Advanced Threat Protection pour Azure SQL DatabaseAdvanced Threat Protection for Azure SQL Database

Advanced Threat Protection pour Azure SQL Database et SQL Data Warehouse détecte les activités anormales indiquant des tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses des bases de données.Advanced Threat Protection for Azure SQL Database and SQL Data Warehouse detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases.

Advanced Threat Protection fait partie de l’offre Advanced Data Security (ADS) qui est un package unifié de fonctionnalités de sécurité SQL avancées.Advanced Threat Protection is part of the Advanced data security (ADS) offering, which is a unified package for advanced SQL security capabilities. Advanced Threat Protection est accessible et gérable par le biais du portail SQL ADS central.Advanced Threat Protection can be accessed and managed via the central SQL ADS portal.

Notes

Cette rubrique s’applique à un serveur SQL Azure et aux bases de données SQL Database et SQL Data Warehouse créées sur le serveur SQL Azure.This topic applies to Azure SQL server, and to both SQL Database and SQL Data Warehouse databases that are created on the Azure SQL server. Par souci de simplicité, la base de données SQL est utilisée pour faire référence à SQL Database et SQL Data Warehouse.For simplicity, SQL Database is used when referring to both SQL Database and SQL Data Warehouse.

Présentation d’Advanced Threat ProtectionWhat is Advanced Threat Protection

Advanced Threat Protection fournit une nouvelle couche de sécurité qui permet aux clients de détecter des menaces potentielles et d’y réagir en temps réel en déclenchant des alertes de sécurité en lien avec des activités anormales.Advanced Threat Protection provides a new layer of security, which enables customers to detect and respond to potential threats as they occur by providing security alerts on anomalous activities. Les utilisateurs reçoivent une alerte en cas d’activités de base de données suspectes, de vulnérabilités potentielles, d’attaques par injection de code SQL et de modèles d’accès et de requêtes anormaux à la base de données.Users receive an alert upon suspicious database activities, potential vulnerabilities, and SQL injection attacks, as well as anomalous database access and queries patterns. Advanced Threat Protection intègre des alertes à Azure Security Center, qui incluent des détails sur les activités suspectes et recommandent l’action à entreprendre pour analyser et prévenir la menace.Advanced Threat Protection integrates alerts with Azure Security Center, which include details of suspicious activity and recommend action on how to investigate and mitigate the threat. Advanced Threat Protection vous permet de réagir facilement aux menaces potentielles visant la base de données sans devenir un expert en sécurité ni gérer des systèmes avancés de supervision de la sécurité.Advanced Threat Protection makes it simple to address potential threats to the database without the need to be a security expert or manage advanced security monitoring systems.

Pour une expérience d’analyse complète, il est recommandé d’activer SQL Database Auditing, qui écrit les événements de la base de données dans un journal d’audit sur votre compte de stockage Azure.For a full investigation experience, it is recommended to enable SQL Database Auditing, which writes database events to an audit log in your Azure storage account.

Alertes Azure ATPAdvanced Threat Protection alerts

Advanced Threat Protection pour Azure SQL Database détecte les activités anormales indiquant des tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses des bases de données et peut déclencher les alertes suivantes :Advanced Threat Protection for Azure SQL Database detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases and it can trigger the following alerts:

  • Vulnérabilité par injection de code SQL : cette alerte est déclenchée quand une application génère une instruction SQL défectueuse dans la base de données.Vulnerability to SQL injection: This alert is triggered when an application generates a faulty SQL statement in the database. Cette alerte peut éventuellement indiquer une vulnérabilité aux attaques par injection de code SQL.This alert may indicate a possible vulnerability to SQL injection attacks. Deux raisons possibles expliquent la génération d’une instruction défectueuse :There are two possible reasons for the generation of a faulty statement:

    • Un défaut dans le code d’application qui crée l’instruction SQL défectueuseA defect in application code that constructs the faulty SQL statement
    • Le code de l’application ou des procédures stockées qui n’assainissent pas l’entrée utilisateur lors de la création de l’instruction SQL défectueuse, qui peut être exploitée par les injections SQLApplication code or stored procedures don't sanitize user input when constructing the faulty SQL statement, which may be exploited for SQL Injection
  • Injection potentielle de code SQL : cette alerte est déclenchée en cas d’attaque active contre une vulnérabilité d’application identifiée sur l’injection SQL.Potential SQL injection: This alert is triggered when an active exploit happens against an identified application vulnerability to SQL injection. Cela signifie que l’attaquant tente d’injecter des instructions SQL malveillantes en utilisant les procédures stockées ou le code d’application vulnérables.This means the attacker is trying to inject malicious SQL statements using the vulnerable application code or stored procedures.

  • Accès à partir d’un emplacement inhabituel : cette alerte est déclenchée en cas de changement du modèle d’accès au serveur SQL, quand un utilisateur s’est connecté au serveur SQL à partir d’un emplacement géographique inhabituel.Access from unusual location: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual geographical location. Dans certains cas, l’alerte détecte une action légitime (une nouvelle application ou opération de maintenance du développeur).In some cases, the alert detects a legitimate action (a new application or developer maintenance). Dans d’autres cas, l’alerte détecte une action malveillante (ancien employé, attaquant externe).In other cases, the alert detects a malicious action (former employee, external attacker).

  • Accès à partir d’un centre de données Azure inhabituel : cette alerte est déclenchée en cas de changement du modèle d’accès au serveur SQL, quand un utilisateur s’est connecté au serveur SQL à partir d’un centre de données Azure inhabituel observé sur ce serveur récemment.Access from unusual Azure data center: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual Azure data center that was seen on this server during the recent period. Dans certains cas, l’alerte détecte une action légitime (votre nouvelle application dans Azure, Power BI, l’éditeur de requête SQL Azure).In some cases, the alert detects a legitimate action (your new application in Azure, Power BI, Azure SQL Query Editor). Dans d’autres cas, l’alerte détecte une action malveillante provenant d’une ressource/d’un service Azure (ancien employé, attaquant externe).In other cases, the alert detects a malicious action from an Azure resource/service (former employee, external attacker).

  • Accès à partir d’une entité de sécurité inconnue : cette alerte est déclenchée en cas de modification du modèle d’accès au serveur SQL, quand un utilisateur s’est connecté au serveur SQL à l’aide d’un principal inhabituel (utilisateur SQL).Access from unfamiliar principal: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server using an unusual principal (SQL user). Dans certains cas, l’alerte détecte une action légitime (nouvelle application, opération de maintenance du développeur).In some cases, the alert detects a legitimate action (new application, developer maintenance). Dans d’autres cas, l’alerte détecte une action malveillante (ancien employé, attaquant externe).In other cases, the alert detects a malicious action (former employee, external attacker).

  • Accès à partir d’une application potentiellement dangereuse : cette alerte est déclenchée quand une application potentiellement dangereuse est utilisée pour accéder à la base de données.Access from a potentially harmful application: This alert is triggered when a potentially harmful application is used to access the database. Dans certains cas, l’alerte détecte le test d’intrusion en action.In some cases, the alert detects penetration testing in action. Dans d’autres cas, l’alerte détecte une attaque à l’aide d’outils d’attaque courants.In other cases, the alert detects an attack using common attack tools.

  • Informations d’identification SQL par force brute : cette alerte est déclenchée quand il existe un nombre anormalement élevé d’échecs de connexion avec des informations d’identification différentes.Brute force SQL credentials: This alert is triggered when there is an abnormal high number of failed logins with different credentials. Dans certains cas, l’alerte détecte le test d’intrusion en action.In some cases, the alert detects penetration testing in action. Dans d’autres cas, l’alerte détecte une attaque par force brute.In other cases, the alert detects brute force attack.

Explorer les activités anormales sur la base de données en cas de détection d’un événement suspectExplore anomalous database activities upon detection of a suspicious event

Vous recevez une notification par e-mail quand des activités anormales sont détectées sur la base de données.You receive an email notification upon detection of anomalous database activities. L’e-mail contient des informations sur l’événement de sécurité suspect, notamment la nature des activités anormales, le nom de la base de données, le nom du serveur, le nom de l’application et l’heure de l’événement.The email provides information on the suspicious security event including the nature of the anomalous activities, database name, server name, application name, and the event time. Il fournit également des informations sur les causes possibles et les mesures recommandées pour examiner et atténuer la menace potentielle pesant sur la base de données.In addition, the email provides information on possible causes and recommended actions to investigate and mitigate the potential threat to the database.

Rapports d’activités anormales

  1. Cliquez sur le lien Afficher les alertes SQL récentes contenu dans l’e-mail pour ouvrir le portail Azure et accéder à la page d’alertes d’Azure Security Center, qui fournit une vue d’ensemble des menaces actives détectées sur la base de données SQL.Click the View recent SQL alerts link in the email to launch the Azure portal and show the Azure Security Center alerts page, which provides an overview of active threats detected on the SQL database.

    Menaces d’activité

  2. Cliquez sur une alerte spécifique pour obtenir des détails supplémentaires et des actions permettant d’examiner cette menace et d’atténuer les menaces futures.Click a specific alert to get additional details and actions for investigating this threat and remediating future threats.

    Par exemple, l’injection SQL représente l’un des problèmes de sécurité les plus courants auxquels sont le plus exposées les applications web, et est utilisée pour cibler les applications pilotées par des données.For example, SQL injection is one of the most common Web application security issues on the Internet that is used to attack data-driven applications. Les pirates exploitent les vulnérabilités des applications pour injecter des instructions SQL nuisibles dans les champs de saisie d’application afin de violer ou modifier les données contenues dans la base de données.Attackers take advantage of application vulnerabilities to inject malicious SQL statements into application entry fields, breaching or modifying data in the database. Pour les alertes d’injection SQL, les détails de l’alerte incluent l’instruction SQL vulnérable qui a été exploitée.For SQL Injection alerts, the alert’s details include the vulnerable SQL statement that was exploited.

    Alerte spécifique

Explorer les alertes Advanced Threat Protection pour votre base de données dans le portail AzureExplore Advanced Threat Protection alerts for your database in the Azure portal

Advanced Threat Protection intègre ses alertes dans Azure Security Center.Advanced Threat Protection integrates its alerts with Azure security center. Des vignettes Advanced Threat Protection SQL dans les panneaux de base de données et SQL ADS au sein du portail Azure effectuent le suivi de l’état des menaces actives.Live SQL Advanced Threat Protection tiles within the database and SQL ADS blades in the Azure portal track the status of active threats.

Cliquez sur Alerte Advanced Threat Protection pour ouvrir la page des alertes Azure Security Center et obtenir une vue d’ensemble de toutes les menaces SQL actives détectées dans la base de données ou l’entrepôt de données.Click Advanced Threat Protection alert to launch the Azure Security Center alerts page and get an overview of active SQL threats detected on the database or data warehouse.

Alerte Advanced Threat Protection

Alerte2 Advanced Threat Protection

Étapes suivantesNext steps