Udostępnij za pośrednictwem


SQL Advanced Threat Protection

Dotyczy: usługa Azure SQL Database Azure SQL Managed InstanceAzure Synapse Analytics SQL Server na maszynie wirtualnej platformy Azure z programem SQL Server włączonym przez usługę Azure Arc

Usługa Advanced Threat Protection dla usług Azure SQL Database, Azure SQL Managed Instance, Azure Synapse Analytics, SQL Server na maszynach wirtualnych platformy Azure i programie SQL Server włączonym przez usługę Azure Arc wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich.

Zaawansowana ochrona przed zagrożeniami jest częścią oferty Microsoft Defender for SQL , która jest ujednoliconym pakietem zaawansowanych funkcji zabezpieczeń SQL. Dostęp do usługi Advanced Threat Protection można uzyskać i zarządzać za pośrednictwem centralnego portalu Microsoft Defender for SQL.

Omówienie

Usługa Advanced Threat Protection zapewnia nową warstwę zabezpieczeń, która umożliwia klientom wykrywanie potencjalnych zagrożeń i reagowanie na nie w miarę ich występowania, zapewniając alerty zabezpieczeń dotyczące nietypowych działań. Użytkownicy otrzymują alert dotyczący podejrzanych działań bazy danych, potencjalnych luk w zabezpieczeniach i ataków polegających na wstrzyknięciu kodu SQL, a także nietypowych wzorców dostępu do bazy danych i zapytań. Usługa Advanced Threat Protection integruje alerty z Microsoft Defender dla Chmury, które zawierają szczegółowe informacje o podejrzanych działaniach i zalecane działania dotyczące sposobu badania i ograniczenia zagrożenia. Usługa Advanced Threat Protection ułatwia rozwiązywanie potencjalnych zagrożeń dla bazy danych bez konieczności bycia ekspertem ds. zabezpieczeń lub zarządzaniem zaawansowanymi systemami monitorowania zabezpieczeń.

W przypadku pełnego środowiska badania zaleca się włączenie inspekcji, która zapisuje zdarzenia bazy danych w dzienniku inspekcji na koncie usługi Azure Storage. Aby włączyć inspekcję, zobacz Auditing for Azure SQL Database and Azure Synapse or Auditing for Azure SQL Managed Instance (Inspekcja dla usługi Azure SQL Managed Instance).

Alerty

Usługa Advanced Threat Protection wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Listę alertów można znaleźć w temacie Alerts for SQL Database and Azure Synapse Analytics in Microsoft Defender dla Chmury (Alerty dla usług SQL Database i Azure Synapse Analytics).

Eksplorowanie wykrywania podejrzanego zdarzenia

Po wykryciu nietypowych działań bazy danych otrzymasz powiadomienie e-mail. Wiadomość e-mail zawiera informacje na temat podejrzanego zdarzenia zabezpieczeń, w tym charakteru nietypowych działań, nazwy bazy danych, nazwy serwera, nazwy aplikacji i czasu zdarzenia. Ponadto wiadomość e-mail zawiera informacje o możliwych przyczynach i zalecanych działaniach w celu zbadania i ograniczenia potencjalnego zagrożenia dla bazy danych.

Raport o nietypowych działaniach

  1. Wybierz link Wyświetl ostatnie alerty SQL w wiadomości e-mail, aby uruchomić witrynę Azure Portal i wyświetlić stronę alertów Microsoft Defender dla Chmury, która zawiera omówienie aktywnych zagrożeń wykrytych w bazie danych.

    Zagrożenia aktywności

  2. Wybierz określony alert, aby uzyskać dodatkowe szczegóły i akcje dotyczące badania tego zagrożenia i korygowania przyszłych zagrożeń.

    Na przykład wstrzyknięcie kodu SQL jest jednym z najczęstszych problemów z zabezpieczeniami aplikacji internetowych w Internecie, które są używane do ataku na aplikacje oparte na danych. Osoby atakujące korzystają z luk w zabezpieczeniach aplikacji w celu wstrzyknięcia złośliwych instrukcji SQL do pól wprowadzania aplikacji, naruszenia lub modyfikowania danych w bazie danych. W przypadku alertów iniekcji SQL szczegóły alertu obejmują instrukcję SQL podatną na zagrożenia, która została wykorzystana.

    Określony alert

Eksplorowanie alertów w witrynie Azure Portal

Usługa Advanced Threat Protection integruje swoje alerty z Microsoft Defender dla Chmury. Dynamiczne kafelki usługi SQL Advanced Threat Protection w bazie danych i blokach Microsoft Defender dla Chmury SQL w witrynie Azure Portal śledzą stan aktywnych zagrożeń.

Wybierz pozycję Alert usługi Advanced Threat Protection, aby uruchomić stronę alertów Microsoft Defender dla Chmury i zapoznać się z omówieniem aktywnych zagrożeń SQL wykrytych w bazie danych.

Omówienie alertów zaawansowanej ochrony przed zagrożeniami w bazie danych

zaawansowana ochrona przed zagrożeniami w usłudze Defender for SQL