Bagikan melalui

Peringatan untuk Azure SQL Database dan Azure Synapse Analytics

  • Artikel

Artikel ini mencantumkan pemberitahuan keamanan yang mungkin Anda dapatkan untuk SQL Database dan Azure Synapse Analytics dari Microsoft Defender untuk Cloud dan paket Pertahanan Microsoft apa pun yang Anda aktifkan. Peringatan yang ditampilkan pada lingkungan Anda tergantung pada sumber daya dan layanan yang dilindungi, serta konfigurasi yang disesuaikan.

Catatan

Beberapa pemberitahuan yang baru ditambahkan didukung oleh Inteligensi Ancaman Microsoft Defender dan Microsoft Defender untuk Titik Akhir mungkin tidak terdokumentasi.

Pelajari cara menanggapi pemberitahuan ini.

Pelajari cara mengekspor pemberitahuan.

Catatan

Pemberitahuan dari sumber yang berbeda mungkin membutuhkan waktu yang berbeda untuk muncul. Misalnya, pemberitahuan yang memerlukan analisis lalu lintas jaringan mungkin membutuhkan waktu lebih lama untuk muncul daripada pemberitahuan yang terkait dengan proses mencurigakan yang berjalan pada komputer virtual.

Pemberitahuan SQL Database dan Azure Synapse Analytics

Detail dan catatan lebih lanjut

Kemungkinan kerentanan terhadap SQL Injection

(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)

Deskripsi: Aplikasi telah menghasilkan pernyataan SQL yang rusak dalam database. Ini dapat menunjukkan kemungkinan kerentanan terhadap serangan injeksi SQL. Ada dua kemungkinan alasan untuk pernyataan yang salah. Cacat kode aplikasi mungkin telah membangun pernyataan SQL yang rusak. Atau, kode aplikasi atau prosedur yang disimpan tidak membersihkan input pengguna saat membuat pernyataan SQL yang rusak, yang dapat dieksploitasi untuk injeksi SQL.

Taktik MITRE: PreAttack

Tingkat keparahan: Sedang

Aktivitas masuk dari aplikasi yang berpotensi berbahaya

(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)

Deskripsi: Aplikasi yang berpotensi berbahaya mencoba mengakses sumber daya Anda.

Taktik MITRE: PreAttack

Tingkat keparahan: Tinggi

Log masuk dari Pusat Data Azure yang tidak biasa

(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)

Deskripsi: Ada perubahan pola akses ke SQL Server, di mana seseorang telah masuk ke server dari Azure Data Center yang tidak biasa. Dalam beberapa kasus, peringatan mendeteksi tindakan yang sah (aplikasi baru atau layanan Azure). Dalam kasus lain, peringatan mendeteksi tindakan berbahaya (penyerang yang beroperasi dari sumber daya yang dilanggar di Azure).

Taktik MITRE: Pemeriksaan

Tingkat keparahan: Rendah

Masuk dari lokasi yang tidak biasa

(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)

Deskripsi: Ada perubahan pola akses ke SQL Server, di mana seseorang telah masuk ke server dari lokasi geografis yang tidak biasa. Dalam beberapa kasus, pemberitahuan mendeteksi tindakan yang sah (aplikasi baru atau pemeliharaan pengembang). Dalam kasus lain, peringatan mendeteksi tindakan jahat (mantan karyawan atau penyerang eksternal).

Taktik MITRE: Eksploitasi

Tingkat keparahan: Sedang

Masuk dari pengguna utama yang tidak terlihat dalam 60 hari

(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)

Deskripsi: Pengguna utama yang tidak terlihat dalam 60 hari terakhir telah masuk ke database Anda. Jika database ini baru atau perilaku yang diharapkan ini disebabkan oleh perubahan terbaru pada pengguna yang mengakses database, Defender untuk Cloud akan mengidentifikasi perubahan signifikan pada pola akses dan berupaya mencegah kesalahan positif di masa mendatang.

Taktik MITRE: Eksploitasi

Tingkat keparahan: Sedang

Masuk dari domain yang tidak terlihat dalam 60 hari

(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)

Deskripsi: Pengguna telah masuk ke sumber daya Anda dari domain yang tidak tersambung dengan pengguna lain dalam 60 hari terakhir. Jika sumber daya ini baru atau perilaku yang diharapkan ini disebabkan oleh perubahan terbaru pada pengguna yang mengakses sumber daya, Defender untuk Cloud akan mengidentifikasi perubahan signifikan pada pola akses dan berupaya mencegah kesalahan positif di masa mendatang.

Taktik MITRE: Eksploitasi

Tingkat keparahan: Sedang

Masuk dari IP yang mencurigakan

(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)

Deskripsi: Sumber daya Anda telah berhasil diakses dari alamat IP yang telah dikaitkan dengan Inteligensi Ancaman Microsoft dengan aktivitas yang mencurigakan.

Taktik MITRE: PreAttack

Tingkat keparahan: Sedang

Potensi injeksi SQL

(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)

Deskripsi: Eksploitasi aktif telah terjadi terhadap aplikasi yang diidentifikasi rentan terhadap injeksi SQL. Ini berarti penyerang mencoba menyuntikkan pernyataan SQL berbahaya dengan menggunakan kode aplikasi yang rentan atau prosedur tersimpan.

Taktik MITRE: PreAttack

Tingkat keparahan: Tinggi

Kecurigaan serangan brute force menggunakan pengguna yang valid

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Deskripsi: Potensi serangan brute force telah terdeteksi pada sumber daya Anda. Penyerang menggunakan pengguna yang valid (nama pengguna), yang memiliki izin untuk masuk.

Taktik MITRE: PreAttack

Tingkat keparahan: Tinggi

Kecurigaan serangan brute force

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Deskripsi: Potensi serangan brute force telah terdeteksi pada sumber daya Anda.

Taktik MITRE: PreAttack

Tingkat keparahan: Tinggi

Kecurigaan serangan brute force yang berhasil

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Deskripsi: Login yang berhasil terjadi setelah serangan brute force yang jelas pada sumber daya Anda.

Taktik MITRE: PreAttack

Tingkat keparahan: Tinggi

SQL Server berpotensi menelurkan shell perintah Windows dan mengakses sumber eksternal abnormal

(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)

Deskripsi: Pernyataan SQL yang mencurigakan berpotensi menelurkan shell perintah Windows dengan sumber eksternal yang belum terlihat sebelumnya. Mengeksekusi shell yang mengakses sumber eksternal adalah metode yang digunakan oleh penyerang untuk mengunduh payload berbahaya dan kemudian menjalankannya pada mesin dan membahayakannya. Ini memungkinkan penyerang untuk melakukan tugas berbahaya di bawah arah jarak jauh. Atau, mengakses sumber eksternal dapat digunakan untuk menyelundupkan data ke tujuan eksternal.

Taktik MITRE: Eksekusi

Tingkat keparahan: Tinggi/Sedang

Payload yang tidak biasa dengan bagian yang dikaburkan telah dimulai oleh SQL Server

(SQL. VM_PotentialSqlInjection)

Deskripsi: Seseorang telah memulai payload baru menggunakan lapisan di SQL Server yang berkomunikasi dengan sistem operasi sambil menyembunyikan perintah dalam kueri SQL. Penyerang biasanya menyembunyikan perintah yang berdampak yang populer dipantau seperti xp_cmdshell, sp_add_job dan lainnya. Teknik obfuscation menyalahgunakan perintah yang sah seperti perangkaian string, transmisi, perubahan dasar, dan lainnya, untuk menghindari deteksi regex dan melukai keterbacaan log.

Taktik MITRE: Eksekusi

Tingkat keparahan: Tinggi/Sedang

Catatan

Untuk lansiran yang ada dalam pratinjau: Persyaratan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Langkah berikutnya