Auditoria do Banco de Dados SQL do Azure e Azure Synapse Analytics

Aplica-se a:Banco de Dados SQL do AzureAzure Synapse Analytics

A auditoria do Banco de Dados SQL e do Azure Synapse Analytics rastreia eventos do banco de dados e os grava em um log de auditoria na sua conta de armazenamento do Azure, no workspace do Log Analytics ou nos Hubs de Eventos.

A auditoria também:

  • Ajuda a manter conformidade com as normas, entender a atividade do banco de dados e aprofundar-se sobre discrepâncias e anomalias que podem indicar preocupações comerciais ou violações suspeitas de segurança.

  • Permite e facilita a adesão aos padrões de conformidade, embora não garanta a conformidade. Para saber mais, confira a Central de Confiabilidade do Microsoft Azure, onde é possível encontrar a lista mais atual de certificações de conformidade do Banco de Dados SQL.

Observação

Para obter informações sobre a auditoria da Instância Gerenciada de SQL do Azure, confira Introdução à auditoria de Instância Gerenciada de SQL.

Visão geral

É possível usar a auditoria do Banco de Dados SQL para:

  • Retenha uma trilha de auditoria dos eventos selecionados. Definir categorias de ações de banco de dados a ser auditadas.
  • Relate sobre a atividade do banco de dados. Utilizar relatórios pré-configurados e um painel para iniciar rapidamente um relatório de atividades e eventos.
  • Analise relatórios. Encontrar eventos suspeitos, atividades incomuns e tendências.

Importante

A auditoria do Banco de Dados SQL do Azure, dos pools de SQL do Azure Synapse e da Instância Gerenciada de SQL do Azure é otimizada para disponibilidade e desempenho dos bancos de dados ou das instâncias que estão sendo auditadas. Durante períodos de atividade muito alta ou alta carga de rede, o recurso de auditoria pode permitir que as transações prossigam sem registrar todos os eventos marcados para auditoria.

Limitações da auditoria

  • Não há compatibilidade para habilitar a auditoria nos pools de SQL do Azure Synapse em pausa. Para habilitar a auditoria, retome o pool de SQL do Synapse.
  • Não há suporte para habilitar a auditoria usando a UAMI (Identidade Gerenciada Atribuída pelo Usuário) no Azure Synapse.
  • A auditoria de pools do Azure Synapse Analytics dá suporte apenas a grupos de ação de auditoria padrão.
  • Quando você configura a auditoria para um servidor lógico no Azure ou no Banco de Dados SQL do Azure com o destino do log como uma conta de armazenamento, o modo de autenticação deve corresponder à configuração dessa conta de armazenamento. Se você estiver usando chaves de acesso de armazenamento como o tipo de autenticação, a conta de armazenamento de destino deverá ser habilitada com acesso às chaves da conta de armazenamento. Se a conta de armazenamento estiver configurada para usar apenas a autenticação com o Microsoft Entra ID (anteriormente, Azure Active Directory), a auditoria poderá ser configurada para usar identidades gerenciadas para autenticação.

Comentários

  • Há suporte para o armazenamento Premium com o BlockBlobStorage. Há suporte para o armazenamento Standard. No entanto, para que a auditoria seja gravada em uma conta de armazenamento protegida por uma VNet ou um firewall, você precisa ter uma conta de armazenamento v2 de uso geral. Se tiver uma conta de armazenamento de uso geral v1 ou de Armazenamento de Blobs, atualize para uma conta de armazenamento de uso geral v2. Para ver instruções específicas, consulte Gravar auditoria em uma conta de armazenamento atrás de uma VNet e um firewall. Para obter mais informações, veja Tipos de contas de armazenamento.
  • Há suporte para o namespace hierárquico para todos os tipos de conta de armazenamento Standard e Premium com o BlockBlobStorage.
  • Os logs de auditoria são gravados nos Blob de acréscimo em um Armazenamento de Blobs do Azure em sua assinatura do Azure
  • Os logs de auditoria estão no formato .xel e podem ser abertos com o SSMS (SQL Server Management Studio).
  • Para configurar um repositório de logs imutável ou eventos de auditoria no nível do banco de dados, siga as instruções fornecidas pelo Armazenamento do Azure. Verifique se você selecionou Permitir acréscimos adicionais ao configurar o armazenamento de blob imutável.
  • Você pode gravar logs de auditoria em uma conta do Armazenamento do Azure protegida por uma VNet ou um firewall.
  • Para obter detalhes sobre o formato de log, a hierarquia da pasta de armazenamento e as convenções de nomenclatura, confira a Referência de formato do log de auditoria de blob.
  • A auditoria em réplicas somente leitura é habilitada automaticamente. Para obter mais informações sobre a hierarquia das pastas de armazenamento, as convenções de nomenclatura e o formato do log, confira Formato do log de auditoria do Banco de Dados SQL.
  • Ao usar a autenticação do Microsoft Entra, os registros de logons com falha não são mostrados no log de auditoria SQL. Para ver os registros de auditoria de logon com falha você precisa acessar o portal do Centro de administração Microsoft Entra, que registra em log os detalhes desses eventos.
  • Os logons são encaminhados pelo gateway para a instância específica em que o banco de dados está localizado. Com os logons do Microsoft Entra, as credenciais são verificadas antes da tentativa de usar esse usuário para entrar no banco de dados solicitado. Em caso de falha, o banco de dados solicitado nunca é acessado, portanto, a auditoria não é realizada. Com logons do SQL, as credenciais são verificadas nos dados solicitados e, portanto, nesse caso, elas podem ser auditadas. Os logons bem-sucedidos, que obviamente alcançaram o banco de dados, são auditados em ambos os casos.
  • Depois de definir as configurações de auditoria, você poderá ativar o novo recurso de detecção de ameaças e configurar emails para receber alertas de segurança. Ao usar a detecção de ameaças, você recebe alertas proativos sobre atividades anômalas do banco de dados que podem indicar possíveis ameaças à segurança. Para obter mais informações, consulte Introdução à detecção de ameaças.
  • Depois que um banco de dados com auditoria habilitada for copiado para outro servidor lógico, pode ser que você receba um email notificando que a auditoria falhou. Trata-se de um problema conhecido; a auditoria deve funcionar conforme o esperado no banco de dados recém-copiado.

Próximas etapas

Confira também