Megosztás a következőn keresztül:

Riasztások az SQL Database-hez és az Azure Synapse Analyticshez

  • Cikk

Ez a cikk felsorolja az SQL Database és az Azure Synapse Analytics Felhőhöz készült Microsoft Defender és az engedélyezett Microsoft Defender-csomagok biztonsági riasztásait. A környezetben megjelenő riasztások a védeni kívánt erőforrásoktól és szolgáltatásoktól, valamint a testre szabott konfigurációtól függenek.

Feljegyzés

Előfordulhat, hogy a Microsoft Defender Intelligens veszélyforrás-felderítés és Végponthoz készült Microsoft Defender által nemrég hozzáadott riasztások némelyike visszavonva.

Megtudhatja, hogyan válaszolhat ezekre a riasztásokra.

Megtudhatja, hogyan exportálhat riasztásokat.

Feljegyzés

A különböző forrásokból származó riasztások megjelenése különböző időt vehet igénybe. A hálózati forgalom elemzését igénylő riasztások például tovább tarthatnak, mint a virtuális gépeken futó gyanús folyamatokkal kapcsolatos riasztások.

SQL Database- és Azure Synapse Analytics-riasztások

További részletek és megjegyzések

Az SQL-injektálás lehetséges biztonsági rése

(SQL. DB_VulnerabilityToSqlInjection SQL-t. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL-t. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)

Leírás: Egy alkalmazás hibás SQL-utasítást hozott létre az adatbázisban. Ez az SQL-injektálási támadások lehetséges biztonsági rését jelezheti. A hibás állításnak két oka lehet. Előfordulhat, hogy az alkalmazáskód hibája létrehozta a hibás SQL-utasítást. Vagy az alkalmazáskód vagy a tárolt eljárások nem megtisztították a felhasználói bemenetet a hibás SQL-utasítás létrehozásakor, amelyet az SQL-injektáláshoz lehet kihasználni.

MITRE-taktikák: PreAttack

Súlyosság: Közepes

Bejelentkezési tevékenység potenciálisan káros alkalmazásból

(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL-t. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)

Leírás: Egy potenciálisan káros alkalmazás megkísérelte elérni az erőforrást.

MITRE-taktikák: PreAttack

Súlyosság: Magas

Bejelentkezés szokatlan Azure Data Centerből

(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL-t. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)

Leírás: Megváltozott a hozzáférési minta egy SQL Serverhez, ahol valaki egy szokatlan Azure Data Centerből jelentkezett be a kiszolgálóra. Bizonyos esetekben a riasztás egy jogszerű műveletet (új alkalmazást vagy Azure-szolgáltatást) észlel. Más esetekben a riasztás rosszindulatú műveletet észlel (az Azure-ban feltört erőforrásból működő támadó).

MITRE-taktikák: Próba

Súlyosság: Alacsony

Bejelentkezés szokatlan helyről

(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL-t. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)

Leírás: Megváltozott az SQL Server hozzáférési mintája, ahol valaki szokatlan földrajzi helyről jelentkezett be a kiszolgálóra. Bizonyos esetekben a riasztás jogszerű műveleteket észlel (egy új alkalmazást vagy fejlesztői karbantartást). Más esetekben a riasztás rosszindulatú műveletet (korábbi alkalmazottat vagy külső támadót) észlel.

MITRE-taktikák: Hasznosítás

Súlyosság: Közepes

Bejelentkezés olyan egyszerű felhasználótól, aki 60 nap alatt nem látható

(SQL. DB_PrincipalAnomaly SQL-t. VM_PrincipalAnomaly SQL-t. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)

Leírás: Az elmúlt 60 napban nem látott egyszerű felhasználó bejelentkezett az adatbázisba. Ha ez az adatbázis új, vagy az adatbázishoz hozzáférő felhasználók legutóbbi változásai ezt a viselkedést várják, Felhőhöz készült Defender azonosítja a hozzáférési minták jelentős változásait, és megkísérli megakadályozni a jövőbeli hamis pozitívumokat.

MITRE-taktikák: Hasznosítás

Súlyosság: Közepes

Bejelentkezés olyan tartományból, amely 60 nap alatt nem látható

(SQL. DB_DomainAnomaly SQL-t. VM_DomainAnomaly SQL-t. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)

Leírás: Egy felhasználó olyan tartományból jelentkezett be az erőforrásba, amelyről más felhasználók nem csatlakoztak az elmúlt 60 napban. Ha ez az erőforrás új, vagy az erőforráshoz hozzáférő felhasználók legutóbbi változásai ezt a viselkedést várják, Felhőhöz készült Defender azonosítja a hozzáférési minták jelentős változásait, és megkísérli megakadályozni a jövőbeli hamis pozitívumokat.

MITRE-taktikák: Hasznosítás

Súlyosság: Közepes

Bejelentkezés gyanús IP-címről

(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)

Leírás: Az erőforrás egy olyan IP-címről lett sikeresen elérve, amelyet a Microsoft Threat Intelligence gyanús tevékenységhez társított.

MITRE-taktikák: PreAttack

Súlyosság: Közepes

Lehetséges SQL-injektálás

(SQL. DB_PotentialSqlInjection SQL-t. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)

Leírás: Aktív biztonsági rés történt az SQL-injektálásnak kitett azonosított alkalmazás ellen. Ez azt jelenti, hogy a támadó rosszindulatú SQL-utasításokat próbál injektálni a sebezhető alkalmazáskód vagy a tárolt eljárások használatával.

MITRE-taktikák: PreAttack

Súlyosság: Magas

Feltételezett találgatásos támadás egy érvényes felhasználóval

(SQL. DB_BruteForce SQL. VM_BruteForce SQL-t. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Leírás: Lehetséges találgatásos támadást észleltek az erőforráson. A támadó az érvényes felhasználót (felhasználónevet) használja, amely rendelkezik a bejelentkezéshez szükséges engedélyekkel.

MITRE-taktikák: PreAttack

Súlyosság: Magas

Feltételezett találgatásos támadás

(SQL. DB_BruteForce SQL. VM_BruteForce SQL-t. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Leírás: Lehetséges találgatásos támadást észleltek az erőforráson.

MITRE-taktikák: PreAttack

Súlyosság: Magas

Feltételezett sikeres találgatásos támadás

(SQL. DB_BruteForce SQL. VM_BruteForce SQL-t. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Leírás: Sikeres bejelentkezés történt, miután egy találgatásos támadás történt az erőforráson.

MITRE-taktikák: PreAttack

Súlyosság: Magas

Az SQL Server potenciálisan windowsos parancshéjat hoz létre, és egy rendellenes külső forráshoz fért hozzá

(SQL. DB_ShellExternalSourceAnomaly SQL-t. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)

Leírás: Egy gyanús SQL-utasítás potenciálisan olyan Windows-parancshéjat hozott létre, amely olyan külső forrással rendelkezik, amely korábban még nem volt látható. A külső forráshoz hozzáférő rendszerhéj végrehajtása a támadók által használt módszer a rosszindulatú hasznos adatok letöltésére, majd a gépen való végrehajtására és feltörésére. Ez lehetővé teszi, hogy a támadó rosszindulatú feladatokat végezzen távoli irányban. Másik lehetőségként egy külső forrás elérése is használható az adatok külső célhelyre való kiszűrésére.

MITRE-taktikák: Végrehajtás

Súlyosság: Magas/Közepes

Az SQL Server szokatlan hasznos adatokat kezdeményezett elhomályosított alkatrészekkel

(SQL. VM_PotentialSqlInjection)

Leírás: Valaki új hasznos adatcsomagot kezdeményezett az SQL Server azon rétegének használatával, amely kommunikál az operációs rendszerrel, miközben elrejti a parancsot az SQL-lekérdezésben. A támadók gyakran rejtik el a népszerűen figyelt, például xp_cmdshell, sp_add_job és más parancsokat. Obfuscation technikák visszaélés jogos parancsok, mint a sztring összefűzés, casting, alap módosítása, és mások, hogy elkerüljék regex észlelés és árt az olvashatóság a naplók.

MITRE-taktikák: Végrehajtás

Súlyosság: Magas/Közepes

Feljegyzés

Előzetes verziójú riasztások esetén: Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Következő lépések