Advanced Threat Protection para Azure SQL Database, SQL Managed Instance y Azure Synapse AnalyticsAdvanced Threat Protection for Azure SQL Database, SQL Managed Instance, and Azure Synapse Analytics

SE APLICA A: síAzure SQL Database síAzure SQL Managed Instancesí Azure Synapse Analytics (SQL DW) APPLIES TO: yesAzure SQL Database yesAzure SQL Managed Instance yes Azure Synapse Analytics (SQL DW)

Advanced Threat Protection para Azure SQL Database, Azure SQL Managed Instance y Azure Synapse Analytics detecta actividades anómalas que indican intentos inusuales y potencialmente peligrosos de acceder a las bases de datos o de vulnerar su seguridad.Advanced Threat Protection for Azure SQL Database, Azure SQL Managed Instance and Azure Synapse Analytics detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases.

Advanced Threat Protection forma parte de la oferta Azure Defender for SQL, que es un paquete unificado de funcionalidades de seguridad avanzadas de SQL.Advanced Threat Protection is part of the Azure Defender for SQL offering, which is a unified package for advanced SQL security capabilities. Se puede acceder a Advanced Threat Protection y administrarlo a través del portal central de Azure Defender for SQL.Advanced Threat Protection can be accessed and managed via the central Azure Defender for SQL portal.

Información generalOverview

Advanced Threat Protection proporciona una nueva capa de seguridad, que permite a los clientes detectar amenazas potenciales y responder a ellas cuando se producen, gracias a las alertas de seguridad sobre actividades anómalas.Advanced Threat Protection provides a new layer of security, which enables customers to detect and respond to potential threats as they occur by providing security alerts on anomalous activities. Los usuarios reciben una alerta sobre actividades sospechosas en las bases de datos, posibles vulnerabilidades y ataques por inyección de código SQL, así como sobre los patrones de acceso y consultas a las bases de datos anómalos.Users receive an alert upon suspicious database activities, potential vulnerabilities, and SQL injection attacks, as well as anomalous database access and queries patterns. Advanced Threat Protection integra las alertas con Azure Security Center, que incluye detalles de actividades sospechosas y acciones recomendadas sobre cómo investigar y mitigar la amenaza.Advanced Threat Protection integrates alerts with Azure Security Center, which include details of suspicious activity and recommend action on how to investigate and mitigate the threat. Advanced Threat Protection facilita la solución de posibles amenazas a la base de datos sin necesidad de ser un experto en seguridad ni tener que administrar sistemas de supervisión de seguridad avanzada.Advanced Threat Protection makes it simple to address potential threats to the database without the need to be a security expert or manage advanced security monitoring systems.

Para obtener una experiencia de investigación completa, se recomienda habilitar la auditoría, que escribe los eventos de las bases de datos en un registro de auditoría en su cuenta de Azure Storage.For a full investigation experience, it is recommended to enable auditing, which writes database events to an audit log in your Azure storage account. Para habilitar la auditoría, consulte Auditoría para Azure SQL Database y Azure Synapse o Auditoría para Instancia administrada de Azure SQL.To enable auditing, see Auditing for Azure SQL Database and Azure Synapse or Auditing for Azure SQL Managed Instance.

AlertasAlerts

Advanced Threat Protection para Azure SQL Database detecta actividades anómalas que indican intentos inusuales y potencialmente dañinos de acceso o ataque a las bases de datos.Advanced Threat Protection for Azure SQL Database detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases. Para ver una lista de las alertas de Azure SQL Database, consulte Alertas de SQL Database y Azure Synapse Analytics (antes SQL Data Warehouse) en Azure Security Center.For a list of alerts for Azure SQL Database, see the Alerts for SQL Database and Azure Synapse Analytics (formerly SQL Data Warehouse) in Azure Security Center.

Exploración de la detección de un evento sospechosoExplore detection of a suspicious event

Cuando se detecten actividades anómalas en las bases de datos, recibirá una notificación por correo electrónico.You receive an email notification upon detection of anomalous database activities. El correo electrónico proporciona información sobre el evento de seguridad sospechoso, en la que se incluyen la naturaleza de las actividades anómalas, el nombre de la base de datos, el nombre del servidor, el nombre de la aplicación y la hora del evento.The email provides information on the suspicious security event including the nature of the anomalous activities, database name, server name, application name, and the event time. Además, el correo electrónico proporciona información sobre las posibles causas y las medidas recomendadas para investigar y mitigar la amenaza potencial para la base de datos.In addition, the email provides information on possible causes and recommended actions to investigate and mitigate the potential threat to the database.

Informes de actividades anómalas

  1. Haga clic en el vínculo Ver las alertas recientes de SQL del correo electrónico para iniciar Azure Portal y mostrar la página de alertas de Azure Security Center, que proporciona información general sobre amenazas activas detectadas en la base de datos.Click the View recent SQL alerts link in the email to launch the Azure portal and show the Azure Security Center alerts page, which provides an overview of active threats detected on the database.

    Amenazas de actividad

  2. Haga clic en una alerta específica para obtener detalles y acciones adicionales para investigar esta amenaza y solucionar amenazas futuras.Click a specific alert to get additional details and actions for investigating this threat and remediating future threats.

    Por ejemplo, la inyección de código SQL es uno de los problemas de seguridad habituales entre las aplicaciones web en Internet y se usa para atacar aplicaciones controladas por datos.For example, SQL injection is one of the most common Web application security issues on the Internet that is used to attack data-driven applications. Los atacantes aprovechan las vulnerabilidades de la aplicación para inyectar instrucciones SQL malintencionadas en los campos de entrada de la aplicación, con el fin de infringir la seguridad o modificar datos en la base de datos.Attackers take advantage of application vulnerabilities to inject malicious SQL statements into application entry fields, breaching or modifying data in the database. Para las alertas de inyección de código SQL, los detalles de la alerta incluyen la instrucción SQL vulnerable que se ha aprovechado.For SQL Injection alerts, the alert’s details include the vulnerable SQL statement that was exploited.

    Alerta específica

Exploración de alertas en Azure PortalExplore alerts in the Azure portal

Advanced Threat Protection integra su alerta con Azure Security Center.Advanced Threat Protection integrates its alerts with Azure security center. Los mosaicos dinámicos de Advanced Threat Protection de SQL que existen en las hojas de la base de datos y de Azure Defender de SQL en Azure Portal realizan un seguimiento del estado de las amenazas activas.Live SQL Advanced Threat Protection tiles within the database and SQL Azure Defender blades in the Azure portal track the status of active threats.

Haga clic en la alerta de Advanced Threat Protection para iniciar la página de alertas de Azure Security Center y obtener información general de las amenazas de SQL activas detectadas en la base de datos.Click Advanced Threat Protection alert to launch the Azure Security Center alerts page and get an overview of active SQL threats detected on the database.

Pasos siguientesNext steps