Rispondere agli avvisi del database open source di Defender

Microsoft Defender per il cloud rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database per i servizi seguenti:

• Database di Azure per PostgreSQL
• Database di Azure per MySQL
• Database di Azure per MariaDB

e per le istanze di Servizi Desktop remoto in AWS (anteprima):

• Aurora PostgreSQL
• Aurora MySQL
• PostgreSQL
• MySQL
• MariaDB

Per ottenere avvisi dal piano di Microsoft Defender, è prima necessario abilitare Defender per i database relazionali open source nell'account Azure o AWS .

Altre informazioni su questo piano di Microsoft Defender sono disponibili in Panoramica di Microsoft Defender per database relazionali open source.

Prerequisiti

• È necessaria una sottoscrizione di Microsoft Azure . Se non si ha una sottoscrizione di Azure, è possibile iscriversi per ottenere una sottoscrizione gratuita.

• È necessario abilitare Microsoft Defender per il cloud nella sottoscrizione di Azure.

• Solo utenti AWS: Connessione l'account AWS.

Rispondere agli avvisi in Defender per il cloud

Quando Microsoft Defender per il cloud è abilitato nel database, rileva le attività anomale e genera avvisi. Questi avvisi sono disponibili da più posizioni, tra cui:

• Nel portale di Azure:

  • pagina degli avvisi di sicurezza di Microsoft Defender per il cloud: mostra gli avvisi per tutte le risorse protette da Defender per il cloud nelle sottoscrizioni a cui si hanno le autorizzazioni per la visualizzazione.
  • Pagina di Microsoft Defender per il cloud della risorsa: mostra gli avvisi e le raccomandazioni per una risorsa specifica.

• Nella cartella posta in arrivo di chiunque nell'organizzazione sia stata designata per ricevere avvisi di posta elettronica.

Suggerimento

Un riquadro animato nel dashboard di panoramica di Microsoft Defender per il cloud tiene traccia dello stato delle minacce attive a tutte le risorse, inclusi i database. Selezionare il riquadro Avvisi di sicurezza per passare alla pagina degli avvisi di sicurezza Defender per il cloud e ottenere una panoramica delle minacce attive rilevate nei database.

Per i passaggi dettagliati e il metodo consigliato per rispondere agli avvisi di sicurezza, vedere Rispondere a un avviso di sicurezza.

Rispondere alle notifiche tramite posta elettronica degli avvisi di sicurezza

Defender per il cloud invia notifiche tramite posta elettronica quando rileva attività anomale del database. Il messaggio di posta elettronica include i dettagli dell'evento di sicurezza sospetto, ad esempio la natura delle attività anomale, il nome del database, il nome del server, il nome dell'applicazione e l'ora dell'evento. Il messaggio di posta elettronica fornisce anche informazioni sulle possibili cause e sulle azioni consigliate per analizzare e attenuare le potenziali minacce al database.

1. Nel messaggio di posta elettronica selezionare il collegamento Visualizza l'avviso completo per avviare il portale di Azure e visualizzare la pagina degli avvisi di sicurezza, che fornisce una panoramica delle minacce attive rilevate nel database.

   

   Visualizzare le minacce attive a livello di sottoscrizione dalle pagine del portale di Defender per il cloud:

   

2. Per altri dettagli e azioni consigliate per analizzare la minaccia corrente e correggere le minacce future, selezionare un avviso specifico.

   

Suggerimento

Per un'esercitazione dettagliata su come gestire gli avvisi, vedere Gestire e rispondere agli avvisi.

Passaggio successivo

• Automatizzare le risposte ai trigger Defender per il cloud
• Trasmettere avvisi a una soluzione SIEM, SOAR o ITSM
• Eliminare gli avvisi da Defender per il cloud