SQL Advanced Threat Protection

  • Článek

Platí pro:Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsSQL Server na virtuálnímpočítači Azure s povolenou službou Azure Arc

Advanced Threat Protection pro Azure SQL Database, Azure SQL Managed Instance, Azure Synapse Analytics, SQL Server na virtuálních počítačích Azure a SQL Server povolený službou Azure Arc detekuje neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití.

Advanced Threat Protection je součástí nabídky Microsoft Defenderu pro SQL , což je jednotný balíček pro pokročilé funkce zabezpečení SQL. Rozšířená ochrana před internetovými útoky je přístupná a spravovaná prostřednictvím centrálního portálu Microsoft Defender pro SQL.

Přehled

Advanced Threat Protection poskytuje novou vrstvu zabezpečení, která zákazníkům umožňuje detekovat potenciální hrozby a reagovat na ně, když k nim dojde, poskytováním výstrah zabezpečení na neobvyklé aktivity. Uživatelé obdrží upozornění na podezřelé databázové aktivity, potenciální ohrožení zabezpečení a útoky prostřednictvím injektáže SQL a také neobvyklý přístup k databázi a vzory dotazů. Advanced Threat Protection integruje výstrahy s Microsoft Defenderem pro cloud, které obsahují podrobnosti o podezřelé aktivitě a doporučují akci, jak hrozbu prošetřit a zmírnit. Advanced Threat Protection usnadňuje řešení potenciálních hrozeb v databázi bez nutnosti být odborníkem na zabezpečení nebo spravovat pokročilé systémy monitorování zabezpečení.

Pro úplné prověřování se doporučuje povolit auditování, které zapisuje databázové události do protokolu auditu ve vašem účtu úložiště Azure. Pokud chcete povolit auditování, přečtěte si téma Auditování pro Azure SQL Database a Azure Synapse nebo auditování pro spravovanou instanci Azure SQL.

Výstrahy

Advanced Threat Protection detekuje neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Seznam výstrah najdete v tématu Výstrahy pro SLUŽBU SQL Database a Azure Synapse Analytics v programu Microsoft Defender pro cloud.

Prozkoumání detekce podezřelé události

Při detekci neobvyklých databázových aktivit obdržíte e-mailové oznámení. E-mail poskytuje informace o podezřelé události zabezpečení, včetně povahy neobvyklých aktivit, názvu databáze, názvu serveru, názvu aplikace a času události. Kromě toho e-mail poskytuje informace o možných příčinách a doporučených akcích pro zkoumání a zmírnění potenciální hrozby databáze.

Anomalous activity report

  1. Kliknutím na odkaz Zobrazit nedávné výstrahy SQL v e-mailu spusťte Azure Portal a zobrazte stránku upozornění Microsoft Defenderu pro cloud, která poskytuje přehled aktivních hrozeb zjištěných v databázi.

    Activity threats

  2. Kliknutím na konkrétní výstrahu získáte další podrobnosti a akce pro vyšetřování této hrozby a nápravu budoucích hrozeb.

    Injektáž SQL je například jedním z nejběžnějších problémů se zabezpečením webových aplikací na internetu, které slouží k útoku na aplikace řízené daty. Útočníci využívají chyby zabezpečení aplikace k vložení škodlivých příkazů SQL do polí pro zadávání aplikací, porušení nebo úpravě dat v databázi. V případě výstrah prostřednictvím injektáže SQL obsahují podrobnosti výstrahy ohrožený příkaz SQL, který byl zneužit.

    Specific alert

Prozkoumání upozornění na webu Azure Portal

Advanced Threat Protection integruje svoje výstrahy do Programu Microsoft Defender for Cloud. Živé dlaždice služby SQL Advanced Threat Protection v rámci databáze a oken SQL Microsoft Defender for Cloud na webu Azure Portal sledují stav aktivních hrozeb.

Kliknutím na výstrahu Advanced Threat Protection spusťte stránku výstrah Microsoft Defenderu pro cloud a získejte přehled aktivních hrozeb SQL zjištěných v databázi.

advanced threat protection alerts in database overview

advanced threat protection in Defender for SQL

Další kroky