Válasz a Defender nyílt forráskódú adatbázis-riasztásaira

Felhőhöz készült Microsoft Defender észleli a rendellenes tevékenységeket, amelyek szokatlan és potenciálisan káros kísérleteket jeleznek az adatbázisok elérésére vagy kihasználására az alábbi szolgáltatásokhoz:

• Azure Database for PostgreSQL
• Azure Database for MySQL
• Azure Database for MariaDB

és RDS-példányok esetében az AWS-en (előzetes verzió):

• Aurora PostgreSQL
• Aurora MySQL
• PostgreSQL
• MySQL
• MariaDB

Ha riasztásokat szeretne kapni a Microsoft Defender-csomagból, először engedélyeznie kell a Defendert nyílt forráskódú relációs adatbázisokhoz az Azure- vagy AWS-fiókjában .

További információ erről a Microsoft Defender-csomagról a Nyílt forráskódú relációs adatbázisokhoz készült Microsoft Defender áttekintésében.

Előfeltételek

• Ehhez Microsoft Azure-előfizetésre van szükség. Ha nem rendelkezik Azure-előfizetéssel, regisztrálhat egy ingyenes előfizetésre.

• Engedélyeznie kell Felhőhöz készült Microsoft Defender az Azure-előfizetésében.

• Csak AWS-felhasználók – Csatlakozás az AWS-fiókját.

Reagálás a riasztásokra a Felhőhöz készült Defender

Ha Felhőhöz készült Microsoft Defender engedélyezve van az adatbázisban, észleli a rendellenes tevékenységeket, és riasztásokat hoz létre. Ezek a riasztások több helyről is elérhetők, például:

• Az Azure Portalon:

  • Felhőhöz készült Microsoft Defender biztonsági riasztások lapja – A Felhőhöz készült Defender által védett összes erőforrás riasztásait jeleníti meg a megtekintésre jogosult előfizetésekben.
  • Az erőforrás Felhőhöz készült Microsoft Defender oldala – Egy adott erőforrásra vonatkozó riasztásokat és javaslatokat jelenít meg.

• Az e-mail-riasztások fogadására kijelölt személy postaládájában.

Tipp.

Az Felhőhöz készült Microsoft Defender áttekintő irányítópultján található élő csempe nyomon követi az összes erőforrást, beleértve az adatbázisokat is, az aktív fenyegetések állapotát. A biztonsági riasztások csempére kattintva lépjen a Felhőhöz készült Defender biztonsági riasztások lapjára, és áttekintést kapjon az adatbázisokban észlelt aktív fenyegetésekről.

A biztonsági riasztásokra való reagálás részletes lépéseit és az ajánlott módszert a Válasz biztonsági riasztásra című témakörben találja.

Válasz a biztonsági riasztások e-mailes értesítéseire

Felhőhöz készült Defender e-mail-értesítéseket küld, ha rendellenes adatbázis-tevékenységeket észlel. Az e-mail tartalmazza a gyanús biztonsági esemény részleteit, például a rendellenes tevékenységek természetét, az adatbázis nevét, a kiszolgáló nevét, az alkalmazás nevét és az esemény időpontját. Az e-mail tájékoztatást nyújt az adatbázis esetleges fenyegetéseinek kivizsgálására és elhárítására szolgáló lehetséges okokról és javasolt műveletekről is.

1. Az e-mailben válassza a Teljes riasztás hivatkozás megtekintése lehetőséget az Azure Portal elindításához, és jelenítse meg a biztonsági riasztások oldalát, amely áttekintést nyújt az adatbázisban észlelt aktív fenyegetésekről.

   

   Tekintse meg az aktív fenyegetéseket az előfizetés szintjén a Felhőhöz készült Defender portáloldalakon:

   

2. Az aktuális fenyegetés kivizsgálására és a jövőbeli fenyegetések elhárítására vonatkozó további részletekért és javasolt műveletekért válasszon ki egy adott riasztást.

   

Tipp.

A riasztások kezeléséről részletes oktatóanyagot a Riasztások kezelése és megválaszolása című témakörben talál.

Következő lépés

• Felhőhöz készült Defender eseményindítókra adott válaszok automatizálása
• Riasztások streamelése SIEM-, SOAR- vagy ITSM-megoldásba
• Riasztások letiltása Felhőhöz készült Defender