Azure Virtual Machines の SQL Server 向け Advanced Data Security (パブリック プレビュー)Advanced data security for SQL servers on Azure Virtual Machines (Public Preview)

Azure Virtual Machines の SQL サーバー向け Advanced Data Security は、高度な SQL セキュリティ機能のための統合パッケージです。Advanced data security for SQL Servers on Azure Virtual Machines is a unified package for advanced SQL security capabilities. 現時点 (パブリック プレビュー) では、データベースの潜在的な脆弱性を検出し、軽減する機能や、データベースに対する脅威を示している可能性がある異常なアクティビティを検出する機能が含まれています。It currently (in Public Preview) includes functionality for surfacing and mitigating potential database vulnerabilities and detecting anomalous activities that could indicate a threat to your database.

Azure VM SQL サーバー向けのこのセキュリティ オファリングは、Azure SQL Database Advanced Data Security パッケージで使用されているのと同じ基礎技術に基づいています。This security offering for Azure VMs SQL servers is based on the same fundamental technology used in the Azure SQL Database Advanced Data Security package.

概要Overview

Advanced Data Security では、脆弱性の評価と Advanced Threat Protection から構成される一連の高度な SQL セキュリティ機能が提供されます。Advanced data security provides a set of advanced SQL security capabilities, consisting of Vulnerability assessment and Advanced Threat Protection.

  • 脆弱性評価では、データベースの潜在的な脆弱性を検出、追跡、修復できるサービスを簡単に構成できます。Vulnerability assessment is an easy to configure service that can discover, track, and help you remediate potential database vulnerabilities. セキュリティの状態を伝え、セキュリティの問題を解決してデータベースのセキュリティを強化するための手順が含まれます。It provides visibility into your security state, and includes the steps to resolve security issues and enhance your database fortifications.
  • Advanced Threat Protection では、SQL サーバーにアクセスしたり、SQL サーバーを悪用したりしようとする、通常とは異なる、害を及ぼす可能性のある試行を示す異常なアクティビティが検出されます。Advanced Threat Protection detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit your SQL server. データベースでの不審なアクティビティを継続的に監視し、異常なデータベース アクセス パターンに対してアクション指向のセキュリティ通知を提供します。It continuously monitors your database for suspicious activities and provides action-oriented security alerts on anomalous database access patterns. このようなアラートからは、不審なアクティビティの詳細と、脅威の調査や危険性の軽減のために推奨されるアクションが提示されます。These alerts provide the suspicious activity details and recommended actions to investigate and mitigate the threat.

Azure VM の SQL 向け Advanced Data Security を使ってみるGet started with Advanced Data Security for SQL on Azure VMs

Azure VM の SQL 向け Advanced Data Security (パブリック プレビュー) を使ってみるには、以下の手順に従います。The following steps get you started with Advanced Data Security for SQL on Azure VMs Public Preview.

Azure VM の SQL 向け Advanced Data Security を設定するSet up Advanced Data Security for SQL on Azure VMs

開始する前に:分析対象のセキュリティ ログを保存するための Log Analytics ワークスペースが必要になります。Before you begin: You need a Log Analytics workspace to store the security logs being analyzed. 用意していない場合は簡単に作成できます。詳細は、「Azure ポータルで Log Analytics ワークスペースを作成する」にあります。If you do not have one, then you can create one easily, as explained in Create a Log Analytics workspace in the Azure portal.

  1. SQL サーバーをホストしている VM を Log Analytics ワークスペースに接続します。Connect the VM hosting the SQL server to the Log Analytics workspace. 方法については、「Windows コンピューターを Azure Monitor に接続する」を参照してください。For instructions, see Connect Windows computers to Azure Monitor.

  2. Azure Marketplace から、SQL Advanced Data Security ソリューションに移動します。From Azure Marketplace, go to the SQL Advanced Data Security solution. (次の画像のように、マーケットプレースの検索オプションで検索できます。) [SQL Advanced Data Security] ページが開きます。(You can find it using the marketplace search option, as see in the following image.) The SQL Advanced Data Security page opens.

    IaaS 向けの Advanced Data Security

  3. Create をクリックしてください。Click Create. ワークスペースが表示されます。The workplaces are displayed.

    Advanced Data Security の [作成]

  4. 使用するワークスペースを選択し、 [作成] をクリックします。Select the workspace to use and click Create.

    ワークスペースを選択

  5. VM の SQL サーバーを再起動します。Restart the VM's SQL server.

セキュリティ通知について調査するExplore and investigate security alerts

現在のセキュリティ通知を表示し、管理できます。You can view and manage your current security alerts.

  1. [Security Center] > 、 [セキュリティ通知] の順にクリックし、アラートをクリックします。Click Security Center > Security Alerts, and click on an alert.

    アラートの検索

  2. [攻撃されたリソース] 列で、攻撃されたリソースをクリックします。From the Attacked Resource column, click on a resource that has been attacked.

  3. 現在の脅威について調査し、将来の脅威に対処するため、アラートの詳細とアクションを表示するには、 [全般情報] ページを下にスクロールし、 [修復の手順] セクションで [調査手順] リンクをクリックします。To view alert details and actions for investigating the current threat and addressing future threats, scroll down the General information page, and in the Remediation steps section, click on the INVESTIGATION STEPS link.

    修復の手順

  4. アラートのトリガーに関連付けられているログを表示するには、 [Log Analytics ワークスペース] に移動し、次の手順を実行します。To view the logs that are associated with the triggering of the alert, go to Log analytics workspaces and do the following steps:

    注意

    [Log Analytics ワークスペース] が左のメニューに表示されない場合、 [すべてのサービス] をクリックし、 [Log Analytics ワークスペース] を検索します。If Log analytics workspaces doesn’t appear at the left menu, click All services, and search for Log analytics workspaces.

    1. [価格レベル] 列と [ワークスペース ID] 列が表示されるようにします。Be sure the columns are displaying the Pricing tier and WorkspaceID columns. ( [Log Analytics ワークスペース] > 、 [列の編集] の順に選択し、 [価格レベル][ワークスペース ID] を追加します。)(Log analytics workspaces > Edit columns, add Pricing tier and WorkspaceID.)

    列の編集

    1. アラート ログのあるワークスペースをクリックします。Click on the workspace that has the alert logs.

    2. [全般] メニューで [ログ] をクリックします。Under the General menu, click Logs

    3. SQLAdvancedThreatProtection テーブルの横にある眼をクリックします。Click the eye next to SQLAdvancedThreatProtection table. ログが一覧表示されます。The logs are listed.

    ログの表示

ATP アラートのメール通知を設定するSet Up Email Notification for ATP Alerts

ASC アラートの生成時にメール通知を受け取る受信者の一覧を設定できます。You can set a list of recipients to receive an email notification when ASC alerts are generated. メールには、Azure Security Center におけるアラートの直接リンクと関連するすべての詳細が含まれます。The email contains a direct link to the alert in Azure Security Center with all the relevant details.

  1. [Security Center] > [Pricing & settings](価格と設定) に移動し、適切なサブスクリプションをクリックします。Go to Security Center > Pricing & settings and click on the relevant subscription

    サブスクリプション設定

  2. [設定] メニューから、 [メール通知] をクリックします。From the Settings menu click Email notifications.

  3. [メール アドレス] テキスト ボックスに、通知を受け取るメール アドレスを入力します。In the Email address text box, enter the email addresses to receive the notifications. メール アドレスをコンマ (,) で区切ることで複数のメール アドレスを入力できます。You can enter more than one email address by separating the email addresses with a comma (,). たとえば、「admin1@mycompany.com,admin2@mycompany.com,admin3@mycompany.com」のようにします。For example admin1@mycompany.com,admin2@mycompany.com,admin3@mycompany.com

    電子メールの設定

  4. [メール通知] 設定で、次のオプションを設定します。In the Email notification settings, set the following options:

    • 重要度 - 高についてアラートの電子メール通知を送信する:すべてのアラートに対してメールを送信する代わりに、重要度が高のアラートに対してのみ送信します。Send email notification for high severity alerts: Instead of sending emails for all alerts, send only for high severity alerts.
    • サブスクリプションの所有者にも電子メール通知を送信する:サブスクリプションの所有者にも通知を送信します。Also send email notifications to subscription owners: Send notifications to the subscriptions owners too.
  5. [メール通知] 画面の一番上にある [保存] をクリックします。In the top of the Email notifications screen, click Save.

注意

ウィンドウを閉じる前に必ず [保存] をクリックしてください。クリックしない場合、新しいメール通知設定が保存されません。Be sure to click Save before closing the window, or the new Email notification settings will not be saved.

脆弱性評価レポートについて調べるExplore Vulnerability Assessment Reports

脆弱性評価ダッシュボードには、すべてのデータベースを対象とする評価結果の概要が表示されます。The Vulnerability assessment dashboard provides an overview of your assessment results across all your databases. SQL Server バージョンによるデータベースのディストリビューション、失格となったデータベースと合格となったデータベースの比較概要、リスク ディストリビューションによるチェック不合格の全体的まとめを確認できます。You can view the distribution of databases according to SQL Server version, along with a summary of failing versus passing databases and an overall summary of failing checks according to risk distribution.

脆弱性評価の結果とレポートは、Log Analytics から直接表示できます。You can view your Vulnerability assessment results and reports directly from Log Analytics.

  1. Advanced Data Security ソリューションで Log Analytics ワークスペースに移動します。Navigate to your Log Analytics workspace with the Advanced Data Security solution.

  2. [ソリューション] に移動し、 [SQL の脆弱性評価] ソリューションを選択します。Navigate to Solutions and select the SQL Vulnerability Assessment solution.

  3. [概要] ウィンドウで、 [概要の表示] をクリックし、 [SQL Vulnerability Assessment Report](SQL の脆弱性評価レポート) を選択します。In the Summary pane, click View Summary and select your SQL Vulnerability Assessment Report.

    SQL 評価レポート

    レポート ダッシュボードが読み込まれます。The report dashboard loads. 時間枠が少なくとも [過去 7 日間] に設定されていることを確認してください。これは、脆弱性評価はデータベースで、7 日間に 1 回という固定のスケジュールで実行されるためです。Make sure the time window is set to at least the Last 7 days since vulnerability assessment scans are run on your databases on a fixed schedule of once per 7 days.

    過去 7 日間を設定します

  4. 詳細を見るには、いずれかのダッシュボード要素をクリックします。To drill down for more details, click on any of the dashboard elements. 例:For example:

    1. [Failed checks summary](失敗したチェックのまとめ) セクションの脆弱性チェックをクリックすると、Log Analytics テーブルと、すべてのデータベースに対して行ったこのチェックの結果が表示されます。Click on a Vulnerability check in the Failed checks summary section to view a Log Analytics table with the results for this check across all databases. 結果が含まれるものが最初に表示されます。The ones that have results are listed first.

    2. 次に、クリックして、該当するデータベースの脆弱性の説明と影響、状態、関連リスク、実際の結果を含む、各脆弱性の詳細を表示します。Then, click through to view details for each vulnerability, including the vulnerability description and impact, status, associated risk, and actual results on this database. このチェックのために実行された実際のクエリとこの脆弱性を解決するための修復情報も確認できます。You can also see the actual Query that was run to perform this check, and remediation information for resolving this vulnerability.

    ワークスペースを選択

    ワークスペースを選択

  5. 脆弱性評価の結果データに Log Analytics クエリを実行し、ニーズに基づいてデータを詳細に分析できます。You can run any Log Analytics queries on your Vulnerability Assessment results data, to slice and dice the data according to your needs.

Azure VM の SQL サーバー向け Advanced Threat Protection のアラートAdvanced Threat Protection for SQL Servers on Azure VMs Alerts

普段は見られない、潜在的に有害な SQL Server へのアクセスが試行されると、あるいは SQL Server の悪用が試行されると、アラートが生成されます。Alerts are generated by unusual and potentially harmful attempts to access or exploit SQL Servers. これらのイベントにより、次のアラートがトリガーされる場合があります。These events can trigger the following alerts:

(パブリック プレビューでサポートされている) 異常なアクセス パターンのアラートAnomalous access pattern alerts (supported in Public Preview)

  • 通常とは異なる場所からのアクセス: このアラートは、だれかが通常とは異なる地理的な場所から SQL サーバーにログオンしたことで SQL Server へのアクセス パターンに変化が生じたときにトリガーされます。Access from unusual location: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual geographical location. 考えられる原因は次のとおりです。Potential causes:
    • 攻撃者または悪意のある元社員が SQL Server にアクセスしました。An attacker or former malicious employ has accessed your SQL Server.
    • 正当なユーザーが新しい場所から SQL Server にアクセスしました。A legitimate user has accessed your SQL Server from a new location.
  • 潜在的に有害なアプリケーションからのアクセス: このアラートは、データベースにアクセスするために潜在的に有害なアプリケーションが使用されたときにトリガーされます。Access from a potentially harmful application: his alert is triggered when a potentially harmful application is used to access the database. 考えられる原因は次のとおりです。Potential causes:
    • 一般的な攻撃ツールで攻撃者が SQL を侵害しようとしています。An attacker trying to breach your SQL using common attack tools.
    • 正当な侵入テストが行われています。A legitimate penetration testing in action.
  • Access from unfamiliar principal (通常とは異なるプリンシパルからのアクセス) :このアラートは、だれかが通常とは異なるプリンシパル (SQL ユーザー) を使用して SQL サーバーにログオンしたことで SQL サーバーへのアクセス パターンに変化が生じたときにトリガーされます。Access from unfamiliar principal: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server using an unusual principal (SQL user). 考えられる原因は次のとおりです。Potential causes:
    • 攻撃者または悪意のある元社員が SQL Server にアクセスしました。An attacker or former malicious employ has accessed your SQL Server.
    • 正当なユーザーが新しいプリンシパルで SQL Server にアクセスしました。A legitimate user has accessed your SQL Server from with a new principal.
  • Brute force SQL credentials (SQL 資格情報に対するブルート フォース攻撃) :このアラートは、異なる資格情報でログインに失敗した回数が異常に多いときにトリガーされます。Brute force SQL credentials: This alert is triggered when there is an abnormal high number of failed logins with different credentials. 考えられる原因は次のとおりです。Potential causes:
    • ブルート フォースで攻撃者が SQL を侵害しようとしています。An attacker trying to breach your SQL using brute force.
    • 正当な侵入テストが行われています。A legitimate penetration testing in action.

潜在的な SQL インジェクション攻撃 (準備中)Potential SQL Injection attacks (coming)

  • Vulnerability to SQL Injection (SQL インジェクションにつながる脆弱性) :このアラートは、アプリケーションがデータベースにエラーのある SQL ステートメントを生成したときにトリガーされます。Vulnerability to SQL injection: This alert is triggered when an application generates a faulty SQL statement in the database. このアラートは、SQL インジェクション攻撃に対する脆弱性が存在する可能性を示すものです。This alert may indicate a possible vulnerability to SQL injection attacks. 考えられる原因は次のとおりです。Potential causes:
    • アプリケーション コードの欠陥により、エラーのある SQL 文が作成されるA defect in application code that constructs the faulty SQL statement
    • アプリケーション コードまたはストアド プロシージャが、SQL インジェクションに悪用される可能性があるエラーのある SQL ステートメントを作成するときにユーザー入力をサニタイズしないApplication code or stored procedures don't sanitize user input when constructing the faulty SQL statement, which may be exploited for SQL Injection
  • Potential SQL injection (SQL インジェクションの可能性) :このアラートは、SQL インジェクションに対する特定されたアプリケーションの脆弱性に対してアクティブな悪用が発生したときにトリガーされます。Potential SQL injection: This alert is triggered when an active exploit happens against an identified application vulnerability to SQL injection. これは、攻撃者が脆弱なアプリケーション コードまたはストアド プロシージャを使用して悪意のある SQL 文を挿入しようとしていることを意味します。This means the attacker is trying to inject malicious SQL statements using the vulnerable application code or stored procedures.