Rilevamento delle minacce nel database SQL

Rilevamento minacce di SQL rileva le attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accesso o exploit dei database.

Panoramica

Rilevamento minacce di SQL offre un nuovo livello di protezione, che consente ai clienti di rilevare e rispondere alle minacce potenziali non appena si verificano, fornendo avvisi di sicurezza sulle attività anomale. Gli utenti riceveranno un avviso in caso di attività di database sospetta, potenziali vulnerabilità e attacchi SQL injection, nonché in caso di modelli di accesso ai database anomali. Gli avvisi di Rilevamento minacce di SQL forniscono i dettagli delle attività sospette e consigliano azioni per analizzare e ridurre la minaccia. Gli utenti possono esaminare gli eventi sospetti tramite il servizio di controllo del database SQL per determinare se sono il risultato di un tentativo di accesso, una violazione o un exploit dei dati del database. Il rilevamento delle minacce rende più semplice affrontare le minacce potenziali al database, senza dover essere esperti della sicurezza o gestire sistemi di controllo di sicurezza avanzati.

Ad esempio, l'attacco SQL injection è uno dei problemi di sicurezza comuni delle applicazioni Web su Internet, che viene usato per attaccare le applicazioni guidate dai dati. Gli autori degli attacchi sfruttano le vulnerabilità delle applicazioni per introdurre istruzioni SQL dannose nei campi di immissione dell'applicazione, con lo scopo di violare o modificare i dati del database.

Rilevamento minacce di SQL integra gli avvisi con il Centro sicurezza di Azure. Ogni database SQL protetto verrà fatturato allo stesso prezzo del livello Standard del Centro sicurezza di Azure, al prezzo di $ 15 per nodo al mese, dove ogni server di database SQL protetto viene conteggiato come un nodo. Fai una prova gratuita di 60 giorni.

Configurare il rilevamento delle minacce per il database tramite il portale di Azure

  1. Avviare il portale di Azure all'indirizzo https://portal.azure.com.
  2. Passare al pannello di configurazione del database SQL che si vuole monitorare. Nel pannello Impostazioni selezionare Controllo e rilevamento minacce. Riquadro di spostamento
  3. Nel pannello di configurazione Controllo e rilevamento minacce impostare il controllo su , il che consentirà di visualizzare le impostazioni di rilevamento minacce.

    Riquadro di spostamento

  4. Impostare il rilevamento delle minacce su .
  5. Configurare l'elenco di indirizzi di posta elettronica che riceveranno avvisi di sicurezza in caso di rilevamento di attività di database anomale.
  6. Fare clic su Salva nel pannello di configurazione Controllo e rilevamento minacce per salvare il controllo nuovo o aggiornato e le impostazioni di rilevamento delle minacce.

    Riquadro di spostamento

Configurare il rilevamento delle minacce tramite PowerShell

Per un esempio di script, vedere Configurare il controllo del database SQL e il rilevamento delle minacce usando PowerShell.

Esaminare le attività di database anomale quando viene rilevato un evento sospetto

  1. Si riceverà una notifica tramite posta elettronica al rilevamento di attività di database anomale.
    Il messaggio di posta elettronica fornirà informazioni sull'evento di sicurezza sospetto, inclusi la natura delle attività anomale, il nome del database, il nome del server, il nome dell'applicazione e l'ora dell'evento. Il messaggio di posta elettronica fornirà anche informazioni sulle possibili cause e le azioni consigliate per analizzare e ridurre il rischio di una potenziale minaccia al database.

    Riquadro di spostamento

  2. L'avviso di posta elettronica include un collegamento diretto al log di controllo SQL. Facendo clic su questo collegamento viene avviato il portale di Azure e si aprono i record di controllo SQL riferiti alla stessa ora dell'evento sospetto. Fare clic su un record di controllo per visualizzare altri dettagli sulle attività sospette del database, per trovare più facilmente le istruzioni SQL eseguite (chi ha eseguito l'accesso, cosa ha fatto e quando) e determinare se l'evento era legittimo o dannoso (ad esempio se sono state sfruttate vulnerabilità dell'applicazione all'SQL injection, un utente ha compromesso dati sensibili e così via).
    Riquadro di spostamento

Esplorare gli avvisi di rilevamento delle minacce per il database tramite il portale di Azure

Rilevamento minacce del database SQL integra i suoi avvisi con il Centro sicurezza di Azure. Un riquadro sulla sicurezza live di SQL all'interno del pannello del database nel portale di Azure tiene traccia dello stato delle minacce attive.

Riquadro di spostamento

  1. Facendo clic sul riquadro della sicurezza di SQL si avvia il pannello degli avvisi del Centro sicurezza di Azure e viene fornita una panoramica delle minacce SQL attive rilevate nel database.

    Riquadro di spostamento

  2. Facendo clic su uno specifico avviso vengono visualizzati altri dettagli e azioni per analizzare la minaccia e risolvere eventuali minacce future.

    Riquadro di spostamento

Passaggi successivi