Zaawansowana ochrona przed zagrożeniami SQL

dotyczy: Azure SQL Database analityczne wystąpienie usługi Azure SQL Azure Synapse Analytics SQL Server na maszynie wirtualnej platformy Azure Azure Arc włączone SQL Server

Usługa Advanced Threat Protection dla usług Azure SQL Database, Azure SQL Managed Instance, Azure Synapse Analytics,SQL Server na platformie Azure Virtual Machines i włączona usługa Azure Arc SQL Server Azure Arc wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich.

Usługa Advanced Threat Protection jest częścią oferty Azure Defender for SQL, która jest ujednoliconym pakietem zaawansowanych funkcji zabezpieczeń SQL. Usługa Advanced Threat Protection jest dostępna i zarządzana za pośrednictwem centralnej Azure Defender dla portalu SQL.

Omówienie

Zaawansowana ochrona przed zagrożeniami zapewnia nową warstwę zabezpieczeń, która umożliwia klientom wykrywanie potencjalnych zagrożeń i reagowanie na nie w czasie ich wystąpienia przez dostarczanie alertów zabezpieczeń dotyczących anomalii działań. Użytkownicy otrzymują alerty dotyczące podejrzanych działań bazy danych, potencjalnych luk w zabezpieczeniach i ataków przez wstrzyknięcie kodu SQL, a także anomalii dostępu do bazy danych i wzorców zapytań. Zaawansowana ochrona przed zagrożeniami integruje alerty z Azure Security Center ,które zawierają szczegółowe informacje o podejrzanych działaniach i zalecane działania dotyczące sposobu badania i ograniczania zagrożenia. Zaawansowana ochrona przed zagrożeniami ułatwia rozwiązanie potencjalnych zagrożeń dla bazy danych bez konieczności być ekspertem ds. zabezpieczeń ani zarządzać zaawansowanymi systemami monitorowania zabezpieczeń.

Aby uzyskać pełne środowisko badania, zaleca się włączenie inspekcji, która zapisuje zdarzenia bazy danych w dzienniku inspekcji na koncie usługi Azure Storage. Aby włączyć inspekcję, zobacz Auditing for Azure SQL Database and Azure Synapse or Auditing for Azure SQL Managed Instance (Inspekcja dla Azure SQL Database i Azure Synapse lub Inspekcja dla Azure SQL Managed Instance.

Alerty

Zaawansowana ochrona przed zagrożeniami wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Aby uzyskać listę alertów, zobacz Alertydla SQL Database i Azure Synapse Analytics w Azure Security Center .

Wykrywanie podejrzanego zdarzenia

Otrzymasz powiadomienie e-mail po wykryciu anomalii działań bazy danych. Wiadomość e-mail zawiera informacje o podejrzanym zdarzeniu zabezpieczeń, w tym charakter anomalii działań, nazwę bazy danych, nazwę serwera, nazwę aplikacji i czas zdarzenia. Ponadto wiadomość e-mail zawiera informacje o możliwych przyczynach i zalecanych akcjach w celu zbadania i ograniczenia potencjalnego zagrożenia dla bazy danych.

Raport anomalii działań

  1. Kliknij link Wyświetl ostatnie alerty SQL w wiadomości e-mail, aby uruchomić usługę Azure Portal i wyświetlić stronę alertów usługi Azure Security Center, która zawiera omówienie aktywnych zagrożeń wykrytych w bazie danych.

    Zagrożenia związane z działaniem

  2. Kliknij określony alert, aby uzyskać dodatkowe szczegóły i akcje dotyczące badania tego zagrożenia i korygowania przyszłych zagrożeń.

    Na przykład iniekcja SQL jest jednym z najbardziej typowych problemów z zabezpieczeniami aplikacji internetowych w Internecie, który jest używany do ataków na aplikacje oparte na danych. Osoby atakujące wykorzystają luki w zabezpieczeniach aplikacji, aby wstrzyknąć złośliwe instrukcje SQL do pól wprowadzania aplikacji, naruszenie lub zmodyfikowanie danych w bazie danych. W przypadku alertów iniekcji SQL szczegóły alertu obejmują instrukcje SQL, które są narażone na luki w zabezpieczeniach.

    Określony alert

Eksplorowanie alertów w Azure Portal

Usługa Advanced Threat Protection integruje swoje alerty z usługą Azure Security Center. Kafelki usługi Sql Advanced Threat Protection na żywo w bazie danych i w Azure Defender SQL Azure Portal śledzą stan aktywnych zagrożeń.

Kliknij pozycję Alert usługi Advanced Threat Protection, aby Azure Security Center stronę alertów i uzyskać przegląd aktywnych zagrożeń SQL wykrytych w bazie danych.

Alerty zaawansowanej ochrony przed zagrożeniami w bazie danych — omówienie

zaawansowana ochrona przed zagrożeniami w Centrum zabezpieczeń

Następne kroki