Explorer Microsoft Defender pour les fonctionnalités des bases de données
Les contrôles de sécurité de la plateforme et les journaux d’audit sont fondamentaux, mais ils ne vous alertent pas lorsqu’une attaque est en cours ou lorsqu’un service IA commence à interroger des données sensibles dans des modèles inhabituels. Microsoft Defender pour les bases de données remplit cet écart en fournissant une détection active des menaces, des alertes en temps réel et une analyse automatisée des vulnérabilités dans vos charges de travail de base de données. Dans Contoso Financial Services, l’équipe de sécurité doit déterminer quels plans activer et comment configurer des stratégies de détection.
| Plan | Couverture |
|---|---|
| Defender pour les bases de données Azure SQL | Azure SQL Database, Azure SQL Managed Instance, pools SQL dédiés d’Azure Synapse Analytics, SQL Server exécuté sur des machines virtuelles Azure, SQL Server sur des machines compatibles Arc |
| Defender pour les bases de données relationnelles open source | Azure Database pour PostgreSQL en mode serveur flexible, Azure Database pour MySQL en mode serveur flexible, instances Amazon RDS — Aurora PostgreSQL, Aurora MySQL, PostgreSQL, MySQL, MariaDB (préversion) |
Comparer les plans de Defender pour les bases de données
Defender pour les bases de données est un bundle dans Microsoft Defender for Cloud qui contient quatre sous-plans à prix indépendant : Defender pour les bases de données Azure SQL, Defender pour SQL Server sur les machines, Defender pour les bases de données relationnelles Open-Source et Defender pour Azure Cosmos DB. Ce module se concentre sur les deux plans les plus pertinents pour les environnements Azure SQL. Chaque plan cible une famille de plateformes de base de données différente et fonctionne indépendamment. Activez un ou les deux en fonction de votre environnement.
Le premier plan, Defender pour les bases de données Azure SQL, couvre tous les services Microsoft SQL. Cela inclut Azure SQL Database (bases de données uniques et pools élastiques), Azure SQL Managed Instance (y compris les réplicas en lecture/écriture), les pools SQL dédiés d'Azure Synapse Analytics et SQL Server s'exécutant sur l'infrastructure. Avec ce plan, vous protégez SQL Server 2012-2022 s’exécutant sur des machines virtuelles Azure et SQL Server sur des machines locales ou multiclouds connectées via Azure Arc. Cette couverture étendue signifie que vous pouvez appliquer des stratégies de détection des menaces cohérentes dans les bases de données de plateforme en tant que service et les instances SQL hébergées par l’infrastructure.
Le deuxième plan, Defender pour les bases de données relationnelles open source, couvre les charges de travail PostgreSQL et MySQL. Ce plan protège Azure Database pour PostgreSQL serveur flexible et Azure Database pour MySQL serveur flexible sur tous les niveaux tarifaires. En préversion, il s’étend également aux instances Amazon RDS exécutant Aurora PostgreSQL, Aurora MySQL, PostgreSQL, MySQL, MySQL et MariaDB. Contrairement au plan Azure SQL, ce plan ne prend pas en charge les serveurs de base de données s'exécutant sur des machines virtuelles ou des machines avec Arc. Le plan est conçu exclusivement pour les services de base de données managés.
| Caractéristique | plan de Azure SQL | Plan à source ouverte |
|---|---|---|
| Couverture de la base de données PaaS | Oui | Oui |
| Couverture de la base de données IaaS | Oui (SQL Server sur les machines virtuelles et Arc) | Non |
| Prise en charge multicloud | Oui (SQL avec Arc) | Oui (Amazon RDS en préversion) |
| Détection de menaces | Oui | Oui |
| Évaluation des vulnérabilités | Oui | Non (non inclus) |
La principale différence pour Contoso est l’étendue de couverture : si vous exécutez SQL Server sur des machines virtuelles ou des serveurs locaux avec Arc, vous avez besoin du plan de Azure SQL. Si vous utilisez uniquement des services PostgreSQL ou MySQL managés, le plan open source fournit la protection appropriée.
Détecter les menaces actives en temps réel
Defender pour les bases de données analyse les informations de base de données pour identifier les attaques qui contournent les contrôles réseau et d’accès. Le moteur de détection surveille en permanence les modèles de requête, le comportement d'accès, et les tentatives d'authentification pour mettre en évidence les menaces dès qu'elles surviennent.
Pour Azure SQL charges de travail, Defender détecte les attaques par injection SQL en identifiant quand les applications construisent des instructions SQL qui incluent des entrées utilisateur malveillantes. La logique de détection identifie les tentatives d’injection réussies et les indicateurs de vulnérabilité. Même si l’attaquant n’a pas encore augmenté les privilèges, vous recevez une alerte indiquant que la base de données est vulnérable. Dans Contoso, l’API bancaire qui construit des requêtes dynamiques à partir d’une entrée client déclencherait une alerte lorsqu’un attaquant tente d’injecter des commandes, ce qui donne à l’équipe de sécurité une visibilité immédiate sur l’attaque.
Defender détecte également les modèles anormaux d’accès à la base de données et de requête. Le service établit une base de référence de comportement normal pour chaque base de données, puis alerte lorsque l’accès se produit à partir d’emplacements géographiques inhabituels, à des moments inattendus ou avec des volumes de requête qui s’écartent considérablement des modèles historiques. Lorsque le service de détection des fraudes basée sur l'IA de Contoso commence à interroger les tables de transactions client à 3 HEURES avec 10 fois le volume de requête normal, Defender signale cela comme une activité suspecte même si le service utilise des informations d'identification légitimes.
Les attaques par force brute s’affichent comme un nombre anormalement élevé de tentatives de connexion ayant échoué dans une courte fenêtre de temps. Defender met en corrélation ces tentatives et génère une alerte unique plutôt que d’inonder votre file d’attente avec des événements d’authentification ayant échoué. L’activité suspecte de base de données comprend des modèles d’accès associés à des indicateurs de menace connus, tels que les requêtes provenant d’un hôte qui communique avec des serveurs de commande et de contrôle d’exploration de données de crypto-monnaie.
Chaque alerte inclut un mappage aux tactiques MITRE ATT&CK, ce qui aide votre équipe chargée des opérations de sécurité à comprendre quelle étape de la chaîne d’attaque représente la menace : accès initial, persistance ou exfiltration. Ce contexte accélère les décisions de réponse et vous aide à hiérarchiser la correction en fonction de la progression des attaques.
Identifier les vulnérabilités avant que les attaquants ne les exploitent
L’évaluation des vulnérabilités est incluse dans Defender pour les bases de données Azure SQL en tant que fonctionnalité intégrée, et non dans un produit distinct. Le moteur d’évaluation analyse automatiquement vos bases de données pour détecter les erreurs de configuration de sécurité et les vulnérabilités connues, puis génère des résultats classés par niveau de gravité : recommandations élevées, moyennes et de gravité inférieure.
Avec la configuration Express (mode recommandé), Microsoft gère le stockage des résultats de l’analyse et aucune configuration de compte de stockage n’est requise. Les résultats apparaissent directement dans la vue des recommandations de Defender for Cloud sans avoir à configurer des comptes de stockage ou des agents d'analyse. Vous pouvez marquer les résultats acceptés, tels que les configurations intentionnelles pour votre environnement, de sorte que seuls les nouveaux écarts apparaissent comme des problèmes ouverts. Cette approche de base réduit la fatigue des alertes et concentre votre attention sur la dérive de la configuration.
Dans Contoso, l’évaluation des vulnérabilités peut exposer des résultats tels que des points de terminaison de base de données accessibles publiquement, des stratégies de mot de passe faibles ou un chiffrement manquant au repos. Chaque recherche inclut des conseils de correction que l’équipe de sécurité peut appliquer immédiatement ou acheminer vers les administrateurs de base de données via des intégrations Azure DevOps ou ServiceNow.
Defender pour les bases de données utilise une architecture sans agent dans les deux plans. Aucun déploiement d’agent n’est requis sur les serveurs de base de données. Defender analyse les informations au niveau de la couche de plateforme Azure. Cette approche fonctionne uniformément dans les bases de données platform-as-a-service, comme Azure SQL Database et les instances hébergées par l’infrastructure SQL Server connectées via Arc. Vous bénéficiez d’une détection active des menaces sans gérer les mises à jour de l’agent ou résoudre les problèmes de connectivité.