Advanced Threat Protection per il database SQL di AzureAdvanced Threat Protection for Azure SQL Database

Advanced Threat Protection per il database SQL di Azure e SQL data warehouse rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accesso o exploit dei database.Advanced Threat Protection for Azure SQL Database and SQL Data Warehouse detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases.

Advanced Threat Protection fa parte dell'offerta Advanced Data Security (ADS), che è un pacchetto unificato per le funzionalità avanzate di sicurezza di SQL.Advanced Threat Protection is part of the Advanced data security (ADS) offering, which is a unified package for advanced SQL security capabilities. È possibile accedere a Advanced Threat Protection e gestirlo tramite il portale SQL ADS centrale.Advanced Threat Protection can be accessed and managed via the central SQL ADS portal.

Nota

Questo argomento è applicabile al server SQL di Azure e ai database SQL e di SQL Data Warehouse creati nel server SQL di Azure.This topic applies to Azure SQL server, and to both SQL Database and SQL Data Warehouse databases that are created on the Azure SQL server. Per semplicità, "database SQL" viene usato per fare riferimento sia al database SQL che al database di SQL Data Warehouse.For simplicity, SQL Database is used when referring to both SQL Database and SQL Data Warehouse.

Che cos'è Advanced Threat ProtectionWhat is Advanced Threat Protection

Advanced Threat Protection offre un nuovo livello di sicurezza, che consente ai clienti di rilevare e rispondere alle minacce potenziali non appena si verificano, fornendo avvisi di sicurezza sulle attività anomale.Advanced Threat Protection provides a new layer of security, which enables customers to detect and respond to potential threats as they occur by providing security alerts on anomalous activities. Gli utenti ricevono un avviso in caso di attività di database sospetta, potenziali vulnerabilità e attacchi SQL injection, nonché in caso di modelli di query e accesso ai database anomali.Users receive an alert upon suspicious database activities, potential vulnerabilities, and SQL injection attacks, as well as anomalous database access and queries patterns. Advanced Threat Protection integra gli avvisi con il Centro sicurezza di Azure, che includono informazioni dettagliate sulle attività sospette e consigliano azioni su come analizzare e mitigare la minaccia.Advanced Threat Protection integrates alerts with Azure Security Center, which include details of suspicious activity and recommend action on how to investigate and mitigate the threat. Advanced Threat Protection rende più semplice affrontare le potenziali minacce al database senza dover essere esperti della sicurezza o gestire sistemi di monitoraggio della sicurezza avanzati.Advanced Threat Protection makes it simple to address potential threats to the database without the need to be a security expert or manage advanced security monitoring systems.

Per un'esperienza di analisi completa, è consigliabile abilitare l'azione di controllo del database SQL, che scrive gli eventi del database in un log di controllo nell'account di archiviazione di Azure.For a full investigation experience, it is recommended to enable SQL Database Auditing, which writes database events to an audit log in your Azure storage account.

Avvisi di Advanced Threat ProtectionAdvanced Threat Protection alerts

Advanced Threat Protection per il database SQL di Azure rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accesso o exploit dei database e che possono attivare gli avvisi seguenti:Advanced Threat Protection for Azure SQL Database detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases and it can trigger the following alerts:

  • Vulnerabilità agli attacchi SQL injection: questo avviso viene attivato quando un'applicazione genera un'istruzione SQL non corretta nel database.Vulnerability to SQL injection: This alert is triggered when an application generates a faulty SQL statement in the database. L'avviso potrebbe indicare una possibile vulnerabilità ad attacchi SQL injection.This alert may indicate a possible vulnerability to SQL injection attacks. Ci sono due possibili motivi per la generazione di un'istruzione non corretta:There are two possible reasons for the generation of a faulty statement:

    • Un difetto nel codice dell'applicazione che crea l'istruzione SQL non correttaA defect in application code that constructs the faulty SQL statement
    • Codice dell'applicazione o stored procedure che non correggono l'input utente quando viene creata l'istruzione SQL non corretta, che può essere sfruttata per attacchi SQL InjectionApplication code or stored procedures don't sanitize user input when constructing the faulty SQL statement, which may be exploited for SQL Injection
  • Potenziale attacco SQL injection: questo avviso viene attivato quando si verifica un exploit attivo che sfrutta una vulnerabilità identificata dell'applicazione agli attacchi SQL injection.Potential SQL injection: This alert is triggered when an active exploit happens against an identified application vulnerability to SQL injection. Ciò significa che l'utente malintenzionato sta cercando di inserire istruzioni SQL dannose usando codice dell'applicazione o stored procedure vulnerabili.This means the attacker is trying to inject malicious SQL statements using the vulnerable application code or stored procedures.

  • Accesso da una posizione insolita: questo avviso viene attivato quando il modello di accesso a SQL Server cambia, quando un utente ha effettuato l'accesso a SQL Server da una posizione geografica insolita.Access from unusual location: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual geographical location. In alcuni casi, l'avviso rileva un'azione legittima (una nuova applicazione o la manutenzione da parte dello sviluppatore).In some cases, the alert detects a legitimate action (a new application or developer maintenance). In altri casi, l'avviso rileva un'azione dannosa (da parte di un ex dipendente o un utente malintenzionato esterno).In other cases, the alert detects a malicious action (former employee, external attacker).

  • Accesso da un data center di Azure insolito: questo avviso viene attivato quando il modello di accesso a SQL Server cambia, quando un utente ha effettuato l'accesso a SQL Server da un data center di Azure insolito, rilevato nel server di recente.Access from unusual Azure data center: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual Azure data center that was seen on this server during the recent period. In alcuni casi, l'avviso rileva un'azione legittima (una nuova applicazione in Azure, Power BI, editor di query SQL di Azure).In some cases, the alert detects a legitimate action (your new application in Azure, Power BI, Azure SQL Query Editor). In altri casi, l'avviso rileva un'azione dannosa proveniente da una risorsa o un servizio di Azure (da parte di un ex dipendente o un utente malintenzionato esterno).In other cases, the alert detects a malicious action from an Azure resource/service (former employee, external attacker).

  • Accesso da un'entità di sicurezza non familiare: questo avviso viene attivato quando il modello di accesso a SQL Server cambia, quando un utente ha effettuato l'accesso a SQL Server usando un'entità di sicurezza insolita (utente SQL).Access from unfamiliar principal: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server using an unusual principal (SQL user). In alcuni casi, l'avviso rileva un'azione legittima (nuova applicazione o manutenzione da parte dello sviluppatore).In some cases, the alert detects a legitimate action (new application, developer maintenance). In altri casi, l'avviso rileva un'azione dannosa (da parte di un ex dipendente o un utente malintenzionato esterno).In other cases, the alert detects a malicious action (former employee, external attacker).

  • Accesso da un'applicazione potenzialmente dannosa: questo avviso viene attivato quando un'applicazione potenzialmente dannosa viene usata per accedere al database.Access from a potentially harmful application: This alert is triggered when a potentially harmful application is used to access the database. In alcuni casi, l'avviso rileva test di penetrazione in corso.In some cases, the alert detects penetration testing in action. In altri casi, l'avviso rileva un attacco mediante strumenti comuni di attacco.In other cases, the alert detects an attack using common attack tools.

  • Attacco di forza bruta a credenziali SQL: questo avviso viene attivato quando si verifica un numero elevato anomalo di accessi non riusciti con credenziali diverse.Brute force SQL credentials: This alert is triggered when there is an abnormal high number of failed logins with different credentials. In alcuni casi, l'avviso rileva test di penetrazione in corso.In some cases, the alert detects penetration testing in action. In altri casi, l'avviso rileva un attacco di forza bruta.In other cases, the alert detects brute force attack.

Esaminare le attività di database anomale quando viene rilevato un evento sospettoExplore anomalous database activities upon detection of a suspicious event

Si riceverà una notifica tramite posta elettronica al rilevamento di attività di database anomale.You receive an email notification upon detection of anomalous database activities. Il messaggio di posta elettronica fornirà informazioni sull'evento di sicurezza sospetto, inclusi la natura delle attività anomale, il nome del database, il nome del server, il nome dell'applicazione e l'ora dell'evento.The email provides information on the suspicious security event including the nature of the anomalous activities, database name, server name, application name, and the event time. Il messaggio di posta elettronica fornirà anche informazioni sulle possibili cause e le azioni consigliate per analizzare e ridurre il rischio di una potenziale minaccia al database.In addition, the email provides information on possible causes and recommended actions to investigate and mitigate the potential threat to the database.

Report Anomalie dell'attività

  1. Fare clic sul collegamento Visualizza gli avvisi di SQL recenti nel messaggio di posta elettronica per avviare il portale di Azure e visualizzare la pagina degli avvisi del Centro sicurezza di Azure, con una panoramica delle minacce attive rilevate nel database di SQL.Click the View recent SQL alerts link in the email to launch the Azure portal and show the Azure Security Center alerts page, which provides an overview of active threats detected on the SQL database.

    Minacce di attività

  2. Fare clic su uno specifico avviso per visualizzare altri dettagli e azioni per analizzare la minaccia e risolvere eventuali minacce future.Click a specific alert to get additional details and actions for investigating this threat and remediating future threats.

    Ad esempio, l'attacco SQL injection è uno dei problemi di sicurezza più comuni delle applicazioni Web su Internet, che viene usato per attaccare le applicazioni guidate dai dati.For example, SQL injection is one of the most common Web application security issues on the Internet that is used to attack data-driven applications. Gli autori degli attacchi sfruttano le vulnerabilità delle applicazioni per introdurre istruzioni SQL dannose nei campi di immissione dell'applicazione, con lo scopo di violare o modificare i dati del database.Attackers take advantage of application vulnerabilities to inject malicious SQL statements into application entry fields, breaching or modifying data in the database. Negli avvisi di attacchi SQL injection, i dettagli includono l'istruzione SQL vulnerabile che ha subito un exploit.For SQL Injection alerts, the alert’s details include the vulnerable SQL statement that was exploited.

    Avviso specifico

Esplorare gli avvisi di Advanced Threat Protection per il database nel portale di AzureExplore Advanced Threat Protection alerts for your database in the Azure portal

Advanced Threat Protection integra gli avvisi con il Centro sicurezza di Azure.Advanced Threat Protection integrates its alerts with Azure security center. I riquadri in tempo reale SQL Advanced Threat Protection nei pannelli database e SQL ADS nel portale di Azure tenere traccia dello stato delle minacce attive.Live SQL Advanced Threat Protection tiles within the database and SQL ADS blades in the Azure portal track the status of active threats.

Fare clic su avviso di Advanced Threat Protection per avviare la pagina avvisi del Centro sicurezza di Azure e ottenere una panoramica delle minacce SQL attive rilevate nel database o data warehouse.Click Advanced Threat Protection alert to launch the Azure Security Center alerts page and get an overview of active SQL threats detected on the database or data warehouse.

Avviso di Advanced Threat Protection

Alert2 di Advanced Threat Protection

Passaggi successiviNext steps