Alertas de SQL Database y Azure Synapse Analytics

En este artículo se enumeran las alertas de seguridad que puede obtener para SQL Database y Azure Synapse Analytics desde Microsoft Defender for Cloud y los planes de Microsoft Defender habilitados. Las alertas que se muestran en el entorno dependen de los recursos y servicios que va a proteger, y de la configuración personalizada.

Nota:

Algunas de las alertas agregadas recientemente con tecnología de Inteligencia contra amenazas de Microsoft Defender y Microsoft Defender para punto de conexión podrían no estar documentadas.

Aprenda a responder a estas alertas.

Aprenda a exportar alertas.

Nota

Las alertas de orígenes diferentes pueden tardar un tiempo distinto en aparecer. Por ejemplo, las alertas que requieren un análisis del tráfico de red pueden tardar más en aparecer que las alertas relacionadas con procesos sospechosos que se ejecutan en máquinas virtuales.

Alertas de SQL Database y Azure Synapse Analytics

Más detalles y notas

Una posible vulnerabilidad a la inyección de código SQL

(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)

Descripción: una aplicación ha generado una instrucción SQL errónea en la base de datos. Esto puede indicar una posible vulnerabilidad ante ataques por inyección de código SQL. Hay dos razones posibles para una instrucción errónea. Es posible que haya un defecto en el código de la aplicación que esté creando la instrucción SQL errónea. O bien, el código de la aplicación o los procedimientos almacenados no corrigen los datos que proporciona el usuario al construir la instrucción SQL errónea, lo que se puede aprovechar para ataques por inyección de código SQL.

Tácticas de MITRE: PreAttack

Gravedad: media

Actividad de inicio de sesión desde una aplicación potencialmente perjudicial

(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)

Descripción: una aplicación potencialmente dañina intentó acceder al recurso.

Tácticas de MITRE: PreAttack

Gravedad: alta

Inicio de sesión desde un centro de datos de Azure inusual

(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)

Descripción: se ha producido un cambio en el patrón de acceso a sql Server, donde alguien ha iniciado sesión en el servidor desde un centro de datos de Azure inusual. En algunos casos, la alerta detecta que se trata de una acción legítima (una nueva aplicación o un servicio de Azure). En otros casos, la alerta detecta que la acción es malintencionada (el atacante realizó la acción desde un recurso vulnerado de Azure).

Tácticas de MITRE: sondeo

Gravedad: baja

Inicio de sesión desde una ubicación inusual

(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)

Descripción: se ha producido un cambio en el patrón de acceso a SQL Server, donde alguien ha iniciado sesión en el servidor desde una ubicación geográfica inusual. En algunos casos, la alerta detecta una acción legítima (una nueva aplicación o el mantenimiento de un desarrollador). En otros casos, la alerta detecta una acción malintencionada (un antiguo empleado o un atacante externo).

Tácticas de MITRE: Explotación

Gravedad: media

Inicio de sesión de un usuario principal que no se ha visto en 60 días

(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)

Descripción: un usuario principal no visto en los últimos 60 días ha iniciado sesión en la base de datos. Si esta base de datos es nueva o este es el comportamiento esperado causado por cambios recientes en los usuarios que acceden a la base de datos, Defender for Cloud identificará los cambios significativos en los patrones de acceso e intentará evitar futuros falsos positivos.

Tácticas de MITRE: Explotación

Gravedad: media

Inicio de sesión desde un dominio no visto en 60 días

(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)

Descripción: un usuario ha iniciado sesión en el recurso desde un dominio desde el que ningún otro usuario se ha conectado en los últimos 60 días. Si este recurso es nuevo o este es el comportamiento esperado causado por cambios recientes en los usuarios que acceden al recurso, Defender for Cloud identificará los cambios significativos en los patrones de acceso e intentará evitar futuros falsos positivos.

Tácticas de MITRE: Explotación

Gravedad: media

Inicio de sesión desde una dirección IP sospechosa

(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)

Descripción: se ha accedido correctamente al recurso desde una dirección IP asociada a la actividad sospechosa de Microsoft Threat Intelligence.

Tácticas de MITRE: PreAttack

Gravedad: media

Posible ataque por inyección de código SQL

(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)

Descripción: se ha producido una vulnerabilidad de seguridad activa en una aplicación identificada vulnerable a la inyección de CÓDIGO SQL. Esto significa que un atacante está intentando inyectar instrucciones SQL malintencionadas mediante el código de la aplicación vulnerable o procedimientos almacenados.

Tácticas de MITRE: PreAttack

Gravedad: alta

Posible ataque por fuerza bruta mediante un usuario válido

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Descripción: se ha detectado un posible ataque por fuerza bruta en el recurso. El atacante usa el usuario válido (nombre de usuario), que tiene permisos para iniciar sesión.

Tácticas de MITRE: PreAttack

Gravedad: alta

Sospecha de ataque por fuerza bruta

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Descripción: se ha detectado un posible ataque por fuerza bruta en el recurso.

Tácticas de MITRE: PreAttack

Gravedad: alta

Sospecha de ataque por fuerza bruta con éxito

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Descripción: se produjo un inicio de sesión correcto después de un ataque aparente por fuerza bruta en el recurso.

Tácticas de MITRE: PreAttack

Gravedad: alta

SQL Server potencialmente generó un shell de comandos de Windows y accedió a un origen externo anómalo.

(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)

Descripción: una instrucción SQL sospechosa podría generar un shell de comandos de Windows con un origen externo que no se ha visto antes. La ejecución de un shell que accede a un origen externo es un método que usan los atacantes para descargar la carga malintencionada y, a continuación, ejecutarlo en el equipo y ponerlo en peligro. Esto permite a un atacante realizar tareas malintencionadas en dirección remota. Como alternativa, el acceso a un origen externo se puede usar para filtrar datos a un destino externo.

Tácticas de MITRE: Ejecución

Gravedad: Alta/Media

La carga inusual con piezas ofuscadas ha sido iniciada por SQL Server

(SQL.VM_PotentialSqlInjection)

Descripción: alguien ha iniciado una nueva carga utilizando la capa de SQL Server que se comunica con el sistema operativo mientras oculta el comando en la consulta SQL. Los atacantes suelen ocultar comandos impactantes que se supervisan popularmente como xp_cmdshell, sp_add_job y otros. Las técnicas de ofuscación abusan de comandos legítimos como la concatenación de cadenas, la conversión, el cambio base y otros, para evitar la detección de expresiones regulares y dañar la legibilidad de los registros.

Tácticas de MITRE: Ejecución

Gravedad: Alta/Media

Nota:

En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.

Pasos siguientes

• Alertas de seguridad en Microsoft Defender for Cloud
• Administración de alertas de seguridad y respuesta a ellas en Microsoft Defender for Cloud
• Exportación continua de datos de Defender for Cloud