Partager via


Alertes pour SQL Database et Azure Synapse Analytics

Cet article répertorie les alertes de sécurité que vous pouvez obtenir pour SQL Database et Azure Synapse Analytique à partir de Microsoft Defender pour le cloud et de tous les plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.

Remarque

Certaines des alertes récemment ajoutées alimentées par Veille des menaces Microsoft Defender et Microsoft Defender pour point de terminaison peuvent être non documentées.

Découvrez comment répondre à ces alertes.

Découvrez comment exporter des alertes.

Notes

Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.

Alertes Analytique SQL Database et Azure Synapse

Informations complémentaires et notes

Vulnérabilité possible par injection de code SQL

(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)

Description : une application a généré une instruction SQL défectueuse dans la base de données. Cela peut indiquer une vulnérabilité aux attaques par injection de code SQL. Il y a deux causes possibles à une instruction défectueuse. Un défaut dans le code d’application peut avoir créé l’instruction SQL défectueuse. Ou bien, le code d’application ou les procédures stockées n’ont pas assaini les entrées utilisateur lors de la création de l’instruction SQL défectueuse, qui peut être exploitée par l’injection de code SQL.

Tactiques MITRE : PreAttack

Gravité : moyenne

Activité d’ouverture de session à partir d’une application potentiellement dangereuse

(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)

Description : une application potentiellement dangereuse a tenté d’accéder à votre ressource.

Tactiques MITRE : PreAttack

Gravité : élevée

Connexion à partir d’un centre de données Azure inhabituel

(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)

Description : Il y a eu une modification du modèle d’accès à un serveur SQL Server, où une personne s’est connectée au serveur à partir d’un Centre de données Azure inhabituel. Dans certains cas, l’alerte détecte une action légitime (une nouvelle application ou un nouveau service Azure). Dans d’autres cas, l’alerte détecte une action malveillante (attaquant opérant à partir d’une ressource compromise dans Azure).

Tactiques MITRE : détection

Gravité : faible

Connexion à partir d’un emplacement inhabituel

(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)

Description : il y a eu un changement dans le modèle d’accès à SQL Server, où une personne s’est connectée au serveur à partir d’un emplacement géographique inhabituel. Dans certains cas, l’alerte détecte une action légitime (une nouvelle application ou opération de maintenance du développeur). Dans d’autres cas, l’alerte détecte une action malveillante (ancien employé ou attaquant externe).

Tactiques MITRE : Exploitation

Gravité : moyenne

Connexion à partir d’un utilisateur principal non vu en 60 jours

(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)

Description : un utilisateur principal non vu au cours des 60 derniers jours s’est connecté à votre base de données. Si cette base de données est nouvelle ou si le comportement attendu est dû à des modifications récentes des utilisateurs accédant à la base de données, Defender pour le cloud identifie les modifications significatives apportées aux modèles d’accès et tente d’éviter les futurs faux positifs.

Tactiques MITRE : Exploitation

Gravité : moyenne

Connexion à partir d’un domaine pas vu pendant 60 jours

(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)

Description : un utilisateur s’est connecté à votre ressource à partir d’un domaine depuis lequel aucun autre utilisateur n’a connecté au cours des 60 derniers jours. Si cette ressource est nouvelle ou si le comportement attendu est dû à des modifications récentes des utilisateurs accédant à la ressource, Defender pour le cloud identifiera les modifications significatives apportées aux modèles d’accès et tentera d’éviter les futurs faux positifs.

Tactiques MITRE : Exploitation

Gravité : moyenne

Connexion à partir d’une adresse IP suspecte

(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)

Description : Votre ressource a été accessible avec succès à partir d’une adresse IP associée à Microsoft Threat Intelligence.

Tactiques MITRE : PreAttack

Gravité : moyenne

Injection potentielle de code SQL

(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)

Description : une attaque active s’est produite contre une application identifiée vulnérable à l’injection SQL. Cela signifie qu’un attaquant tente d’injecter des instructions SQL malveillantes en utilisant les procédures stockées ou le code d’application vulnérables.

Tactiques MITRE : PreAttack

Gravité : élevée

Attaque par force brute probable à l’aide d’un utilisateur valide

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Description : une attaque par force brute potentielle a été détectée sur votre ressource. L’attaquant se sert de l’utilisateur valide (nom d’utilisateur), qui dispose des autorisations pour se connecter.

Tactiques MITRE : PreAttack

Gravité : élevée

Attaque par force brute probable

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Description : une attaque par force brute potentielle a été détectée sur votre ressource.

Tactiques MITRE : PreAttack

Gravité : élevée

Attaque par force brute réussie probable

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Description : une connexion réussie s’est produite après une attaque de force brute apparente sur votre ressource.

Tactiques MITRE : PreAttack

Gravité : élevée

SQL Server a potentiellement généré un interpréteur de commandes Windows et accédé à une source externe anormale

(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)

Description : Une instruction SQL suspecte a potentiellement généré un interpréteur de commandes Windows avec une source externe qui n’a pas été vue précédemment. L’exécution d’un interpréteur de commandes qui accède à une source externe est une méthode utilisée par les attaquants pour télécharger une charge utile malveillante, puis l’exécuter sur la machine et la compromettre. Cela permet à un attaquant d’effectuer des tâches malveillantes sous direction distante. Vous pouvez également utiliser l’accès à une source externe pour exfiltrer des données vers une destination externe.

Tactiques MITRE : Exécution

Gravité : haut/moyen

Une charge utile inhabituelle avec des parties masquées a été initiée par SQL Server

(SQL.VM_PotentialSqlInjection)

Description : une personne a lancé une nouvelle charge utile utilisant la couche dans SQL Server qui communique avec le système d’exploitation tout en cachant la commande dans la requête SQL. Les attaquants masquent généralement les commandes percutantes qui sont couramment analysées comme xp_cmdshell, sp_add_job et autres. Les techniques d’obfuscation abusent des commandes légitimes telles que la concaténation de chaînes, le forçage de type, la modification de base, etc., pour éviter la détection d’expression régulière et nuire à la lisibilité des journaux.

Tactiques MITRE : Exécution

Gravité : haut/moyen

Remarque

Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.

Étapes suivantes