Rilevamento delle minacce nel database SQLSQL Database Threat Detection

Rilevamento minacce di SQL rileva le attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accesso o exploit dei database.SQL Threat Detection detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases.

PanoramicaOverview

Rilevamento minacce di SQL offre un nuovo livello di protezione, che consente ai clienti di rilevare e rispondere alle minacce potenziali non appena si verificano, fornendo avvisi di sicurezza sulle attività anomale.SQL Threat Detection provides a new layer of security, which enables customers to detect and respond to potential threats as they occur by providing security alerts on anomalous activities. Gli utenti ricevono un avviso in caso di attività di database sospetta, potenziali vulnerabilità e attacchi SQL injection, nonché in caso di modelli di accesso ai database anomali.Users receive an alert upon suspicious database activities, potential vulnerabilities, and SQL injection attacks, as well as anomalous database access patterns. Gli avvisi di Rilevamento minacce di SQL forniscono i dettagli delle attività sospette e consigliano azioni per analizzare e ridurre la minaccia.SQL Threat Detection alerts provide details of suspicious activity and recommend action on how to investigate and mitigate the threat. Gli utenti possono esaminare gli eventi sospetti tramite il servizio di controllo del database SQL per determinare se sono il risultato di un tentativo di accesso, una violazione o un exploit dei dati del database.Users can explore the suspicious events using SQL Database Auditing to determine if they result from an attempt to access, breach, or exploit data in the database. Il rilevamento delle minacce rende più semplice affrontare le minacce potenziali al database, senza dover essere esperti della sicurezza o gestire sistemi di controllo di sicurezza avanzati.Threat Detection makes it simple to address potential threats to the database without the need to be a security expert or manage advanced security monitoring systems.

Ad esempio, l'attacco SQL injection è uno dei problemi di sicurezza comuni delle applicazioni Web su Internet, che viene usato per attaccare le applicazioni guidate dai dati.For example, SQL injection is one of the common Web application security issues on the Internet, used to attack data-driven applications. Gli autori degli attacchi sfruttano le vulnerabilità delle applicazioni per introdurre istruzioni SQL dannose nei campi di immissione dell'applicazione, con lo scopo di violare o modificare i dati del database.Attackers take advantage of application vulnerabilities to inject malicious SQL statements into application entry fields, breaching or modifying data in the database.

Rilevamento minacce di SQL integra gli avvisi con il Centro sicurezza di Azure. Ogni database SQL protetto verrà fatturato allo stesso prezzo del livello Standard del Centro sicurezza di Azure, al prezzo di $ 15 per nodo al mese, dove ogni server di database SQL protetto viene conteggiato come un nodo.SQL Threat Detection integrates alerts with Azure Security Center, and, each protected SQL Database server is billed at the same price as Azure Security Center Standard tier, at $15/node/month, where each protected SQL Database server is counted as one node.

Configurare il rilevamento delle minacce per il database tramite il portale di AzureSet up threat detection for your database in the Azure portal

  1. Avviare il portale di Azure all'indirizzo https://portal.azure.com.Launch the Azure portal at https://portal.azure.com.
  2. Passare alla pagina di configurazione del database SQL che si vuole monitorare.Navigate to the configuration page of the SQL Database you want to monitor. Nella pagina Impostazioni selezionare Controllo e rilevamento minacce.In the Settings page, select Auditing & Threat Detection. Riquadro di spostamentoNavigation pane
  3. Nella pagina di configurazione Controllo e rilevamento minacce impostare il controllo su , il che consentirà di visualizzare le impostazioni di rilevamento minacce.In the Auditing & Threat Detection configuration page, turn ON Auditing, which display the threat detection settings.

    Riquadro di spostamento

  4. Impostare il rilevamento delle minacce su .Turn ON Threat detection.
  5. Configurare l'elenco di indirizzi di posta elettronica che riceveranno avvisi di sicurezza in caso di rilevamento di attività di database anomale.Configure the list of emails to receive security alerts upon detection of anomalous database activities.
  6. Fare clic su Salva nella pagina di configurazione Controllo e rilevamento minacce per salvare il controllo nuovo o aggiornato e le impostazioni di rilevamento delle minacce.Click Save in the Auditing & Threat detection page to save the new or updated auditing and threat detection settings.

    Riquadro di spostamento

Configurare il rilevamento delle minacce tramite PowerShellSet up threat detection using PowerShell

Per un esempio di script, vedere Configurare il controllo del database SQL e il rilevamento delle minacce usando PowerShell.For a script example, see Configure auditing and threat detection using PowerShell.

Esaminare le attività di database anomale quando viene rilevato un evento sospettoExplore anomalous database activities upon detection of a suspicious event

  1. Si riceverà una notifica tramite posta elettronica al rilevamento di attività di database anomale.You receive an email notification upon detection of anomalous database activities.
    Il messaggio di posta elettronica fornirà informazioni sull'evento di sicurezza sospetto, inclusi la natura delle attività anomale, il nome del database, il nome del server, il nome dell'applicazione e l'ora dell'evento.The email provides information on the suspicious security event including the nature of the anomalous activities, database name, server name, application name, and the event time. Il messaggio di posta elettronica fornirà anche informazioni sulle possibili cause e le azioni consigliate per analizzare e ridurre il rischio di una potenziale minaccia al database.In addition, the email provides information on possible causes and recommended actions to investigate and mitigate the potential threat to the database.

    Riquadro di spostamento

  2. L'avviso di posta elettronica include un collegamento diretto al log di controllo SQL.The email alert includes a direct link to the SQL Audit log. Facendo clic su questo collegamento viene avviato il portale di Azure e si aprono i record di controllo SQL riferiti alla stessa ora dell'evento sospetto.Clicking on this link launches the Azure portal and opens the SQL Audit records around the time of the suspicious event. Fare clic su un record di controllo per visualizzare altri dettagli sulle attività sospette del database, per trovare più facilmente le istruzioni SQL eseguite (chi ha eseguito l'accesso, cosa ha fatto e quando) e determinare se l'evento era legittimo o dannoso (ad esempio se sono state sfruttate vulnerabilità dell'applicazione all'SQL injection, un utente ha compromesso dati sensibili e così via).Click on an audit record to view more details on the suspicious database activities, making it easier to find the SQL statements that were executed (who accessed, what they did and when) and determine if the event was legitimate or malicious (e.g. application vulnerability to SQL injection was exploited, someone breached sensitive data, etc.).
    Riquadro di spostamento Navigation pane

Esplorare gli avvisi di rilevamento delle minacce per il database tramite il portale di AzureExplore threat detection alerts for your database in the Azure portal

Rilevamento minacce del database SQL integra i suoi avvisi con il Centro sicurezza di Azure.SQL Database Threat Detection integrates its alerts with Azure Security Center. Un riquadro sulla sicurezza live di SQL all'interno della pagina del database nel portale di Azure tiene traccia dello stato delle minacce attive.A live SQL security tile within the database page in the Azure portal tracks the status of active threats.

Riquadro di spostamento

  1. Facendo clic sul riquadro della sicurezza di SQL si avvia la pagina degli avvisi del Centro sicurezza di Azure e viene fornita una panoramica delle minacce SQL attive rilevate nel database.Clicking on the SQL security tile launches the Azure Security Center alerts page and provides an overview of active SQL threats detected on the database.

    Riquadro di spostamento

  2. Facendo clic su uno specifico avviso vengono visualizzati altri dettagli e azioni per analizzare la minaccia e risolvere eventuali minacce future.Clicking on a specific alert provides additional details and actions for investigating this threat and remediating future threats.

    Riquadro di spostamento

Passaggi successiviNext steps