Usługa Advanced Threat Protection dla usługi Azure SQL DatabaseAdvanced Threat Protection for Azure SQL Database

Zaawansowana ochrona przed zagrożeniami dla Azure SQL Database i SQL Data Warehouse wykrywa anomalie działania wskazujące nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub ich wykorzystania.Advanced Threat Protection for Azure SQL Database and SQL Data Warehouse detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases.

Zaawansowana ochrona przed zagrożeniami jest częścią oferty Advanced Data Security (ADS), która jest ujednoliconym pakietem zaawansowanych funkcji zabezpieczeń SQL.Advanced Threat Protection is part of the Advanced data security (ADS) offering, which is a unified package for advanced SQL security capabilities. Dostęp do zaawansowanej ochrony przed zagrożeniami można uzyskać i zarządzać nimi za pośrednictwem centralnego portalu SQL ADS.Advanced Threat Protection can be accessed and managed via the central SQL ADS portal.

Uwaga

Ten temat dotyczy serwera Azure SQL oraz baz danych zarówno usługi SQL Database, jak i SQL Data Warehouse utworzonych na serwerze Azure SQL.This topic applies to Azure SQL server, and to both SQL Database and SQL Data Warehouse databases that are created on the Azure SQL server. Dla uproszczenia usługi SQL Database i SQL Data Warehouse są łącznie nazywane usługą SQL Database.For simplicity, SQL Database is used when referring to both SQL Database and SQL Data Warehouse.

Co to jest zaawansowana ochrona przed zagrożeniamiWhat is Advanced Threat Protection

Zaawansowana ochrona przed zagrożeniami zapewnia nową warstwę zabezpieczeń, która umożliwia klientom wykrywanie potencjalnych zagrożeń i reagowanie na nie w miarę ich występowania, zapewniając alerty zabezpieczeń w przypadku nietypowych działań.Advanced Threat Protection provides a new layer of security, which enables customers to detect and respond to potential threats as they occur by providing security alerts on anomalous activities. Użytkownicy otrzymują alerty o podejrzanych działaniach związanych z bazą danych, potencjalnych luk w zabezpieczeniach i atakach iniekcji SQL, a także o nietypowych wzorcach dostępu do bazy danych i zapytań.Users receive an alert upon suspicious database activities, potential vulnerabilities, and SQL injection attacks, as well as anomalous database access and queries patterns. Zaawansowana ochrona przed zagrożeniami integruje alerty z Azure Security Center, które zawierają szczegółowe informacje o podejrzanych działaniach i zalecaną akcję dotyczącą badania i łagodzenia zagrożeń.Advanced Threat Protection integrates alerts with Azure Security Center, which include details of suspicious activity and recommend action on how to investigate and mitigate the threat. Zaawansowana ochrona przed zagrożeniami pozwala łatwo rozwiązywać potencjalne zagrożenia dla bazy danych bez konieczności być specjalistą ds. zabezpieczeń ani zarządzać zaawansowanymi systemami monitorowania zabezpieczeń.Advanced Threat Protection makes it simple to address potential threats to the database without the need to be a security expert or manage advanced security monitoring systems.

W celu pełnego badania zaleca się włączenie inspekcji SQL Database, która zapisuje zdarzenia bazy danych w dzienniku inspekcji na koncie usługi Azure Storage.For a full investigation experience, it is recommended to enable SQL Database Auditing, which writes database events to an audit log in your Azure storage account.

Alerty zaawansowanej ochrony przed zagrożeniamiAdvanced Threat Protection alerts

Zaawansowana ochrona przed zagrożeniami dla Azure SQL Database wykrywa anomalie działania wskazujące nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub ich wykorzystania i może wyzwolić następujące alerty:Advanced Threat Protection for Azure SQL Database detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases and it can trigger the following alerts:

  • Podatność na iniekcję SQL: ten alert jest wyzwalany, gdy aplikacja generuje błędną instrukcję SQL w bazie danych.Vulnerability to SQL injection: This alert is triggered when an application generates a faulty SQL statement in the database. który może oznaczać możliwe luki w zabezpieczeniach umożliwiające ataki przez iniekcję kodu SQL.This alert may indicate a possible vulnerability to SQL injection attacks. Istnieją dwie możliwe przyczyny generowania błędnej instrukcji:There are two possible reasons for the generation of a faulty statement:

    • Usterka w kodzie aplikacji powoduje utworzenie błędnej instrukcji SQLA defect in application code that constructs the faulty SQL statement
    • Kod aplikacji lub procedury składowane nie oczyszczają danych wejściowych użytkownika podczas tworzenia błędnej instrukcji SQL, co można wykorzystać do iniekcji SQLApplication code or stored procedures don't sanitize user input when constructing the faulty SQL statement, which may be exploited for SQL Injection
  • Potencjalna iniekcja SQL: Ten alert jest wyzwalany w przypadku aktywnego wykorzystania zidentyfikowanej luki umożliwiającej iniekcję SQL w aplikacji.Potential SQL injection: This alert is triggered when an active exploit happens against an identified application vulnerability to SQL injection. Oznacza to, że osoba atakująca próbuje wstrzyknąć złośliwe instrukcje SQL, korzystając z podatnego kodu aplikacji lub procedur składowanych.This means the attacker is trying to inject malicious SQL statements using the vulnerable application code or stored procedures.

  • Dostęp z nietypowej lokalizacji: Ten alert jest wyzwalany w przypadku zmiany wzorca dostępu do serwera SQL, gdy ktoś zalogował się do serwera SQL z nietypowej lokalizacji geograficznej.Access from unusual location: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual geographical location. W niektórych przypadkach ten alert wykrywa prawidłowe działanie (nowa aplikacja lub konserwacja przeprowadzana przez deweloperów).In some cases, the alert detects a legitimate action (a new application or developer maintenance). W innych przypadkach ten alert wykrywa złośliwe działanie (były pracownik, zewnętrzna osoba atakująca).In other cases, the alert detects a malicious action (former employee, external attacker).

  • Dostęp z nietypowego centrum danych platformy Azure: Ten alert jest wyzwalany w przypadku zmiany wzorca dostępu do serwera SQL, gdy ktoś zalogował się do serwera SQL z nietypowego centrum danych platformy Azure, co zostało zaobserwowane na tym serwerze w ostatnim czasie.Access from unusual Azure data center: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual Azure data center that was seen on this server during the recent period. W niektórych przypadkach ten alert wykrywa prawidłowe działanie (nowa aplikacja na platformie Azure, usługa Power BI, edytor zapytań SQL platformy Azure).In some cases, the alert detects a legitimate action (your new application in Azure, Power BI, Azure SQL Query Editor). W innych przypadkach ten alert wykrywa złośliwe działanie z zasobu/usługi platformy Azure (były pracownik, zewnętrzna osoba atakująca).In other cases, the alert detects a malicious action from an Azure resource/service (former employee, external attacker).

  • Dostęp z nieznanego podmiotu zabezpieczeń: Ten alert jest wyzwalany w przypadku zmiany wzorca dostępu do serwera SQL, gdy ktoś zalogował się do serwera SQL za pomocą nietypowego podmiotu zabezpieczeń (użytkownika SQL).Access from unfamiliar principal: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server using an unusual principal (SQL user). W niektórych przypadkach ten alert wykrywa prawidłowe działanie (nowa aplikacja, konserwacja przeprowadzana przez deweloperów).In some cases, the alert detects a legitimate action (new application, developer maintenance). W innych przypadkach ten alert wykrywa złośliwe działanie (były pracownik, zewnętrzna osoba atakująca).In other cases, the alert detects a malicious action (former employee, external attacker).

  • Dostęp z potencjalnie szkodliwej aplikacji: Ten alert jest wyzwalany, gdy potencjalnie szkodliwa aplikacja jest używana w celu uzyskania dostępu do bazy danych.Access from a potentially harmful application: This alert is triggered when a potentially harmful application is used to access the database. W niektórych przypadkach ten alert wykrywa przeprowadzany test penetracji.In some cases, the alert detects penetration testing in action. W innych przypadkach ten alert wykrywa atak przy użyciu typowych narzędzi ataku.In other cases, the alert detects an attack using common attack tools.

  • Atak siłowy na poświadczenia SQL: Ten alert jest wyzwalany w przypadku nietypowo dużej liczby nieudanych prób logowania przy użyciu różnych poświadczeń.Brute force SQL credentials: This alert is triggered when there is an abnormal high number of failed logins with different credentials. W niektórych przypadkach ten alert wykrywa przeprowadzany test penetracji.In some cases, the alert detects penetration testing in action. W innych przypadkach ten alert wykrywa atak siłowy.In other cases, the alert detects brute force attack.

Zbadaj nietypowe działania bazy danych po wykryciu podejrzanego zdarzeniaExplore anomalous database activities upon detection of a suspicious event

Po wykryciu nietypowych działań bazy danych otrzymasz powiadomienie e-mail.You receive an email notification upon detection of anomalous database activities. Wiadomość e-mail zawiera informacje dotyczące podejrzanego zdarzenia zabezpieczeń, w tym charakter nietypowych działań, nazwę bazy danych, nazwę serwera, nazwę aplikacji i czas zdarzenia.The email provides information on the suspicious security event including the nature of the anomalous activities, database name, server name, application name, and the event time. Ponadto wiadomość e-mail zawiera informacje o możliwych przyczynach i zalecanych działaniach związanych z badaniem i łagodzeniem potencjalnego zagrożenia dla bazy danych.In addition, the email provides information on possible causes and recommended actions to investigate and mitigate the potential threat to the database.

Raport o nietypowych działaniach

  1. Kliknij link Wyświetl Ostatnie alerty SQL w wiadomości e-mail, aby uruchomić Azure Portal i wyświetlić stronę Azure Security Center alertów, która zawiera przegląd aktywnych zagrożeń wykrytych w bazie danych SQL.Click the View recent SQL alerts link in the email to launch the Azure portal and show the Azure Security Center alerts page, which provides an overview of active threats detected on the SQL database.

    Zagrożenia aktywności

  2. Kliknij konkretny alert, aby uzyskać dodatkowe szczegóły i akcje związane z badaniem tego zagrożenia i korygowaniem przyszłe zagrożenia.Click a specific alert to get additional details and actions for investigating this threat and remediating future threats.

    Na przykład iniekcja SQL to jeden z najczęstszych problemów z zabezpieczeniami aplikacji sieci Web w Internecie, który jest używany do ataku na aplikacje oparte na danych.For example, SQL injection is one of the most common Web application security issues on the Internet that is used to attack data-driven applications. Osoby atakujące wykorzystują luki w zabezpieczeniach, aby wstrzyknąć złośliwe instrukcje SQL do pól wprowadzania aplikacji, naruszania lub modyfikowania danych w bazie danych.Attackers take advantage of application vulnerabilities to inject malicious SQL statements into application entry fields, breaching or modifying data in the database. W przypadku alertów o iniekcji SQL szczegóły alertu obejmują wykorzystaną przez lukę instrukcję SQL.For SQL Injection alerts, the alert’s details include the vulnerable SQL statement that was exploited.

    Konkretny alert

Zapoznaj się z alertami dotyczącymi zaawansowanej ochrony przed zagrożeniami dla bazy danych w Azure PortalExplore Advanced Threat Protection alerts for your database in the Azure portal

Zaawansowana ochrona przed zagrożeniami integruje swoje alerty z usługą Azure Security Center.Advanced Threat Protection integrates its alerts with Azure security center. Kafelki SQL Advanced Threat Protection na żywo w ramach bazy danych i bloki usługi SQL AD w Azure Portal śledzą stan aktywnych zagrożeń.Live SQL Advanced Threat Protection tiles within the database and SQL ADS blades in the Azure portal track the status of active threats.

Kliknij alert zaawansowanej ochrony przed zagrożeniami , aby uruchomić stronę alerty Azure Security Center i zapoznać się z omówieniem aktywnych zagrożeń SQL wykrytych w bazie danych lub hurtowni danych.Click Advanced Threat Protection alert to launch the Azure Security Center alerts page and get an overview of active SQL threats detected on the database or data warehouse.

Alert dotyczący zaawansowanej ochrony przed zagrożeniami

Zaawansowana ochrona przed zagrożeniami Alert2

Następne krokiNext steps