Waarschuwingen voor opensource-relationele databases

In dit artikel vindt u een overzicht van de beveiligingswaarschuwingen die u kunt krijgen voor opensource-relationele databases uit Microsoft Defender voor Cloud en eventuele Microsoft Defender-abonnementen die u hebt ingeschakeld. De waarschuwingen die in uw omgeving worden weergegeven, zijn afhankelijk van de resources en services die u beveiligt en uw aangepaste configuratie.

Notitie

Sommige van de onlangs toegevoegde waarschuwingen mogelijk gemaakt door Microsoft Defender-bedreigingsinformatie en Microsoft Defender voor Eindpunt zijn mogelijk niet-gedocumenteerd.

Meer informatie over hoe u kunt reageren op deze waarschuwingen.

Meer informatie over het exporteren van waarschuwingen.

Notitie

Hoe snel een waarschuwing wordt weergegeven, hangt af van de bron van de waarschuwing. Waarschuwingen waarvoor analyse van netwerkverkeer is vereist, worden bijvoorbeeld later weergegeven dan waarschuwingen met betrekking tot verdachte processen op virtuele machines.

Waarschuwingen voor opensource-relationele databases

Extra informatie en opmerkingen

Verdachte beveiligingsaanval met behulp van een geldige gebruiker

(SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce)

Beschrijving: Er is een mogelijke beveiligingsaanval op uw resource gedetecteerd. De aanvaller gebruikt de geldige gebruiker (gebruikersnaam), die machtigingen heeft om zich aan te melden.

MITRE-tactieken: PreAttack

Ernst: gemiddeld

Geslaagde vermoedelijke beveiligingsaanval

(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)

Beschrijving: Er is een geslaagde aanmelding opgetreden na een schijnbare beveiligingsaanval op uw resource.

MITRE-tactieken: PreAttack

Ernst: Hoog

Vermoedelijke beveiligingsaanval

(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)

Beschrijving: Er is een mogelijke beveiligingsaanval op uw resource gedetecteerd.

MITRE-tactieken: PreAttack

Ernst: gemiddeld

Poging tot aanmelden door een mogelijk schadelijke toepassing

(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)

Beschrijving: Een mogelijk schadelijke toepassing heeft geprobeerd toegang te krijgen tot uw resource.

MITRE-tactieken: PreAttack

Ernst: hoog/gemiddeld

Principalgebruiker heeft zich de afgelopen zestig dagen niet aangemeld

(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)

Beschrijving: Een principal-gebruiker die de afgelopen 60 dagen niet is gezien, is aangemeld bij uw database. Als deze database nieuw is of dit wordt verwacht door recente wijzigingen in de gebruikers die toegang hebben tot de database, identificeert Defender voor Cloud belangrijke wijzigingen in de toegangspatronen en probeert toekomstige fout-positieven te voorkomen.

MITRE-tactieken: Exploitatie

Ernst: Laag

Aanmelden vanuit een domein niet gezien in 60 dagen

(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)

Beschrijving: Een gebruiker heeft zich in de afgelopen 60 dagen aangemeld bij uw resource vanuit een domein dat geen andere gebruikers heeft verbonden. Als deze resource nieuw is of dit verwacht gedrag wordt veroorzaakt door recente wijzigingen in de gebruikers die toegang hebben tot de resource, identificeert Defender voor Cloud belangrijke wijzigingen in de toegangspatronen en probeert toekomstige fout-positieven te voorkomen.

MITRE-tactieken: Exploitatie

Ernst: gemiddeld

Log on from an unusual Azure Data Center (Aanmelding vanuit een ongebruikelijk Azure-datacenter)

(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)

Beschrijving: Iemand heeft zich aangemeld bij uw resource vanuit een ongebruikelijk Azure-datacentrum.

MITRE-tactieken: Testen

Ernst: Laag

Aanmelden bij een ongebruikelijke cloudprovider

(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly)

Beschrijving: Iemand die zich heeft aangemeld bij uw resource van een cloudprovider die de afgelopen 60 dagen niet is gezien. Het is snel en eenvoudig voor bedreigingsactoren om wegwerpkracht te verkrijgen voor gebruik in hun campagnes. Als dit verwacht gedrag wordt veroorzaakt door de recente acceptatie van een nieuwe cloudprovider, leert Defender voor Cloud na verloop van tijd en probeert toekomstige fout-positieven te voorkomen.

MITRE-tactieken: Exploitatie

Ernst: gemiddeld

Log on from an unusual location (Aanmelding vanaf een ongebruikelijke locatie)

(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)

Beschrijving: Iemand heeft zich aangemeld bij uw resource vanuit een ongebruikelijk Azure-datacentrum.

MITRE-tactieken: Exploitatie

Ernst: gemiddeld

Aanmelding vanaf een verdacht IP-adres

(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)

Beschrijving: Uw resource is geopend vanaf een IP-adres dat Microsoft Threat Intelligence heeft gekoppeld aan verdachte activiteiten.

MITRE-tactieken: PreAttack

Ernst: gemiddeld

Notitie

Voor waarschuwingen die in preview zijn: de aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die beschikbaar zijn in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.

Volgende stappen

• Beveiligingswaarschuwingen in Microsoft Defender voor Cloud
• Beheer en reageer op beveiligingswaarschuwingen in Microsoft Defender for Cloud
• Continu Defender voor Cloud gegevens exporteren