Bedrohungserkennung von Azure SQL-DatenbankAzure SQL Database Threat Detection

Die Bedrohungserkennung von Azure SQL-Datenbank erkennt anomale Aktivitäten, die auf ungewöhnliche und potenziell schädliche Versuche hindeuten, auf Datenbanken zuzugreifen oder diese zu missbrauchen.Azure SQL Database Threat Detection detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases.

Die Bedrohungserkennung ist Teil des Angebots SQL Advanced Threat Protection (ATP). Dabei handelt es sich um ein vereinheitlichtes Paket für erweiterte SQL-Sicherheitsfunktionen.Threat Detection is part of the SQL Advanced Threat Protection (ATP) offering, which is a unified package for advanced SQL security capabilities. Der Zugriff auf die Bedrohungserkennung und ihre Verwaltung sind über das zentrale SQL ATP-Portal möglich.Threat Detection can be accessed and managed via the central SQL ATP portal.

Was ist Bedrohungserkennung?What is Threat Detection?

Die SQL-Bedrohungserkennung bietet eine neue Sicherheitsebene, die es den Kunden ermöglicht, auf erkannte potenzielle Bedrohungen zu reagieren. Zu diesem Zweck werden Sicherheitshinweise zu anomalen Aktivitäten bereitgestellt.SQL Threat Detection provides a new layer of security, which enables customers to detect and respond to potential threats as they occur by providing security alerts on anomalous activities. Benutzer erhalten Warnungen zu verdächtigen Datenbankaktivitäten, potenziellen Sicherheitsrisiken sowie Angriffen durch Einschleusung von SQL-Befehlen und anomalen Datenbankzugriffs- und -abfragemustern.Users receive an alert upon suspicious database activities, potential vulnerabilities, and SQL injection attacks, as well as anomalous database access and queries patterns. Die SQL-Bedrohungserkennung integriert Warnungen in Azure Security Center. Dabei werden Detailinformationen zu verdächtigen Aktivitäten sowie Empfehlungen, wie die Bedrohung untersucht und abgewendet werden kann, bereitgestellt.SQL Threat Detection integrates alerts with Azure Security Center, which includes details of suspicious activity and recommend action on how to investigate and mitigate the threat. Die SQL-Bedrohungserkennung vereinfacht den Umgang mit potenziellen Bedrohungen für die Datenbank, ohne das Fachwissen eines Sicherheitsexperten besitzen oder komplexe Sicherheitsüberwachungssysteme verwalten zu müssen.SQL Threat Detection makes it simple to address potential threats to the database without the need to be a security expert or manage advanced security monitoring systems.

Zur vollständigen Untersuchung empfiehlt es sich, die SQL-Datenbanküberwachung zu aktivieren, bei der Datenbankereignisse in ein Überwachungsprotokoll in Ihrem Azure Storage-Konto geschrieben werden.For a full investigation experience, it is recommended to enable SQL Database Auditing, which writes database events to an audit log in your Azure storage account.

Einrichten der Bedrohungserkennung für Ihre Datenbank im Azure-PortalSet up threat detection for your database in the Azure portal

  1. Starten Sie das Azure-Portal unter https://portal.azure.com.Launch the Azure portal at https://portal.azure.com.
  2. Navigieren Sie zur Konfigurationsseite des Azure SQL-Datenbank-Servers, den Sie schützen möchten.Navigate to the configuration page of the Azure SQL Database server you want to protect. Wählen Sie in den Sicherheitseinstellungen Advanced Threat Protection aus.In the security settings, select Advanced Threat Protection.
  3. Gehen Sie auf der Konfigurationsseite Advanced Threat Protection folgendermaßen vor:On the Advanced Threat Protection configuration page:

    • Aktivieren Sie Advanced Threat Protection auf dem Server.Enable Advanced Threat Protection on the server.
    • Geben Sie unter Einstellungen für Bedrohungserkennung im Textfeld Send alerts to (Warnungen senden an) eine Liste von E-Mail-Adressen an, die Sicherheitswarnungen bei der Erkennung von anomalen Datenbankaktivitäten empfangen sollen.In Threat Detection Settings, in the Send alerts to text box, provide the list of emails to receive security alerts upon detection of anomalous database activities.

    Einrichten der Bedrohungserkennung

Einrichten der Bedrohungserkennung über PowerShellSet up threat detection using PowerShell

Ein Skriptbeispiel finden Sie unter Konfigurieren von Überwachung von SQL-Datenbank und Bedrohungserkennung mit PowerShell.For a script example, see Configure auditing and threat detection using PowerShell.

Untersuchen anormaler Datenbankaktivitäten bei Erkennung eines verdächtigen EreignissesExplore anomalous database activities upon detection of a suspicious event

Bei Erkennung anormaler Datenbankaktivitäten erhalten Sie eine E-Mail-Benachrichtigung.You receive an email notification upon detection of anomalous database activities. Die E-Mail enthält Informationen zum verdächtigen Sicherheitsereignis (dazu gehören Art der anomalen Aktivitäten, Datenbankname, Servername, Anwendungsname und Zeit des Ereignisses).The email provides information on the suspicious security event including the nature of the anomalous activities, database name, server name, application name, and the event time. Darüber hinaus enthält die E-Mail Angaben zu möglichen Ursachen und empfohlenen Maßnahmen zur Untersuchung und Abwehr der potenziellen Bedrohung für die Datenbank.In addition, the email provides information on possible causes and recommended actions to investigate and mitigate the potential threat to the database.

Bericht zu anomalen Aktivitäten

  1. Klicken Sie in der E-Mail auf den Link View recent SQL alerts (Aktuelle SQL-Warnungen anzeigen), um das Azure-Portal zu starten und die Azure Security Center-Seite für Warnungen zu öffnen, auf der eine Übersicht über die aktiven Bedrohungen angezeigt wird, die in der SQL-Datenbank erkannt wurden.Click the View recent SQL alerts link in the email to launch the Azure portal and show the Azure Security Center alerts page, which provides an overview of active threats detected on the SQL database.

    Aktivitätsbedrohungen

  2. Klicken Sie auf eine bestimmte Warnung, um weitere Details und Aktionen zum Untersuchen der entsprechenden Bedrohung und Abwehren zukünftiger Bedrohungen anzuzeigen.Click a specific alert to get additional details and actions for investigating this threat and remediating future threats.

    Beispielsweise ist die Einschleusung von SQL-Befehlen das häufigste Sicherheitsproblem für Webanwendungen im Internet, das für Angriffe auf datengesteuerte Anwendungen verwendet wird.For example, SQL injection is one of the most common Web application security issues on the Internet that is used to attack data-driven applications. Die Angreifer nutzen Sicherheitslücken der Anwendung, um böswillige SQL-Anweisungen in Eingabefelder der Anwendung einzuschleusen, sodass Daten in der Datenbank manipuliert oder verändert werden können.Attackers take advantage of application vulnerabilities to inject malicious SQL statements into application entry fields, breaching or modifying data in the database. Bei Warnungen in Bezug auf die Einschleusung von SQL-Befehlen schließen die Details der Warnung die anfällige missbräuchlich genutzte SQL-Anweisung ein.For SQL Injection alerts, the alert’s details include the vulnerable SQL statement that was exploited.

    Spezifische Warnung

Auswerten von Bedrohungserkennungswarnungen für Ihre Datenbank im Azure-PortalExplore threat detection alerts for your database in the Azure portal

Die Warnungen der Bedrohungserkennung von SQL-Datenbank sind in Azure Security Center eingebunden.SQL Database Threat Detection integrates its alerts with Azure Security Center. Auf einer Livekachel der SQL-Bedrohungserkennung auf den Blättern der Datenbank und von SQL ATP im Azure-Portal werden die Status von aktiven Bedrohungen nachverfolgt.A live SQL threat detection tiles within the database and SQL ATP blades in the Azure portal tracks the status of active threats.

Klicken Sie auf Threat detection alert (Warnung der Bedrohungserkennung), um die Azure Security Center-Seite für Warnungen zu öffnen und eine Übersicht über die aktiven SQL-Bedrohungen zu erhalten, die in der Datenbank erkannt wurden.Click Threat detection alert to launch the Azure Security Center alerts page and get an overview of active SQL threats detected on the database.

Warnung der Bedrohungserkennung

Warnung der Bedrohungserkennung 2

Warnungen der Bedrohungserkennung von Azure SQL-DatenbankAzure SQL Database Threat Detection alerts

Die Bedrohungserkennung für Azure SQL-Datenbank erkennt anomale Aktivitäten, die auf ungewöhnliche und möglicherweise schädliche Versuche hinweisen, bei denen auf Datenbanken zugegriffen oder diese missbraucht werden sollen. Hierbei können die folgenden Warnungen ausgelöst werden:Threat Detection for Azure SQL Database detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases and it can trigger the following alerts:

  • Anfälligkeit für die Einschleusung von SQL-Befehlen: Diese Warnung wird ausgelöst, wenn eine Anwendung in der Datenbank eine fehlerhafte SQL-Anweisung generiert.Vulnerability to SQL Injection: This alert is triggered when an application generates a faulty SQL statement in the database. Dies kann ein Hinweis auf ein mögliches Sicherheitsrisiko in Bezug auf Angriffe mit Einschleusung von SQL-Befehlen sein.This may indicate a possible vulnerability to SQL injection attacks. Es gibt zwei mögliche Gründe für die Generierung einer fehlerhaften Anweisung:There are two possible reasons for the generation of a faulty statement:
    • Ein Fehler im Anwendungscode, der zur fehlerhaften SQL-Anweisung führtA defect in application code that constructs the faulty SQL statement
    • Anwendungscode oder gespeicherte Prozeduren führen bei der Erstellung der fehlerhaften SQL-Anweisung keine Bereinigung der Benutzereingabe durch, und dies kann für eine Einschleusung von SQL-Befehlen ausgenutzt werdenApplication code or stored procedures don't sanitize user input when constructing the faulty SQL statement, which may be exploited for SQL Injection
  • Potenzielle Einschleusung von SQL-Befehlen: Diese Warnung wird ausgelöst, wenn ein aktiver Exploit für ein identifiziertes Anwendungssicherheitsrisiko in Bezug auf die Einschleusung von SQL-Befehlen besteht.Potential SQL injection: This alert is triggered when an active exploit happens against an identified application vulnerability to SQL injection. Dies bedeutet, dass der Angreifer versucht, schädliche SQL-Anweisungen einzuschleusen, indem er den anfälligen Anwendungscode bzw. die gespeicherten Prozeduren verwendet.This means the attacker is trying to inject malicious SQL statements using the vulnerable application code or stored procedures.
  • Access from unusual location (Zugriff von einem ungewöhnlichen Ort): Diese Warnung wird ausgelöst, wenn eine Änderung des Zugriffsmusters für SQL Server erfolgt, bei der sich eine Person von einem ungewöhnlichen Ort aus an SQL Server angemeldet hat.Access from unusual location: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual geographical location. In einigen Fällen erkennt die Warnung eine legitime Aktion (eine neue Anwendung oder Wartungsarbeiten von Entwicklern).In some cases, the alert detects a legitimate action (a new application or developer maintenance). In anderen Fällen erkennt die Warnung eine schädliche Aktion (ehemaliger Mitarbeiter, externer Angreifer).In other cases, the alert detects a malicious action (former employee, external attacker).
  • Access from unusual Azure data center (Zugriff aus einem ungewöhnlichen Azure-Rechenzentrum): Diese Warnung wird ausgelöst, wenn sich das Zugriffsmuster für SQL Server geändert hat, weil sich eine Person über ein ungewöhnliches Azure-Rechenzentrum an SQL Server angemeldet hat, das auf diesem Server während des letzten Zeitraums aufgetreten ist.Access from unusual Azure data center: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual Azure data center that was seen on this server during the recent period. In einigen Fällen erkennt die Warnung eine legitime Aktion (Ihre neue Anwendung in Azure, Power BI, Azure SQL-Abfrage-Editor).In some cases, the alert detects a legitimate action (your new application in Azure, Power BI, Azure SQL Query Editor). In anderen Fällen erkennt die Warnung ggf. eine schädliche Aktion einer Azure-Ressource bzw. eines -Diensts (ehemaliger Mitarbeiter, externer Angreifer).In other cases, the alert detects a malicious action from an Azure resource/service (former employee, external attacker).
  • Access from unfamiliar principal (Zugriff über einen ungewöhnlichen Prinzipal): Diese Warnung wird ausgelöst, wenn eine Änderung des Zugriffsmusters für SQL Server erfolgt, bei der sich eine Person über einen ungewöhnlichen Prinzipal (SQL-Benutzer) an SQL Server angemeldet hat.Access from unfamiliar principal: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server using an unusual principal (SQL user). In einigen Fällen erkennt die Warnung eine legitime Aktion (neue Anwendung, Wartungsarbeiten von Entwicklern).In some cases, the alert detects a legitimate action (new application, developer maintenance). In anderen Fällen erkennt die Warnung eine schädliche Aktion (ehemaliger Mitarbeiter, externer Angreifer).In other cases, the alert detects a malicious action (former employee, external attacker).
  • Access from a potentially harmful application (Zugriff über eine potenziell schädliche Anwendung): Diese Warnung wird ausgelöst, wenn zum Zugreifen auf die Datenbank eine potenziell schädliche Anwendung verwendet wird.Access from a potentially harmful application: This alert is triggered when a potentially harmful application is used to access the database. In einigen Fällen erkennt die Warnung aktive Eindringversuche.In some cases, the alert detects penetration testing in action. In anderen Fällen erkennt die Warnung einen Angriff mit allgemeinen Angriffstools.In other cases, the alert detects an attack using common attack tools.
  • Brute force SQL credentials (Brute-Force-Angriff auf SQL-Anmeldeinformationen): Diese Warnung wird ausgelöst, wenn eine ungewöhnlich hohe Zahl von fehlgeschlagenen Anmeldungen mit unterschiedlichen Anmeldeinformationen vorliegt.Brute force SQL credentials: This alert is triggered when there is an abnormal high number of failed logins with different credentials. In einigen Fällen erkennt die Warnung aktive Eindringversuche.In some cases, the alert detects penetration testing in action. In anderen Fällen erkennt die Warnung einen Brute-Force-Angriff.In other cases, the alert detects brute force attack.

Nächste SchritteNext steps