Svara på defender-databasaviseringar med öppen källkod

Microsoft Defender för molnet identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser för följande tjänster:

• Azure Database for PostgreSQL
• Azure Database for MySQL
• Azure Database för MariaDB

och för RDS-instanser på AWS (förhandsversion):

• Aurora PostgreSQL
• Aurora MySQL
• PostgreSQL
• MySQL
• MariaDB

För att få aviseringar från Microsoft Defender-planen måste du först aktivera Defender för relationsdatabaser med öppen källkod på ditt Azure- eller AWS-konto.

Läs mer om den här Microsoft Defender-planen i Översikt över Microsoft Defender för relationsdatabaser med öppen källkod.

Förutsättningar

• Du behöver en Microsoft Azure-prenumeration. Om du inte har en Azure-prenumeration kan du registrera dig för en kostnadsfri prenumeration.

• Du måste aktivera Microsoft Defender för molnet i din Azure-prenumeration.

• Endast AWS-användare – Anslut ditt AWS-konto.

Svara på aviseringar i Defender för molnet

När Microsoft Defender för molnet är aktiverat i databasen identifieras avvikande aktiviteter och aviseringar genereras. Dessa aviseringar är tillgängliga från flera platser, inklusive:

• I Azure-portalen:

  • Microsoft Defender för molnet sida med säkerhetsaviseringar – Visar aviseringar för alla resurser som skyddas av Defender för molnet i de prenumerationer som du har behörighet att visa.
  • Resursens Microsoft Defender för molnet sida – Visar aviseringar och rekommendationer för en specifik resurs.

• I inkorgen för den som i din organisation har utsetts att ta emot e-postaviseringar.

Dricks

En live-panel på Microsoft Defender för molnet översiktsinstrumentpanel spårar statusen för aktiva hot mot alla dina resurser, inklusive databaser. Välj panelen säkerhetsaviseringar för att gå till sidan Defender för molnet säkerhetsaviseringar och få en översikt över aktiva hot som har identifierats i dina databaser.

Detaljerade steg och den rekommenderade metoden för att svara på säkerhetsaviseringar finns i Svara på en säkerhetsavisering.

Svara på e-postaviseringar om säkerhetsaviseringar

Defender för molnet skickar e-postaviseringar när den identifierar avvikande databasaktiviteter. E-postmeddelandet innehåller information om den misstänkta säkerhetshändelsen, till exempel arten av avvikande aktiviteter, databasnamn, servernamn, programnamn och händelsetid. E-postmeddelandet innehåller också information om möjliga orsaker och rekommenderade åtgärder för att undersöka och minimera eventuella hot mot databasen.

1. I e-postmeddelandet väljer du länken Visa den fullständiga aviseringen för att starta Azure-portalen och visar sidan säkerhetsaviseringar, som ger en översikt över aktiva hot som identifierats i databasen.

   

   Visa aktiva hot på prenumerationsnivå inifrån Defender för molnet portalsidor:

   

2. Om du vill ha mer information och rekommenderade åtgärder för att undersöka det aktuella hotet och åtgärda framtida hot väljer du en specifik avisering.

   

Dricks

En detaljerad självstudie om hur du hanterar dina aviseringar finns i Hantera och svara på aviseringar.

Gå vidare

• Automatisera svar på Defender för molnet utlösare
• Strömma aviseringar till en SIEM-, SOAR- eller ITSM-lösning
• Ignorera aviseringar från Defender för molnet