マシン上の SQL サーバーのアラートをシミュレートする

Microsoft Defender for Cloud には、組織とセキュリティチームがデプロイを検証し、実際のセキュリティリスクを作成することなく、セキュリティチームの検出、対応、自動化ワークフローの準備をテストするのに役立つ、SQL シミュレートされたアラート機能が用意されています。

このシミュレーションでは、 Sql-SimulateAlertという名前のカスタムスクリプト拡張機能を使用して、ターゲットマシン (Azure Virtual Machines (VM) または Arc に接続されたマシン) にテレメトリレコードが挿入されます。シミュレートされたアラートには、ホスト、SQL インスタンス、データベース、プロセス情報などの完全なランタイムコンテキストが含まれているため、エンドツーエンドのセキュリティ応答フローを検証できます。このプロセスは安全で非侵入的で、あなたのリソースの安全を確保します。

次のセキュリティシナリオをシミュレートできます。

ブルートフォース認証
疑わしいアプリケーションからの認証
SQL インジェクション
主成分の異常
シェル外部ソースの異常
シェルの難読化

このシミュレーションは、外部の悪意のあるペイロードを実行することなく、カスタムスクリプト拡張機能を使用してコンピューター上でローカルに実行されます。生成されたすべてのアラートには、完全なマシンとリソースの識別子、SQL インスタンス名、データベース情報、プロセスの詳細、プレイブックとセキュリティ自動化ワークフローに必要なテレメトリデータが含まれます。

[前提条件]

Defender for Databases のマシン上の SQL Server プランを有効にします。
ターゲットマシン (SQL VM または Arc 接続マシン) が正常に保護されていることを確認します。
次のロールとアクセス許可が必要です。
- ARM デプロイの作成および VM 拡張機能の記述: ターゲットサブスクリプションのセキュリティ管理者または共同作成者
- リソース Microsoft.Compute/virtualMachines/write および Microsoft.Resources/deployments/* に対する共同作成者アクセス許可とリソースポリシーの共同作成者アクセス許可。
ユーザー名とパスワードを必要とするシミュレーションシナリオで SQL 認証を許可するように SQL Server インスタンスを構成する必要があります (一部のシミュレーションの種類では、ユーザー資格情報を受け入れます)。

注

運用アカウントではなく、適切なテスト SQL ユーザー名とパスワードを使用します。

アラートのシミュレーション

SqlAlertSimulationClientは、サブスクリプション、リソースグループ、コンピューター名、場所、Defender 拡張機能の存在など、ターゲットリソースからテンプレートパラメーターを抽出します。

SqlAlertSimulationClient は、マシンにカスタムスクリプト拡張機能をデプロイまたは再利用する Azure Resource Manager (ARM) テンプレートをビルドします。拡張機能は、要求された攻撃パラメーターを使用して Defender for SQL シミュレートヘルパーを呼び出す PowerShell コマンドを実行します。ヘルパーによって生成されたアラートテレメトリが Defender for Cloud に送られ、下流の自動化およびモビライゼーションコネクタが利用できるアラートがトリガーされます。