Condividi tramite


SQL Advanced Threat Protection

Si applica a: database SQL di Azure, Istanza gestita di SQL di Azure Azure Synapse Analytics SQL Server su macchina virtuale Azure con il supporto Server SQL abilitato da Azure Arc

Advanced Threat Protection per il database SQL di Azure, Istanza gestita di SQL di Azure, Azure Synapse Analytics, SQL Server in VM di Azure e SQL Server abilitato per Azure Arc rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database.

Advanced Threat Protection fa parte dell'offerta Microsoft Defender per SQL, un pacchetto unificato per funzionalità di sicurezza SQL avanzate. È possibile accedere e gestire Advanced Threat Protection tramite il portale centrale Microsoft Defender per SQL.

Panoramica

Advanced Threat Protection offre un nuovo livello di sicurezza, che consente ai clienti di rilevare e rispondere alle potenziali minacce non appena si verificano tramite avvisi di sicurezza su attività anomale. Gli utenti ricevono un avviso in caso di attività di database sospetta, potenziali vulnerabilità e attacchi SQL injection, nonché in caso di modelli di query e accesso ai database anomali. Advanced Threat Protection integra gli avvisi con Microsoft Defender per il cloud, in cui sono inclusi i dettagli delle attività sospette e vengono suggerite le azioni da intraprendere per analizzare e mitigare la minaccia. Advanced Threat Protection consente di fare fronte con facilità alle potenziali minacce al database anche senza essere esperti di sicurezza o dover gestire sistemi avanzati di monitoraggio della sicurezza.

Per un'esperienza di analisi completa, è consigliabile abilitare il controllo, che scrive gli eventi del database in un log di controllo nell'account di archiviazione di Azure. Per abilitare il controllo, vedere Controllo per database SQL di Azure e Azure Synapse o Controllo per Istanza gestita di SQL di Azure.

Avvisi

Advanced Threat Protection rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Per un elenco di avvisi, vedere Avvisi per database SQL e Azure Synapse Analytics in Microsoft Defender per il cloud.

Esaminare un caso di rilevamento di un evento sospetto

Si riceverà una notifica tramite posta elettronica al rilevamento di attività di database anomale. Il messaggio di posta elettronica fornirà informazioni sull'evento di sicurezza sospetto, inclusi la natura delle attività anomale, il nome del database, il nome del server, il nome dell'applicazione e l'ora dell'evento. Il messaggio di posta elettronica fornirà anche informazioni sulle possibili cause e le azioni consigliate per analizzare e ridurre il rischio di una potenziale minaccia al database.

Report Anomalie dell'attività

  1. Selezionare il collegamento Visualizza gli avvisi di SQL recenti nel messaggio di posta elettronica per avviare il portale di Azure e visualizzare la pagina degli avvisi di Microsoft Defender per il cloud, con una panoramica delle minacce attive rilevate nel database.

    Minacce di attività

  2. Selezionare un avviso specifico per ottenere ulteriori dettagli e le azioni da intraprendere per analizzare questa minaccia ed evitar quelle future.

    Ad esempio, SQL injection è uno dei problemi di sicurezza più comuni delle applicazioni Web su Internet che viene usato per attaccare le applicazioni guidate dai dati. Gli autori degli attacchi sfruttano le vulnerabilità delle applicazioni per introdurre istruzioni SQL dannose nei campi di immissione dell'applicazione, con lo scopo di violare o modificare i dati del database. Negli avvisi di attacchi SQL injection, i dettagli includono l'istruzione SQL vulnerabile che è stata sfruttata.

    Avviso specifico

Esaminare gli avvisi nel portale di Azure

Advanced Threat Protection integra gli avvisi con Microsoft Defender per il cloud. I riquadri dinamici di Advanced Threat Protection all'interno del database e i pannelli di Microsoft Defender per il cloud su SQL nel portale di Azure monitorano lo stato delle minacce attive.

Selezionare l'avviso di Advanced Threat Protection per avviare la pagina degli avvisi di Microsoft Defender per il cloud e ottenere una panoramica delle minacce SQL attive rilevate nel database.

Panoramica degli avvisi di Advanced Threat Protection nel database

Advanced Threat Protection in Defender per SQL