure data center that was seen on this server during the recent period. V některých případech výstraha rozpozná legitimní akci (nová aplikace v Azure, Power BI, editor dotazů SQL v Azure).In some cases, the alert detects a legitimate action (your new application in Azure, Power BI, Azure SQL Query Editor). V jiných případech výstraha detekuje škodlivou akci prováděnou z prostředku/služby Azure (bývalý zaměstnanec, externí útočník).In other cases, the alert detects a malicious action from an Azure resource/service (former employee, external attacker).

  • Přístup z neznámého objektu zabezpečení: Tato výstraha se aktivuje, pokud dojde ke změně vzoru přístupu k serveru SQL, když se někdo k serveru SQL přihlásil s použitím neobvyklého objektu zabezpečení (uživatel SQL).Access from unfamiliar principal: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server using an unusual principal (SQL user). V některých případech výstraha detekuje legitimní akci (nová aplikace, údržba prováděná vývojářem).In some cases, the alert detects a legitimate action (new application, developer maintenance). V jiných případech výstraha detekuje škodlivou akci (bývalý zaměstnanec, externí útočník).In other cases, the alert detects a malicious action (former employee, external attacker).

  • Přístup z potenciálně škodlivé aplikace: Tato výstraha se aktivuje, pokud je pro přístup k databázi použita potenciálně škodlivá aplikace.Access from a potentially harmful application: This alert is triggered when a potentially harmful application is used to access the database. V některých případech výstraha detekuje probíhající test průniku.In some cases, the alert detects penetration testing in action. V jiných případech výstraha detekuje útok pomocí běžných nástrojů útoku.In other cases, the alert detects an attack using common attack tools.

  • Útok hrubou silou na přihlašovací údaje SQL: Tato výstraha se aktivuje, pokud byly zaznamenán neobvykle vysoký počet neúspěšných přihlášení s různými přihlašovacími údaji.Brute force SQL credentials: This alert is triggered when there is an abnormal high number of failed logins with different credentials. V některých případech výstraha detekuje probíhající test průniku.In some cases, the alert detects penetration testing in action. V jiných případech výstraha detekuje útok hrubou silou.In other cases, the alert detects brute force attack.

Prozkoumejte aktivity databáze neobvyklé při detekci podezřelé událostiExplore anomalous database activities upon detection of a suspicious event

Po detekci neobvykléch databázových aktivit obdržíte e-mailové oznámení.You receive an email notification upon detection of anomalous database activities. E-mail obsahuje informace o podezřelé události zabezpečení, včetně povahy aktivit neobvyklé, názvu databáze, názvu serveru, názvu aplikace a času události.The email provides information on the suspicious security event including the nature of the anomalous activities, database name, server name, application name, and the event time. Kromě toho e-mail poskytuje informace o možných příčinách a doporučených akcích k prošetření a zmírnění potenciální hrozby pro databázi.In addition, the email provides information on possible causes and recommended actions to investigate and mitigate the potential threat to the database.

Sestava aktivity neobvyklé

  1. Kliknutím na odkaz Zobrazit nedávné výstrahy SQL v e-mailu spustíte Azure Portal a zobrazí se stránka Azure Security Center výstrahy, která poskytuje přehled aktivních hrozeb zjištěných v databázi SQL.Click the View recent SQL alerts link in the email to launch the Azure portal and show the Azure Security Center alerts page, which provides an overview of active threats detected on the SQL database.

    Hrozby aktivit

  2. Kliknutím na konkrétní výstrahu získáte další podrobnosti a akce pro šetření této hrozby a opravaí budoucích hrozeb.Click a specific alert to get additional details and actions for investigating this threat and remediating future threats.

    Například injektáže SQL je jedním z nejběžnějších problémů zabezpečení webových aplikací na internetu, které se používají k útoku na aplikace řízené daty.For example, SQL injection is one of the most common Web application security issues on the Internet that is used to attack data-driven applications. Útočníci využívají chyby zabezpečení aplikací k vkládání škodlivých příkazů SQL do vstupních polí aplikace, při porušení nebo úpravě dat v databázi.Attackers take advantage of application vulnerabilities to inject malicious SQL statements into application entry fields, breaching or modifying data in the database. V případě výstrah pro vložení SQL zahrnuje podrobnosti výstrahy ohrožený příkaz SQL, který byl zneužit.For SQL Injection alerts, the alert’s details include the vulnerable SQL statement that was exploited.

    Konkrétní výstraha

Prozkoumejte rozšířené výstrahy ochrany před hrozbami pro vaši databázi v Azure PortalExplore Advanced Threat Protection alerts for your database in the Azure portal

Rozšířená ochrana před internetovými útoky integruje své výstrahy se službou Azure Security Center.Advanced Threat Protection integrates its alerts with Azure security center. Živé SQL Advanced Threat Protection dlaždice v rámci databáze a okna služby SQL ADS v Azure Portal sledují stav aktivních hrozeb.Live SQL Advanced Threat Protection tiles within the database and SQL ADS blades in the Azure portal track the status of active threats.

Kliknutím na Rozšířená výstraha ochrany před internetovými útoky spustíte stránku Azure Security Center výstrahy a získáte přehled o aktivních hrozbách SQL zjištěných v databázi nebo datovém skladu.Click Advanced Threat Protection alert to launch the Azure Security Center alerts page and get an overview of active SQL threats detected on the database or data warehouse.

Výstraha rozšířené ochrany před internetovými útoky

Rozšířená ochrana před internetovými útoky alert2

Další krokyNext steps