Proteção Avançada contra Ameaças para o Banco de Dados SQL do AzureAdvanced Threat Protection for Azure SQL Database

A proteção avançada contra ameaças para o banco de dados SQL do Azure e o SQL data warehouse detecta atividades anormais que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados.Advanced Threat Protection for Azure SQL Database and SQL Data Warehouse detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases.

A proteção avançada contra ameaças faz parte da oferta do ADS ( segurança de dados avançada ), que é um pacote unificado para recursos avançados de segurança do SQL.Advanced Threat Protection is part of the Advanced data security (ADS) offering, which is a unified package for advanced SQL security capabilities. A proteção avançada contra ameaças pode ser acessada e gerenciada por meio do portal central de anúncios do SQL.Advanced Threat Protection can be accessed and managed via the central SQL ADS portal.

Observação

Este tópico aplica-se ao servidor SQL do Azure e aos bancos de dados SQL e SQL Data Warehouse criados no servidor do SQL do Azure.This topic applies to Azure SQL server, and to both SQL Database and SQL Data Warehouse databases that are created on the Azure SQL server. Para simplificar, o banco de dados SQL é usado quando se refere ao Banco de Dados SQL e ao SQL Data Warehouse.For simplicity, SQL Database is used when referring to both SQL Database and SQL Data Warehouse.

O que é proteção avançada contra ameaçasWhat is Advanced Threat Protection

A proteção avançada contra ameaças fornece uma nova camada de segurança, que permite que os clientes detectem e respondam a ameaças potenciais à medida que ocorrem, fornecendo alertas de segurança em atividades anormais.Advanced Threat Protection provides a new layer of security, which enables customers to detect and respond to potential threats as they occur by providing security alerts on anomalous activities. Os usuários receberão um alerta em caso de atividades suspeitas em bancos de dados, possíveis vulnerabilidades e ataques de injeção de SQL, bem como padrões anômalos de consultas e acesso a banco de dados.Users receive an alert upon suspicious database activities, potential vulnerabilities, and SQL injection attacks, as well as anomalous database access and queries patterns. A proteção avançada contra ameaças integra alertas com a central de segurança do Azure, que inclui detalhes de atividades suspeitas e recomendação de ações sobre como investigar e atenuar a ameaça.Advanced Threat Protection integrates alerts with Azure Security Center, which include details of suspicious activity and recommend action on how to investigate and mitigate the threat. A proteção avançada contra ameaças simplifica a endereçamento de ameaças potenciais ao banco de dados sem a necessidade de ser um especialista em segurança ou gerenciar sistemas de monitoramento de segurança avançados.Advanced Threat Protection makes it simple to address potential threats to the database without the need to be a security expert or manage advanced security monitoring systems.

Para uma experiência de investigação completa, é recomendável habilitar a Auditoria de Banco de Dados SQL, que grava eventos de banco de dados em um log de auditoria na conta de armazenamento do Azure.For a full investigation experience, it is recommended to enable SQL Database Auditing, which writes database events to an audit log in your Azure storage account.

Alertas da Proteção Avançada contra AmeaçasAdvanced Threat Protection alerts

A proteção avançada contra ameaças para o banco de dados SQL do Azure detecta atividades anormais que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados e pode disparar os seguintes alertas:Advanced Threat Protection for Azure SQL Database detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases and it can trigger the following alerts:

  • Vulnerabilidade à injeção de SQL: esse alerta é disparado quando um aplicativo gera uma instrução SQL com falha no banco de dados.Vulnerability to SQL injection: This alert is triggered when an application generates a faulty SQL statement in the database. Esse alerta pode indicar uma possível vulnerabilidade a ataques de injeção de SQL.This alert may indicate a possible vulnerability to SQL injection attacks. Há dois motivos possíveis para a geração de uma instrução com erro:There are two possible reasons for the generation of a faulty statement:

    • Um defeito no código do aplicativo que cria a instrução SQL com erroA defect in application code that constructs the faulty SQL statement
    • O código do aplicativo ou procedimentos armazenados não limpam a entrada do usuário ao construir a instrução SQL com erro, o que pode ser explorado para injeção de SQLApplication code or stored procedures don't sanitize user input when constructing the faulty SQL statement, which may be exploited for SQL Injection
  • Potencial injeção de SQL: Este alerta é disparado quando acontece uma exploração ativa em uma vulnerabilidade do aplicativo identificada para injeção de SQL.Potential SQL injection: This alert is triggered when an active exploit happens against an identified application vulnerability to SQL injection. Isso significa que o invasor está tentando inserir instruções SQL maliciosas usando o código de aplicativo ou procedimentos armazenados vulneráveis.This means the attacker is trying to inject malicious SQL statements using the vulnerable application code or stored procedures.

  • Acesso a partir de um local incomum: Este alerta é disparado quando há uma alteração no padrão de acesso ao SQL Server, em que alguém fez logon no SQL Server a partir de um local geográfico incomum.Access from unusual location: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual geographical location. Em alguns casos, o alerta detecta uma ação legítima (um novo aplicativo ou manutenção do desenvolvedor).In some cases, the alert detects a legitimate action (a new application or developer maintenance). Em outros casos, o alerta detecta uma ação mal-intencionada (funcionário antigo, invasor externo).In other cases, the alert detects a malicious action (former employee, external attacker).

  • Acesso a partir de um data center do Azure incomum: Este alerta é disparado quando há uma alteração no padrão de acesso ao SQL Server, onde alguém fez logon no SQL Server a partir de um data center do Azure incomum que foi visto neste servidor durante um período recente.Access from unusual Azure data center: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual Azure data center that was seen on this server during the recent period. Em alguns casos, o alerta detecta uma ação legítima (seu novo aplicativo no Azure, o Power BI, Azure SQL Query Editor).In some cases, the alert detects a legitimate action (your new application in Azure, Power BI, Azure SQL Query Editor). Em outros casos, o alerta detecta uma ação mal-intencionada de um recurso/serviço do Azure (funcionário antigo, invasor externo).In other cases, the alert detects a malicious action from an Azure resource/service (former employee, external attacker).

  • Acesso a partir de uma entidade de segurança não familiar: Este alerta é disparado quando há uma alteração no padrão de acesso ao SQL Server, onde alguém fez logon no SQL Server a partir de uma entidade de segurança incomum (usuário SQL).Access from unfamiliar principal: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server using an unusual principal (SQL user). Em alguns casos, o alerta detecta uma ação legítima (novo aplicativo ou manutenção do desenvolvedor).In some cases, the alert detects a legitimate action (new application, developer maintenance). Em outros casos, o alerta detecta uma ação mal-intencionada (funcionário antigo, invasor externo).In other cases, the alert detects a malicious action (former employee, external attacker).

  • Acesso a partir de um aplicativo potencialmente prejudicial: Este alerta é disparado quando um aplicativo potencialmente prejudicial é usado para acessar o banco de dados.Access from a potentially harmful application: This alert is triggered when a potentially harmful application is used to access the database. Em alguns casos, o alerta detecta um teste de segurança que está sendo executado.In some cases, the alert detects penetration testing in action. Em outros casos, o alerta detecta um ataque usando ferramentas comuns de ataque.In other cases, the alert detects an attack using common attack tools.

  • Credenciais SQL de força bruta: Este alerta é disparado quando há um número alto anormal de logons com falha com credenciais diferentes.Brute force SQL credentials: This alert is triggered when there is an abnormal high number of failed logins with different credentials. Em alguns casos, o alerta detecta um teste de segurança que está sendo executado.In some cases, the alert detects penetration testing in action. Em outros casos, o alerta detecta ataques de força bruta.In other cases, the alert detects brute force attack.

Explore as atividades anormais do banco de dados na detecção de um evento suspeitoExplore anomalous database activities upon detection of a suspicious event

Você receberá uma notificação por email na detecção das atividades anormais do banco de dados.You receive an email notification upon detection of anomalous database activities. O email fornecerá informações sobre o evento de segurança suspeito, incluindo a natureza das atividades anômalas, o nome do banco de dados, o nome do servidor, o nome do aplicativo e a hora do evento.The email provides information on the suspicious security event including the nature of the anomalous activities, database name, server name, application name, and the event time. Além disso, o email fornecerá informações sobre as possíveis causas e as ações recomendadas para investigar e atenuar a ameaça em potencial no banco de dados.In addition, the email provides information on possible causes and recommended actions to investigate and mitigate the potential threat to the database.

Relatórios de atividades anômalas

  1. Clique em Exibir alertas recentes do SQL no email para iniciar o Portal do Azure e mostrar a página de alertas da Central de Segurança do Azure, que fornece uma visão geral das ameaças ativas detectadas no banco de dados SQL.Click the View recent SQL alerts link in the email to launch the Azure portal and show the Azure Security Center alerts page, which provides an overview of active threats detected on the SQL database.

    Ameaças de atividade

  2. Clique em um alerta específico para obter os detalhes e as ações adicionais para investigar essa ameaça e corrigir ameaças futuras.Click a specific alert to get additional details and actions for investigating this threat and remediating future threats.

    Por exemplo, a injeção de SQL é um dos problemas mais comuns de segurança do aplicativo da Web na Internet, usada para atacar os aplicativos orientados a dados.For example, SQL injection is one of the most common Web application security issues on the Internet that is used to attack data-driven applications. Os invasores aproveitam as vulnerabilidades do aplicativo para inserir instruções SQL mal-intencionadas nos campos de entrada do aplicativo, violando ou modificando os dados no banco de dados.Attackers take advantage of application vulnerabilities to inject malicious SQL statements into application entry fields, breaching or modifying data in the database. Para os alertas de Injeção de SQL, os detalhes do alerta incluem a instrução SQL vulnerável que foi explorada.For SQL Injection alerts, the alert’s details include the vulnerable SQL statement that was exploited.

    Alerta específico

Explore os alertas de proteção avançada contra ameaças para seu banco de dados no portal do AzureExplore Advanced Threat Protection alerts for your database in the Azure portal

A proteção avançada contra ameaças integra seus alertas à central de segurança do Azure.Advanced Threat Protection integrates its alerts with Azure security center. Blocos de proteção avançada contra ameaças do SQL Live no banco de dados e nas folhas de anúncios do SQL no portal do Azure acompanhar o status das ameaças ativas.Live SQL Advanced Threat Protection tiles within the database and SQL ADS blades in the Azure portal track the status of active threats.

Clique em alerta de proteção avançada contra ameaças para iniciar a página de alertas da central de segurança do Azure e obtenha uma visão geral das ameaças do SQL ativas detectadas no banco de dados ou data warehouse.Click Advanced Threat Protection alert to launch the Azure Security Center alerts page and get an overview of active SQL threats detected on the database or data warehouse.

Alerta de proteção avançada contra ameaças

Alert2 de proteção avançada contra ameaças

Próximas etapasNext steps