Gyakorlat – Biztonság és Felhőhöz készült Microsoft Defender kezelése

  • 10 perc

Ebben a gyakorlatban meggyőződhet arról, hogy a Felhőhöz készült Microsoft Defender engedélyezve van, és az előző leckében említett képességek egyes funkcióit is megismerheti.

Felhőhöz készült Microsoft Defender konfigurálása

  1. Lépjen a logikai Azure SQL Database-kiszolgálóhoz az Azure Portalon.

    The Azure portal

  2. A bal oldali panel Biztonság területén válassza a Felhőhöz készült Microsoft Defender lehetőséget. Válassza a Konfigurálás hivatkozást az Engedélyezés állapota mellett.

  3. Tekintse át a logikai Azure SQL Database-kiszolgálóval kapcsolatban meghozott döntéseket. Ugyanezen a panelen a biztonsági rések felmérésére és az Advanced Threat Protectionre vonatkozó információkat is talál.

    Ez a tárfiók az Azure SQL Database üzembe helyezési szkriptjének részeként lett üzembe helyezve. Tekintse át a beállításokat, és adja hozzá az e-mail-címét, ha meg szeretné kapni a heti ismétlődő vizsgálat eredményeit. Törölje a jelölés jelölését, és küldjön e-mail-értesítést a rendszergazdáknak és az előfizetés-tulajdonosoknak.

  4. Azt, hogy ki kapja meg az Advanced Threat Protection-riasztásokat, ugyanúgy konfigurálhatja mint azt, hogy ki kapja meg a biztonsági rések felmérésének eredményeit. A tesztkörnyezet-előfizetésben nincs hozzáférése az előfizetési szintű e-mail-beállítások beállításához, így nem fogja tudni hozzáadni a kapcsolattartási adatait az előfizetés e-mail-beállításaihoz az Azure Security Centerben.

  5. A beállítások módosítása után válassza a Mentés lehetőséget.

    Ezeknek a beállításoknak a konfigurálásával ennek a tevékenységnek néhány további lépését is végrehajthatja. A biztonsági rések felméréséről és Advanced Threat Protectionről később még lesz szó.

Adatfelderítés és -besorolás

  1. Térjen vissza az AdventureWorks Azure Portal adatbázisához. A bal oldali panel Biztonság területén válassza az Adatfelderítés és -besorolás lehetőséget.

  2. Tekintse át az Adatfelderítés és -besorolás szolgáltatást, amely magas szintű képességeket biztosít az adatbázisban lévő bizalmas adatok felderítéséhez, besorolásához, címkézéséhez és jelentéséhez.

    Ez a varázslónézet hasonló (de nem azonos) az SQL Server adatfelderítési és besorolási eszközével az SQL Server Management Studióval (SSMS). Az SSMS varázsló használata nem támogatott az Azure SQL Database-ben. Hasonló funkciókat az Azure Portallal érhet el, amely az Azure SQL Database-hez támogatott.

    T-SQL-t minden üzembe helyezési lehetőséggel használhat oszlopbesorolások hozzáadására vagy eltávolítására, és a besorolások lekérésére.

  3. Válassza a Besorolás lapot.

  4. Az Adatfelderítés és -besorolás a táblák oszlopnevei alapján próbálja azonosítani az esetleg bizalmas adatokat. Tekintsen át néhány javasolt címkét, majd válassza az Összes kijelölése>Kijelölt javaslatok elfogadása lehetőséget.

  5. Válassza a Menü bal felső részén található Mentés lehetőséget.

  6. Végül válassza az Áttekintés lapot az áttekintési irányítópult megtekintéséhez és a hozzáadott besorolások áttekintéséhez.

    Screenshot of the Data Discovery & Classification overview.

Vulnerability Assessment

  1. Válassza a Felhőhöz készült Microsoft Defender beállítást a Biztonság területen az adatbázis Felhőhöz készült Microsoft Defender irányítópultjának AdventureWorks megtekintéséhez.

  2. A Biztonsági rések felmérése képességek vizsgálatához válassza a Biztonsági rések felmérése területen válassza a További eredmények megtekintése a Biztonsági rések felmérésében lehetőséget.

  3. Válassza a Vizsgálat lehetőséget, amellyel a Biztonsági rések felmérésének legújabb eredményeit kapja meg. A folyamat, amelynek során a Biztonsági rések felmérése megvizsgálja a logikai Azure SQL Database-kiszolgálón lévő összes adatbázist, eltarthat néhány percig.

    Screenshot of how to kick off a Vulnerability Assessment scan.

    Az eredményként kapott nézet nem pontos, de az itt láthatóhoz hasonlónak kell lennie:

    Screenshot of the new Vulnerability Assessment dashboard after scan.

  4. Minden biztonsági kockázathoz tartozik egy kockázati szint (magas, közepes vagy alacsony), és további információ. Az érvényben lévő szabályok a Center for Internet Security által megadott szempontrendszerre épülnek. Az Eredmények lapon válasszon ki egy biztonsági rést. A példánkban a VA2065 biztonsági ellenőrzés azonosítóját választjuk, hogy az alábbi képen láthatóhoz hasonló részletes nézetet kapjunk. Ellenőrizze az állapotát és a többi rendelkezésre álló információt.

    Megjegyzés:

    Ha a VA2065 nem jelez hibát, akkor később elvégezhet egy hasonló gyakorlatot attól függően, hogy mely biztonsági ellenőrzések hibásak.

    Screenshot of the VA2065 security risk.

    Ezen a képen a Biztonsági rések felmérése azt javasolja, hogy készítse el a beállított tűzfalszabályok referenciakonfigurációját. A referencia alapján már figyelni és értékelni tudja a változásokat.

  5. A biztonsági ellenőrzéstől függően más nézetek és javaslatok is megjelenhetnek. Tekintse át a kapott információkat. Ehhez a biztonsági ellenőrzéshez válassza az Összes eredmény hozzáadása alapkonfigurációként gombot, majd az Igen lehetőséget az alapterv beállításához. A referenciakonfiguráció elkészítése után egy a biztonsági ellenőrzés minden további vizsgálatnál hibát fog jelezni, ha az eredmények a referenciától eltérőek. A jobb felső sarokban lévő X elemet választva zárja be az adott szabályhoz tartozó panelt.

  6. A példánkban a Vizsgálat lehetőség kiválasztásával befejeztünk egy másik vizsgálatot, és megerősíthetjük, hogy a VA2065 most már sikeres biztonsági ellenőrzésként jelenik meg.

    Ha az előző sikeres biztonsági ellenőrzést választja, látnia kell a konfigurált alapkonfigurációt. Ha a jövőben bármi megváltozik, a Biztonsági rések felmérése vizsgálatok észlelni fogják, és a biztonsági ellenőrzés hibát jelez.

Advanced Threat Protection

  1. A jobb felső sarokban lévő X elemet választva zárja be a Sebezhetőségi felmérés panelt, és térjen vissza az adatbázis Felhőhöz készült Microsoft Defender irányítópultjára. A Biztonsági incidensek és riasztások területen egyetlen elem sem jelenik meg. Ez azt jelenti, hogy az Advanced Threat Protection nem észlelt problémákat. Az Advanced Threat Protection észleli azokat a rendellenes tevékenységeket, amelyek az adatbázisokhoz való hozzáférésre és az adatbázisok biztonságának megsértésére tett szokatlan és potenciálisan rosszindulatú kísérletekre utalnak.

    Egyelőre valószínűleg nem jelennek meg biztonsági riasztások. A következő lépésben egy riasztást kiváltó tesztet fog lefuttatni, hogy megtekinthesse az eredményeket az Advanced Threat Protectionben.

    Az Advanced Threat Protection használatával azonosíthatja a fenyegetéseket, és riasztást kaphat, ha azt gyanítja, hogy az alábbi események bármelyike bekövetkezik:

    • SQL-injektálás
    • SQL-injektálásos biztonsági rés
    • Adatkiszivárgás
    • Nem biztonságos művelet
    • Találgatásos támadás
    • Rendellenes ügyfél-bejelentkezés

    Ebben a szakaszban megtudhatja, hogyan aktiválható egy SQL-injektálási riasztás az SSMS-en keresztül. Az SQL-injektálási riasztások az egyénileg megírt alkalmazásokhoz valók, nem az olyan szabványos eszközökhöz, mint az SSMS. Ahhoz tehát, hogy az SQL-injektálási teszthez riasztást aktiváljon az SSMS-szel, „be kell állítania” az Application Name tulajdonságot, amely az SQL Serverhez vagy Azure SQL-hez kapcsolódó ügyfelek egyik kapcsolati tulajdonsága, az alkalmazás neve.

    A szakasz teljes körű használatához hozzá kell férnie az Advanced Threat Protection-riasztásokhoz a gyakorlat első részében megadott e-mail-címhez (amelyet ebben a tesztkörnyezetben nem tud megtenni). Ha ezt módosítania kell, akkor tegye meg, mielőtt továbbhaladna.

  2. Az SSMS-ben válassza a Fájl>Új>Adatbázismotor-lekérdezés lehetőséget egy új kapcsolatot használó lekérdezés létrehozásához.

  3. A fő bejelentkezési ablakban jelentkezzen be az AdventureWorksbe ugyanúgy, ahogyan SQL-hitelesítés esetén tenné. Csatlakozás előtt válassza a Beállítások >>>Csatlakozás ion tulajdonságai lehetőséget. Írja be az AdventureWorksbe az adatbázisba Csatlakozás lehetőséget.

    Screenshot of how to connect to a specific database.

  4. Válassza a További kapcsolati paraméterek lapot, majd a szövegmezőbe illessze be a következő kapcsolati sztringet:

    Application Name=webappname

  5. Válassza a Kapcsolódás lehetőséget.

    Screenshot of how to connect with an app name.

  6. Az új lekérdezési ablakban illessze be a következő lekérdezést, majd válassza a Végrehajtás lehetőséget:

    SELECT * FROM sys.databases WHERE database_id like '' or 1 = 1 --' and family = 'test1';

    Néhány percen belül, ha meg tudta konfigurálni az e-mail-beállításokat (amelyeket nem tud megtenni a tesztkörnyezetben), az alábbihoz hasonló e-mailt kap:

    Screenshot of an Advanced Threat Protection threat detected email.

  7. Lépjen az AdventureWorks adatbázishoz az Azure Portalon. A bal oldali panel Biztonság területén válassza a Felhőhöz készült Microsoft Defender lehetőséget.

    A Biztonsági incidensek és riasztások csoportban válassza a További riasztások megtekintése a Felhőhöz készült Defender más erőforrásain lehetőséget.

  8. Ekkor megjelennek az általános biztonsági riasztások.

    Screenshot of the security alerts.

  9. Válassza a Lehetséges SQL-injektálás elemet az ilyen jellegű riasztások és a kivizsgálás lépéseinek megtekintéséhez.

  10. A rend kedvéért érdemes az összes lekérdezésszerkesztőt bezárni az SSMS-ben, majd eltávolítani az összes kapcsolatot, nehogy véletlenül további riasztásokat váltson ki a következő gyakorlat során.

Ebben a leckében megtanulta, hogyan konfigurálhatja és alkalmazhatja az Azure SQL Database egyes biztonsági funkcióit. A következő leckében különböző biztonsági szolgáltatások kombinálásával mélyítheti el a tanultakat egy teljes értékű forgatókönyvet használva.