Información sobre Microsoft Defender para SQL

  • 7 minutos

La seguridad de bases de datos de Microsoft Defender for Cloud permite proteger todo el conjunto de su base de datos mediante la detección de ataques comunes, la habilitación y la respuesta a amenazas para los tipos de base de datos más populares de Azure.

Los tipos de bases de datos protegidas son:

  • Azure SQL Database
  • Servidores SQL Server en máquinas
  • Bases de datos relacionales de código abierto (OSS RDB)
  • La base de datos de Azure Cosmos DB proporciona protección a los motores y los tipos de datos, con diferentes superficies de ataque y riesgos de seguridad. Las detecciones de seguridad se realizan para la superficie de ataque específica de cada tipo de base de datos.

Microsoft Defender detecta intentos inusuales y potencialmente dañinos de acceder o explotar sus bases de datos. Usa funcionalidades avanzadas de detección de amenazas y datos de Inteligencia sobre amenazas de Microsoft para proporcionar alertas de seguridad contextuales. Estas alertas también incluyen pasos para mitigar las amenazas detectadas y evitar ataques futuros.

Puede habilitar la protección de bases de datos en su suscripción o excluir tipos de recursos de base de datos específicos.

Microsoft Defender para SQL incluye dos planes que amplían el paquete de seguridad de datos de Defender for Cloud para proteger las bases de datos y sus datos, independientemente del lugar en que se encuentren.

¿Qué protege Microsoft Defender para SQL?

Microsoft Defender para SQL consta de dos planes de Microsoft Defender independientes:

  • Defender para servidores de Azure SQL Database protege:

    • Azure SQL Database

    • Instancia administrada de Azure SQL

    • Grupo de SQL dedicado en Azure Synapse

  • Microsoft Defender para servidores SQL Server en máquinas amplía las protecciones de los servidores SQL Server nativos de Azure para admitir totalmente los entornos híbridos y proteger los servidores SQL Server (todas las versiones compatibles) hospedados en Azure, otros entornos en la nube e incluso en máquinas locales:

    • SQL Server en máquinas virtuales

    • Servidores SQL Server locales:

      • SQL Server habilitado para Azure Arc (versión preliminar)

      • Servidores SQL Server que se ejecutan en máquinas Windows sin Azure Arc

¿Cuáles son las ventajas de Microsoft Defender para SQL?

Estos dos planes incluyen funcionalidad para identificar y mitigar posibles vulnerabilidades de la base de datos, además de detectar actividades anómalas que puedan suponer alguna amenaza para las bases de datos:

  • Evaluación de vulnerabilidades: servicio de exploración que puede detectar, seguir y corregir posibles vulnerabilidades en las bases de datos. Los exámenes de evaluación proporcionan información general sobre el estado de seguridad de las máquinas SQL y detalles de las conclusiones de seguridad.

  • Advanced Threat Protection: servicio de detección que supervisa continuamente los servidores SQL Server para detectar amenazas tales como inyección de código SQL, ataques por fuerza bruta y abuso de privilegios. Este servicio proporciona alertas de seguridad orientadas a acciones en Defender for Cloud con detalles de la actividad sospechosa, instrucciones sobre cómo mitigar las amenazas y opciones para continuar las investigaciones con Microsoft Sentinel.

¿Qué tipo de alertas proporciona Defender para SQL?

Las alertas de seguridad enriquecidas con inteligencia sobre amenazas se desencadenan en estos casos:

  • Posibles ataques por inyección de código SQL, incluidas las vulnerabilidades detectadas cuando las aplicaciones generan una instrucción SQL defectuosa en la base de datos.

  • Acceso a bases de datos y patrones de consulta anómalos: por ejemplo, un número anormalmente alto de intentos de inicio de sesión incorrectos con credenciales diferentes (un intento por fuerza bruta).

  • Actividad sospechosa en las bases de datos: por ejemplo, un usuario legítimo que accede a un servidor SQL Server desde un equipo vulnerado que se comunica con un servidor de comando y control de minería de datos de cifrado.

Las alertas incluyen detalles acerca del incidente que las desencadenó, así como recomendaciones sobre cómo investigarlas y corregirlas.

¿Qué ventajas presenta Microsoft Defender para bases de datos relacionales de código abierto?

Este plan de Defender for Cloud ofrece protección contra amenazas para las siguientes bases de datos relacionales de código abierto:

  • Azure Database for PostgreSQL
  • Azure Database for MySQL
  • Azure Database for MariaDB

Al habilitar este plan, Microsoft Defender for Cloud proporcionará alertas cuando detecte patrones anómalos de consulta y acceso a la base de datos, así como actividades sospechosas en la base de datos.

Screenshot of the alert screen with open-source database alerts.

Alertas de Microsoft Defender para bases de datos relacionales de código abierto

Las alertas de seguridad enriquecidas con inteligencia sobre amenazas se desencadenan en estos casos:

  • Patrones anómalos de consulta y acceso a bases de datos: por ejemplo, un número anómalo de intentos de inicio de sesión con errores con credenciales diferentes (un intento de fuerza bruta)
  • Actividad sospechosa en las bases de datos: por ejemplo, un usuario legítimo que accede a un servidor SQL Server desde un equipo vulnerado que se comunica con un servidor de comando y control de minería de datos de cifrado.
  • Ataques por fuerza bruta: con la capacidad de separar la fuerza bruta simple de la fuerza bruta en un usuario válido o una fuerza bruta correcta.

Ventajas de Microsoft Defender para Azure Cosmos DB

Microsoft Defender para Azure Cosmos DB detecta posibles ataques por inyección de código SQL, actores malintencionados conocidos basados en Inteligencia sobre amenazas de Microsoft, patrones de acceso sospechosos y posible explotación de la base de datos mediante identidades en peligro o usuarios malintencionados.

Puede habilitar la protección de todas las bases de datos (recomendado) o habilitar Microsoft Defender para Azure Cosmos DB en el nivel de suscripción o en el nivel de recurso.

Defender para Azure Cosmos DB analiza continuamente el flujo de telemetría generado por el servicio Azure Cosmos DB. Cuando se detectan actividades potencialmente malintencionadas, se generan alertas de seguridad. Estas alertas se muestran en Defender for Cloud junto con los detalles de la actividad sospechosa y los pasos de investigación pertinentes, las acciones de corrección y las recomendaciones de seguridad.

Defender para Azure Cosmos DB no tiene acceso a los datos de la cuenta de Azure Cosmos DB y no tiene ningún efecto en su rendimiento.

Alertas de Microsoft Defender para Microsoft Defender para Azure Cosmos DB

Las alertas de seguridad enriquecidas con inteligencia sobre amenazas se desencadenan en estos casos:

  • Posibles ataques por inyección de código SQL: debido a la estructura y las funcionalidades de las consultas de Azure Cosmos DB, muchos ataques por inyección de código SQL conocidos no funcionan en las cuentas de Azure Cosmos DB. Sin embargo, hay algunas variantes de los ataques por inyección de código SQL que se pueden realizar correctamente y pueden dar lugar a la filtración de datos de las cuentas de Azure Cosmos DB. Defender para Azure Cosmos DB detecta tanto los intentos correctos como aquellos con errores, y ayuda a proteger su entorno para evitar estas amenazas.

  • Patrones anómalos de acceso a las bases de datos: por ejemplo, el acceso desde un nodo de salida de TOR, direcciones IP sospechosas conocidas, aplicaciones inusuales y ubicaciones inusuales.

  • Actividad sospechosa en las bases de datos: por ejemplo, patrones sospechosos de listas de claves que se parecen a técnicas de movimiento lateral malintencionadas conocidas y patrones de extracción de datos sospechosos.