SQL Database 및 Azure Synapse Analytics에 대한 경고
이 문서에서는 클라우드용 Microsoft Defender SQL Database 및 Azure Synapse Analytics에 대해 얻을 수 있는 보안 경고와 사용하도록 설정한 모든 Microsoft Defender 계획을 나열합니다. 사용자 환경에 표시되는 경고는 보호하는 리소스 및 서비스와 사용자 지정된 구성에 따라 다릅니다.
참고 항목
Microsoft Defender 위협 인텔리전스 및 엔드포인트용 Microsoft Defender 의해 구동되는 최근에 추가된 경고 중 일부는 문서화되지 않았을 수 있습니다.
참고 항목
다른 원본의 경고가 표시되려면 시간이 다를 수 있습니다. 예를 들어 네트워크 트래픽을 분석해야 하는 경고는 가상 머신에서 실행되는 의심스러운 프로세스와 관련된 경고보다 더 오래 걸릴 수 있습니다.
SQL Database 및 Azure Synapse Analytics 경고
SQL 삽입에 대한 가능한 취약성
(SQL. DB_VulnerabilityToSqlInjection SQL. SQL을 VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
설명: 애플리케이션이 데이터베이스에 잘못된 SQL 문을 생성했습니다. 이는 SQL 삽입 공격에 대한 가능한 취약성을 나타낼 수 있습니다. 잘못된 문에 대한 두 가지 가능한 이유가 있습니다. 애플리케이션 코드의 결함으로 잘못된 SQL 문이 생성되었을 수 있습니다. 또는 애플리케이션 코드 또는 저장 프로시저가 오류 SQL 문을 생성할 때 사용자 입력을 삭제하지 않았으므로 SQL 삽입에 악용될 수 있습니다.
MITRE 전술: 사전 공격
심각도: 보통
잠재적으로 유해한 애플리케이션의 로그온 활동
(SQL. sql을 DB_HarmfulApplication. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
설명: 잠재적으로 유해한 애플리케이션이 리소스에 액세스하려고 했습니다.
MITRE 전술: 사전 공격
심각도: 높음
비정상적인 Azure 데이터 센터에서 로그온
(SQL. SQL을 DB_DataCenterAnomaly. SQL을 VM_DataCenterAnomaly. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
설명: 누군가가 비정상적인 Azure Data Center에서 서버에 로그인한 SQL Server에 대한 액세스 패턴이 변경되었습니다. 어떤 경우에 경고는 합법적인 작업(새 응용 프로그램 또는 Azure 서비스)을 감지합니다. 다른 경우 경고는 악의적인 작업(Azure에서 위반된 리소스에서 작동하는 공격자)을 검색합니다.
MITRE 전술: 검색
심각도: 낮음
비정상적인 위치에서 로그온
(SQL. SQL을 DB_GeoAnomaly. sql을 VM_GeoAnomaly. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
설명: 누군가가 비정상적인 지리적 위치에서 서버에 로그인한 SQL Server에 대한 액세스 패턴이 변경되었습니다. 일부 경우에서 경고는 합법적인 작업(새 애플리케이션 또는 개발자 유지 관리)을 검색합니다. 다른 경우에 경고는 악의적인 작업(퇴사 직원 또는 외부 공격자)을 감지합니다.
MITRE 전술: 악용
심각도: 보통
60일 동안 표시되지 않는 주 사용자의 로그인
(SQL. sql을 DB_PrincipalAnomaly. sql을 VM_PrincipalAnomaly. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
설명: 지난 60일 동안 표시되지 않은 주 사용자가 데이터베이스에 로그인했습니다. 이 데이터베이스가 새 데이터베이스이거나 데이터베이스에 액세스하는 사용자의 최근 변경으로 인해 예상되는 동작인 경우 클라우드용 Defender는 액세스 패턴에 대한 중요한 변경 내용을 식별하고 향후 가양성 방지를 시도합니다.
MITRE 전술: 악용
심각도: 보통
60일 동안 표시되지 않는 도메인에서 로그인
(SQL. DB_DomainAnomaly SQL. SQL을 VM_DomainAnomaly. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
설명: 사용자가 지난 60일 동안 다른 사용자가 연결하지 않은 도메인에서 리소스에 로그인했습니다. 이 리소스가 새 리소스이거나 리소스에 액세스하는 사용자의 최근 변경으로 인해 예상되는 동작인 경우 클라우드용 Defender는 액세스 패턴에 대한 중요한 변경 내용을 식별하고 향후 가양성 방지를 시도합니다.
MITRE 전술: 악용
심각도: 보통
의심스러운 IP에서 로그인
(SQL. SQL을 DB_SuspiciousIpAnomaly. SQL을 VM_SuspiciousIpAnomaly. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
설명: Microsoft Threat Intelligence가 의심스러운 활동과 연결한 IP 주소에서 리소스에 성공적으로 액세스했습니다.
MITRE 전술: 사전 공격
심각도: 보통
잠재적인 SQL 삽입
(SQL. SQL을 DB_PotentialSqlInjection. SQL을 VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
설명: SQL 삽입에 취약한 식별된 애플리케이션에 대해 활성 악용이 발생했습니다. 즉, 공격자가 취약한 애플리케이션 코드 또는 저장 프로시저를 사용하여 악의적인 SQL 문을 삽입하려고 합니다.
MITRE 전술: 사전 공격
심각도: 높음
유효한 사용자를 사용한 무차별 암호 대입 공격 의심
(SQL. SQL을 DB_BruteForce. sql을 VM_BruteForce. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
설명: 리소스에서 잠재적인 무차별 암호 대입 공격이 감지되었습니다. 공격자는 로그인 권한이 있는 유효한 사용자(사용자 이름)를 사용하고 있습니다.
MITRE 전술: 사전 공격
심각도: 높음
무차별 암호 대입 공격 의심
(SQL. SQL을 DB_BruteForce. sql을 VM_BruteForce. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
설명: 리소스에서 잠재적인 무차별 암호 대입 공격이 감지되었습니다.
MITRE 전술: 사전 공격
심각도: 높음
무차별 암호 대입 공격 성공 의심
(SQL. SQL을 DB_BruteForce. sql을 VM_BruteForce. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
설명: 리소스에 대한 명백한 무차별 암호 대입 공격 후 성공적인 로그인이 발생했습니다.
MITRE 전술: 사전 공격
심각도: 높음
SQL Server가 잠재적으로 Windows 명령 셸을 생성하고 비정상적인 외부 원본에 액세스했습니다.
(SQL. SQL을 DB_ShellExternalSourceAnomaly. SQL을 VM_ShellExternalSourceAnomaly. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
설명: 의심스러운 SQL 문은 이전에 볼 수 없었던 외부 원본이 있는 Windows 명령 셸을 생성할 수 있습니다. 외부 원본에 액세스하는 셸을 실행하는 것은 공격자가 악의적인 페이로드를 다운로드한 다음 컴퓨터에서 실행하여 손상시키는 데 사용하는 방법입니다. 이렇게 하면 공격자가 원격 방향으로 악의적인 작업을 수행할 수 있습니다. 또는 외부 원본에 액세스하여 외부 대상으로 데이터를 전송할 수 있습니다.
MITRE 전술: 실행
심각도: 높음/보통
난독 처리된 부품이 있는 비정상적인 페이로드가 SQL Server에 의해 시작되었습니다.
(SQL. VM_PotentialSqlInjection)
설명: 누군가가 SQL 쿼리에서 명령을 숨기면서 운영 체제와 통신하는 SQL Server의 계층을 활용하는 새 페이로드를 시작했습니다. 공격자는 일반적으로 xp_cmdshell, sp_add_job 등과 같이 널리 모니터링되는 영향력 있는 명령을 숨깁니다. 난독 처리 기술은 문자열 연결, 캐스팅, 기본 변경 등과 같은 합법적인 명령을 남용하여 정규식 검색을 방지하고 로그의 가독성을 손상시킵니다.
MITRE 전술: 실행
심각도: 높음/보통
참고 항목
미리 보기에 있는 알림의 경우 Azure 미리 보기 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.