Server- en databasecontrole verkennen
Azure SQL-controle houdt databasegebeurtenissen bij en schrijft deze naar een auditlogboek in uw Azure Storage-account, Log Analytics-werkruimte of Event Hubs. Daarnaast kunt u hiermee naleving van regelgeving onderhouden, activiteitenpatronen analyseren en afwijkingen identificeren die kunnen duiden op schendingen van de beveiliging.
U kunt beleidsregels op server- en databaseniveau definiƫren. Serverbeleid omvat automatisch nieuwe en bestaande databases in Azure.
- Als servercontrole is ingeschakeld, wordt de database gecontroleerd, ongeacht de instellingen voor databasecontrole.
- Naast het inschakelen van controle op de server, kunt u deze ook inschakelen in de database. Hierdoor kunnen beide controles tegelijk bestaan; het serverbeleid en het databasebeleid.
Het is raadzaam om servercontrole en databasecontrole niet samen in te schakelen, tenzij:
- Er wordt een ander opslagaccount, een retentieperiode of Log Analytics-werkruimte gebruikt voor een specifieke database.
- Er is een controle nodig voor een specifieke database die verschilt van de rest op de server, zoals verschillende gebeurtenistypen of categorieƫn.
Voor alle andere gevallen raden we u aan alleen controle op serverniveau in te schakelen en de controle op databaseniveau uitgeschakeld te laten voor alle databases.
Het standaardcontrolebeleid voor SQL Database bevat de volgende set actiegroepen:
Actiegroep | Definitie |
---|---|
BATCH_COMPLETED_GROUP | Controleert alle query's en opgeslagen procedures die worden uitgevoerd op de database. |
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP | Dit geeft aan dat een principal is geslaagd om zich aan te melden bij de database. |
FAILED_DATABASE_AUTHENTICATION_GROUP | Dit geeft aan dat een principal zich niet kan aanmelden bij de database. |
Als u controle wilt inschakelen voor alle databases op een Azure SQL-server, selecteert u Controle in de sectie Beveiliging van de hoofdblade voor uw server.
Op de pagina Controle kunt u de bestemming van het auditlogboek instellen en ook kiezen of u microsoft-ondersteuningstechnicusbewerkingen wilt bijhouden op dezelfde logboekbestemming als Azure SQL Auditing of een andere wilt selecteren.
U kunt de auditlogboeken van Microsoft Ondersteuning bewerkingen in uw Log Analytics-werkruimte bekijken door de volgende query uit te voeren:
AzureDiagnostics
| where Category == "DevOpsOperationsAudit"
De controleservices voor SQL Database en SQL Managed Instance zijn geoptimaliseerd voor beschikbaarheid en prestaties. SQL Database en SQL Managed Instance registreren mogelijk geen gecontroleerde gebeurtenissen wanneer er sprake is van een hoge activiteit of een hoge netwerkbelasting.
Notitie
Controle op alleen-lezen replica's wordt automatisch ingeschakeld.
Gevoelige labels controleren
In combinatie met gegevensclassificatie kunt u ook de toegang tot gevoelige gegevens bewaken. Azure SQL Auditing is verbeterd om een nieuw veld op te nemen in het auditlogboek met de naam data_sensitivity_information
.
Door de vertrouwelijkheidslabels van de gegevens die door een query worden geretourneerd, te registreren, biedt dit veld een eenvoudigere manier om de toegang tot geclassificeerde kolommen bij te houden.
Controle bestaat uit het bijhouden en vastleggen van gebeurtenissen die plaatsvinden in de database-engine. Azure SQL-controle vereenvoudigt de configuratiestappen die nodig zijn om deze in te schakelen, waardoor het eenvoudiger is om databaseactiviteiten voor SQL Database en SQL Managed Instance bij te houden.