Warnungen für SQL-Datenbank und Azure Synapse Analytics
In diesem Artikel werden die Sicherheitswarnungen aufgeführt, die Sie möglicherweise für SQL-Datenbank und Azure Synapse Analytics von Microsoft Defender für Cloud und alle von Ihnen aktivierten Microsoft Defender-Pläne erhalten. Welche Warnungen in Ihrer Umgebung angezeigt werden, hängt von den Ressourcen und Diensten, die Sie schützen, sowie von Ihrer angepassten Konfiguration ab.
Hinweis
Einige der kürzlich hinzugefügten Warnungen, die von Microsoft Defender Threat Intelligence und Microsoft Defender für Endpunkt unterstützt werden, sind möglicherweise nicht dokumentiert.
Informationen zur Reaktion auf diese Warnungen
Informationen zum Exportieren von Warnungen
Hinweis
Warnungen aus unterschiedlichen Quellen erfordern möglicherweise unterschiedlich lange Zeit, bis sie angezeigt werden. Beispielsweise kann es länger dauern, bis Warnungen, die eine Analyse des Netzwerkdatenverkehrs erfordern, angezeigt werden, als das Anzeigen von Warnungen im Zusammenhang mit verdächtigen Prozessen auf virtuellen Computern.
SQL-Datenbank- und Azure Synapse Analytics-Warnungen
Mögliche Anfälligkeit für die Einschleusung von SQL-Befehlen
(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
Beschreibung: Eine Anwendung hat eine fehlerhafte SQL-Anweisung in der Datenbank generiert. Dies kann ein Hinweis auf ein mögliches Sicherheitsrisiko in Bezug auf Angriffe mit Einschleusung von SQL-Befehlen sein. Es gibt zwei mögliche Gründe für eine fehlerhafte Anweisung. Ein Fehler im Anwendungscode, der zu der fehlerhaften SQL-Anweisung geführt hat. Oder: Anwendungscode oder gespeicherte Prozeduren, die bei der Erstellung der fehlerhaften SQL-Anweisung keine Bereinigung der Benutzereingabe durchgeführt haben, was zur Einschleusung von SQL-Befehlen ausgenutzt werden kann.
MITRE-Taktiken: PreAttack
Schweregrad: Mittel
Anmeldeaktivitäten von einer potenziell schädlichen Anwendung
(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
Beschreibung: Eine potenziell schädliche Anwendung hat versucht, auf Ihre Ressource zuzugreifen.
MITRE-Taktiken: PreAttack
Schweregrad: hoch
Anmeldung über ein ungewöhnliches Azure-Rechenzentrum
(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
Beschreibung: Es gab eine Änderung des Zugriffsmusters für einen SQL Server, bei dem sich jemand von einem ungewöhnlichen Azure Data Center aus beim Server angemeldet hat. In einigen Fällen erkennt die Warnung eine legitime Aktion (eine neue Anwendung oder einen Azure-Dienst). In anderen Fällen erkennt die Warnung eine schädliche Aktion (der Angreifer operiert von einer unberechtigt zugänglichen Ressource in Azure aus).
MITRE-Taktiken: Probing
Schweregrad: Niedrig
Anmeldung von einem ungewöhnlichen Ort aus
(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
Beschreibung: Es gab eine Änderung des Zugriffsmusters für SQL Server, bei dem sich jemand von einem ungewöhnlichen geografischen Standort an dem Server angemeldet hat. In einigen Fällen erkennt die Warnung eine legitime Aktion (eine neue Anwendung oder Wartungsarbeiten von Entwicklern). In anderen Fällen erkennt die Warnung eine schädliche Aktion (einen ehemaligen Mitarbeiter oder einen externen Angreifer.)
MITRE-Taktiken: Ausbeutung
Schweregrad: Mittel
Erste Anmeldung von einem Prinzipalbenutzer nach 60 Tagen
(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
Beschreibung: Ein Prinzipalbenutzer, der in den letzten 60 Tagen nicht gesehen wurde, hat sich bei Ihrer Datenbank angemeldet. Falls diese Datenbank neu ist oder dieses erwartete Verhalten durch aktuelle Änderungen der Benutzer verursacht wird, die auf die Datenbank zugreifen, ermittelt Defender for Cloud bedeutende Änderungen an den Zugriffsmustern und versucht, künftige False Positives zu vermeiden.
MITRE-Taktiken: Ausbeutung
Schweregrad: Mittel
Keine Anmeldung von Domäne seit 60 Tagen
(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
Beschreibung: Ein Benutzer hat sich von einer Domäne aus bei Ihrer Ressource angemeldet, von der in den letzten 60 Tagen keine anderen Benutzer verbunden sind. Falls diese Ressource neu oder dies ein erwartetes Verhalten ist, weil sich vor Kurzem Änderungen bei den Benutzern ergeben haben, die auf die Ressource zugreifen, wird wie folgt vorgegangen: Defender for Cloud ermittelt signifikante Änderungen an den Zugriffsmustern und versucht, künftige False-Positive-Meldungen zu vermeiden.
MITRE-Taktiken: Ausbeutung
Schweregrad: Mittel
Anmeldung über eine verdächtige IP-Adresse
(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
Beschreibung: Auf Ihre Ressource wurde erfolgreich über eine IP-Adresse zugegriffen, die Microsoft Threat Intelligence verdächtigen Aktivitäten zugeordnet hat.
MITRE-Taktiken: PreAttack
Schweregrad: Mittel
Potenzielle Einschleusung von SQL-Befehlen
(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
Beschreibung: Ein aktiver Exploit ist gegen eine identifizierte Anwendung aufgetreten, die für die SQL-Einfügung anfällig ist. Das bedeutet, dass ein Angreifer versucht, schädliche SQL-Anweisungen einzuschleusen, indem er den anfälligen Anwendungscode bzw. die gespeicherten Prozeduren verwendet.
MITRE-Taktiken: PreAttack
Schweregrad: hoch
Verdacht auf einen Brute-Force-Angriff mit einem gültigen Benutzer
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Beschreibung: Ein potenzieller Brute-Force-Angriff wurde für Ihre Ressource erkannt. Der Angreifer verwendet den gültigen Benutzer (Benutzernamen), der die Berechtigung hat, sich anzumelden.
MITRE-Taktiken: PreAttack
Schweregrad: hoch
Verdacht auf Brute-Force-Angriff
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Beschreibung: Ein potenzieller Brute-Force-Angriff wurde für Ihre Ressource erkannt.
MITRE-Taktiken: PreAttack
Schweregrad: hoch
Verdacht auf erfolgreichen Brute-Force-Angriff
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Beschreibung: Nach einem scheinbaren Brute-Force-Angriff auf Ihre Ressource ist eine erfolgreiche Anmeldung aufgetreten.
MITRE-Taktiken: PreAttack
Schweregrad: hoch
SQL Server hat möglicherweise eine Windows-Befehlsshell erzeugt und auf eine ungewöhnliche externe Quelle zugegriffen.
(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
Beschreibung: Eine verdächtige SQL-Anweisung hat möglicherweise eine Windows-Befehlsshell mit einer externen Quelle geöffnet, die noch nicht gesehen wurde. Das Ausführen einer Shell, die auf eine externe Quelle zugreift, ist eine Methode, die von Angreifern verwendet wird, um schädliche Nutzlasten herunterzuladen, diese dann auf dem Computer auszuführen und ihn zu kompromittieren. Dadurch kann ein Angreifer per Remotezugriff schädliche Aufgaben ausführen. Alternativ kann der Zugriff auf eine externe Quelle verwendet werden, um Daten an ein externes Ziel zu exfiltrieren.
MITRE-Taktiken: Ausführung
Schweregrad: Hoch/Mittel
Eine ungewöhnliche Nutzlast mit verschleierten Teilen wurde von SQL Server initiiert.
(SQL.VM_PotentialSqlInjection)
Beschreibung: Jemand hat eine neue Nutzlast unter Verwendung der Ebene in SQL Server initiiert, die mit dem Betriebssystem kommuniziert, während der Befehl in der SQL-Abfrage verdeckt wird. Angreifer verbergen gewöhnlich Befehle mit erheblichen Auswirkungen wie „xp_cmdshell“, „sp_add_job“ usw., die häufig überwacht werden. Obfuskationstechniken missbrauchen legitime Befehle wie Zeichenfolgenverkettung, Umwandlung, Basisänderung usw., um die Erkennung regulärer Ausdrücke zu verhindern und die Lesbarkeit der Protokolle zu beeinträchtigen.
MITRE-Taktiken: Ausführung
Schweregrad: Hoch/Mittel
Hinweis
Für Warnungen, die sich in der Vorschau befinden: Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.