Información sobre Microsoft Defender para SQL
Microsoft Defender para SQL ofrece un conjunto de protecciones para Azure SQL Database e Instancia administrada de Azure SQL como parte de las características avanzadas de seguridad de SQL, incluida la evaluación de vulnerabilidades de SQL y Advanced Threat Protection.
Evaluación de vulnerabilidades de SQL
La evaluación de vulnerabilidades de SQL es un servicio que usa una knowledge base de reglas de seguridad para marcar los elementos que no las cumplen tras examinarse. Busca en la base de datos los procedimientos recomendados de seguridad y proporciona visibilidad sobre el estado de seguridad, como errores de configuración, permisos excesivos y la exposición de datos confidenciales.
A fin de ver las recomendaciones para SQL Database y SQL Managed Instance, debe habilitar Microsoft Defender para SQL en el nivel de suscripción (recomendado). También debe proporcionar una cuenta de almacenamiento. Como alternativa, puede optar por recibir correos electrónicos con un resumen de los resultados del examen.
La característica de evaluación de vulnerabilidades puede detectar posibles riesgos en el entorno y ayudarle a mejorar la seguridad de base de datos. También ofrece información sobre el estado de la seguridad y los pasos necesarios para resolver alertas de seguridad.
Para obtener más información sobre la evaluación de vulnerabilidades de SQL, consulte La evaluación de vulnerabilidades de SQL ayuda a identificar los puntos vulnerables de la base de datos.
Advanced Threat Protection
Advanced Threat Protection supervisa las conexiones de base de datos y las consultas que se ejecutan para detectar actividades potencialmente dañinas. Puede administrar y acceder a Advanced Threat Protection mediante el portal central de Microsoft Defender para SQL.
Advanced Threat Protection admite las siguientes amenazas:
| Alertas | Definición |
|---|---|
| Vulnerabilidad a la inyección de código SQL | Esta alerta busca el código T-SQL que entra en la base de datos que puede ser vulnerable a ataques por inyección de código SQL. Un ejemplo es una llamada a un procedimiento almacenado que no sanea las entradas del usuario. |
| Posible ataque por inyección de código SQL | Esta alerta se desencadena cuando un atacante está intentando ejecutar activamente un ataque por inyección de código SQL. |
| Acceso desde una ubicación inusual | Esta alerta se desencadena cuando un usuario inicia sesión desde una ubicación geográfica inusual. |
| Acceso desde un centro de datos de Azure inusual | Esta alerta busca ataques desde un centro de datos de Azure al que no se accede normalmente. |
| Acceso desde una entidad de seguridad desconocida | Esta alerta se genera cuando un usuario o aplicación inicia sesión en una base de datos a la que no se ha accedido previamente. |
| Acceso desde una aplicación potencialmente dañina | Esta alerta detecta herramientas comunes que se usan para atacar bases de datos. |
| Credenciales de SQL por fuerza bruta | Esta alerta se desencadena cuando hay un gran número de errores de inicio de sesión con credenciales diferentes. |
Para obtener la máxima ventaja de ello, quiere habilitar la auditoría en las bases de datos. Aunque no es necesario, habilitar la auditoría permite una investigación más profunda sobre el origen del problema si Advanced Threat Protection detecta una anomalía.
Se recomiendan los siguientes grupos de acciones de auditoría:
- BATCH_COMPLETED_GROUP
- SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
- FAILED_DATABASE_AUTHENTICATION_GROUP
Cómo habilitar Microsoft Defender para SQL
Debe pertenecer al rol de administrador de seguridad SQL o a uno de los roles de administrador de base de datos o servidor para administrar la configuración de Microsoft Defender para SQL.
Habilite Microsoft Defender para SQL para SQL Database o SQL Managed Instance en la hoja principal del servidor seleccionando Microsoft Defender for Cloud y, a continuación, el vínculo (Configurar).
En la página Configuración del servidor, asegúrese de que la propiedad MICROSOFT DEFENDER PARA SQL se establece en ACTIVADA.
Una vez habilitado Microsoft Defender para SQL, puede ver las recomendaciones seleccionando Microsoft Defender for Cloud en la hoja del servidor.
Microsoft Defender para SQL proporciona características integradas avanzadas para identificar y controlar las amenazas a la base de datos sin necesidad de ser un experto en seguridad.