Introducción a la auditoría de SQL Managed Instance

Se aplica a:Azure SQL Managed Instance

La auditoría de SQL Managed InstanceL hace un seguimiento de los eventos de base de datos y los escribe en un registro de auditoría de la cuenta de Azure Storage.

La auditoría también puede hacer lo siguiente:

• Ayudar a mantener el cumplimiento de normativas, comprender la actividad de las bases de datos y conocer las discrepancias y anomalías que pueden indicar problemas en el negocio o infracciones de seguridad sospechosas.
• Posibilitar y facilitar la observancia de estándares reguladores aunque no garantiza el cumplimiento. Para más información, visite el Centro de confianza de Microsoft Azure, donde encontrará la lista más reciente de certificaciones de cumplimiento de SQL Managed Instance.

Importante

La auditoría de Azure SQL Managed Instance está optimizada para la disponibilidad y el rendimiento. Durante una alta actividad o una carga de red elevada, Azure SQL Managed Instance permite que las operaciones continúen y podrían no registrar algunos eventos auditados.

Configuración de la auditoría de la instancia en Azure Storage

En la sección siguiente se describe la configuración de auditoría en la instancia administrada de SQL.

1. Vaya a Azure Portal.

2. Cree un contenedor de Azure Storage donde se almacenan los registros de auditoría.

   1. Vaya a la cuenta de Azure Storage donde le gustaría almacenar los registros de auditoría.

      • Use una cuenta de almacenamiento en la misma región que la instancia administrada de SQL para evitar lecturas y escrituras entre regiones.
      • Si la cuenta de almacenamiento está detrás de una red virtual o un firewall, consulte Concesión de acceso desde una red virtual.
      • Si cambia el período de retención de 0 (retención ilimitada) a cualquier otro valor, la retención solo se aplicará a los registros escritos después de cambiar el valor de retención. Los registros escritos durante el período en el que se estableció la retención en un límite se conservan, incluso después de habilitar la retención.

   2. En la cuenta de almacenamiento, vaya a Información general y seleccione Blobs.

      

   3. En el menú superior, seleccione + Contenedor para crear un contenedor.

      

   4. En Nombre proporcione un nombre de contenedor, establezca Nivel de acceso público en Privado y seleccione Aceptar.

      

   Importante

   Los clientes que quieran configurar un almacén de registros inmutable para los eventos de auditoría de nivel de servidor o de base de datos deben seguir las instrucciones que se proporcionan en Azure Storage. (Asegúrese de seleccionar Permitir anexos adicionales al configurar el almacenamiento de blobs inmutable).

3. Después de crear el contenedor para los registros de auditoría, hay dos maneras de configurarlo como destino de los registros de auditoría: mediante T-SQL o mediante la interfaz de usuario de SQL Server Management Studio (SSMS):

• Configuración del almacenamiento de blobs para los registros de auditoría mediante T-SQL:

  1. En la lista de contenedores, seleccione el contenedor recién creado y luego Propiedades del contenedor.

     

  2. Copie la dirección URL del contenedor; para ello, seleccione el icono de copia y guarde dicha dirección (por ejemplo, en el Bloc de notas) para un uso futuro. El formato de dirección URL del contenedor debe ser https://<StorageName>.blob.core.windows.net/<ContainerName>.

     

  3. Genere un token de SAS de Azure Storage para conceder derechos de acceso de auditoría de instancia administrada de SQL a la cuenta de almacenamiento:

     • Vaya a la cuenta de Azure Storage donde se creó el contenedor en el paso anterior.

     • Seleccione Firma de acceso compartido en el menú Configuración de Storage.

       

     • Configure SAS de la siguiente manera:

       • Servicios permitidos: Blob

       • Fecha de inicio: para evitar problemas relacionados con la zona horaria, se recomienda usar la fecha de ayer.

       • Fecha de finalización: elija la fecha en que expira este token de SAS.

         Nota:

         Para evitar errores de auditoría, renueve el token tras la expiración.

       • Seleccione Generar SAS.

         

     • El token de SAS aparece en la parte inferior. Copie el token; para ello, seleccione el icono de copia y guárdelo (por ejemplo, en el Bloc de notas) para un uso futuro.

       

       Importante

       Quite el signo de interrogación (?) del principio del token.

  4. Conéctese a la instancia administrada de SQL a través de SQL Server Management Studio o cualquier otra herramienta compatible.

  5. Ejecute la siguiente instrucción T-SQL para crear una credencial con la dirección URL del contenedor y el token de SAS que creó en los pasos anteriores:

     CREATE CREDENTIAL [<container_url>]
     WITH IDENTITY='SHARED ACCESS SIGNATURE',
     SECRET = '<SAS KEY>'
     GO
     

  6. Ejecute la siguiente instrucción T-SQL para crear una auditoría de servidor (elija su propio nombre de auditoría y use la dirección URL del contenedor que creó en los pasos anteriores). Si no se especifica, el valor predeterminado de RETENTION_DAYS es 0 (retención ilimitada):

     CREATE SERVER AUDIT [<your_audit_name>]
     TO URL (PATH ='<container_url>', RETENTION_DAYS = <integer>);
     GO
     

  7. Continúe con la creación de una especificación de auditoría de servidor o de auditoría de base de datos.

• Configure Blob Storage para los registros de auditoría mediante SQL Server Management Studio 18 y versiones posteriores:

  1. Conéctese a la instancia administrada de SQL mediante la interfaz de usuario de SQL Server Management Studio.

  2. Expanda la nota raíz del Explorador de objetos.

  3. Expanda el nodo Seguridad, haga clic con el botón derecho en el nodo Auditorías y seleccione Nueva auditoría:

     

  4. Asegúrese de que la opción URL está seleccionada en Destino de auditoría y seleccione Examinar:

     

  5. (Opcional) Inicie sesión en la cuenta de Azure:

     

  6. Seleccione una suscripción, la cuenta de almacenamiento y el contenedor de blobs en los menús desplegables o cree su propio contenedor. Para ello, seleccione Crear. Una vez que haya terminado, seleccione Aceptar:

     

  7. Seleccione Aceptar en el cuadro de diálogo Crear auditoría.

     Nota:

     Cuando se usa la interfaz de usuario de SQL Server Management Studio para crear una auditoría, se crea automáticamente una credencial para el contenedor con una clave SAS.

Después de configurar el contenedor de blobs como destino para los registros de auditoría, cree y habilite una especificación de auditoría de servidor o una especificación de auditoría de base de datos como lo haría para SQL Server:

• Guía de T-SQL de creación de la especificación de auditoría de servidor
• Guía de T-SQL de creación de la especificación de auditoría

Use la siguiente instrucción T-SQL para habilitar la auditoría del servidor:

ALTER SERVER AUDIT [<your_audit_name>]
WITH (STATE = ON);
GO

Para información adicional:

• Diferencias de auditoría entre Instancia administrada de Azure SQL y una base de datos de SQL Server
• CREATE SERVER AUDIT
• ALTER SERVER AUDIT

Auditoría de operaciones de Soporte técnico de Microsoft

Auditoría de operaciones de Soporte técnico de Microsoft para SQL Managed Instance le permite auditar las operaciones de los ingenieros de soporte técnico de Microsoft cuando necesitan acceder al servidor durante una solicitud de soporte técnico. El uso de esta funcionalidad, junto con su propia auditoría, permite una mayor transparencia de su personal, y permite la detección de anomalías, la visualización de tendencias y la prevención de pérdida de datos.

Para habilitar la auditoría de las operaciones de Soporte técnico de Microsoft, vaya a Crear auditoría en Seguridad>Auditoría en SQL Managed Instance y seleccione Operaciones de soporte técnico de Microsoft.

Nota:

Debe crear una auditoría de servidor independiente para auditar las operaciones de Microsoft. Si habilita esta casilla para una auditoría existente, sobrescribe la auditoría y solo registra las operaciones de soporte técnico.

Configuración de la auditoría de un servidor en Event Hubs o registros de Azure Monitor

Los registros de auditoría de una instancia administrada de SQL se pueden enviar a Azure Event Hubs o a los registros de Azure Monitor. En esta sección se describe cómo realizar esta configuración:

1. Vaya a Azure Portal a la instancia administrada de SQL.

2. Seleccione Configuración de diagnóstico.

3. Seleccione Activar diagnósticos. Si los diagnósticos ya están habilitados, +Agregar configuración de diagnóstico está disponible en su lugar.

4. Seleccione SQLSecurityAuditEvents en la lista de registros.

5. Si va a configurar operaciones de soporte técnico de Microsoft, seleccione Registros de auditoría de operaciones de DevOps en la lista de registros.

6. Seleccione un destino para los eventos de auditoría: centros de eventos, registros de Azure Monitor o ambos. Configure los parámetros necesarios (por ejemplo, el área de trabajo de Log Analytics) en cada destino.

7. Seleccione Guardar.

   

8. Conéctese a la instancia administrada de SQL mediante SQL Server Management Studio (SSMS) o cualquier otro cliente compatible.

9. Ejecute la siguiente instrucción T-SQL para crear una auditoría de servidor:

   CREATE SERVER AUDIT [<your_audit_name>] TO EXTERNAL_MONITOR;
   GO
   

10. Cree y habilite una especificación de auditoría de servidor o de base de datos como lo haría para SQL Server:

    • Crear la guía de T-SQL de especificación de auditoría de servidor
    • Crear la guía de T-SQL de especificación de auditoría de base de datos

11. Habilite la auditoría de servidor que creó en el paso 8:

    ALTER SERVER AUDIT [<your_audit_name>]
    WITH (STATE = ON);
    GO
    

Configuración de la auditoría mediante T-SQL

-- Create audit without OPERATOR_AUDIT - Will audit standard SQL Audit events
USE [master];
GO

CREATE SERVER AUDIT testingauditnodevops TO EXTERNAL_MONITOR;
GO

CREATE SERVER AUDIT SPECIFICATION testingaudit_Specification_nodevops
FOR SERVER AUDIT testingauditnodevops ADD (SUCCESSFUL_LOGIN_GROUP),
    ADD (BATCH_COMPLETED_GROUP),
    ADD (FAILED_LOGIN_GROUP)
WITH (STATE = ON);
GO

ALTER SERVER AUDIT testingauditnodevops
    WITH (STATE = ON);
GO

-- Create separate audit without OPERATOR_AUDIT ON - Will audit Microsoft Support Operations
USE [master]

CREATE SERVER AUDIT testingauditdevops TO EXTERNAL_MONITOR
    WITH (OPERATOR_AUDIT = ON);
GO

CREATE SERVER AUDIT SPECIFICATION testingaudit_Specification_devops
FOR SERVER AUDIT testingauditdevops ADD (SUCCESSFUL_LOGIN_GROUP),
    ADD (BATCH_COMPLETED_GROUP),
    ADD (FAILED_LOGIN_GROUP)
WITH (STATE = ON);
GO

ALTER SERVER AUDIT testingauditdevops
    WITH (STATE = ON);
GO

Uso de registros de auditoría

Uso de registros almacenados en Azure Storage

Existen varios métodos que puede usar para ver los registros de auditoría de blobs.

• Puede usar la función del sistema sys.fn_get_audit_file (T-SQL) para devolver los datos del registro de auditoría en formato tabular.

• Puede explorar los registros de auditoría con una herramienta como el Explorador de Azure Storage. En Azure Storage, los registros de auditoría se guardan como una colección de archivos de blob dentro de un contenedor definido para almacenar los registros de auditoría. Para obtener más información sobre la jerarquía de la carpeta de almacenamiento, las convenciones de nomenclatura y el formato del registro, vea la referencia del formato de registro de auditoría de blobs.

• Puede encontrar una lista completa de métodos de consumo del registro de auditoría en Introducción a la auditoría de base de datos SQL.

Consumo de registros almacenados en Event Hubs

Para consumir datos de registros de auditoría de Event Hubs, debe configurar una secuencia para consumir eventos y escribirlos en un destino. Para más información, consulte la documentación de Azure Event Hubs.

Consumo y análisis de los registros almacenados en los registros de Azure Monitor

Si los registros de auditoría se escriben en los registros de Azure Monitor, están disponibles en el área de trabajo de Log Analytics, donde puede ejecutar búsquedas avanzadas en los datos de auditoría. Como punto de partida, vaya al área de trabajo de Log Analytics. En la sección General, seleccione Registros y escriba una consulta básica, como search "SQLSecurityAuditEvents", para ver los registros de auditoría.

Los registros de Azure Monitor proporcionan conclusiones operativas en tiempo real gracias a uso de paneles personalizados y de búsqueda integrados para analizar fácilmente millones de registros en todas las cargas de trabajo y servidores. Para obtener más información sobre los comandos y el lenguaje de búsqueda de registros de Azure Monitor, consulte la referencia de búsqueda de registros de Azure Monitor.

Diferencias de auditoría entre las bases de datos de Azure SQL Managed Instance y las bases de datos de SQL Server

Las principales diferencias entre la auditoría de las bases de datos de Instancia administrada de Azure SQL y las bases de datos de SQL Server son las siguientes:

• En Instancia administrada de Azure SQL, la auditoría funciona en el nivel de servidor y los archivos de registro .xel se almacenan en la cuenta de Azure Blob Storage.
• En SQL Server, la auditoría funciona en el nivel de servidor, pero almacena los eventos se almacenan en el sistema de archivos y en los registros de eventos de Windows.

En las instancias administradas, la auditoría de XEvent admite Azure Blob Storage como destino. No se admiten los registros de archivos ni de Windows.

Las principales diferencias en la sintaxis de CREATE AUDIT para la auditoría en Azure Blob Storage son:

• Se proporciona una nueva sintaxis TO URL que permite especificar la dirección URL del contenedor de Azure Blob Storage donde se colocarán los archivos .xel.
• Se proporciona una nueva sintaxis TO EXTERNAL MONITOR para habilitar los destinos de registro de Event Hubs y Azure Monitor.
• La sintaxis TO FILEno se admite porque Azure SQL Managed Instance no puede acceder a los recursos compartidos de archivos de Windows.
• La opción de apagado no se admite.
• queue_delay de 0 no se admite.

Paso siguiente

Auditoría para Azure SQL Database y Azure Synapse Analytics