Grundlegendes zu Microsoft Defender für SQL
Microsoft Defender für SQL bietet eine Reihe von Schutzmaßnahmen für Azure SQL-Datenbank und azure SQL Managed Instance als Teil der erweiterten SQL-Sicherheitsfeatures, einschließlich SQL-Sicherheitsbewertung und Advanced Threat Protection.
SQL-Sicherheitsrisikobewertung
Die SQL-Sicherheitsrisikobewertung ist ein Dienst, der eine Wissensdatenbank mit Sicherheitsregeln nutzt, um bei der Überprüfung nicht konforme Elemente zu markieren. Ihre Datenbank wird auf bewährte Sicherheitsmethoden überprüft, und Sie erhalten Einblick in Ihren Sicherheitsstatus, beispielsweise in Bezug auf Fehlkonfigurationen, zu umfangreiche Berechtigungen und die Offenlegung vertraulicher Daten.
Um Empfehlungen für SQL-Datenbank und SQL Managed Instance anzuzeigen, müssen Sie Microsoft Defender für SQL auf der Abonnementebene aktivieren (empfohlen). Sie müssen außerdem ein Speicherkonto angeben. Alternativ können Sie auch E-Mails mit einer Zusammenfassung der Überprüfungsergebnisse erhalten.
Die Funktion zur Sicherheitsrisikobewertung kann potenzielle Risiken in Ihrer Umgebung aufdecken und Ihnen dabei helfen, die Sicherheit Ihrer Datenbank zu verbessern. Außerdem erhalten Sie Einblick in Ihren Sicherheitsstatus und können Maßnahmen zum Lösen von Sicherheitswarnungen ergreifen.
Weitere Informationen zur SQL-Sicherheitsrisikobewertung finden Sie unter Ermitteln von Sicherheitsrisiken für die Datenbank mithilfe der SQL-Sicherheitsrisikobewertung.
Advanced Threat Protection
Advanced Threat Protection überwacht die Datenbankverbindungen und die ausgeführten Abfragen, um potenziell schädliche Aktivitäten zu erkennen. Sie können über das zentrale Microsoft Defender für SQL-Portal auf Advanced Threat Protection zugreifen und es verwalten.
Die folgenden Bedrohungen werden von Advanced Threat Protection unterstützt:
| Alerts | Definition |
|---|---|
| Anfälligkeit für die Einschleusung von SQL-Befehlen | Diese Warnung sucht nach T-SQL-Code in Ihrer Datenbank, der für einen Angriff durch Einschleusung von SQL-Befehlen anfällig ist. Ein Beispiel hierfür wäre ein Aufruf einer gespeicherten Prozedur, bei dem die Benutzereingaben nicht bereinigt wurden. |
| Potenzielle Einschleusung von SQL-Befehlen | Diese Warnung wird ausgelöst, wenn ein aktiver Angriff durch Einschleusung von SQL-Befehlen erfolgt. |
| Zugriff von einem ungewöhnlichen Standort aus | Diese Warnung wird ausgelöst, wenn sich ein Benutzer von einem ungewöhnlichen geografischen Standort aus anmeldet. |
| Zugriff über ein ungewöhnliches Azure-Rechenzentrum | Diese Warnung sucht nach Angriffen von einem Azure-Rechenzentrum aus, auf das normalerweise nicht zugegriffen wird. |
| Zugriff über einen unbekannten Prinzipal | Diese Warnung wird ausgelöst, wenn ein Benutzer oder eine Anmeldung sich bei einer Datenbank anmeldet, auf die sie zuvor nicht zugegriffen haben. |
| Zugriff über eine potenziell schädliche Anwendung | Diese Warnung erkennt Tools, die häufig für Angriffe auf Datenbanken verwendet werden. |
| Brute-Force-Angriff mit SQL-Anmeldeinformationen | Diese Warnung wird ausgelöst, wenn viele fehlgeschlagene Anmeldeversuche mit unterschiedlichen Anmeldeinformationen erkannt werden. |
Um den maximalen Nutzen daraus zu ziehen, möchten Sie die Überwachung für Ihre Datenbanken aktivieren. Obwohl dies nicht erforderlich ist, ermöglicht die Aktivierung der Überwachung eine tiefere Untersuchung der Quelle des Problems, wenn Advanced Threat Protection eine Anomalie erkennt.
Die folgenden Überwachungsaktionsgruppen werden empfohlen:
- BATCH_COMPLETED_GROUP
- SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
- FAILED_DATABASE_AUTHENTICATION_GROUP
Aktivieren von Microsoft Defender für SQL
Sie müssen entweder der Rolle „SQL-Sicherheits-Manager“ oder einer der Datenbank- oder Serveradministratorrollen angehören, um die Einstellungen von Microsoft Defender für SQL zu verwalten.
Aktivieren Sie Microsoft Defender für SQL für SQL-Datenbank oder SQL Managed Instance über das Hauptblatt des Servers, indem Sie Microsoft Defender für Cloud und dann den Link (Konfigurieren) auswählen.
Stellen Sie auf der Seite Servereinstellungen sicher, dass die Eigenschaft MICROSOFT DEFENDER FÜR SQL auf EIN festgelegt ist.
Sobald Microsoft Defender für SQL aktiviert ist, können Sie Empfehlungen anzeigen, indem Sie Microsoft Defender für Cloud auf dem Serverblatt auswählen.
Microsoft Defender für SQL bietet erweiterte integrierte Funktionen zum Identifizieren und Beseitigen von Bedrohungen für die Datenbank, ohne dass Sie ein Sicherheitsexperte sein müssen.