Delen via


SQL Advanced Threat Protection

Van toepassing op: Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsSQL Server op Azure VMSQL Server ingeschakeld door Azure Arc

Advanced Threat Protection voor Azure SQL Database, Azure SQL Managed Instance, Azure Synapse Analytics, SQL Server op Azure-VM's en SQL Server waarvoor Azure Arc is ingeschakeld, detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om databases te openen of misbruiken.

Advanced Threat Protection maakt deel uit van de Microsoft Defender voor SQL-aanbieding . Dit is een geïntegreerd pakket voor geavanceerde SQL-beveiligingsmogelijkheden. Advanced Threat Protection kan worden geopend en beheerd via de centrale Microsoft Defender voor SQL-portal.

Overzicht

Advanced Threat Protection biedt een nieuwe beveiligingslaag, waarmee klanten potentiële bedreigingen kunnen detecteren en erop reageren wanneer ze zich voordoen door beveiligingswaarschuwingen te bieden voor afwijkende activiteiten. Gebruikers ontvangen een waarschuwing bij verdachte databaseactiviteiten, mogelijke beveiligingsproblemen en SQL-injectieaanvallen, evenals afwijkende databasetoegangs- en querypatronen. Advanced Threat Protection integreert waarschuwingen met Microsoft Defender voor Cloud, waaronder details van verdachte activiteiten en aanbevelingen voor het onderzoeken en beperken van de bedreiging. Met Advanced Threat Protection kunt u eenvoudig potentiële bedreigingen voor de database aanpakken zonder dat u een beveiligingsexpert hoeft te zijn of geavanceerde beveiligingsbewakingssystemen hoeft te beheren.

Voor een volledige onderzoekservaring is het raadzaam om controle in te schakelen, waardoor databasegebeurtenissen naar een auditlogboek in uw Azure-opslagaccount worden geschreven. Zie Controle voor Azure SQL Database en Azure Synapse of Auditing voor Azure SQL Managed Instance om controle in te schakelen.

Waarschuwingen

Advanced Threat Protection detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. Zie de waarschuwingen voor SQL Database en Azure Synapse Analytics in Microsoft Defender voor Cloud voor een lijst met waarschuwingen.

Detectie van verdachte gebeurtenissen verkennen

U ontvangt een e-mailmelding bij het detecteren van afwijkende databaseactiviteiten. Het e-mailbericht bevat informatie over de verdachte beveiligingsevenementen, waaronder de aard van de afwijkende activiteiten, databasenaam, servernaam, toepassingsnaam en de gebeurtenistijd. Daarnaast biedt het e-mailbericht informatie over mogelijke oorzaken en aanbevolen acties om de potentiële bedreiging voor de database te onderzoeken en te beperken.

Anomalous activity report

  1. Klik op de koppeling Recente SQL-waarschuwingen weergeven in het e-mailbericht om De Azure-portal te starten en de pagina met Microsoft Defender voor Cloud waarschuwingen weer te geven, waarin een overzicht wordt weergegeven van actieve bedreigingen die zijn gedetecteerd in de database.

    Activity threats

  2. Klik op een specifieke waarschuwing om aanvullende details en acties te krijgen voor het onderzoeken van deze bedreiging en het oplossen van toekomstige bedreigingen.

    SQL-injectie is bijvoorbeeld een van de meest voorkomende beveiligingsproblemen met webtoepassingen op internet die worden gebruikt om gegevensgestuurde toepassingen aan te vallen. Aanvallers profiteren van beveiligingsproblemen in toepassingen om schadelijke SQL-instructies in toepassingsinvoervelden te injecteren, gegevens in de database te schenden of te wijzigen. Voor SQL-injectiewaarschuwingen bevatten de details van de waarschuwing de kwetsbare SQL-instructie die is misbruikt.

    Specific alert

Waarschuwingen verkennen in Azure Portal

Advanced Threat Protection integreert de waarschuwingen met Microsoft Defender voor Cloud. Live SQL Advanced Threat Protection-tegels in de database en SQL Microsoft Defender voor Cloud blades in Azure Portal houden de status van actieve bedreigingen bij.

Klik op Advanced Threat Protection-waarschuwing om de pagina met Microsoft Defender voor Cloud waarschuwingen te starten en een overzicht te krijgen van actieve SQL-bedreigingen die zijn gedetecteerd in de database.

advanced threat protection alerts in database overview

advanced threat protection in Defender for SQL

Volgende stappen