Introduzione al rilevamento delle minacceGet started with threat detection

OverviewOverview

La funzionalità di rilevamento delle minacce individua le attività di database che indicano la presenza di potenziali minacce alla sicurezza nel database.Threat Detection detects anomalous database activities indicating potential security threats to the database. Questa funzionalità è in anteprima ed è supportata per SQL Data Warehouse.Threat Detection is in preview and is supported for SQL Data Warehouse.

Il rilevamento delle minacce offre un nuovo livello di protezione, che consente ai clienti di rilevare e rispondere alle minacce potenziali non appena si verificano, fornendo avvisi di sicurezza sulle attività anomale.Threat Detection provides a new layer of security, which enables customers to detect and respond to potential threats as they occur by providing security alerts on anomalous activities. Gli utenti possono esaminare gli eventi sospetti usando il servizio di controllo di Azure SQL Data Warehouse per determinare se sono il risultato di un tentativo di accesso, violazione o exploit dei dati nel data warehouse.Users can explore the suspicious events using Azure SQL Data Warehouse Auditing to determine if they result from an attempt to access, breach or exploit data in the data warehouse. Il rilevamento delle minacce rende più semplice affrontare le minacce potenziali al data warehouse, senza dover essere esperti della sicurezza o gestire sistemi di controllo di sicurezza avanzati.Threat Detection makes it simple to address potential threats to the data warehouse without the need to be a security expert or manage advanced security monitoring systems.

Ad esempio, la funzionalità di rilevamento delle minacce individua determinate attività anomale nel database che indicano potenziali tentativi di attacco SQL injection.For example, Threat Detection detects certain anomalous database activities indicating potential SQL injection attempts. L'attacco SQL injection è uno dei problemi di sicurezza comuni delle applicazioni Web su Internet, che viene usato per attaccare le applicazioni guidate dai dati.SQL injection is one of the common Web application security issues on the Internet, used to attack data-driven applications. Gli autori di attacchi sfruttano le vulnerabilità delle applicazioni per introdurre istruzioni SQL dannose nei campi di immissione dell'applicazione, per violare o modificare i dati nel database.Attackers take advantage of application vulnerabilities to inject malicious SQL statements into application entry fields, for breaching or modifying data in the database.

Configurare il rilevamento delle minacce per il databaseSet up threat detection for your database

  1. Avviare il portale di Azure all'indirizzo https://portal.azure.com.Launch the Azure Portal at https://portal.azure.com.
  2. Passare al pannello di configurazione dell’SQL Data Warehouse che si vuole monitorare.Navigate to the configuration blade of the SQL Data Warehouse you want to monitor. Nel pannello Impostazioni selezionare Controllo e rilevamento minacce.In the Settings blade, select Auditing & Threat Detection.

    Riquadro di spostamento

  3. Nel pannello di configurazione Controllo e rilevamento minacce selezionare ON per attivare il controllo, che mostrerà le impostazioni di rilevamento delle minacce.In the Auditing & Threat Detection configuration blade turn ON auditing, which will display the Threat detection settings.

    Riquadro di spostamento

  4. Impostare il rilevamento delle minacce su .Turn ON Threat detection.
  5. Configurare l'elenco di indirizzi di posta elettronica che riceveranno avvisi di sicurezza in caso di rilevamento di attività anomale di data warehouse.Configure the list of emails that will receive security alerts upon detection of anomalous data warehouse activities.
  6. Fare clic su Salva nel pannello di configurazione Controllo e rilevamento minacce per salvare i criteri di controllo e rilevamento delle minacce nuovi o aggiornati.Click Save in the Auditing & Threat detection configuration blade to save the new or updated auditing and threat detection policy.

    Riquadro di spostamento

Esaminare le attività anomale di data warehouse quando viene rilevato un evento sospettoExplore anomalous data warehouse activities upon detection of a suspicious event

  1. Si riceverà una notifica tramite posta elettronica al rilevamento di attività di database anomale.You will receive an email notification upon detection of anomalous database activities.
    Il messaggio di posta elettronica fornirà informazioni sull'evento di sicurezza sospetto, inclusi la natura delle attività anomale, il nome del database, il nome del server e l'ora dell'evento.The email will provide information on the suspicious security event including the nature of the anomalous activities, database name, server name and the event time. Verranno anche fornite informazioni sulle possibili cause e le azioni consigliate per analizzare e ridurre il rischio di una potenziale minaccia al database.In addition, it will provide information on possible causes and recommended actions to investigate and mitigate the potential threat to the database.

    Riquadro di spostamento

  2. Nel messaggio di posta elettronica fare clic sul collegamento relativo al log di controllo SQL di Azure che avvierà il portale di Azure classico visualizzando i record di controllo pertinenti intorno all'ora dell'evento sospetto.In the email, click on the Azure SQL Auditing Log link, which will launch the Azure Classic Portal and show the relevant Auditing records around the time of the suspicious event.

    Riquadro di spostamento

  3. Fare clic sui record di controllo per visualizzare altri dettagli sulle attività di database sospette, come l'istruzione SQL, il motivo dell'errore e l'indirizzo IP del client.Click on the audit records to view more details on the suspicious database activities such as SQL statement, failure reason and client IP.

    Riquadro di spostamento

  4. Nel pannello Auditing Records (Controllo record) fare clic su Apri in Excel per aprire un modello Excel preconfigurato per importare ed eseguire un'analisi più approfondita del log di controllo sull'orario in cui si è verificato l'evento sospetto.In the Auditing Records blade, click Open in Excel to open a pre-configured excel template to import and run deeper analysis of the audit log around the time of the suspicious event.
    Nota: in Excel 2010 o versione successiva sono richiesti Power Query e l'impostazione Combinazione rapida. Note: In Excel 2010 or later, Power Query and the Fast Combine setting is required

    Riquadro di spostamento

  5. Per configurare l'impostazione Combinazione rapida, nella scheda della barra multifunzione POWER QUERY selezionare Opzioni per visualizzare la finestra di dialogo Opzioni.To configure the Fast Combine setting - In the POWER QUERY ribbon tab, select Options to display the Options dialog. Selezionare la sezione Privacy e scegliere la seconda opzione - "Ignora i livelli di privacy per un potenziale miglioramento delle prestazioni":Select the Privacy section and choose the second option - 'Ignore the Privacy Levels and potentially improve performance':

    Riquadro di spostamento

  6. Per caricare i log di controllo SQL, assicurarsi che i parametri nella scheda Impostazioni siano configurati correttamente e quindi selezionare "Dati" sulla barra multifunzione e fare clic sul pulsante "Aggiorna tutto".To load SQL audit logs, ensure that the parameters in the settings tab are set correctly and then select the 'Data' ribbon and click the 'Refresh All' button.

    Riquadro di spostamento

  7. I risultati vengono visualizzati nel foglio dei log di controllo SQL che consente di eseguire un'analisi più approfondita delle attività anomale rilevate e di ridurre l'impatto dell'evento di sicurezza nell'applicazione.The results appear in the SQL Audit Logs sheet which enables you to run deeper analysis of the anomalous activities that were detected, and mitigate the impact of the security event in your application.