SQL Advanced Threat Protection

Platí pro: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics SQL Server na virtuálním počítači Azure Arc SQL Server

Advanced Threat Protection for Azure SQL Database, Azure SQL Managed Instance, Azure Synapse Analytics, SQL Server v Azure Virtual Machines a Azure Arc SQL Server detekuje neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití.

Advanced Threat Protection je součástí nabídky Microsoft Defenderu pro SQL , což je jednotný balíček pro pokročilé funkce zabezpečení SQL. Rozšířená ochrana před internetovými útoky je přístupná a spravovaná prostřednictvím centrálního portálu Microsoft Defender pro SQL.

Přehled

Advanced Threat Protection poskytuje novou vrstvu zabezpečení, která zákazníkům umožňuje detekovat potenciální hrozby a reagovat na ně tím, že poskytují výstrahy zabezpečení na neobvyklé aktivity. Uživatelé obdrží upozornění na podezřelé databázové aktivity, potenciální ohrožení zabezpečení a útoky prostřednictvím injektáže SQL a také vzory neobvyklého přístupu k databázi a dotazů. Advanced Threat Protection integruje výstrahy s Microsoft Defenderem pro cloud, včetně podrobností o podezřelé aktivitě a doporučuje akci, jak prošetřit a zmírnit hrozbu. Advanced Threat Protection usnadňuje řešení potenciálních hrozeb v databázi, aniž by bylo nutné být odborníkem na zabezpečení nebo spravovat pokročilé systémy monitorování zabezpečení.

Pokud chcete provést úplné šetření, doporučujeme povolit auditování, které zapisuje události databáze do protokolu auditu ve vašem účtu úložiště Azure. Pokud chcete povolit auditování, přečtěte si téma Auditování databáze Azure SQL a Azure Synapse nebo auditování pro Azure SQL Managed Instance.

Výstrahy

Advanced Threat Protection detekuje neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Seznam výstrah najdete v tématu Výstrahy pro SQL Database a Azure Synapse Analytics v programu Microsoft Defender for Cloud.

Prozkoumání detekce podezřelé události

Při detekci neobvyklých databázových aktivit obdržíte e-mailové oznámení. E-mail poskytuje informace o podezřelé události zabezpečení, včetně povahy neobvyklých aktivit, názvu databáze, názvu serveru, názvu aplikace a času události. Kromě toho e-mail poskytuje informace o možných příčinách a doporučených akcích pro zkoumání a zmírnění potenciální hrozby databáze.

Sestava neobvyklé aktivity

  1. Kliknutím na odkaz Zobrazit poslední výstrahy SQL v e-mailu spusťte Azure Portal a zobrazte stránku upozornění v programu Microsoft Defender pro cloud, která poskytuje přehled aktivních hrozeb zjištěných v databázi.

    Hrozby aktivit

  2. Kliknutím na konkrétní výstrahu získáte další podrobnosti a akce pro zkoumání této hrozby a nápravu budoucích hrozeb.

    Injektáž SQL je například jedním z nejběžnějších problémů se zabezpečením webových aplikací na internetu, které slouží k útoku na aplikace řízené daty. Útočníci využívají ohrožení zabezpečení aplikací k vkládání škodlivých příkazů SQL do vstupních polí aplikace, porušení zabezpečení nebo úprav dat v databázi. V případě výstrah injektáže SQL obsahují podrobnosti výstrahy ohrožený příkaz SQL, který byl zneužít.

    Konkrétní výstraha

Prozkoumání upozornění v Azure Portal

Advanced Threat Protection integruje své výstrahy s Microsoft Defenderem pro cloud. Živé dlaždice služby SQL Advanced Threat Protection v rámci databáze a okna Microsoft Defenderu pro cloud v Azure Portal sledovat stav aktivních hrozeb.

Kliknutím na upozornění Advanced Threat Protection spusťte stránku upozornění microsoft Defenderu pro cloud a získejte přehled aktivních hrozeb SQL zjištěných v databázi.

Upřesňující výstrahy ochrany před internetovými útoky v přehledu databáze

rozšířená ochrana před internetovými útoky v Defenderu pro SQL

Další kroky