Rilevamento delle minacce per il database SQL di AzureAzure SQL Database Threat Detection

Il rilevamento delle minacce per il database SQL di Azure rileva le attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accesso o exploit dei database.Azure SQL Database Threat Detection detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases.

Rilevamento delle minacce fa parte dell'offerta SQL Advanced Threat Protection (Protezione avanzata dalle minacce SQL) (ATP), che è un pacchetto unificato per le funzionalità avanzate di sicurezza SQL.Threat Detection is part of the SQL Advanced Threat Protection (ATP) offering, which is a unified package for advanced SQL security capabilities. È possibile accedere e gestire Rilevamento delle minacce tramite il portale centrale ATP SQL.Threat Detection can be accessed and managed via the central SQL ATP portal.

Introduzione alla funzionalità di rilevamento delle minacceWhat is Threat Detection?

Rilevamento minacce di SQL offre un nuovo livello di protezione, che consente ai clienti di rilevare e rispondere alle minacce potenziali non appena si verificano, fornendo avvisi di sicurezza sulle attività anomale.SQL Threat Detection provides a new layer of security, which enables customers to detect and respond to potential threats as they occur by providing security alerts on anomalous activities. Gli utenti ricevono un avviso in caso di attività di database sospetta, potenziali vulnerabilità e attacchi SQL injection, nonché in caso di modelli di query e accesso ai database anomali.Users receive an alert upon suspicious database activities, potential vulnerabilities, and SQL injection attacks, as well as anomalous database access and queries patterns. Il Rilevamento minacce SLQ integra gli avvisi con Centro sicurezza di Azure, che comprende i dettagli delle attività sospette e raccomandano azioni per individuare e ridurre la minaccia.SQL Threat Detection integrates alerts with Azure Security Center, which includes details of suspicious activity and recommend action on how to investigate and mitigate the threat. Il rilevamento delle minacce di SQL rende più semplice affrontare le minacce potenziali al database, senza dover essere esperti della sicurezza o gestire sistemi di controllo di sicurezza avanzati.SQL Threat Detection makes it simple to address potential threats to the database without the need to be a security expert or manage advanced security monitoring systems.

Per un'esperienza di analisi completa, è consigliabile abilitare l'azione di controllo del database SQL, che scrive gli eventi del database in un log di controllo nell'account di archiviazione di Azure.For a full investigation experience, it is recommended to enable SQL Database Auditing, which writes database events to an audit log in your Azure storage account.

Configurare il rilevamento delle minacce per il database tramite il portale di AzureSet up threat detection for your database in the Azure portal

  1. Avviare il portale di Azure all'indirizzo https://portal.azure.com.Launch the Azure portal at https://portal.azure.com.
  2. Passare alla pagina di configurazione del server del database SQL di Azure che si vuole proteggere.Navigate to the configuration page of the Azure SQL Database server you want to protect. Nelle impostazioni di sicurezza, selezionare Protezione avanzata dalle minacce.In the security settings, select Advanced Threat Protection.
  3. Nella pagina di configurazione Protezione avanzata dalle minacce:On the Advanced Threat Protection configuration page:

    • Abilita Advanced Threat Protection nel server.Enable Advanced Threat Protection on the server.
    • In Impostazioni di rilevamento delle minaccenella casella di testo Invia avvisi a, viene fornito l'elenco dei messaggi di posta elettronica per ricevere avvisi di sicurezza al rilevamento delle attività anomale del database.In Threat Detection Settings, in the Send alerts to text box, provide the list of emails to receive security alerts upon detection of anomalous database activities.

    Impostare il rilevamento delle minacce

Configurare il rilevamento delle minacce tramite PowerShellSet up threat detection using PowerShell

Per un esempio di script, vedere Configurare il controllo del database SQL e il rilevamento delle minacce usando PowerShell.For a script example, see Configure auditing and threat detection using PowerShell.

Esaminare le attività di database anomale quando viene rilevato un evento sospettoExplore anomalous database activities upon detection of a suspicious event

Si riceverà una notifica tramite posta elettronica al rilevamento di attività di database anomale.You receive an email notification upon detection of anomalous database activities. Il messaggio di posta elettronica fornirà informazioni sull'evento di sicurezza sospetto, inclusi la natura delle attività anomale, il nome del database, il nome del server, il nome dell'applicazione e l'ora dell'evento.The email provides information on the suspicious security event including the nature of the anomalous activities, database name, server name, application name, and the event time. Il messaggio di posta elettronica fornirà anche informazioni sulle possibili cause e le azioni consigliate per analizzare e ridurre il rischio di una potenziale minaccia al database.In addition, the email provides information on possible causes and recommended actions to investigate and mitigate the potential threat to the database.

Report Anomalie dell'attività

  1. Fare clic sul collegamento Visualizza gli avvisi di SQL recenti nel messaggio di posta elettronica per avviare il portale di Azure e visualizzare la pagina degli avvisi del Centro sicurezza di Azure, con una panoramica delle minacce attive rilevate nel database di SQL.Click the View recent SQL alerts link in the email to launch the Azure portal and show the Azure Security Center alerts page, which provides an overview of active threats detected on the SQL database.

    Minacce dell'attività

  2. Fare clic su uno specifico avviso per visualizzare altri dettagli e azioni per analizzare la minaccia e risolvere eventuali minacce future.Click a specific alert to get additional details and actions for investigating this threat and remediating future threats.

    Ad esempio, l'attacco SQL injection è uno dei problemi di sicurezza più comuni delle applicazioni Web su Internet, che viene usato per attaccare le applicazioni guidate dai dati.For example, SQL injection is one of the most common Web application security issues on the Internet that is used to attack data-driven applications. Gli autori degli attacchi sfruttano le vulnerabilità delle applicazioni per introdurre istruzioni SQL dannose nei campi di immissione dell'applicazione, con lo scopo di violare o modificare i dati del database.Attackers take advantage of application vulnerabilities to inject malicious SQL statements into application entry fields, breaching or modifying data in the database. Negli avvisi di attacchi SQL injection, i dettagli includono l'istruzione SQL vulnerabile che ha subito un exploit.For SQL Injection alerts, the alert’s details include the vulnerable SQL statement that was exploited.

    Avviso specifico

Esplorare gli avvisi di rilevamento delle minacce per il database tramite il portale di AzureExplore threat detection alerts for your database in the Azure portal

Rilevamento minacce del database SQL integra i suoi avvisi con il Centro sicurezza di Azure.SQL Database Threat Detection integrates its alerts with Azure Security Center. Un riquadro sul rilevamento minacce live di SQL all'interno dei pannelli del database e di SQL ATP nel portale di Azure tiene traccia dello stato delle minacce attive.A live SQL threat detection tiles within the database and SQL ATP blades in the Azure portal tracks the status of active threats.

Fare clic su Avviso rilevamento minacceper avviare la pagina degli avvisi del Centro sicurezza di Azure e ottenere una panoramica delle minacce SQL attive rilevate nel database.Click Threat detection alert to launch the Azure Security Center alerts page and get an overview of active SQL threats detected on the database.

Avviso di rilevamento minacce

Avviso di rilevamento minacce2

Avvisi di rRilevamento delle minacce per il database SQL di AzureAzure SQL Database Threat Detection alerts

Il servizio di rilevamento delle minacce per il database SQL di Azure rileva le attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accesso o exploit dei database e può attivare i tipi di avvisi seguenti:Threat Detection for Azure SQL Database detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases and it can trigger the following alerts:

  • Vulnerabilità agli attacchi SQL injection: questo avviso viene attivato quando un'applicazione genera un'istruzione SQL non corretta nel database.Vulnerability to SQL Injection: This alert is triggered when an application generates a faulty SQL statement in the database. Ciò potrebbe indicare una possibile vulnerabilità ad attacchi SQL injection.This may indicate a possible vulnerability to SQL injection attacks. Ci sono due possibili motivi per la generazione di un'istruzione non corretta:There are two possible reasons for the generation of a faulty statement:
    • Un difetto nel codice dell'applicazione che crea l'istruzione SQL non correttaA defect in application code that constructs the faulty SQL statement
    • Codice dell'applicazione o stored procedure che non correggono l'input utente quando viene creata l'istruzione SQL non corretta, che può essere sfruttata per attacchi SQL InjectionApplication code or stored procedures don't sanitize user input when constructing the faulty SQL statement, which may be exploited for SQL Injection
  • Potenziale attacco SQL injection: questo avviso viene attivato quando si verifica un exploit attivo che sfrutta una vulnerabilità identificata dell'applicazione agli attacchi SQL injection.Potential SQL injection: This alert is triggered when an active exploit happens against an identified application vulnerability to SQL injection. Ciò significa che l'utente malintenzionato sta cercando di inserire istruzioni SQL dannose usando codice dell'applicazione o stored procedure vulnerabili.This means the attacker is trying to inject malicious SQL statements using the vulnerable application code or stored procedures.
  • Accesso da una posizione insolita: questo avviso viene attivato quando il modello di accesso a SQL Server cambia, quando un utente ha effettuato l'accesso a SQL Server da una posizione geografica insolita.Access from unusual location: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual geographical location. In alcuni casi, l'avviso rileva un'azione legittima (una nuova applicazione o la manutenzione da parte dello sviluppatore).In some cases, the alert detects a legitimate action (a new application or developer maintenance). In altri casi, l'avviso rileva un'azione dannosa (da parte di un ex dipendente o un utente malintenzionato esterno).In other cases, the alert detects a malicious action (former employee, external attacker).
  • Accesso da un data center di Azure insolito: questo avviso viene attivato quando il modello di accesso a SQL Server cambia, quando un utente ha effettuato l'accesso a SQL Server da un data center di Azure insolito, rilevato nel server di recente.Access from unusual Azure data center: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual Azure data center that was seen on this server during the recent period. In alcuni casi, l'avviso rileva un'azione legittima (una nuova applicazione in Azure, Power BI, editor di query SQL di Azure).In some cases, the alert detects a legitimate action (your new application in Azure, Power BI, Azure SQL Query Editor). In altri casi, l'avviso rileva un'azione dannosa proveniente da una risorsa o un servizio di Azure (da parte di un ex dipendente o un utente malintenzionato esterno).In other cases, the alert detects a malicious action from an Azure resource/service (former employee, external attacker).
  • Accesso da un'entità di sicurezza non familiare: questo avviso viene attivato quando il modello di accesso a SQL Server cambia, quando un utente ha effettuato l'accesso a SQL Server usando un'entità di sicurezza insolita (utente SQL).Access from unfamiliar principal: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server using an unusual principal (SQL user). In alcuni casi, l'avviso rileva un'azione legittima (nuova applicazione o manutenzione da parte dello sviluppatore).In some cases, the alert detects a legitimate action (new application, developer maintenance). In altri casi, l'avviso rileva un'azione dannosa (da parte di un ex dipendente o un utente malintenzionato esterno).In other cases, the alert detects a malicious action (former employee, external attacker).
  • Accesso da un'applicazione potenzialmente dannosa: questo avviso viene attivato quando un'applicazione potenzialmente dannosa viene usata per accedere al database.Access from a potentially harmful application: This alert is triggered when a potentially harmful application is used to access the database. In alcuni casi, l'avviso rileva test di penetrazione in corso.In some cases, the alert detects penetration testing in action. In altri casi, l'avviso rileva un attacco mediante strumenti comuni di attacco.In other cases, the alert detects an attack using common attack tools.
  • Attacco di forza bruta a credenziali SQL: questo avviso viene attivato quando si verifica un numero elevato anomalo di accessi non riusciti con credenziali diverse.Brute force SQL credentials: This alert is triggered when there is an abnormal high number of failed logins with different credentials. In alcuni casi, l'avviso rileva test di penetrazione in corso.In some cases, the alert detects penetration testing in action. In altri casi, l'avviso rileva un attacco di forza bruta.In other cases, the alert detects brute force attack.

Passaggi successiviNext steps