Advanced Threat Protection en Azure SQL DatabaseAdvanced Threat Protection for Azure SQL Database

Advanced Threat Protection para Azure SQL Database y SQL Data Warehouse detecta actividades anómalas que indican intentos inusuales y potencialmente peligrosos de acceder a las bases de datos o de vulnerar su seguridad.Advanced Threat Protection for Azure SQL Database and SQL Data Warehouse detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases.

Advanced Threat Protection forma parte de la oferta de seguridad de datos avanzada (ADS), que es un paquete unificado para capacidades avanzadas de seguridad de SQL.Advanced Threat Protection is part of the Advanced data security (ADS) offering, which is a unified package for advanced SQL security capabilities. Puede acceder a Advanced Threat Protection y administrarlo a través del portal central de ADS en SQL.Advanced Threat Protection can be accessed and managed via the central SQL ADS portal.

Nota

Este tema se aplica al servidor de Azure SQL y tanto a las bases de datos de SQL Database como a SQL Data Warehouse que se crean en el servidor de Azure SQL.This topic applies to Azure SQL server, and to both SQL Database and SQL Data Warehouse databases that are created on the Azure SQL server. Para simplificar, SQL Database se utiliza cuando se hace referencia tanto a SQL Database como a SQL Data Warehouse.For simplicity, SQL Database is used when referring to both SQL Database and SQL Data Warehouse.

¿Qué es Advanced Threat Protection?What is Advanced Threat Protection

Advanced Threat Protection proporciona una nueva capa de seguridad, que permite a los clientes detectar amenazas potenciales y responder a ellas cuando se producen, gracias a las alertas de seguridad sobre actividades anómalas.Advanced Threat Protection provides a new layer of security, which enables customers to detect and respond to potential threats as they occur by providing security alerts on anomalous activities. Los usuarios reciben una alerta sobre actividades sospechosas en las bases de datos, posibles vulnerabilidades y ataques por inyección de código SQL, así como sobre los patrones de acceso y consultas a las bases de datos anómalos.Users receive an alert upon suspicious database activities, potential vulnerabilities, and SQL injection attacks, as well as anomalous database access and queries patterns. Advanced Threat Protection integra las alertas con Azure Security Center, que incluye detalles de actividades sospechosas y acciones recomendadas sobre cómo investigar y mitigar la amenaza.Advanced Threat Protection integrates alerts with Azure Security Center, which include details of suspicious activity and recommend action on how to investigate and mitigate the threat. Advanced Threat Protection facilita la solución de posibles amenazas a la base de datos sin necesidad de ser un experto en seguridad ni tener que administrar sistemas de supervisión de seguridad avanzada.Advanced Threat Protection makes it simple to address potential threats to the database without the need to be a security expert or manage advanced security monitoring systems.

Para obtener una experiencia de investigación, se recomienda habilitar la auditoría de SQL Database, que escribe los eventos de las bases de datos en un registro de auditoría en su cuenta de Azure Storage.For a full investigation experience, it is recommended to enable SQL Database Auditing, which writes database events to an audit log in your Azure storage account.

Alertas de Advanced Threat ProtectionAdvanced Threat Protection alerts

Advanced Threat Protection para Azure SQL Database detecta actividades anómalas que indican intentos inusuales y potencialmente peligrosos de acceder a bases de datos, o de vulnerar su seguridad, y puede desencadenar las siguientes alertas:Advanced Threat Protection for Azure SQL Database detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases and it can trigger the following alerts:

  • Vulnerabilidad a la inyección de código SQL: esta alerta se desencadena cuando una aplicación genera una instrucción SQL errónea en la base de datos.Vulnerability to SQL injection: This alert is triggered when an application generates a faulty SQL statement in the database. Esta alerta puede indicar una posible vulnerabilidad a los ataques de inyección de código SQL.This alert may indicate a possible vulnerability to SQL injection attacks. Hay dos posibles razones para la generación de una instrucción errónea:There are two possible reasons for the generation of a faulty statement:

    • Existe un defecto en el código de la aplicación que crea la instrucción SQL erróneaA defect in application code that constructs the faulty SQL statement
    • El código de la aplicación o los procedimientos almacenados no corrigen los datos que proporciona el usuario al construir la instrucción SQL errónea, lo que se puede aprovechar para ataques por inyección de código SQLApplication code or stored procedures don't sanitize user input when constructing the faulty SQL statement, which may be exploited for SQL Injection
  • Potencial inyección de código SQL: esta alerta se desencadena cuando se produce una vulnerabilidad de seguridad activa contra una vulnerabilidad de la aplicación identificada ante inyección de código SQL.Potential SQL injection: This alert is triggered when an active exploit happens against an identified application vulnerability to SQL injection. Esto significa que el atacante intentan inyectar instrucciones SQL malintencionadas mediante el código de la aplicación vulnerable o procedimientos almacenados.This means the attacker is trying to inject malicious SQL statements using the vulnerable application code or stored procedures.

  • Acceso desde una ubicación inusual: esta alerta se desencadena cuando se produce un cambio en el patrón de acceso a SQL Server, donde alguien ha iniciado sesión en el servidor SQL Server desde una ubicación geográfica inusual.Access from unusual location: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual geographical location. En algunos casos, la alerta detecta una acción legítima (una nueva aplicación o el mantenimiento de un desarrollador).In some cases, the alert detects a legitimate action (a new application or developer maintenance). En otros casos, la alerta detecta una acción malintencionada (por ejemplo, un antiguo empleado o un atacante externo).In other cases, the alert detects a malicious action (former employee, external attacker).

  • Acceso desde un centro de datos de Azure inusual: esta alerta se desencadena cuando se produce un cambio en el patrón de acceso a SQL Server, donde alguien ha iniciado sesión en el servidor SQL Server desde un centro de datos de Azure inusual que se vio en el servidor recientemente.Access from unusual Azure data center: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual Azure data center that was seen on this server during the recent period. En algunos casos, la alerta detecta una acción legítima (una aplicación nueva en Azure, Power BI o Azure SQL Query Editor).In some cases, the alert detects a legitimate action (your new application in Azure, Power BI, Azure SQL Query Editor). En otros casos, la alerta detecta una acción malintencionada procedente de un recurso o servicio de Azure (por ejemplo, un antiguo empleado o un atacante externo).In other cases, the alert detects a malicious action from an Azure resource/service (former employee, external attacker).

  • Acceso desde una entidad de seguridad desconocida: esta alerta se desencadena cuando se produce un cambio en el patrón de acceso a SQL Server, donde alguien ha iniciado sesión en el servidor SQL Server mediante una entidad de seguridad inusual (usuario de SQL).Access from unfamiliar principal: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server using an unusual principal (SQL user). En algunos casos, la alerta detecta una acción legítima (una nueva aplicación o el mantenimiento de un desarrollador).In some cases, the alert detects a legitimate action (new application, developer maintenance). En otros casos, la alerta detecta una acción malintencionada (por ejemplo, un antiguo empleado o un atacante externo).In other cases, the alert detects a malicious action (former employee, external attacker).

  • Acceso desde una aplicación potencialmente dañina: esta alerta se desencadena cuando una aplicación potencialmente dañina se utiliza para tener acceso a la base de datos.Access from a potentially harmful application: This alert is triggered when a potentially harmful application is used to access the database. En algunos casos, la alerta detecta la realización de pruebas de seguridad.In some cases, the alert detects penetration testing in action. En otros casos, la alerta detecta un ataque que se realiza con herramientas de ataque comunes.In other cases, the alert detects an attack using common attack tools.

  • Credenciales de SQL por fuerza bruta: esta alerta se desencadena cuando hay un número anormalmente elevado de inicios de sesión infructuosos con distintas credenciales.Brute force SQL credentials: This alert is triggered when there is an abnormal high number of failed logins with different credentials. En algunos casos, la alerta detecta la realización de pruebas de seguridad.In some cases, the alert detects penetration testing in action. En otros casos, la alerta detecta ataques por fuerza bruta.In other cases, the alert detects brute force attack.

Exploración de las actividades anómalas en la base de datos cuando se detecta un evento sospechosoExplore anomalous database activities upon detection of a suspicious event

Cuando se detecten actividades anómalas en las bases de datos, recibirá una notificación por correo electrónico.You receive an email notification upon detection of anomalous database activities. El correo electrónico proporciona información sobre el evento de seguridad sospechoso, en la que se incluyen la naturaleza de las actividades anómalas, el nombre de la base de datos, el nombre del servidor, el nombre de la aplicación y la hora del evento.The email provides information on the suspicious security event including the nature of the anomalous activities, database name, server name, application name, and the event time. Además, el correo electrónico proporciona información sobre las posibles causas y las medidas recomendadas para investigar y mitigar la amenaza potencial para la base de datos.In addition, the email provides information on possible causes and recommended actions to investigate and mitigate the potential threat to the database.

Informes de actividades anómalas

  1. Haga clic en el vínculo View recent SQL alerts (Ver las alertas recientes de SQL) del correo electrónico para iniciar Azure Portal y mostrar la página de alertas de Azure Security Center, que proporciona información general sobre amenazas activas detectadas en la base de datos de SQL.Click the View recent SQL alerts link in the email to launch the Azure portal and show the Azure Security Center alerts page, which provides an overview of active threats detected on the SQL database.

    Amenazas de actividad

  2. Haga clic en una alerta específica para obtener detalles y acciones adicionales para investigar esta amenaza y solucionar amenazas futuras.Click a specific alert to get additional details and actions for investigating this threat and remediating future threats.

    Por ejemplo, la inyección de código SQL es uno de los problemas de seguridad habituales entre las aplicaciones web en Internet y se usa para atacar aplicaciones controladas por datos.For example, SQL injection is one of the most common Web application security issues on the Internet that is used to attack data-driven applications. Los atacantes aprovechan las vulnerabilidades de la aplicación para inyectar instrucciones SQL malintencionadas en los campos de entrada de la aplicación, con el fin de infringir la seguridad o modificar datos en la base de datos.Attackers take advantage of application vulnerabilities to inject malicious SQL statements into application entry fields, breaching or modifying data in the database. Para las alertas de inyección de código SQL, los detalles de la alerta incluyen la instrucción SQL vulnerable que se ha aprovechado.For SQL Injection alerts, the alert’s details include the vulnerable SQL statement that was exploited.

    Alerta específica

Exploración de alertas de Advanced Threat Protection para la base de datos en Azure PortalExplore Advanced Threat Protection alerts for your database in the Azure portal

Advanced Threat Protection integra su alerta con Azure Security Center.Advanced Threat Protection integrates its alerts with Azure security center. Los mosaicos dinámicos de Advanced Threat Protection de SQL dentro de las hojas de ADS en SQL y de la base de datos en Azure Portal realizan un seguimiento del estado de las amenazas activas.Live SQL Advanced Threat Protection tiles within the database and SQL ADS blades in the Azure portal track the status of active threats.

Haga clic en la alerta de Advanced Threat Protection para iniciar la página de alertas de Azure Security Center y obtener información general de las amenazas de SQL activas detectadas en la base de datos o el almacenamiento de datos.Click Advanced Threat Protection alert to launch the Azure Security Center alerts page and get an overview of active SQL threats detected on the database or data warehouse.

Alerta de Advanced Threat Protection

Alerta 2 de Advanced Threat Protection

Pasos siguientesNext steps