Server- en databasecontrole verkennen

  • 5 minuten

Azure SQL-controle houdt databasegebeurtenissen bij en schrijft deze naar een auditlogboek in uw Azure Storage-account, Log Analytics-werkruimte of Event Hubs. Daarnaast kunt u hiermee naleving van regelgeving onderhouden, activiteitenpatronen analyseren en afwijkingen identificeren die kunnen duiden op schendingen van de beveiliging.

U kunt beleidsregels op server- en databaseniveau definiƫren. Serverbeleid omvat automatisch nieuwe en bestaande databases in Azure.

  • Als servercontrole is ingeschakeld, wordt de database gecontroleerd, ongeacht de instellingen voor databasecontrole.
  • Naast het inschakelen van controle op de server, kunt u deze ook inschakelen in de database. Hierdoor kunnen beide controles tegelijk bestaan; het serverbeleid en het databasebeleid.

Het is raadzaam om servercontrole en databasecontrole niet samen in te schakelen, tenzij:

  • Er wordt een ander opslagaccount, een retentieperiode of Log Analytics-werkruimte gebruikt voor een specifieke database.
  • Er is een controle nodig voor een specifieke database die verschilt van de rest op de server, zoals verschillende gebeurtenistypen of categorieĆ«n.

Voor alle andere gevallen raden we u aan alleen controle op serverniveau in te schakelen en de controle op databaseniveau uitgeschakeld te laten voor alle databases.

Het standaardcontrolebeleid voor SQL Database bevat de volgende set actiegroepen:

Actiegroep Definitie
BATCH_COMPLETED_GROUP Controleert alle query's en opgeslagen procedures die worden uitgevoerd op de database.
SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP Dit geeft aan dat een principal is geslaagd om zich aan te melden bij de database.
FAILED_DATABASE_AUTHENTICATION_GROUP Dit geeft aan dat een principal zich niet kan aanmelden bij de database.

Als u controle wilt inschakelen voor alle databases op een Azure SQL-server, selecteert u Controle in de sectie Beveiliging van de hoofdblade voor uw server.

Screenshot of auditing option in the Security section of a SQL server.

Op de pagina Controle kunt u de bestemming van het auditlogboek instellen en ook kiezen of u microsoft-ondersteuningstechnicusbewerkingen wilt bijhouden op dezelfde logboekbestemming als Azure SQL Auditing of een andere wilt selecteren.

Screenshot of the Auditing page of a SQL server.

U kunt de auditlogboeken van Microsoft Ondersteuning bewerkingen in uw Log Analytics-werkruimte bekijken door de volgende query uit te voeren:

AzureDiagnostics
| where Category == "DevOpsOperationsAudit"

De controleservices voor SQL Database en SQL Managed Instance zijn geoptimaliseerd voor beschikbaarheid en prestaties. SQL Database en SQL Managed Instance registreren mogelijk geen gecontroleerde gebeurtenissen wanneer er sprake is van een hoge activiteit of een hoge netwerkbelasting.

Notitie

Controle op alleen-lezen replica's wordt automatisch ingeschakeld.

Gevoelige labels controleren

In combinatie met gegevensclassificatie kunt u ook de toegang tot gevoelige gegevens bewaken. Azure SQL Auditing is verbeterd om een nieuw veld op te nemen in het auditlogboek met de naam data_sensitivity_information.

Door de vertrouwelijkheidslabels van de gegevens die door een query worden geretourneerd, te registreren, biedt dit veld een eenvoudigere manier om de toegang tot geclassificeerde kolommen bij te houden.

Screenshot of the Information Protection page from Azure portal.

Controle bestaat uit het bijhouden en vastleggen van gebeurtenissen die plaatsvinden in de database-engine. Azure SQL-controle vereenvoudigt de configuratiestappen die nodig zijn om deze in te schakelen, waardoor het eenvoudiger is om databaseactiviteiten voor SQL Database en SQL Managed Instance bij te houden.