Alertes pour les bases de données relationnelles open source

Cet article répertorie les alertes de sécurité que vous pouvez obtenir pour les bases de données relationnelles open source de Microsoft Defender pour le cloud et les plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.

Remarque

Certaines des alertes récemment ajoutées alimentées par Veille des menaces Microsoft Defender et Microsoft Defender pour point de terminaison peuvent être non documentées.

Découvrez comment répondre à ces alertes.

Découvrez comment exporter des alertes.

Notes

Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.

Alertes de bases de données relationnelles open source

Informations complémentaires et notes

Attaque par force brute probable à l’aide d’un utilisateur valide

(SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce)

Description : une attaque par force brute potentielle a été détectée sur votre ressource. L’attaquant se sert de l’utilisateur valide (nom d’utilisateur), qui dispose des autorisations pour se connecter.

Tactiques MITRE : PreAttack

Gravité : moyenne

Attaque par force brute réussie probable

(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)

Description : une connexion réussie s’est produite après une attaque de force brute apparente sur votre ressource.

Tactiques MITRE : PreAttack

Gravité : élevée

Attaque par force brute probable

(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)

Description : une attaque par force brute potentielle a été détectée sur votre ressource.

Tactiques MITRE : PreAttack

Gravité : moyenne

Tentative de connexion par une application potentiellement dangereuse

(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)

Description : une application potentiellement dangereuse a tenté d’accéder à votre ressource.

Tactiques MITRE : PreAttack

Gravité : haut/moyen

Connexion à partir d’un utilisateur principal non vu en 60 jours

(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)

Description : un utilisateur principal non vu au cours des 60 derniers jours s’est connecté à votre base de données. Si cette base de données est nouvelle ou si le comportement attendu est dû à des modifications récentes des utilisateurs accédant à la base de données, Defender pour le cloud identifie les modifications significatives apportées aux modèles d’accès et tente d’éviter les futurs faux positifs.

Tactiques MITRE : Exploitation

Gravité : faible

Connexion à partir d’un domaine pas vu pendant 60 jours

(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)

Description : un utilisateur s’est connecté à votre ressource à partir d’un domaine depuis lequel aucun autre utilisateur n’a connecté au cours des 60 derniers jours. Si cette ressource est nouvelle ou si le comportement attendu est dû à des modifications récentes des utilisateurs accédant à la ressource, Defender pour le cloud identifiera les modifications significatives apportées aux modèles d’accès et tentera d’éviter les futurs faux positifs.

Tactiques MITRE : Exploitation

Gravité : moyenne

Connexion à partir d’un centre de données Azure inhabituel

(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)

Description : Une personne connecté à votre ressource à partir d’un Centre de données Azure inhabituel.

Tactiques MITRE : détection

Gravité : faible

Ouverture de session à partir d’un fournisseur de cloud inhabituel

(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly)

Description : une personne connecté à votre ressource à partir d’un fournisseur de cloud n’a pas été vue au cours des 60 derniers jours. Il est facile et rapide pour les acteurs de menaces d’obtenir une puissance de calcul à disposition à utiliser dans leurs campagnes. Si ce comportement est attendu suite à l’adoption récente d’un nouveau fournisseur de cloud, Defender pour le cloud apprendra au fur et à mesure et tentera d’éviter les futurs faux positifs.

Tactiques MITRE : Exploitation

Gravité : moyenne

Connexion à partir d’un emplacement inhabituel

(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)

Description : Une personne connecté à votre ressource à partir d’un Centre de données Azure inhabituel.

Tactiques MITRE : Exploitation

Gravité : moyenne

Connexion à partir d’une adresse IP suspecte

(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)

Description : Votre ressource a été accessible avec succès à partir d’une adresse IP associée à Microsoft Threat Intelligence.

Tactiques MITRE : PreAttack

Gravité : moyenne

Remarque

Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.

Étapes suivantes

• Alertes de sécurité dans Microsoft Defender pour le cloud
• Gérer les alertes de sécurité et y répondre dans Microsoft Defender pour le cloud
• Exportation continue des données Defender pour le cloud