Audit pour Azure SQL Database et Azure Synapse Analytics

  • Article

S’applique à : Azure SQL Database Azure Synapse Analytics

L’audit pour Azure SQL Database et Azure Synapse Analytics suit les événements de base de données et les écrit dans un journal d’audit dans votre compte de stockage Azure, votre espace de travail Log Analytics ou Event Hubs.

Par ailleurs, l’audit :

  • peut vous aider à respecter une conformité réglementaire, à comprendre l’activité de la base de données ainsi qu’à découvrir des discordances et anomalies susceptibles d’indiquer des problèmes pour l’entreprise ou des violations de la sécurité ;

  • permet et facilite le respect de normes de conformité, même s’il ne garantit pas cette conformité. Pour en savoir plus, accédez au Centre de confidentialité Microsoft Azure, qui inclut la liste la plus à jour des certifications de conformité de SQL Database.

Notes

Pour plus d’informations sur l’audit Azure SQL Managed Instance, consultez l’article suivant Bien démarrer avec l’audit Azure SQL Managed Instance.

Vue d’ensemble

Vous pouvez utiliser l’audit SQL Database pour :

  • La rétention d’une piste d’audit d’événements sélectionnés. Définissez les catégories d'actions et d'événements de base de données à auditer.
  • La génération de rapports sur les activités de la base de données. Vous pouvez utiliser des rapports préconfigurés et un tableau de bord pour une prise en main rapide de la génération de rapports d'activités et d'événements.
  • L'analyse des rapports. Vous pouvez repérer les événements suspects, les activités inhabituelles et les tendances.

Important

L’audit pour Azure SQL Database, Azure Synapse et Azure SQL Managed Instance est optimisé pour la disponibilité et les performances de la base de données ou de l’instance faisant l’objet de l’audit. Pendant les périodes d’activité très élevée ou de charge réseau élevée, la fonctionnalité d’audit peut permettre la poursuite des transactions sans enregistrer tous les événements marqués pour l’audit.

Limitations de l’audit

  • L’activation de l’audit sur une instance Azure Synapse interrompue n’est pas prise en charge. Pour activer l’audit, reprenez Azure Synapse.
  • L’audit pour les pools Azure Synapse SQL prend en charge les groupes d’actions d’audit par défaut uniquement.
  • Lorsque vous configurez l’audit pour votre serveur logique dans Azure ou Azure SQL Database avec la destination du journal comme compte de stockage, le compte de stockage cible doit être activé avec accès aux clés de compte de stockage. Si le compte de stockage est configuré pour utiliser l’authentification Azure AD uniquement et non pour utiliser la clé d’accès, l’audit ne peut pas être configuré.

Notes

  • Le Stockage Premium avec BlockBlobStorage est pris en charge. Le stockage standard est pris en charge. Toutefois, pour que l’audit écrive dans un compte de stockage derrière un réseau virtuel ou un pare-feu, vous devez disposer d’un compte de stockage universel v2. Si vous disposez d’un compte v1 universel ou Stockage Blob, procédez à une mise à niveau vers un compte de stockage v2 universel. Pour obtenir des instructions spécifiques, consultez Écrire un audit dans un compte de stockage situé derrière un réseau virtuel ou un pare-feu. Pour plus d’informations, consultez Types de comptes de stockage.
  • L’espace de noms hiérarchique est pris en charge pour tous les types de comptes de stockage Standard et comptes de stockage Premium avec BlockBlobStorage.
  • Les journaux d’audit sont écrits dans des objets blob d’ajout d’un Stockage Blob Azure de votre abonnement Azure.
  • Les journaux d’audit sont au format .xel et peuvent être ouverts avec SQL Server Management Studio (SSMS).
  • Pour configurer un magasin de journaux immuable pour ses événements d’audit au niveau du serveur ou de la base de données, suivez les instructions fournies dans le Stockage Azure. Assurez-vous que vous avez sélectionné Autoriser les ajouts supplémentaires lorsque vous configurez le stockage d’objets blob immuables.
  • Vous pouvez écrire des journaux d’audit dans un compte de Stockage Azure derrière un réseau virtuel ou un pare-feu.
  • Pour plus d’informations sur le format des journaux, la hiérarchie du dossier de stockage et les conventions de nommage, consultez le document de référence sur le format des journaux d’audit d’objets blob.
  • L’audit sur les réplicas en lecture seule est activé automatiquement. Pour plus d’informations sur la hiérarchie des dossiers de stockage, les conventions de nommage et le format des journaux, consultez Format des journaux d’audit SQL Database.
  • Quand vous utilisez Azure AD Authentication, les échecs de connexion ne sont pas enregistrés dans le journal d’audit SQL. Pour voir les enregistrements d’audit des échecs de connexion, accédez au portail Azure Active Directory, qui affiche les détails de ces événements.
  • Les connexions sont acheminées par la passerelle vers l’instance spécifique où se trouve la base de données. Avec les connexions Azure AD, les informations d’identification sont vérifiées avant une tentative d’utilisation de cet utilisateur pour se connecter à la base de données demandée. En cas d’échec, la base de données demandée n’est jamais accessible, de sorte qu’aucun audit n’est effectué. Avec les connexions SQL, les informations d’identification étant vérifiées sur les données demandées, elles peuvent dans ce cas être auditées. Les connexions réussies, qui ont manifestement atteint la base de données, sont auditées dans les deux cas.
  • Une fois que vous avez configuré vos paramètres d’audit, vous pouvez activer la nouvelle fonctionnalité de détection des menaces et configurer les adresses e-mail de réception des alertes de sécurité. La détection des menaces vous permet de recevoir des alertes proactives sur des activités anormales de la base de données qui peuvent indiquer des menaces de sécurité potentielles. Pour plus d’informations, consultez Bien démarrer avec la détection des menaces.
  • Lorsqu’une base de données avec l’audit activé est copiée sur un autre serveur logique, vous pourriez recevoir un e-mail vous informant que l’audit a échoué. Il s’agit d’un problème connu et l’audit doit fonctionner comme prévu sur la base de données qui vient d’être copiée.

Étapes suivantes

Configurer l’audit pour Azure SQL Database et Azure Synapse Analytics

Voir aussi