SQL Advanced Threat Protection

GÄLLER FÖR: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics SQL Server på virtuella Azure-datorer Azure Arc-aktiverad SQL Server

Advanced Threat Protection för Azure SQL Database, Azure SQL Managed Instance, Azure Synapse Analytics, SQL Server på Azure Virtual Machines och Azure Arc-aktiverade SQL Server identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser.

Advanced Threat Protection är en del av erbjudandet Microsoft Defender for SQL, som är ett enhetligt paket för avancerade SQL säkerhetsfunktioner. Advanced Threat Protection kan nås och hanteras via den centrala Microsoft Defender för SQL portalen.

Översikt

Advanced Threat Protection ger ett nytt säkerhetslager som gör det möjligt för kunder att identifiera och svara på potentiella hot när de inträffar genom att tillhandahålla säkerhetsaviseringar om avvikande aktiviteter. Användarna får en avisering om misstänkta databasaktiviteter, potentiella sårbarheter och SQL-attacker, samt avvikande databasåtkomst och frågemönster. Advanced Threat Protection integrerar aviseringar med Microsoft Defender for Cloud,som innehåller information om misstänkt aktivitet och rekommenderar åtgärder för hur du undersöker och åtgärdar hotet. Advanced Threat Protection gör det enkelt att hantera potentiella hot mot databasen utan att behöva vara säkerhetsexpert eller hantera avancerade säkerhetsövervakningssystem.

För en fullständig undersökningsupplevelse rekommenderar vi att du aktiverar granskning, som skriver databashändelser till en granskningslogg i ditt Azure Storage-konto. Information om hur du aktiverar granskning finns i Granskning Azure SQL Database och Azure Synapse granskning för Azure SQL Managed Instance.

Aviseringar

Advanced Threat Protection identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. En lista över aviseringar finns i Aviseringar för SQL Database och Azure Synapse Analytics i Microsoft Defender för molnet.

Utforska identifiering av en misstänkt händelse

Du får ett e-postmeddelande när avvikande databasaktiviteter upptäcks. E-postmeddelandet innehåller information om den misstänkta säkerhetshändelsen, inklusive typen av avvikande aktiviteter, databasnamn, servernamn, programnamn och händelsetid. Dessutom innehåller e-postmeddelandet information om möjliga orsaker och rekommenderade åtgärder för att undersöka och minimera det potentiella hotet mot databasen.

Rapport om avvikande aktivitet

  1. Klicka på länken Visa SQL-aviseringar i e-postmeddelandet för att starta Azure Portal och visa aviseringssidan för Microsoft Defender for Cloud, som innehåller en översikt över aktiva hot som har identifierats i databasen.

    Aktivitetshot

  2. Klicka på en specifik avisering för att få ytterligare information och åtgärder för att undersöka det här hotet och åtgärda framtida hot.

    Till exempel SQL är ett av de vanligaste säkerhetsproblemen för webbprogram på Internet som används för att angripa datadrivna program. Angripare utnyttjar sårbarheter i programmet för att mata in skadliga SQL-instruktioner i fälten för programinmatning, intrång i eller ändring av data i databasen. För SQL injection-aviseringar innehåller aviseringens information de sårbara SQL-instruktionen som utnyttjas.

    Specifik avisering

Utforska aviseringar i Azure Portal

Advanced Threat Protection integrerar sina aviseringar med Microsoft Defender för molnet. Live SQL Advanced Threat Protection-paneler i databasen och SQL microsoft Defender for Cloud-blad i Azure Portal spåra status för aktiva hot.

Klicka på Advanced Threat Protection-avisering för att starta aviseringssidan för Microsoft Defender for Cloud och få en översikt över aktiva SQL hot som har identifierats i databasen.

advanced threat protection-aviseringar i databasöversikten

avancerat skydd i Defender för SQL

Nästa steg