Расширенная защита от угроз для базы данных SQL Azure, SQL Управляемый экземпляр и Azure синапсе AnalyticsAdvanced Threat Protection for Azure SQL Database, SQL Managed Instance, and Azure Synapse Analytics

применимо к:  Да база данных SQL Azure  Да azure SQL управляемый экземпляр  Да Azure синапсе Analytics (SQL DW)APPLIES TO: yesAzure SQL Database yesAzure SQL Managed Instance yes Azure Synapse Analytics (SQL DW)

Расширенная защита от угроз для базы данных SQLazure, управляемый экземпляр Azure SQL и Azure синапсе Analytics обнаруживает аномальные действия, указывающие на необычные и потенциально опасные попытки доступа к базам данных или их использования.Advanced Threat Protection for Azure SQL Database, Azure SQL Managed Instance and Azure Synapse Analytics detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases.

Расширенная защита от угроз входит в состав расширенного предложения по обеспечению безопасности данных , который является единым пакетом для расширенных возможностей обеспечения безопасности SQL.Advanced Threat Protection is part of the Advanced data security offering, which is a unified package for advanced SQL security capabilities. Доступ к расширенной защите от угроз можно получить через центральный портал SQL ADS. Там же ею можно управлять.Advanced Threat Protection can be accessed and managed via the central SQL ADS portal.

ОбзорOverview

Расширенная защита от угроз обеспечивает новый уровень безопасности, который позволяет клиентам обнаруживать потенциальные угрозы и реагировать на них по мере их возникновения, предоставляя оповещения системы безопасности о аномальных действиях.Advanced Threat Protection provides a new layer of security, which enables customers to detect and respond to potential threats as they occur by providing security alerts on anomalous activities. Пользователи получают оповещения о подозрительных действиях с базами данных, потенциальных уязвимостях, атаках путем внедрения кода SQL и аномальных закономерностей в доступе к базам данных и шаблонам запросов.Users receive an alert upon suspicious database activities, potential vulnerabilities, and SQL injection attacks, as well as anomalous database access and queries patterns. Расширенная защита от угроз интегрирует оповещения в центре безопасности Azure, включая сведения о подозрительных действиях и рекомендуемые действия по исследованию и снижению угрозы.Advanced Threat Protection integrates alerts with Azure Security Center, which include details of suspicious activity and recommend action on how to investigate and mitigate the threat. Расширенная защита от угроз упрощает устранение потенциальных угроз для базы данных, не требуя эксперта по безопасности или управления расширенными системами мониторинга безопасности.Advanced Threat Protection makes it simple to address potential threats to the database without the need to be a security expert or manage advanced security monitoring systems.

Для полного исследования рекомендуется включить аудит, который записывает события базы данных в журнал аудита в учетной записи хранения Azure.For a full investigation experience, it is recommended to enable auditing, which writes database events to an audit log in your Azure storage account. Сведения о включении аудита см. в статьях Аудит для базы данных SQL Azure и Azure синапсе или Аудит для управляемый экземпляр Azure SQL.To enable auditing, see Auditing for Azure SQL Database and Azure Synapse or Auditing for Azure SQL Managed Instance.

ПредупрежденияAlerts

Служба "Расширенная защита от угроз" для Базы данных SQL Azure позволяет выявить подозрительную активность, указывающую на необычные и потенциально опасные попытки получить доступ к базам данных или воспользоваться ими.Advanced Threat Protection for Azure SQL Database detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases. Список предупреждений для базы данных SQL Azure см. в статье оповещения для базы данных SQL и хранилища данных SQL в центре безопасности Azure.For a list of alerts for Azure SQL Database, see the Alerts for SQL Database and SQL Data Warehouse in Azure Security Center.

Изучение обнаружения подозрительных событийExplore detection of a suspicious event

При обнаружении подозрительной активности в базе данных вы получите уведомление по электронной почте.You receive an email notification upon detection of anomalous database activities. В этом уведомлении содержится информация о подозрительном событии безопасности, в том числе характер подозрительных операций, имя базы данных, имя сервера, имя приложения, а также время, когда произошло событие.The email provides information on the suspicious security event including the nature of the anomalous activities, database name, server name, application name, and the event time. Кроме того, в уведомлении приводится информация о возможных причинах возникновения события, а также рекомендуемые действия по поиску и устранению потенциальной угрозы безопасности базы данных.In addition, the email provides information on possible causes and recommended actions to investigate and mitigate the potential threat to the database.

Отчеты об аномальных действиях

  1. Щелкните ссылку Просмотреть последние оповещения SQL в сообщении электронной почты, чтобы запустить портал Azure и показать страницу оповещений центра безопасности Azure, в которой приводится обзор активных угроз, обнаруженных в базе данных.Click the View recent SQL alerts link in the email to launch the Azure portal and show the Azure Security Center alerts page, which provides an overview of active threats detected on the database.

    Угрозы, связанные с действиями

  2. Щелкните определенное оповещение, чтобы отобразить дополнительные сведения и действия для изучения этой угрозы и устранения будущих угроз.Click a specific alert to get additional details and actions for investigating this threat and remediating future threats.

    Например, внедрение кода SQL — один из распространенных видов угроз безопасности веб-приложений в Интернете, используемый для получения несанкционированного доступа к приложениям, управляемым данными.For example, SQL injection is one of the most common Web application security issues on the Internet that is used to attack data-driven applications. Хакеры используют уязвимости приложения, чтобы ввести вредоносные инструкции SQL в поля ввода приложения, чтобы испортить или изменить данные в базе данных.Attackers take advantage of application vulnerabilities to inject malicious SQL statements into application entry fields, breaching or modifying data in the database. В сведениях оповещений о внедрении кода SQL указывается уязвимая инструкция SQL, которая была использована.For SQL Injection alerts, the alert’s details include the vulnerable SQL statement that was exploited.

    Определенное оповещение

Просмотр оповещений в портал AzureExplore alerts in the Azure portal

Расширенная защита от угроз интегрирует свои оповещения с центром безопасности Azure.Advanced Threat Protection integrates its alerts with Azure security center. Интерактивные плитки расширенной защиты от угроз SQL в колонках базы данных и ADS SQL в портал Azure отслеживании состояния активных угроз.Live SQL Advanced Threat Protection tiles within the database and SQL ADS blades in the Azure portal track the status of active threats.

Щелкните оповещение Advanced Threat protection , чтобы открыть страницу оповещений центра безопасности Azure и получить обзор активных угроз SQL, обнаруженных в базе данных.Click Advanced Threat Protection alert to launch the Azure Security Center alerts page and get an overview of active SQL threats detected on the database.

Оповещение о повышенной защите от угроз

Alert2 Advanced Threat protection

Следующие шагиNext steps