Azure SQL Database の Advanced Threat ProtectionAdvanced Threat Protection for Azure SQL Database

Azure SQL Database および SQL Data Warehouse の Advanced Threat Protectionでは、データベースへのアクセスやデータベースの悪用を試みる、害を及ぼす可能性のある異常なアクティビティが検出されます。Advanced Threat Protection for Azure SQL Database and SQL Data Warehouse detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases.

Advanced Threat Protection は、高度な SQL セキュリティ機能の統合パッケージである Advanced Data Security (ADS) オファリングの一部です。Advanced Threat Protection is part of the Advanced data security (ADS) offering, which is a unified package for advanced SQL security capabilities. Advanced Threat Protection は、SQL ADS ポータルを使用して一元的にアクセスおよび管理できます。Advanced Threat Protection can be accessed and managed via the central SQL ADS portal.

注意

このトピックは Azure SQL サーバーのほか、その Azure SQL サーバーに作成される SQL Database と SQL Data Warehouse の両方に当てはまります。This topic applies to Azure SQL server, and to both SQL Database and SQL Data Warehouse databases that are created on the Azure SQL server. わかりやすいように、SQL Database という言葉で SQL Database と SQL Data Warehouse の両方を言い表します。For simplicity, SQL Database is used when referring to both SQL Database and SQL Data Warehouse.

Advanced Threat Protection とはWhat is Advanced Threat Protection

Advanced Threat Protection で提供される新しいセキュリティ階層では、異常なアクティビティに対するセキュリティ アラートが提供されるので、お客様は潜在的な脅威が発生したときにそれを検出して対応できます。Advanced Threat Protection provides a new layer of security, which enables customers to detect and respond to potential threats as they occur by providing security alerts on anomalous activities. 不審なデータベース アクティビティ、潜在的な脆弱性、SQL インジェクション攻撃や、異常なデータベース アクセスやクエリのパターンが見つかった場合に、ユーザーはアラートを受信します。Users receive an alert upon suspicious database activities, potential vulnerabilities, and SQL injection attacks, as well as anomalous database access and queries patterns. Advanced Threat Protection では、アラートと Azure Security Center が統合されます。これには、不審なアクティビティの詳細と、脅威の調査や危険性の軽減のために推奨される対処方法が含まれます。Advanced Threat Protection integrates alerts with Azure Security Center, which include details of suspicious activity and recommend action on how to investigate and mitigate the threat. Advanced Threat Protection を使用すると、データベースに対する潜在的な脅威に簡単に対処でき、セキュリティの専門家である必要や、高度なセキュリティ監視システムを管理する必要はありません。Advanced Threat Protection makes it simple to address potential threats to the database without the need to be a security expert or manage advanced security monitoring systems.

完全な調査エクスペリエンスを実現するために、データベース イベントを Azure ストレージ アカウントの監査ログに書き込む、SQL Database Auditing を有効にすることをお勧めします。For a full investigation experience, it is recommended to enable SQL Database Auditing, which writes database events to an audit log in your Azure storage account.

Advanced Threat Protection のアラートAdvanced Threat Protection alerts

Azure SQL Database の Advanced Threat Protection では、データベースへのアクセスやデータベースの悪用を試みる、害を及ぼす可能性のある異常なアクティビティが検出され、次のアラートがトリガーされます。Advanced Threat Protection for Azure SQL Database detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases and it can trigger the following alerts:

  • Vulnerability to SQL Injection (SQL インジェクションにつながる脆弱性) :このアラートは、アプリケーションがデータベースにエラーのある SQL ステートメントを生成したときにトリガーされます。Vulnerability to SQL injection: This alert is triggered when an application generates a faulty SQL statement in the database. このアラートは、SQL インジェクション攻撃に対する脆弱性が存在する可能性を示すものです。This alert may indicate a possible vulnerability to SQL injection attacks. エラーのあるステートメントが生成される理由として、次の 2 つが考えられます。There are two possible reasons for the generation of a faulty statement:

    • アプリケーション コードの欠陥により、エラーのある SQL 文が作成されるA defect in application code that constructs the faulty SQL statement
    • アプリケーション コードまたはストアド プロシージャが、SQL インジェクションに悪用される可能性があるエラーのある SQL ステートメントを作成するときにユーザー入力をサニタイズしないApplication code or stored procedures don't sanitize user input when constructing the faulty SQL statement, which may be exploited for SQL Injection
  • Potential SQL injection (SQL インジェクションの可能性) :このアラートは、SQL インジェクションに対する特定されたアプリケーションの脆弱性に対してアクティブな悪用が発生したときにトリガーされます。Potential SQL injection: This alert is triggered when an active exploit happens against an identified application vulnerability to SQL injection. これは、攻撃者が脆弱なアプリケーション コードまたはストアド プロシージャを使用して悪意のある SQL 文を挿入しようとしていることを意味します。This means the attacker is trying to inject malicious SQL statements using the vulnerable application code or stored procedures.

  • Access from unusual location (通常とは異なる場所からのアクセス) :このアラートは、だれかが通常とは異なる地理的な場所から SQL サーバーにログオンしたことで SQL Server へのアクセス パターンに変化が生じたときにトリガーされます。Access from unusual location: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual geographical location. このアラートで正当なアクション (新しいアプリケーションや開発者メンテナンス) が検出されることがあります。In some cases, the alert detects a legitimate action (a new application or developer maintenance). 別のケースでは、このアラートによって悪意のあるアクション (元従業員、外部の攻撃者) が検出されます。In other cases, the alert detects a malicious action (former employee, external attacker).

  • Access from unusual Azure data center (通常とは異なる Azure データ センターからのアクセス) :このアラートは、SQL Server へのアクセス パターンに変化が生じたときにトリガーされます。たとえば、だれかが通常とは異なる Azure データ センターから SQL Server にログオンしたことが、サーバーで最近確認された場合です。Access from unusual Azure data center: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual Azure data center that was seen on this server during the recent period. このアラートで正当なアクション (Azure、Power BI、Azure SQL クエリ エディターの新しいアプリケーション) が検出されることがあります。In some cases, the alert detects a legitimate action (your new application in Azure, Power BI, Azure SQL Query Editor). 別のケースでは、このアラートによって Azure リソース/サービス (元従業員、外部の攻撃者) からの悪意のあるアクションが検出されます。In other cases, the alert detects a malicious action from an Azure resource/service (former employee, external attacker).

  • Access from unfamiliar principal (通常とは異なるプリンシパルからのアクセス) :このアラートは、だれかが通常とは異なるプリンシパル (SQL ユーザー) を使用して SQL サーバーにログオンしたことで SQL サーバーへのアクセス パターンに変化が生じたときにトリガーされます。Access from unfamiliar principal: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server using an unusual principal (SQL user). このアラートで正当なアクション (新しいアプリケーションや開発者メンテナンス) が検出されることがあります。In some cases, the alert detects a legitimate action (new application, developer maintenance). 別のケースでは、このアラートによって悪意のあるアクション (元従業員、外部の攻撃者) が検出されます。In other cases, the alert detects a malicious action (former employee, external attacker).

  • Access from a potentially harmful application (潜在的に有害なアプリケーションからのアクセス) :このアラートは、データベースにアクセスするために潜在的に有害なアプリケーションが使用されたときにトリガーされます。Access from a potentially harmful application: This alert is triggered when a potentially harmful application is used to access the database. このアラートで実行中の侵入テストが検出されることがあります。In some cases, the alert detects penetration testing in action. 別のケースでは、このアラートで一般的な攻撃ツールを使用した攻撃が検出されます。In other cases, the alert detects an attack using common attack tools.

  • Brute force SQL credentials (SQL 資格情報に対するブルート フォース攻撃) :このアラートは、異なる資格情報でログインに失敗した回数が異常に多いときにトリガーされます。Brute force SQL credentials: This alert is triggered when there is an abnormal high number of failed logins with different credentials. このアラートで実行中の侵入テストが検出されることがあります。In some cases, the alert detects penetration testing in action. 別のケースでは、このアラートでブルート フォース攻撃が検出されます。In other cases, the alert detects brute force attack.

疑わしいイベントが検出されたときの異常なデータベース アクティビティの調査Explore anomalous database activities upon detection of a suspicious event

異常なデータベース アクティビティが検出されると、電子メールで通知を受け取ります。You receive an email notification upon detection of anomalous database activities. 電子メールでは、異常なアクティビティの特徴、データベース名、サーバー名、アプリケーション名、イベントの時刻など、疑わしいセキュリティ イベントについての情報が提供されます。The email provides information on the suspicious security event including the nature of the anomalous activities, database name, server name, application name, and the event time. さらに、データベースへの潜在的な脅威の考えられる原因と調査や緩和のための推奨されるアクションについての情報も提供されます。In addition, the email provides information on possible causes and recommended actions to investigate and mitigate the potential threat to the database.

異常アクティビティ レポート

  1. 電子メールの [View recent SQL alerts](最近の SQL アラートの表示) リンクをクリックして Azure Portal を起動し、Azure Security Center のアラート ページを表示します。このページには、SQL データベースで検出されたアクティブな脅威の概要が示されます。Click the View recent SQL alerts link in the email to launch the Azure portal and show the Azure Security Center alerts page, which provides an overview of active threats detected on the SQL database.

    アクティビティの脅威

  2. 特定のアラートをクリックすると、さらに詳細な情報と、この脅威を調査し、今後の脅威に対処するためのアクションが表示されます。Click a specific alert to get additional details and actions for investigating this threat and remediating future threats.

    たとえば、SQL インジェクションはインターネットにおける Web アプリケーションの最も一般的なセキュリティ問題の 1 つであり、データ駆動型アプリケーションの攻撃に使用されます。For example, SQL injection is one of the most common Web application security issues on the Internet that is used to attack data-driven applications. 攻撃者は、アプリケーションの脆弱性を利用してアプリケーションの入力フィールドに悪意のある SQL ステートメントを挿入し、データベースのデータを侵害または変更します。Attackers take advantage of application vulnerabilities to inject malicious SQL statements into application entry fields, breaching or modifying data in the database. SQL インジェクションのアラートの場合、アラートの詳細に、悪用された脆弱な SQL ステートメントが含まれています。For SQL Injection alerts, the alert’s details include the vulnerable SQL statement that was exploited.

    特定のアラート

Azure portal でデータベースの Advanced Threat Protection アラートを調査するExplore Advanced Threat Protection alerts for your database in the Azure portal

Advanced Threat Protection では、アラートが Azure Security Center と統合されています。Advanced Threat Protection integrates its alerts with Azure security center. データベース内のライブ SQL Advanced Threat Protection タイルと Azure portal の SQL ADS ブレードでは、アクティブな脅威の状態が追跡されます。Live SQL Advanced Threat Protection tiles within the database and SQL ADS blades in the Azure portal track the status of active threats.

[Advanced Threat Protection アラート] をクリックすると、Azure Security Center のアラート ページが起動され、データベースまたはデータ ウェアハウスに対して検出されたアクティブな SQL 脅威の概要が表示されます。Click Advanced Threat Protection alert to launch the Azure Security Center alerts page and get an overview of active SQL threats detected on the database or data warehouse.

Advanced Threat Protection アラート

Advanced Threat Protection アラート 2

次の手順Next steps