SQL Advanced Threat Protection
Gilt für:
Azure SQL-DatenbankAzure SQL Managed InstanceAzure Synapse AnalyticsSQL Server auf Azure VMSQL Server mit Azure Arc-Unterstützung
Advanced Threat Protection für Azure SQL-Datenbank, Azure SQL Managed Instance, Azure Synapse Analytics, SQL Server auf Azure-VMs und SQL Server mit Azure Arc-Unterstützung erkennt anomale Aktivitäten, die auf ungewöhnliche und möglicherweise schädliche Zugriffs- oder Exploitversuche auf Datenbanken hinweisen.
Erweiterter Bedrohungsschutz (Advanced Threat Protection) ist Teil des Angebots von Microsoft Defender für SQL. Dabei handelt es sich um ein vereinheitlichtes Paket für erweiterte SQL-Sicherheitsfunktionen. Der Zugriff auf den erweiterten Bedrohungsschutz (Advanced Threat Protection) und dessen Verwaltung sind über das zentrale Microsoft Defender-für-SQL-Portal möglich.
Übersicht
Dank der neuen Sicherheitsebene von Advanced Threat Protection können Kunden potenzielle Bedrohungen erkennen und darauf reagieren, sobald diese auftreten, indem bei anomalen Aktivitäten Sicherheitswarnungen ausgegeben werden. Benutzer erhalten Warnungen zu verdächtigen Datenbankaktivitäten, potenziellen Sicherheitsrisiken sowie Angriffen durch Einschleusung von SQL-Befehlen und anomalen Datenbankzugriffs- und -abfragemustern. Der erweiterte Bedrohungsschutz (Advanced Threat Protection) integriert Warnungen in Microsoft Defender für Cloud. Dabei werden Informationen zu verdächtigen Aktivitäten sowie Empfehlungen bereitgestellt, wie die Bedrohung untersucht und entschärft werden kann. Advanced Threat Protection vereinfacht den Umgang mit potenziellen Bedrohungen der Datenbank, ohne das Fachwissen eines Sicherheitsexperten besitzen oder komplexe Sicherheitsüberwachungssysteme verwalten zu müssen.
Zur vollständigen Untersuchung empfiehlt es sich, die Datenbanküberwachung zu aktivieren, bei der Datenbankereignisse in ein Überwachungsprotokoll in Ihrem Azure Storage-Konto geschrieben werden. Informationen zum Aktivieren der Überwachung finden Sie unter Überwachung für Azure SQL-Datenbank und Azure-Synapse oder Überwachung für Azure SQL Managed Instance.
Alerts
Advanced Threat Protection erkennt Anomalien bei Aktivitäten, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf Datenbanken zuzugreifen oder diese zu nutzen. Eine Liste der Warnungen finden Sie unter Warnungen für eine SQL-Datenbank und Azure Synapse Analytics in Microsoft Defender für Cloud.
Erkennen eines verdächtigen Ereignisses
Bei Erkennung anormaler Datenbankaktivitäten erhalten Sie eine E-Mail-Benachrichtigung. Die E-Mail enthält Informationen zum verdächtigen Sicherheitsereignis (dazu gehören Art der anomalen Aktivitäten, Datenbankname, Servername, Anwendungsname und Zeit des Ereignisses). Darüber hinaus enthält die E-Mail Angaben zu möglichen Ursachen und empfohlenen Maßnahmen zur Untersuchung und Abwehr der potenziellen Bedrohung für die Datenbank.
Klicken Sie in der E-Mail auf den Link Aktuelle SQL-Warnungen anzeigen (View recent SQL alerts), um das Azure-Portal zu starten und die Seite für Warnungen in Microsoft Defender für Cloud zu öffnen, auf der eine Übersicht über die aktiven Bedrohungen angezeigt wird, die in der Datenbank erkannt wurden.
Klicken Sie auf eine bestimmte Warnung, um Details und Aktionen zum Untersuchen dieser Bedrohung und zum Behandeln zukünftiger Bedrohungen anzuzeigen.
Beispielweise ist die Einschleusung von SQL-Befehlen eine der am häufigsten auftretenden Sicherheitsrisiken in Webanwendungen im Internet, die zum Angreifen datengesteuerter Anwendungen genutzt wird. Die Angreifer nutzen Sicherheitslücken der Anwendung, um böswillige SQL-Anweisungen in Eingabefelder der Anwendung einzuschleusen, sodass Daten in der Datenbank manipuliert oder verändert werden können. Bei Warnungen in Bezug auf die Einschleusung von SQL-Befehlen schließen die Details der Warnung die anfällige missbräuchlich genutzte SQL-Anweisung ein.
Warnungen im Azure-Portal
Warnungen des erweiterten Bedrohungsschutzes (Advanced Threat Protection) sind in Microsoft Defender für Cloud integriert. Auf Live-Kacheln von SQL Advanced Threat Protection (erweiterter Bedrohungsschutz) innerhalb der Datenbank und auf den Blades von SQL Microsoft Defender für Cloud im Azure-Portal lässt sich der Status aktiver Bedrohungen nachverfolgen.
Klicken Sie auf Advanced Threat Protection Warnung, um die Seite für Warnungen bei Microsoft Defender für Cloud zu öffnen und eine Übersicht über die aktiven SQL-Bedrohungen zu erhalten, die in der Datenbank erkannt wurden.
Nächste Schritte
- Weitere Informationen finden Sie unter Advanced Threat Protection in Azure SQL-Datenbank und Azure Synapse.
- Weitere Informationen finden Sie unter Advanced Threat Protection in Azure SQL Managed Instance.
- Erfahren Sie mehr zu Microsoft Defender für SQL.
- Weitere Informationen zu Überwachung von Azure SQL-Datenbank
- Weitere Informationen zu Microsoft Defender für Cloud finden Sie hier. Weitere Informationen zu Preisen finden Sie auf der Seite Azure SQL-Datenbank – Preise.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für