Audit pour Azure SQL Database et Azure Synapse Analytics

S’applique à : Azure SQL Database Azure Synapse Analytics

L’audit pour Azure SQL Database et Azure Synapse Analytics suit les événements de base de données et les écrit dans un journal d’audit dans votre compte de stockage Azure, votre espace de travail Log Analytics ou Event Hubs.

Par ailleurs, l’audit :

  • peut vous aider à respecter une conformité réglementaire, à comprendre l’activité de la base de données ainsi qu’à découvrir des discordances et anomalies susceptibles d’indiquer des problèmes pour l’entreprise ou des violations de la sécurité ;

  • permet et facilite le respect de normes de conformité, même s’il ne garantit pas cette conformité. Pour en savoir plus, accédez au Centre de confidentialité Microsoft Azure, qui inclut la liste la plus à jour des certifications de conformité de SQL Database.

Notes

Pour plus d’informations sur l’audit Azure SQL Managed Instance, consultez l’article suivant Bien démarrer avec l’audit Azure SQL Managed Instance.

Vue d’ensemble

Vous pouvez utiliser l’audit SQL Database pour :

  • La rétention d’une piste d’audit d’événements sélectionnés. Vous pouvez définir les catégories des actions de base de données à auditer.
  • La génération de rapports sur les activités de la base de données. Vous pouvez utiliser des rapports préconfigurés et un tableau de bord pour une prise en main rapide de la génération de rapports d’activités et d’événements.
  • L'analyse des rapports. Vous pouvez repérer les événements suspects, les activités inhabituelles et les tendances.

Important

L’audit pour Azure SQL Database, les pools SQL Azure Synapse Analytics et Azure SQL Managed Instance est optimisé pour la disponibilité et les performances de la base de données ou de l’instance faisant l’objet de l’audit. Pendant les périodes d’activité très élevée ou de charge réseau élevée, la fonctionnalité d’audit peut permettre la poursuite des transactions sans enregistrer tous les événements marqués pour l’audit.

Limitations de l’audit

  • L’activation de l’audit sur un pool SQL Azure Synapse interrompue n’est pas prise en charge. Pour activer l’audit, reprenez le pool SQL Synapse.
  • L’activation de l’audit à l’aide de l’identité managée affectée par l’utilisateur (UAMI) n’est pas prise en charge sur Azure Synapse.
  • L’audit pour les pools Azure Synapse SQL prend en charge les groupes d’actions d’audit par défaut uniquement.
  • Lorsque vous configurez l’audit pour un serveur logique dans Azure ou Azure SQL Database avec la destination du journal en tant que compte de stockage, le mode d’authentification doit correspondre à la configuration de ce compte de stockage. Si vous utilisez des clés d’accès de stockage comme type d’authentification, le compte de stockage cible doit être activé avec l’accès aux clés du compte de stockage. Si le compte de stockage est configuré pour utiliser uniquement l’authentification avec Microsoft Entra ID (anciennement Azure Active Directory), l’audit peut être configuré pour utiliser des identités managées pour l’authentification.

Notes

  • Le Stockage Premium avec BlockBlobStorage est pris en charge. Le stockage standard est pris en charge. Toutefois, pour que l’audit écrive dans un compte de stockage derrière un réseau virtuel ou un pare-feu, vous devez disposer d’un compte de stockage universel v2. Si vous disposez d’un compte v1 universel ou Stockage Blob, procédez à une mise à niveau vers un compte de stockage v2 universel. Pour obtenir des instructions spécifiques, consultez Écrire un audit dans un compte de stockage situé derrière un réseau virtuel ou un pare-feu. Pour plus d’informations, consultez Types de comptes de stockage.
  • L’espace de noms hiérarchique est pris en charge pour tous les types de comptes de stockage Standard et comptes de stockage Premium avec BlockBlobStorage.
  • Les journaux d’audit sont écrits dans des objets blob d’ajout d’un Stockage Blob Azure de votre abonnement Azure.
  • Les journaux d’audit sont au format .xel et peuvent être ouverts avec SQL Server Management Studio (SSMS).
  • Pour configurer un magasin de journaux immuable pour ses événements d’audit au niveau du serveur ou de la base de données, suivez les instructions fournies dans le Stockage Azure. Assurez-vous que vous avez sélectionné Autoriser les ajouts supplémentaires lorsque vous configurez le stockage d’objets blob immuables.
  • Vous pouvez écrire des journaux d’audit dans un compte de Stockage Azure derrière un réseau virtuel ou un pare-feu.
  • Pour plus d’informations sur le format des journaux, la hiérarchie du dossier de stockage et les conventions de nommage, consultez le document de référence sur le format des journaux d’audit d’objets blob.
  • L’audit sur les réplicas en lecture seule est activé automatiquement. Pour plus d’informations sur la hiérarchie des dossiers de stockage, les conventions de nommage et le format des journaux, consultez Format des journaux d’audit SQL Database.
  • Lors de l’utilisation de l’authentification Microsoft Entra, les enregistrements d’échecs de connexion n’apparaissent pas dans le journal d’audit SQL. Pour consulter des enregistrements d’audit ayant échoué, vous devez visiter le centre d'administration Microsoft Entra, qui répertorie les détails de ces événements.
  • Les connexions sont acheminées par la passerelle vers l’instance spécifique où se trouve la base de données. Avec les connexions Microsoft Entra, les informations d’identification sont vérifiées avant une tentative d’utilisation de cet utilisateur pour se connecter à la base de données demandée. En cas d’échec, la base de données demandée n’est jamais accessible, de sorte qu’aucun audit n’est effectué. Avec les connexions SQL, les informations d’identification étant vérifiées sur les données demandées, elles peuvent dans ce cas être auditées. Les connexions réussies, qui ont manifestement atteint la base de données, sont auditées dans les deux cas.
  • Une fois que vous avez configuré vos paramètres d’audit, vous pouvez activer la nouvelle fonctionnalité de détection des menaces et configurer les adresses e-mail de réception des alertes de sécurité. La détection des menaces vous permet de recevoir des alertes proactives sur des activités anormales de la base de données qui peuvent indiquer des menaces de sécurité potentielles. Pour plus d’informations, consultez Bien démarrer avec la détection des menaces.
  • Lorsqu’une base de données avec l’audit activé est copiée sur un autre serveur logique, vous pourriez recevoir un e-mail vous informant que l’audit a échoué. Il s’agit d’un problème connu et l’audit doit fonctionner comme prévu sur la base de données qui vient d’être copiée.

Étapes suivantes

Voir aussi