Gyakorlat – Az adatbázis monitorozása

  • 8 perc

Tegyük fel, hogy riasztást kap a vállalat biztonsági rendszergazdájától. A rendszer biztonsági rést észlelt a hálózaton. Előfordulhat, hogy egy jogosulatlan személy rosszindulatú tevékenységen keresztül fért hozzá az adatbázishoz. Hogyan tudhat meg többet?

Tudja, hogy aktívan figyelnie kell az adatbázist gyanús tevékenységek esetén. Mit tehet annak érdekében, hogy ne csak az adatbázisban zajló eseményeket ismerje meg, hanem megakadályozza a rosszindulatú tevékenységek előfordulását is?

Az Azure SQL Database beépített funkciói segítenek nyomon követni az adatbázisban zajló eseményeket. Figyelhet és riasztást kaphat, ha rosszindulatú tevékenységet azonosít.

Az SQL Database naplózási funkciója

A rendszer az adatbázison végrehajtott műveleteket a naplózás engedélyezésével tárolja későbbi vizsgálat céljából, vagy azért hogy automatizált eszközök elemezhessék azokat. A naplózást felhasználhatja a megfelelőség kezeléséhez és az adatbázis használatának megértéséhez is. A naplózásra akkor is szükség van, ha igénybe szeretné venni az Azure fenyegetésészlelését az Azure SQL Database-adatbázison.

Az SQL-adatbázis naplózásával az alábbiakat végezheti el:

  • Retain an audit trail of selected events. You can define categories of database actions to be audited.
  • Report on database activity. You can use preconfigured reports and a dashboard to get started quickly with activity and event reporting.
  • Analyze reports. Gyanús eseményeket, szokatlan tevékenységeket és trendeket találhat.

A naplók egy Ön által kijelölt Azure Blob Storage-fiók hozzáfűző blobjaihoz lesznek megírva. Naplózási szabályzatokat kiszolgálószinten vagy adatbázisszinten alkalmazhat. Ha engedélyezve van, az Azure Portal használatával megtekintheti a naplókat, vagy elküldheti őket a Log Analyticsbe vagy az Event Hubsba további feldolgozás és elemzés céljából.

Naplózás a gyakorlatban

Ajánlott eljárásként javasoljuk, hogy ne engedélyezze egyszerre a kiszolgáló blobnaplózását és az adatbázisblob naplózását, kivéve, ha:

  • Egy adott adatbázishoz eltérő Storage-fiókot vagy adatmegőrzési időszakot érdemes használni.
  • Az eseménytípusokat vagy a kategóriákat olyan meghatározott adatbázis esetén érdemes alkalmazni, amely eltér a kiszolgálón lévő többi adatbázistól. Például lehetnek olyan táblába történő beszúrások, amelyeket csak egy meghatározott adatbázisra vonatkozóan szeretne naplózni.

Ellenkező esetben azt javasoljuk, hogy csak a kiszolgálószintű blobnaplózást engedélyezze, és hagyja letiltva az adatbázisszintű naplózást az összes adatbázis esetében.

Kövesse az alábbi lépéseket a rendszer naplózásának beállításához.

  1. Jelentkezzen be az Azure Portalra ugyanazzal a fiókkal, amellyel aktiválta a tesztkörnyezetet.

  2. A portál tetején található keresősávon keresse meg a serverNNNNN-t, majd válassza ki a kiszolgálót a portálon. Cserélje le az NNNNN-t a kiszolgáló nevéből származó számra.

  3. A bal oldali menüpanel Biztonság területén válassza a Naplózás lehetőséget.

  4. A naplózás lehetőség alapértelmezés szerint ki van kapcsolva. Ha engedélyezni szeretné az adatbázis-kiszolgálón, kapcsolja be az Azure AQL-naplózás bekapcsolását.

  5. A BE gomb kiválasztása után jelölje be a Tároló jelölőnégyzetet.

  6. Select your subscription.

  7. Kiválaszthat egy meglévő tárfiókot, vagy létrehozhat egy új tárfiókot az auditok tárolásához. A tárfiókot ugyanarra a régióra kell konfigurálni, mint a kiszolgálót.

    Ebben az esetben definiáljon egy új tárfiókot. A Tárfiók területen válassza az Új létrehozása lehetőséget. Megjelenik a Tárfiók létrehozása panel. Nevezze el a tárfiók-kiszolgálóNNNNNNauditing nevet, és cserélje le az NNNNN-et a logikai kiszolgáló nevéből származó számra.

  8. Hagyja meg a többi beállítást az alapértelmezett értéken, és válassza az OK gombot. Lépjen vissza a Tárolási beállítások panelre, hagyja meg az alapértelmezett értékeket, és válassza az OK gombot.

  9. A Mentés gombra kattintva mentheti a módosításokat, és engedélyezheti a naplózást az adatbázis-kiszolgálón.

Most hozzon létre néhány naplózási rekordot, és tekintse meg, hogy mire számíthat.

  1. Jelentkezzen be újra az adatbázisba ApplicationUser-felhasználóként.

    sqlcmd -S tcp:serverNNNNN.database.windows.net,1433 -d marketplaceDb -U 'ApplicationUser' -P '[password]' -N -l 30

  2. Futtassa az alábbi lekérdezést.

    SELECT FirstName, LastName, EmailAddress, Phone FROM SalesLT.Customer;
GO

  3. Az Azure Portalon, az SQL Serveren válassza ki az SQL-adatbázisokat a bal oldali menüpanelen, és válassza ki a Marketplace-adatbázist.

  4. A marketplace-adatbázis bal oldali menüpanelén, a Biztonság területen válassza a Naplózás lehetőséget.

  5. Mivel engedélyezte a naplózást a kiszolgáló szintjén, látnia kell, hogy itt engedélyezve van. A naplók megtekintéséhez válassza az Auditnaplók megtekintése lehetőséget a felső menüsávban.

  6. Megjelennek az ApplicationUserEGYSZERŰ NEVÉNEK és a BEFEJEZETT KÖTEGESEMÉNYTÍPUSÁNAK rekordjai. Az egyiknek tartalmaznia kell a végrehajtott lekérdezés részleteit. Emellett egyéb események is megjelenhetnek, például hitelesítési hibák vagy sikeres hitelesítések. Az esemény részleteinek megtekintéséhez válasszon ki egy rekordot.

Screenshot shows an example event in the audit log.

Ezek a műveletek az adatbázis-kiszolgáló szintjéhez konfigurálják a naplókat. Az auditok a kiszolgálón lévő összes adatbázisra vonatkoznak. A naplózást egy adatbázisszinthez is beállíthatja.

Tekintse meg a naplókat használó másik funkciót, amely növeli az adatbázis biztonságát.

Advanced Data Security az Azure SQL Database-hez

Az Advanced Data Security (ADS) számos speciális SQL-biztonsági képességet kínál, többek között adatfelderítést és adatbesorolást, biztonsági rések felmérését és speciális veszélyforrások elleni védelmet (Advanced Threat Protection).

  • Az adatfelderítés és -besorolás (jelenleg előzetes verzióban) az Azure SQL Database-be beépített képességeket biztosít az adatbázisokban lévő bizalmas adatok felderítésére, osztályozására, címkézésére és védelmére. Használatával áttekinthető az adatbázis besorolási állapota, valamint követhető a bizalmas adatokhoz való hozzáférés az adatbázison belül és azon kívül.
  • A sebezhetőségi felmérés egy könnyen konfigurálható szolgáltatás, amely képes felderíteni és követni az adatbázisok lehetséges biztonsági réseit, és segít orvosolni azokat. Áttekinthetővé teszi az adatbázisok biztonsági állapotát, és végrehajtható lépéseket kínál a biztonsági problémák megoldására, valamint az adatbázisok védelmének fejlesztésére.
  • Az Advanced Threat Protection észleli az adatbázisai hozzáférésére és az adatbázisai biztonságának megsértésére tett szokatlan és potenciálisan kártevő szándékú kísérleteket. A szolgáltatás folyamatosan figyeli az adatbázisokat, és azonnal értesíti a felhasználót a gyanús tevékenységekről, a lehetséges biztonsági résekről, az SQL-injektálásos támadásokról, valamint a rendellenes adatbázis-hozzáférési mintákról. Az Advanced Threat Protection által adott riasztások tartalmazzák a gyanús tevékenység részleteit, és javaslatot tesznek a fenyegetés kivizsgálására és mérséklésére tett műveletekre.

Setup and configuration

Engedélyezze az ADS-t az adatbázisban. Az ADS egy kiszolgálószintű beállítás, ezért kezdje ott.

  1. Lépjen az SQL-kiszolgálóra az Azure Portalon. A lap tetején található keresősávon keresse meg a serverNNNNNN-t, majd válassza ki a kiszolgálót.

  2. A bal oldali menüablak Biztonság területén válassza a Felhőhöz készült Microsoft Defender.

  3. Válassza a Microsoft Defender engedélyezése AZ SQL-hez lehetőséget.

  4. Válassza a Konfigurálás lehetőséget az előfizetés szintjén engedélyezett üzenet mellett. Megjelenik a Kiszolgáló beállításai panel.

  5. Alapértelmezés szerint be van kapcsolva a rendszeres ismétlődő vizsgálatok . Heti vizsgálat indításakor a rendszer elküldi a vizsgálati eredmények összegzését a megadott e-mail-címre. Ebben az esetben kapcsolja ki. Az E-mail-értesítés a rendszergazdáknak és előfizetések tulajdonosainak is alapértelmezés szerint engedélyezve van, így a fenyegetésekről a rendszergazdák is értesítést kapnak. A beállítások mentéséhez válassza a Fent lévő Mentés lehetőséget.

  6. Az Advanced Threat Protection Gépház területen válassza a Kapcsolattartási adatok hozzáadása... lehetőséget a Felhőhöz készült Defender e-mail-értesítések panel megnyitásához. Itt megadható, hogy hol érkeznek az értesítési e-mailek a sebezhetőségi felméréshez és az Advanced Threat Protectionhez pontosvesszővel elválasztott e-mail-címek listájaként. Az E-mail-értesítés a rendszergazdáknak és előfizetések tulajdonosainak is alapértelmezés szerint engedélyezve van, így a fenyegetésekről a rendszergazdák is értesítést kapnak.

  7. Az Azure SQL-naplózás bekapcsolásához válassza a Naplózás engedélyezése lehetőséget is.

  8. A módosítások alkalmazásához válassza a Mentés lehetőséget.

A biztonsági rések észlelése esetén e-mail-értesítéseket kap. Az e-mail ismerteti a történteket és a végrehajtandó műveleteket.

Screenshot shows an example notification warning from Microsoft Defender for Cloud.

Adatfelderítés és besorolás

  1. Nyissa meg a marketplace-adatbázist. Az Azure Portal tetején található keresősávon keressen rá a piactérre, majd válassza ki az adatbázist.

  2. A bal oldali menüpanel Biztonság területén válassza az Adatfelderítés és -besorolás lehetőséget.

A Besorolás lapon a táblák azon oszlopai láthatók, amelyeket védeni kell. Előfordulhat, hogy egyes oszlopok bizalmas információkkal rendelkeznek, vagy különböző országokban vagy régiókban vannak besorolva.

Screenshot that shows the Classification tab in the Data Discovery and Classification pane.

Üzenet jelenik meg, ha bármelyik oszlopnak konfigurálnia kell a védelmet. Ez az üzenet 15 oszlopként van formázva besorolási javaslatokkal. A javaslatok megtekintéséhez jelölje ki a szöveget.

Jelölje ki a besorolni kívánt oszlopokat az oszlop melletti pipa bejelölésével, vagy jelölje be a sémafejléc bal oldalán lévő jelölőnégyzetet. A besorolási javaslatok alkalmazásához válassza a Kijelölt javaslatok elfogadása gombot.

Ezután szerkessze az oszlopokat, majd adja meg az adatbázis adattípusát és bizalmassági címkéjét. A módosítások mentéséhez válassza a Mentés lehetőséget.

A javaslatok sikeres kezelése után nem szabad aktív javaslatokat felsorolni.

Biztonsági rések

A bal oldali menüablak Biztonság területén válassza a Felhőhöz készült Microsoft Defender.

A Javaslatok szakasz az adatbázis konfigurációs problémáit és a kapcsolódó kockázatokat sorolja fel.

Válasszon ki egy javaslatot. A javaslatpanelen megjelennek a részletek, például a kockázati szint, az adatbázis, amelyre vonatkozik, a biztonsági rés leírása és a probléma megoldásához javasolt szervizelés. Alkalmazza a javasolt lépéseket a probléma vagy problémák elhárításához. Tegyen intézkedéseket minden biztonsági réssel szemben.

Biztonsági incidensek és riasztások

Ez a szakasz az észlelt fenyegetések listáját jeleníti meg.

Kövesse a javaslatokat az adott probléma elhárításához. Az olyan problémák esetén, mint az SQL-injektálási figyelmeztetések, megtekintheti a lekérdezést, és visszafelé dolgozhat arra a helyre, ahol a lekérdezést kódban hajtják végre. Miután megtalálta, át kell írnia a kódot, hogy a továbbiakban ne legyen probléma.