Riasztások az SQL Database-hez és az Azure Synapse Analyticshez
Ez a cikk felsorolja az SQL Database és az Azure Synapse Analytics Felhőhöz készült Microsoft Defender és az engedélyezett Microsoft Defender-csomagok biztonsági riasztásait. A környezetben megjelenő riasztások a védeni kívánt erőforrásoktól és szolgáltatásoktól, valamint a testre szabott konfigurációtól függenek.
Feljegyzés
Előfordulhat, hogy a Microsoft Defender Intelligens veszélyforrás-felderítés és Végponthoz készült Microsoft Defender által nemrég hozzáadott riasztások némelyike visszavonva.
Megtudhatja, hogyan válaszolhat ezekre a riasztásokra.
Megtudhatja, hogyan exportálhat riasztásokat.
Feljegyzés
A különböző forrásokból származó riasztások megjelenése különböző időt vehet igénybe. A hálózati forgalom elemzését igénylő riasztások például tovább tarthatnak, mint a virtuális gépeken futó gyanús folyamatokkal kapcsolatos riasztások.
SQL Database- és Azure Synapse Analytics-riasztások
További részletek és megjegyzések
Az SQL-injektálás lehetséges biztonsági rése
(SQL. DB_VulnerabilityToSqlInjection SQL-t. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL-t. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
Leírás: Egy alkalmazás hibás SQL-utasítást hozott létre az adatbázisban. Ez az SQL-injektálási támadások lehetséges biztonsági rését jelezheti. A hibás állításnak két oka lehet. Előfordulhat, hogy az alkalmazáskód hibája létrehozta a hibás SQL-utasítást. Vagy az alkalmazáskód vagy a tárolt eljárások nem megtisztították a felhasználói bemenetet a hibás SQL-utasítás létrehozásakor, amelyet az SQL-injektáláshoz lehet kihasználni.
MITRE-taktikák: PreAttack
Súlyosság: Közepes
Bejelentkezési tevékenység potenciálisan káros alkalmazásból
(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL-t. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
Leírás: Egy potenciálisan káros alkalmazás megkísérelte elérni az erőforrást.
MITRE-taktikák: PreAttack
Súlyosság: Magas
Bejelentkezés szokatlan Azure Data Centerből
(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL-t. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
Leírás: Megváltozott a hozzáférési minta egy SQL Serverhez, ahol valaki egy szokatlan Azure Data Centerből jelentkezett be a kiszolgálóra. Bizonyos esetekben a riasztás egy jogszerű műveletet (új alkalmazást vagy Azure-szolgáltatást) észlel. Más esetekben a riasztás rosszindulatú műveletet észlel (az Azure-ban feltört erőforrásból működő támadó).
MITRE-taktikák: Próba
Súlyosság: Alacsony
Bejelentkezés szokatlan helyről
(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL-t. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
Leírás: Megváltozott az SQL Server hozzáférési mintája, ahol valaki szokatlan földrajzi helyről jelentkezett be a kiszolgálóra. Bizonyos esetekben a riasztás jogszerű műveleteket észlel (egy új alkalmazást vagy fejlesztői karbantartást). Más esetekben a riasztás rosszindulatú műveletet (korábbi alkalmazottat vagy külső támadót) észlel.
MITRE-taktikák: Hasznosítás
Súlyosság: Közepes
Bejelentkezés olyan egyszerű felhasználótól, aki 60 nap alatt nem látható
(SQL. DB_PrincipalAnomaly SQL-t. VM_PrincipalAnomaly SQL-t. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
Leírás: Az elmúlt 60 napban nem látott egyszerű felhasználó bejelentkezett az adatbázisba. Ha ez az adatbázis új, vagy az adatbázishoz hozzáférő felhasználók legutóbbi változásai ezt a viselkedést várják, Felhőhöz készült Defender azonosítja a hozzáférési minták jelentős változásait, és megkísérli megakadályozni a jövőbeli hamis pozitívumokat.
MITRE-taktikák: Hasznosítás
Súlyosság: Közepes
Bejelentkezés olyan tartományból, amely 60 nap alatt nem látható
(SQL. DB_DomainAnomaly SQL-t. VM_DomainAnomaly SQL-t. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
Leírás: Egy felhasználó olyan tartományból jelentkezett be az erőforrásba, amelyről más felhasználók nem csatlakoztak az elmúlt 60 napban. Ha ez az erőforrás új, vagy az erőforráshoz hozzáférő felhasználók legutóbbi változásai ezt a viselkedést várják, Felhőhöz készült Defender azonosítja a hozzáférési minták jelentős változásait, és megkísérli megakadályozni a jövőbeli hamis pozitívumokat.
MITRE-taktikák: Hasznosítás
Súlyosság: Közepes
Bejelentkezés gyanús IP-címről
(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
Leírás: Az erőforrás egy olyan IP-címről lett sikeresen elérve, amelyet a Microsoft Threat Intelligence gyanús tevékenységhez társított.
MITRE-taktikák: PreAttack
Súlyosság: Közepes
Lehetséges SQL-injektálás
(SQL. DB_PotentialSqlInjection SQL-t. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
Leírás: Aktív biztonsági rés történt az SQL-injektálásnak kitett azonosított alkalmazás ellen. Ez azt jelenti, hogy a támadó rosszindulatú SQL-utasításokat próbál injektálni a sebezhető alkalmazáskód vagy a tárolt eljárások használatával.
MITRE-taktikák: PreAttack
Súlyosság: Magas
Feltételezett találgatásos támadás egy érvényes felhasználóval
(SQL. DB_BruteForce SQL. VM_BruteForce SQL-t. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Leírás: Lehetséges találgatásos támadást észleltek az erőforráson. A támadó az érvényes felhasználót (felhasználónevet) használja, amely rendelkezik a bejelentkezéshez szükséges engedélyekkel.
MITRE-taktikák: PreAttack
Súlyosság: Magas
Feltételezett találgatásos támadás
(SQL. DB_BruteForce SQL. VM_BruteForce SQL-t. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Leírás: Lehetséges találgatásos támadást észleltek az erőforráson.
MITRE-taktikák: PreAttack
Súlyosság: Magas
Feltételezett sikeres találgatásos támadás
(SQL. DB_BruteForce SQL. VM_BruteForce SQL-t. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Leírás: Sikeres bejelentkezés történt, miután egy találgatásos támadás történt az erőforráson.
MITRE-taktikák: PreAttack
Súlyosság: Magas
Az SQL Server potenciálisan windowsos parancshéjat hoz létre, és egy rendellenes külső forráshoz fért hozzá
(SQL. DB_ShellExternalSourceAnomaly SQL-t. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
Leírás: Egy gyanús SQL-utasítás potenciálisan olyan Windows-parancshéjat hozott létre, amely olyan külső forrással rendelkezik, amely korábban még nem volt látható. A külső forráshoz hozzáférő rendszerhéj végrehajtása a támadók által használt módszer a rosszindulatú hasznos adatok letöltésére, majd a gépen való végrehajtására és feltörésére. Ez lehetővé teszi, hogy a támadó rosszindulatú feladatokat végezzen távoli irányban. Másik lehetőségként egy külső forrás elérése is használható az adatok külső célhelyre való kiszűrésére.
MITRE-taktikák: Végrehajtás
Súlyosság: Magas/Közepes
Az SQL Server szokatlan hasznos adatokat kezdeményezett elhomályosított alkatrészekkel
(SQL. VM_PotentialSqlInjection)
Leírás: Valaki új hasznos adatcsomagot kezdeményezett az SQL Server azon rétegének használatával, amely kommunikál az operációs rendszerrel, miközben elrejti a parancsot az SQL-lekérdezésben. A támadók gyakran rejtik el a népszerűen figyelt, például xp_cmdshell, sp_add_job és más parancsokat. Obfuscation technikák visszaélés jogos parancsok, mint a sztring összefűzés, casting, alap módosítása, és mások, hogy elkerüljék regex észlelés és árt az olvashatóság a naplók.
MITRE-taktikák: Végrehajtás
Súlyosság: Magas/Közepes
Feljegyzés
Előzetes verziójú riasztások esetén: Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: