SQL Advanced Threat Protection

適用対象: Azure SQL データベースAzure SQL Managed InstanceAzure Synapse AnalyticsAzure VM 上の SQL ServerAzure Arc で有効になった SQL Server

Azure SQL データベース、Azure SQL Managed Instance、Azure Synapse Analytics、Azure VM 上の SQL Server、Azure Arc により有効化された SQL Server の Advanced Threat Protection では、データベースへのアクセスやデータベースの悪用を試みる、害を及ぼす可能性のある異常なアクティビティが検出されます。

Advanced Threat Protection は、高度な SQL セキュリティ機能の統合パッケージである Microsoft Defender for SQL オファリングの一部です。 Advanced Threat Protection は、中央の Microsoft Defender for SQL ポータル経由でアクセスし、管理できます。

概要

Advanced Threat Protection で提供される新しいセキュリティ階層では、異常なアクティビティに対するセキュリティ アラートが提供されるので、お客様は潜在的な脅威が発生したときにそれを検出して対応できます。 不審なデータベース アクティビティ、潜在的な脆弱性、SQL インジェクション攻撃や、異常なデータベース アクセスやクエリのパターンが見つかった場合に、ユーザーはアラートを受信します。 Advanced Threat Protection では、アラートと Microsoft Defender for Cloud が統合されます。これには、不審なアクティビティの詳細と、脅威の調査や危険性の軽減のために推奨される対処方法が含まれます。 Advanced Threat Protection を使用すると、データベースに対する潜在的な脅威に簡単に対処でき、セキュリティの専門家である必要や、高度なセキュリティ監視システムを管理する必要はありません。

完全な調査エクスペリエンスを実現するために、監査を有効にし、データベース イベントを Azure ストレージ アカウントの監査ログに書き込むことをお勧めします。 監査を有効にするには、Azure SQL Database と Azure Synapse の監査、または Azure SQL Managed Instance の監査に関するページを参照してください。

警告

Advanced Threat Protection では、データベースにアクセスしたり、データベースを悪用したりしようとする、通常とは異なる、害を及ぼす可能性のある試行を示す異常なアクティビティを検出します。 アラートの一覧については、Microsoft Defender for Cloud の SQL Database および Azure Synapse Analytics のアラートに関するセクションを参照してください。

疑わしいイベントの検出を試す

異常なデータベース アクティビティが検出されると、電子メールで通知を受け取ります。 電子メールでは、異常なアクティビティの特徴、データベース名、サーバー名、アプリケーション名、イベントの時刻など、疑わしいセキュリティ イベントについての情報が提供されます。 さらに、データベースへの潜在的な脅威の考えられる原因と調査や緩和のための推奨されるアクションについての情報も提供されます。

1. 電子メールの [View recent SQL alerts](最近の SQL アラートの表示) リンクをクリックして Azure portal を起動し、Microsoft Defender for Cloud のアラート ページを表示します。このページには、データベースで検出されたアクティブな脅威の概要が示されます。

   

2. 特定のアラートをクリックすると、この脅威の調査や今後の脅威を修復するための追加の詳細とアクションが表示されます。

   たとえば、SQL インジェクションはインターネット上でよくある Web アプリケーションのセキュリティ問題の 1 つであり、データ駆動型アプリケーションへの攻撃に使われます。 攻撃者は、アプリケーションの脆弱性を利用してアプリケーションの入力フィールドに悪意のある SQL ステートメントを挿入し、データベースのデータを侵害または変更します。 SQL インジェクションのアラートの場合、アラートの詳細に、悪用された脆弱性のある SQL ステートメントが含まれています。

   

Azure portal でアラートを調べる

Advanced Threat Protection では、アラートが Microsoft Defender for Cloud と統合されています。 データベース内のライブ SQL Advanced Threat Protection タイルと Azure portal の SQL Microsoft Defender for Cloud ブレードでは、アクティブな脅威の状態を追跡できます。

[Advanced Threat Protection アラート] をクリックすると、Microsoft Defender for Cloud のアラート ページが起動され、データベースに対して検出されたアクティブな SQL 脅威の概要が表示されます。

次のステップ

• Azure SQL Database と Azure Synapse の Advanced Threat Protection について説明します。
• Azure SQL Managed Instance の Advanced Threat Protection について説明します。
• Microsoft Defender for SQL の詳細について学習します。
• Azure SQL Database 監査の詳細について参照してください
• Microsoft Defender for Cloud の詳細について学習します。価格の詳細については、Azure SQL Database の価格ページを参照してください