Simulace výstrah pro sql servery na počítačích

Microsoft Defender for Cloud poskytuje funkci simulovaného upozornění SQL, která organizacím a týmům zabezpečení pomáhá ověřovat nasazení a testovat připravenost bezpečnostních týmů na detekci, reakci a automatizaci bez vytváření skutečných bezpečnostních rizik.

Simulace vloží telemetrické záznamy do cílových počítačů (Azure Virtuálních Počítačů (VMs) nebo počítačů připojených k Arc) prostřednictvím rozšíření vlastního skriptu s názvem Sql-SimulateAlert. Simulované výstrahy zahrnují úplný kontext modulu runtime, jako je hostitel, instance SQL, databáze a informace o procesu, abyste mohli ověřit toky kompletní zabezpečovací odezvy. Tento proces je bezpečný a nerušivý a zajišťuje, aby vaše prostředky zůstaly zabezpečené.

Můžete simulovat následující scénáře zabezpečení:

• Ověřování hrubou silou
• Ověřování z podezřelé aplikace
• Injektáž SQL
• Hlavní anomálie
• Anomálie shellového externího zdroje
• Obfuskace prostředí

Simulace běží místně na počítači prostřednictvím rozšíření vlastních skriptů bez spuštění externích škodlivých datových částí. Všechna vygenerovaná upozornění obsahují kompletní identifikátory počítačů a prostředků, názvy instancí SQL, informace o databázi, podrobnosti procesu a telemetrická data vyžadovaná playbooky a pracovními postupy automatizace zabezpečení.

Požadavky

• Povolte plán pro SQL servery na počítačích v Defender for Databases.

• Ujistěte se, že cílový počítač, ať už je virtuální počítač SQL nebo počítač připojený k Arc, úspěšně chráněný.

• Musí mít následující roli a oprávnění:

  • Vytvořte nasazení ARM a zapisujte rozšíření pro virtuální počítače: Správce zabezpečení nebo Přispěvatel v cílovém předplatném.
  • Oprávnění přispěvatele a přispěvatele zásad prostředků pro zdroj Microsoft.Compute/virtualMachines/write a Microsoft.Resources/deployments/*.

• Instance SQL Serveru musí být nakonfigurovaná tak, aby umožňovala ověřování SQL pro scénáře simulace, které vyžadují uživatelské jméno a heslo (některé typy simulace přijímají přihlašovací údaje uživatele).

  Poznámka:

  Místo produkčního účtu použijte vhodné testovací uživatelské jméno a heslo SQL.

Simulace výstrah

SqlAlertSimulationClient extrahuje parametry šablony z cílového prostředku, včetně předplatného, skupiny prostředků, názvu počítače, umístění a přítomnosti rozšíření Defender.

SqlAlertSimulationClient sestaví šablonu Azure Resource Manageru (ARM), která nasadí nebo znovu použije vlastní skriptovací rozšíření na zařízení. Rozšíření spustí příkaz PowerShellu, který vyvolá pomocníka pro simulaci Defenderu pro SQL s požadovanými parametry útoku. Pomocná rutina generuje telemetrii výstrah, která proudí do Defenderu pro Cloud a aktivuje výstrahy, které můžou využívat konektory pro automatizaci a mobilizaci.

1. Přihlaste se do Azure Portalu.

2. Vyhledejte a vyberte Azure SQL.

3. Vyberte SQL Server na virtuálníchpočítačích Azure nebo instancích SQL Serveru (Azure Arc).

   

4. Vyberte příslušnou databázi.

5. Vyberte Security>Microsoft Defender for Cloud.

6. Vyberte Simulovat výstrahu.

   

7. Vyberte typ výstrahy.

   

8. Zadejte požadované informace pro vybraný typ výstrahy. Například uživatelské jméno a heslo pro útoky na ověřování.

9. Vyberte Simulovat výstrahu.

Výstraha se zobrazí po několika minutách a můžete ji použít k ověření nastavení monitorování zabezpečení.

Ověřte, že se výstraha vygenerovala.

Po simulaci výstrahy ověřte, že se výstraha vygenerovala.

1. Na webu Azure Portal vyhledejte a vyberte Azure SQL.

2. Vyberte SQL Server na virtuálníchpočítačích Azure nebo instancích SQL Serveru (Azure Arc).

3. Vyberte příslušnou databázi.

4. Vyberte Security>Microsoft Defender for Cloud.

5. Vyberte Zkontrolovat výstrahy pro tento prostředek v programu Microsoft Defender for Cloud.

   

Ověřte, že se simulovaná výstraha zobrazí v seznamu výstrah pro prostředek a spravujte a reagujte na výstrahu zabezpečení.

Další krok

Správa a reakce na výstrahy zabezpečení