SQL Advanced Threat Protection

適用対象: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics Azure VM 上の SQL Server Azure Arc 対応 SQL Server

Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAzure Virtual Machines 上の SQL ServerAzure Arc 対応 SQL Server の Advanced Threat Protection では、データベースへのアクセスやデータベースの悪用を試みる、害を及ぼす可能性のある異常なアクティビティが検出されます。

Advanced Threat Protection は、高度な SQL セキュリティ機能の統合パッケージである Microsoft Defender for SQL オファリングの一部です。 Advanced Threat Protection は、中央の Microsoft Defender for SQL ポータル経由でアクセスし、管理できます。

概要

Advanced Threat Protection で提供される新しいセキュリティ階層では、異常なアクティビティに対するセキュリティ アラートが提供されるので、お客様は潜在的な脅威が発生したときにそれを検出して対応できます。 不審なデータベース アクティビティ、潜在的な脆弱性、SQL インジェクション攻撃や、異常なデータベース アクセスやクエリのパターンが見つかった場合に、ユーザーはアラートを受信します。 Advanced Threat Protection では、アラートと Microsoft Defender for Cloud が統合されます。これには、不審なアクティビティの詳細と、脅威の調査や危険性の軽減のために推奨される対処方法が含まれます。 Advanced Threat Protection を使用すると、データベースに対する潜在的な脅威に簡単に対処でき、セキュリティの専門家である必要や、高度なセキュリティ監視システムを管理する必要はありません。

完全な調査エクスペリエンスを実現するために、監査を有効にし、データベース イベントを Azure ストレージ アカウントの監査ログに書き込むことをお勧めします。 監査を有効にするには、Azure SQL Database と Azure Synapse の監査、または Azure SQL Managed Instance の監査に関するページを参照してください。

警告

Advanced Threat Protection では、データベースにアクセスしたり、データベースを悪用したりしようとする、通常とは異なる、害を及ぼす可能性のある試行を示す異常なアクティビティを検出します。 アラートの一覧については、Microsoft Defender for Cloud の SQL Database および Azure Synapse Analytics のアラートに関するセクションを参照してください。

疑わしいイベントの検出を試す

異常なデータベース アクティビティが検出されると、電子メールで通知を受け取ります。 電子メールでは、異常なアクティビティの特徴、データベース名、サーバー名、アプリケーション名、イベントの時刻など、疑わしいセキュリティ イベントについての情報が提供されます。 さらに、データベースへの潜在的な脅威の考えられる原因と調査や緩和のための推奨されるアクションについての情報も提供されます。

異常アクティビティ レポート

  1. 電子メールの [View recent SQL alerts](最近の SQL アラートの表示) リンクをクリックして Azure portal を起動し、Microsoft Defender for Cloud のアラート ページを表示します。このページには、データベースで検出されたアクティブな脅威の概要が示されます。

    アクティビティの脅威

  2. 特定のアラートをクリックすると、さらに詳細な情報と、この脅威を調査し、今後の脅威に対処するためのアクションが表示されます。

    たとえば、SQL インジェクションはインターネットにおける Web アプリケーションの最も一般的なセキュリティ問題の 1 つであり、データ駆動型アプリケーションの攻撃に使用されます。 攻撃者は、アプリケーションの脆弱性を利用してアプリケーションの入力フィールドに悪意のある SQL ステートメントを挿入し、データベースのデータを侵害または変更します。 SQL インジェクションのアラートの場合、アラートの詳細に、悪用された脆弱な SQL ステートメントが含まれています。

    特定のアラート

Azure portal でアラートを調べる

Advanced Threat Protection では、アラートが Microsoft Defender for Cloud と統合されています。 データベース内のライブ SQL Advanced Threat Protection タイルと Azure portal の SQL Microsoft Defender for Cloud ブレードでは、アクティブな脅威の状態を追跡できます。

[Advanced Threat Protection アラート] をクリックすると、Microsoft Defender for Cloud のアラート ページが起動され、データベースに対して検出されたアクティブな SQL 脅威の概要が表示されます。

データベースでの Advanced Threat Protection のアラートに関する概要

Defender for SQL の高度な脅威保護

次のステップ