Esplorare il controllo del server e del database
Il controllo sql di Azure tiene traccia degli eventi del database e li scrive in un log di controllo nell'account di archiviazione di Azure, nell'area di lavoro Log Analytics o in Hub eventi. Consente di mantenere la conformità alle normative, analizzare i modelli di attività e identificare le deviazioni che possono indicare violazioni della sicurezza.
È possibile definire criteri a livello di server e a livello di database. I criteri a livello di server coprono automaticamente i database nuovi ed esistenti in Azure.
- Se il controllo del server è abilitato, il database viene controllato, indipendentemente dalle impostazioni di controllo del database.
- Oltre ad abilitare il controllo sul server, è possibile abilitarlo anche sul database. In questo modo entrambi i controlli possono esistere simultaneamente: i criteri del server e i criteri del database.
È consigliabile non abilitare sia il controllo del server che il controllo del database insieme, a meno che:
- Per un database specifico viene usato un account di archiviazione, un periodo di conservazione o un'area di lavoro Log Analytics diversa.
- È necessario un controllo per un database specifico diverso dal resto del server, ad esempio per tipi o categorie di eventi diversi.
Per tutti gli altri casi, è consigliabile abilitare solo il controllo a livello di server e lasciare disabilitato il controllo a livello di database per tutti i database.
I criteri di controllo predefiniti per il database SQL includono il set seguente di gruppi di azioni:
| Gruppo di azioni | Definizione |
|---|---|
| BATCH_COMPLETED_GROUP | Controlla tutte le query e le stored procedure eseguite sul database. |
| SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP | Indica che un'entità è riuscita ad accedere al database. |
| FAILED_DATABASE_AUTHENTICATION_GROUP | Indica che un'entità non è riuscita ad accedere al database. |
Per abilitare il controllo per tutti i database in un server di Azure SQL, selezionare Controllo nella sezione Sicurezza del pannello principale del server. La pagina Controllo consente di impostare la destinazione del log di controllo.
I servizi di controllo per il database SQL e Istanza gestita di SQL sono ottimizzati per la disponibilità e le prestazioni. Il database SQL e l'istanza gestita di SQL potrebbero non registrare alcuni eventi controllati quando è presente una frequenza elevata di attività o un carico di rete elevato.
Nota
Il controllo sulle repliche di sola lettura viene abilitato automaticamente.
Controllare le etichette sensibili
In combinazione con la classificazione dei dati, è anche possibile monitorare l'accesso ai dati sensibili. Il controllo SQL di Azure è stato migliorato per includere un nuovo campo nel log di controllo denominato data_sensitivity_information.
Registrando le etichette di riservatezza dei dati restituiti da una query, questo campo consente di tenere traccia in modo più semplice dell'accesso alle colonne classificate.
Il controllo è costituito dal rilevamento e dalla registrazione degli eventi che si verificano nel motore di database. Il controllo SQL di Azure semplifica i passaggi di configurazione necessari per abilitarlo, semplificando il monitoraggio delle attività del database per il database SQL e l'istanza gestita di SQL.