SQL Advanced Threat Protection

A következőre vonatkozik: Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsSQL Server az Azure Arc által engedélyezett Azure VMSQL Serveren

Az Azure SQL Database, az Azure SQL Managed Instance, az Azure Synapse Analytics, az Azure-beli virtuális gépeken futó SQL Server és az Azure Arc által engedélyezett SQL Server komplex veszélyforrások elleni védelme rendellenes tevékenységeket észlel, amelyek szokatlan és potenciálisan káros kísérleteket jeleznek az adatbázisok elérésére vagy kihasználására.

Az Advanced Threat Protection az SQL-hez készült Microsoft Defender ajánlat része, amely a fejlett SQL biztonsági képességek egységes csomagja. Az Advanced Threat Protection a központi Microsoft Defender for SQL Portalon érhető el és kezelhető.

Áttekintés

Az Advanced Threat Protection egy új biztonsági réteget biztosít, amely lehetővé teszi az ügyfelek számára, hogy észleljék és reagáljanak a potenciális fenyegetésekre, amikor előfordulnak, és biztonsági riasztásokat adnak a rendellenes tevékenységekről. A felhasználók riasztást kapnak a gyanús adatbázis-tevékenységekről, a lehetséges biztonsági résekről és az SQL-injektálási támadásokról, valamint rendellenes adatbázis-hozzáférési és lekérdezési mintákról. Az Advanced Threat Protection integrálja a riasztásokat Felhőhöz készült Microsoft Defender, amelyek tartalmazzák a gyanús tevékenységek részleteit, és műveletet javasolnak a fenyegetés kivizsgálására és enyhítésére. Az Advanced Threat Protection egyszerűvé teszi az adatbázis potenciális fenyegetéseinek kezelését anélkül, hogy biztonsági szakértőnek kellene lennie, vagy fejlett biztonsági monitorozási rendszereket kellene kezelnie.

A teljes körű vizsgálathoz ajánlott engedélyezni a naplózást, amely adatbázis-eseményeket ír egy naplóba az Azure Storage-fiókjában. A naplózás engedélyezéséhez tekintse meg az Azure SQL Database és az Azure Synapse naplózását vagy a felügyelt Azure SQL-példány naplózását.

Riasztások

Az Advanced Threat Protection rendellenes tevékenységeket észlel, amelyek szokatlan és potenciálisan káros kísérleteket jeleznek az adatbázisok elérésére vagy kihasználására. A riasztások listájáért tekintse meg az SQL Database és az Azure Synapse Analytics riasztásait Felhőhöz készült Microsoft Defender.

Gyanús esemény észlelésének megismerése

A rendellenes adatbázis-tevékenységek észlelésekor e-mailben értesítést kap. Az e-mail információt nyújt a gyanús biztonsági eseményről, beleértve a rendellenes tevékenységek jellegét, az adatbázis nevét, a kiszolgáló nevét, az alkalmazás nevét és az esemény időpontját. Ezenkívül az e-mail tájékoztatást nyújt a lehetséges okokról és az adatbázist fenyegető potenciális fenyegetés kivizsgálására és enyhítésére javasolt műveletekről.

Anomalous activity report

  1. Kattintson a Legutóbbi SQL-riasztások megtekintése hivatkozásra az e-mailben az Azure Portal elindításához és a Felhőhöz készült Microsoft Defender riasztások oldalának megjelenítéséhez, amely áttekintést nyújt az adatbázisban észlelt aktív fenyegetésekről.

    Activity threats

  2. Egy adott riasztásra kattintva további részleteket és műveleteket kaphat a fenyegetés kivizsgálásához és a jövőbeli fenyegetések elhárításához.

    Az SQL-injektálás például az egyik leggyakoribb internetes webalkalmazás-biztonsági probléma, amelyet adatvezérelt alkalmazások megtámadására használnak. A támadók kihasználják az alkalmazás biztonsági réseit, és rosszindulatú SQL-utasításokat injektálnak az alkalmazásbeviteli mezőkbe, megsértik vagy módosítják az adatbázisban lévő adatokat. Az SQL-injektálási riasztások esetében a riasztás részletei közé tartozik a kihasznált sebezhető SQL-utasítás.

    Specific alert

Riasztások felfedezése az Azure Portalon

Az Advanced Threat Protection integrálja a riasztásokat Felhőhöz készült Microsoft Defender. Az adatbázis élő SQL Advanced Threat Protection csempéi és az Azure Portal SQL Felhőhöz készült Microsoft Defender paneljei nyomon követik az aktív fenyegetések állapotát.

Az Advanced Threat Protection riasztásra kattintva indítsa el a Felhőhöz készült Microsoft Defender riasztások oldalát, és áttekintést kapjon az adatbázisban észlelt aktív SQL-fenyegetésekről.

advanced threat protection alerts in database overview

advanced threat protection in Defender for SQL

Következő lépések