Memahami Microsoft Defender for SQL
Pertahanan Microsoft untuk SQL menawarkan serangkaian perlindungan untuk Azure SQL Database dan Azure SQL Managed Instance sebagai bagian dari fitur keamanan SQL tingkat lanjut, termasuk penilaian kerentanan SQL dan Perlindungan Ancaman Tingkat Lanjut.
Penilaian Kerentanan SQL
Penilaian kerentanan SQL adalah layanan yang menggunakan pangkalan pengetahuan aturan keamanan untuk memberi bendera item yang tidak sesuai saat dipindai. Penilaian kerentanan SQL memeriksa database Anda untuk praktik terbaik keamanan, dan memberikan visibilitas ke status keamanan Anda, seperti miskonfigurasi, izin yang berlebihan, dan paparan data sensitif.
Untuk melihat rekomendasi SQL Database dan SQL Managed Instance, Anda harus mengaktifkan Microsoft Defender untuk SQL di tingkat langganan (disarankan). Anda juga perlu menyediakan akun penyimpanan. Atau, Anda dapat memilih untuk menerima email dengan ringkasan hasil pemindaian.
Fitur penilaian kerentanan dapat mendeteksi potensi risiko di lingkungan Anda, dan membantu Anda meningkatkan keamanan database. Fitur penilaian kerentanan juga memberikan wawasan tentang status keamanan Anda dan langkah-langkah yang dapat ditindaklanjuti untuk menyelesaikan peringatan keamanan.
Untuk mempelajari selengkapnya tentang penilaian kerentanan SQL, lihat Penilaian kerentanan SQL membantu Anda mengidentifikasi kerentanan database.
Perlindungan Tingkat Lanjut terhadap Ancaman
Advanced Threat Protection memantau koneksi database dan kueri yang dijalankan untuk mendeteksi aktivitas yang berpotensi membahayakan. Anda dapat mengelola dan mengakses Advanced Threat Protection melalui portal Microsoft Defender untuk SQL pusat.
Ancaman berikut ini didukung oleh Advanced Threat Protection:
| Peringatan | Definisi |
|---|---|
| Kerentanan terhadap injeksi SQL | Peringatan ini mencari kode T-SQL yang masuk ke database Anda yang mungkin rentan terhadap serangan injeksi SQL. Contohnya adalah panggilan prosedur tersimpan yang tidak membersihkan input pengguna. |
| Potensi injeksi SQL | Peringatan ini dipicu ketika penyerang secara aktif mencoba menjalankan serangan injeksi SQL. |
| Akses dari lokasi yang tidak biasa | Peringatan ini dipicu saat pengguna masuk dari lokasi geografis yang tidak biasa. |
| Akses dari pusat data Azure yang tidak biasa | Peringatan ini mencari serangan dari pusat data Azure yang biasanya tidak diakses. |
| Akses dari prinsipal yang tidak dikenal | Peringatan ini dimunculkan saat pengguna atau aplikasi masuk ke database yang belum pernah mereka akses sebelumnya. |
| Akses dari aplikasi yang berpotensi berbahaya | Peringatan ini mendeteksi alat umum yang digunakan untuk menyerang database. |
| Kredensial SQL brute force | Peringatan ini dipicu saat ada banyak kegagalan proses masuk dengan kredensial yang berbeda. |
Untuk mendapatkan manfaat maksimum darinya, Anda ingin mengaktifkan audit pada database Anda. Meskipun tidak diperlukan, mengaktifkan audit memungkinkan penyelidikan yang lebih mendalam tentang sumber masalah jika Perlindungan Ancaman Tingkat Lanjut mendeteksi anomali.
Grup tindakan audit berikut direkomendasikan:
- BATCH_COMPLETED_GROUP
- SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
- FAILED_DATABASE_AUTHENTICATION_GROUP
Cara mengaktifkan Microsoft Defender untuk SQL
Anda harus menjadi bagian dari peran manajer keamanan SQL, atau salah satu peran admin database atau server untuk mengelola pengaturan Microsoft Defender untuk SQL.
Aktifkan Microsoft Defender untuk SQL bagi SQL Database atau SQL Managed Instance dari panel utama server dengan memilih Microsoft Defender untuk Cloud, lalu tautan (Konfigurasikan).
Pada halaman Pengaturan server, pastikan properti MICROSOFT DEFENDER UNTUK SQL diatur ke AKTIF.
Setelah Microsoft Defender untuk SQL diaktifkan, Anda dapat melihat rekomendasi dengan memilih Microsoft Defender untuk Cloud pada panel server.
Microsoft Defender untuk SQL menyediakan fitur bawaan yang canggih untuk mengidentifikasi dan menangani ancaman terhadap database tanpa perlu menjadi pakar keamanan.