Advanced Threat Protection für Azure SQL-DatenbankAdvanced Threat Protection for Azure SQL Database

Advanced Threat Protection für Azure SQL-Datenbank und SQL Data Warehouse erkennt anomale Aktivitäten, die auf ungewöhnliche und möglicherweise schädliche Versuche hinweisen, auf Datenbanken zuzugreifen oder diese zu auszunutzen.Advanced Threat Protection for Azure SQL Database and SQL Data Warehouse detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases.

Advanced Threat Protection ist Teil des Angebots Advanced Data Security (ADS), bei dem es sich um ein vereinheitlichtes Paket für erweiterte SQL-Sicherheitsfunktionen handelt.Advanced Threat Protection is part of the Advanced data security (ADS) offering, which is a unified package for advanced SQL security capabilities. Der Zugriff auf Advanced Threat Protection und dessen Verwaltung sind über das zentrale SQL ADS-Portal möglich.Advanced Threat Protection can be accessed and managed via the central SQL ADS portal.

Hinweis

Dieses Thema gilt für Azure SQL-Server sowie für Datenbanken von SQL-Datenbank und SQL Data Warehouse, die auf dem Azure SQL-Server erstellt werden.This topic applies to Azure SQL server, and to both SQL Database and SQL Data Warehouse databases that are created on the Azure SQL server. Der Einfachheit halber wird nur SQL-Datenbank verwendet, wenn sowohl SQL-Datenbank als auch SQL Data Warehouse gemeint sind.For simplicity, SQL Database is used when referring to both SQL Database and SQL Data Warehouse.

Was ist Advanced Threat Protection?What is Advanced Threat Protection

Dank der neuen Sicherheitsebene von Advanced Threat Protection können Kunden potenzielle Bedrohungen erkennen und darauf reagieren, sobald diese auftreten, indem bei anomalen Aktivitäten Sicherheitswarnungen ausgegeben werden.Advanced Threat Protection provides a new layer of security, which enables customers to detect and respond to potential threats as they occur by providing security alerts on anomalous activities. Benutzer erhalten Warnungen zu verdächtigen Datenbankaktivitäten, potenziellen Sicherheitsrisiken sowie Angriffen durch Einschleusung von SQL-Befehlen und anomalen Datenbankzugriffs- und -abfragemustern.Users receive an alert upon suspicious database activities, potential vulnerabilities, and SQL injection attacks, as well as anomalous database access and queries patterns. Advanced Threat Protection integriert Warnungen in Azure Security Center. Dabei werden Detailinformationen zu verdächtigen Aktivitäten sowie Empfehlungen bereitgestellt, wie die Bedrohung untersucht und entschärft werden kann.Advanced Threat Protection integrates alerts with Azure Security Center, which include details of suspicious activity and recommend action on how to investigate and mitigate the threat. Advanced Threat Protection vereinfacht den Umgang mit potenziellen Bedrohungen der Datenbank, ohne das Fachwissen eines Sicherheitsexperten besitzen oder komplexe Sicherheitsüberwachungssysteme verwalten zu müssen.Advanced Threat Protection makes it simple to address potential threats to the database without the need to be a security expert or manage advanced security monitoring systems.

Zur vollständigen Untersuchung empfiehlt es sich, die SQL-Datenbanküberwachung zu aktivieren, bei der Datenbankereignisse in ein Überwachungsprotokoll in Ihrem Azure Storage-Konto geschrieben werden.For a full investigation experience, it is recommended to enable SQL Database Auditing, which writes database events to an audit log in your Azure storage account.

Advanced Threat Protection-WarnungenAdvanced Threat Protection alerts

Advanced Threat Protection für Azure SQL-Datenbank erkennt anomale Aktivitäten, die auf ungewöhnliche und möglicherweise schädliche Versuche hinweisen, bei denen auf Datenbanken zugegriffen oder diese ausgenutzt werden sollen. Hierbei können die folgenden Warnungen ausgelöst werden:Advanced Threat Protection for Azure SQL Database detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases and it can trigger the following alerts:

  • Anfälligkeit für die Einschleusung von SQL-Befehlen: Diese Warnung wird ausgelöst, wenn eine Anwendung in der Datenbank eine fehlerhafte SQL-Anweisung generiert.Vulnerability to SQL injection: This alert is triggered when an application generates a faulty SQL statement in the database. Diese Warnung kann auf ein mögliches Sicherheitsrisiko in Bezug auf Angriffe mit Einschleusung von SQL-Befehlen hinweisen.This alert may indicate a possible vulnerability to SQL injection attacks. Es gibt zwei mögliche Gründe für die Generierung einer fehlerhaften Anweisung:There are two possible reasons for the generation of a faulty statement:

    • Ein Fehler im Anwendungscode, der zur fehlerhaften SQL-Anweisung führtA defect in application code that constructs the faulty SQL statement
    • Anwendungscode oder gespeicherte Prozeduren führen bei der Erstellung der fehlerhaften SQL-Anweisung keine Bereinigung der Benutzereingabe durch, und dies kann für eine Einschleusung von SQL-Befehlen ausgenutzt werdenApplication code or stored procedures don't sanitize user input when constructing the faulty SQL statement, which may be exploited for SQL Injection
  • Potenzielle Einschleusung von SQL-Befehlen: Diese Warnung wird ausgelöst, wenn ein aktiver Exploit für ein identifiziertes Anwendungssicherheitsrisiko in Bezug auf die Einschleusung von SQL-Befehlen besteht.Potential SQL injection: This alert is triggered when an active exploit happens against an identified application vulnerability to SQL injection. Dies bedeutet, dass der Angreifer versucht, schädliche SQL-Anweisungen einzuschleusen, indem er den anfälligen Anwendungscode bzw. die gespeicherten Prozeduren verwendet.This means the attacker is trying to inject malicious SQL statements using the vulnerable application code or stored procedures.

  • Zugriff von einem ungewöhnlichen Ort: Diese Warnung wird ausgelöst, wenn eine Änderung des Zugriffsmusters für SQL Server erfolgt ist, weil sich eine Person von einem ungewöhnlichen Ort aus bei SQL Server angemeldet hat.Access from unusual location: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual geographical location. In einigen Fällen erkennt die Warnung eine legitime Aktion (eine neue Anwendung oder Wartungsarbeiten von Entwicklern).In some cases, the alert detects a legitimate action (a new application or developer maintenance). In anderen Fällen erkennt die Warnung eine schädliche Aktion (ehemaliger Mitarbeiter, externer Angreifer).In other cases, the alert detects a malicious action (former employee, external attacker).

  • Zugriff über ein ungewöhnliches Azure-Rechenzentrum: Diese Warnung wird ausgelöst, wenn auf diesem Server kürzlich eine Änderung des Zugriffsmusters für SQL Server erfolgt ist, weil sich eine Person über ein ungewöhnliches Azure-Rechenzentrum bei SQL Server angemeldet hat.Access from unusual Azure data center: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual Azure data center that was seen on this server during the recent period. In einigen Fällen erkennt die Warnung eine legitime Aktion (Ihre neue Anwendung in Azure, Power BI, Azure SQL-Abfrage-Editor).In some cases, the alert detects a legitimate action (your new application in Azure, Power BI, Azure SQL Query Editor). In anderen Fällen erkennt die Warnung ggf. eine schädliche Aktion einer Azure-Ressource bzw. eines -Diensts (ehemaliger Mitarbeiter, externer Angreifer).In other cases, the alert detects a malicious action from an Azure resource/service (former employee, external attacker).

  • Zugriff über einen unbekannten Prinzipal: Diese Warnung wird ausgelöst, wenn eine Änderung des Zugriffsmusters für SQL Server erfolgt ist, weil sich eine Person über einen ungewöhnlichen Prinzipal (SQL-Benutzer) bei SQL Server angemeldet hat.Access from unfamiliar principal: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server using an unusual principal (SQL user). In einigen Fällen erkennt die Warnung eine legitime Aktion (neue Anwendung, Wartungsarbeiten von Entwicklern).In some cases, the alert detects a legitimate action (new application, developer maintenance). In anderen Fällen erkennt die Warnung eine schädliche Aktion (ehemaliger Mitarbeiter, externer Angreifer).In other cases, the alert detects a malicious action (former employee, external attacker).

  • Zugriff über eine potenziell schädliche Anwendung: Diese Warnung wird ausgelöst, wenn zum Zugreifen auf die Datenbank eine potenziell schädliche Anwendung verwendet wird.Access from a potentially harmful application: This alert is triggered when a potentially harmful application is used to access the database. In einigen Fällen erkennt die Warnung aktive Eindringversuche.In some cases, the alert detects penetration testing in action. In anderen Fällen erkennt die Warnung einen Angriff mit allgemeinen Angriffstools.In other cases, the alert detects an attack using common attack tools.

  • Brute-Force-Angriff auf SQL-Anmeldeinformationen: Diese Warnung wird ausgelöst, wenn eine ungewöhnlich hohe Anzahl von fehlerhaften Anmeldungen mit unterschiedlichen Anmeldeinformationen vorliegt.Brute force SQL credentials: This alert is triggered when there is an abnormal high number of failed logins with different credentials. In einigen Fällen erkennt die Warnung aktive Eindringversuche.In some cases, the alert detects penetration testing in action. In anderen Fällen erkennt die Warnung einen Brute-Force-Angriff.In other cases, the alert detects brute force attack.

Untersuchen anormaler Datenbankaktivitäten bei Erkennung eines verdächtigen EreignissesExplore anomalous database activities upon detection of a suspicious event

Bei Erkennung anormaler Datenbankaktivitäten erhalten Sie eine E-Mail-Benachrichtigung.You receive an email notification upon detection of anomalous database activities. Die E-Mail enthält Informationen zum verdächtigen Sicherheitsereignis (dazu gehören Art der anomalen Aktivitäten, Datenbankname, Servername, Anwendungsname und Zeit des Ereignisses).The email provides information on the suspicious security event including the nature of the anomalous activities, database name, server name, application name, and the event time. Darüber hinaus enthält die E-Mail Angaben zu möglichen Ursachen und empfohlenen Maßnahmen zur Untersuchung und Abwehr der potenziellen Bedrohung für die Datenbank.In addition, the email provides information on possible causes and recommended actions to investigate and mitigate the potential threat to the database.

Bericht zu anomalen Aktivitäten

  1. Klicken Sie in der E-Mail auf den Link View recent SQL alerts (Aktuelle SQL-Warnungen anzeigen), um das Azure-Portal zu starten und die Azure Security Center-Seite für Warnungen zu öffnen, auf der eine Übersicht über die aktiven Bedrohungen angezeigt wird, die in der SQL-Datenbank erkannt wurden.Click the View recent SQL alerts link in the email to launch the Azure portal and show the Azure Security Center alerts page, which provides an overview of active threats detected on the SQL database.

    Aktivitätsbedrohungen

  2. Klicken Sie auf eine bestimmte Warnung, um weitere Details und Aktionen zum Untersuchen der entsprechenden Bedrohung und Abwehren zukünftiger Bedrohungen anzuzeigen.Click a specific alert to get additional details and actions for investigating this threat and remediating future threats.

    Beispielsweise ist die Einschleusung von SQL-Befehlen das häufigste Sicherheitsproblem für Webanwendungen im Internet, das für Angriffe auf datengesteuerte Anwendungen verwendet wird.For example, SQL injection is one of the most common Web application security issues on the Internet that is used to attack data-driven applications. Die Angreifer nutzen Sicherheitslücken der Anwendung, um böswillige SQL-Anweisungen in Eingabefelder der Anwendung einzuschleusen, sodass Daten in der Datenbank manipuliert oder verändert werden können.Attackers take advantage of application vulnerabilities to inject malicious SQL statements into application entry fields, breaching or modifying data in the database. Bei Warnungen in Bezug auf die Einschleusung von SQL-Befehlen schließen die Details der Warnung die anfällige missbräuchlich genutzte SQL-Anweisung ein.For SQL Injection alerts, the alert’s details include the vulnerable SQL statement that was exploited.

    Spezifische Warnung

Auswerten von Advanced Threat Protection-Warnungen für Ihre Datenbank im Azure-PortalExplore Advanced Threat Protection alerts for your database in the Azure portal

Warnungen von Advanced Threat Protection sind in Azure Security Center integriert.Advanced Threat Protection integrates its alerts with Azure security center. Auf Livekacheln von SQL Advanced Threat Protection innerhalb der Datenbank und auf den Blättern von SQL ADS im Azure-Portal lässt sich der Status aktiver Bedrohungen nachverfolgen.Live SQL Advanced Threat Protection tiles within the database and SQL ADS blades in the Azure portal track the status of active threats.

Klicken Sie auf Advanced Threat Protection-Warnung, um die Azure Security Center-Seite für Warnungen zu öffnen und eine Übersicht über die aktiven SQL-Bedrohungen zu erhalten, die in der Datenbank oder im Data Warehouse erkannt wurden.Click Advanced Threat Protection alert to launch the Azure Security Center alerts page and get an overview of active SQL threats detected on the database or data warehouse.

Advanced Threat Protection-Warnung

Advanced Threat Protection-Warnung2

Nächste SchritteNext steps