SQL Advanced Threat Protection
Se aplica a:
Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsSQL Server en Azure VMSQL Server habilitado para Azure Arc
Advanced Threat Protection para la base de datos de Azure SQL, Azure SQL Managed Instance, Azure Synapse Analytics, SQL Server en las máquinas virtuales de Azure y SQL Server habilitado para Azure Arc detecta actividades anómalas que indican intentos inusuales y potencialmente perjudiciales de aprovechar vulnerabilidades de bases de datos o acceder a ellas.
Protección contra amenazas avanzada forma parte de la oferta Microsoft Defender para SQL, que es un paquete unificado de funcionalidades de seguridad avanzadas de SQL. Se puede acceder a Protección contra amenazas avanzada y administrarlo a través del portal central de Microsoft Defender para SQL.
Información general
Advanced Threat Protection proporciona una nueva capa de seguridad, que permite a los clientes detectar amenazas potenciales y responder a ellas cuando se producen, gracias a las alertas de seguridad sobre actividades anómalas. Los usuarios reciben una alerta sobre actividades sospechosas en las bases de datos, posibles vulnerabilidades y ataques por inyección de código SQL, así como sobre los patrones de acceso y consultas a las bases de datos anómalos. Protección contra amenazas avanzada integra las alertas con Microsoft Defender for Cloud, que incluye detalles de actividades sospechosas y acciones recomendadas sobre cómo investigar y mitigar la amenaza. Advanced Threat Protection facilita la solución de posibles amenazas a la base de datos sin necesidad de ser un experto en seguridad ni tener que administrar sistemas de supervisión de seguridad avanzada.
Para obtener una experiencia de investigación completa, se recomienda habilitar la auditoría, que escribe los eventos de las bases de datos en un registro de auditoría en su cuenta de Azure Storage. Para habilitar la auditoría, consulte Auditoría para Azure SQL Database y Azure Synapse o Auditoría para Instancia administrada de Azure SQL.
Alertas
Advanced Threat Protection detecta actividades anómalas que indican intentos poco habituales y posiblemente dañinos de acceder a las bases de datos o aprovecharse de ellas. Para ver una lista de las alertas, consulte Alertas de SQL Database y Azure Synapse Analytics en Microsoft Defender for Cloud.
Exploración de la detección de un evento sospechoso
Cuando se detecten actividades anómalas en las bases de datos, recibirá una notificación por correo electrónico. El correo electrónico proporciona información sobre el evento de seguridad sospechoso, en la que se incluyen la naturaleza de las actividades anómalas, el nombre de la base de datos, el nombre del servidor, el nombre de la aplicación y la hora del evento. Además, el correo electrónico proporciona información sobre las posibles causas y las medidas recomendadas para investigar y mitigar la amenaza potencial para la base de datos.
Haga clic en el vínculo Ver las alertas recientes de SQL del correo electrónico para iniciar Azure Portal y mostrar la página de alertas de Microsoft Defender for Cloud, que proporciona información general sobre amenazas activas detectadas en la base de datos.
Haga clic en una alerta específica para obtener detalles y acciones adicionales para investigar esta amenaza y corregir futuras amenazas.
Por ejemplo, la inyección de código SQL es uno de los problemas de seguridad de aplicaciones web más comunes en Internet y se usa para atacar aplicaciones controladas por datos. Los atacantes aprovechan las vulnerabilidades de la aplicación para inyectar instrucciones SQL malintencionadas en los campos de entrada de la aplicación, con el fin de infringir la seguridad o modificar datos en la base de datos. Para las alertas de inyección de código SQL, los detalles de la alerta incluyen la instrucción SQL vulnerable que se ha aprovechado.
Exploración de alertas en Azure Portal
Protección contra amenazas avanzada integra sus alertas con Microsoft Defender for Cloud. Los iconos de Protección contra amenazas avanzada de SQL de la base de datos y las hojas de Microsoft Defender for Cloud de SQL en Azure Portal muestran el seguimiento del estado de las amenazas activas.
Haga clic en la alerta de Protección contra amenazas avanzada para iniciar la página de alertas de Microsoft Defender for Cloud y obtener información general de las amenazas de SQL activas detectadas en la base de datos.
Pasos siguientes
- Obtenga más información sobre Advanced Threat Protection en Azure SQL Database y Azure Synapse.
- Obtenga más información sobre Advanced Threat Protection en Instancia administrada de Azure SQL.
- Más información sobre Microsoft Defender para SQL.
- Más información sobre las auditorías de Azure SQL Database
- Más información sobre Microsoft Defender for Cloud. Para más información sobre los precios, consulte la página de precios de Azure SQL Database.
Comentarios
Próximamente: a lo largo de 2024, eliminaremos gradualmente los problemas de GitHub como mecanismo de comentarios para el contenido y lo reemplazaremos por un nuevo sistema de comentarios. Para obtener más información, consulte: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de