Alerty dotyczące relacyjnych baz danych typu open source
W tym artykule wymieniono alerty zabezpieczeń, które można uzyskać dla relacyjnych baz danych typu open source z Microsoft Defender dla Chmury i wszystkich planów usługi Microsoft Defender, które włączono. Alerty wyświetlane w środowisku zależą od chronionych zasobów i usług oraz dostosowanej konfiguracji.
Uwaga
Niektóre ostatnio dodane alerty obsługiwane przez usługę Microsoft Defender Threat Intelligence i Ochrona punktu końcowego w usłudze Microsoft Defender mogą być nieudokumentowane.
Dowiedz się, jak reagować na te alerty.
Dowiedz się, jak eksportować alerty.
Uwaga
Alerty z różnych źródeł mogą zająć różne czasy. Na przykład alerty wymagające analizy ruchu sieciowego mogą być wyświetlane dłużej niż alerty związane z podejrzanymi procesami uruchomionymi na maszynach wirtualnych.
Alerty relacyjnych baz danych typu open source
Podejrzany atak siłowy przy użyciu prawidłowego użytkownika
(SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce)
Opis: Wykryto potencjalny atak siłowy na zasób. Osoba atakująca używa prawidłowego użytkownika (nazwy użytkownika), który ma uprawnienia do logowania.
Taktyka MITRE: PreAttack
Ważność: średni rozmiar
Podejrzenie pomyślnego ataku siłowego
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Opis: Logowanie powiodło się po pozornym ataku siłowym na zasób.
Taktyka MITRE: PreAttack
Ważność: Wysoka
Podejrzany atak siłowy
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Opis: Wykryto potencjalny atak siłowy na zasób.
Taktyka MITRE: PreAttack
Ważność: średni rozmiar
Próba logowania przez potencjalnie szkodliwą aplikację
(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)
Opis: Potencjalnie szkodliwa aplikacja próbowała uzyskać dostęp do zasobu.
Taktyka MITRE: PreAttack
Ważność: wysoka/średnia
Logowanie od głównego użytkownika, który nie był widoczny w ciągu 60 dni
(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)
Opis: Główny użytkownik, który nie był widoczny w ciągu ostatnich 60 dni, zalogował się do bazy danych. Jeśli ta baza danych jest nowa lub jest to oczekiwane zachowanie spowodowane ostatnimi zmianami w użytkownikach, którzy uzyskują dostęp do bazy danych, Defender dla Chmury zidentyfikuje istotne zmiany wzorców dostępu i spróbuje zapobiec przyszłym wynikom fałszywie dodatnim.
Taktyka MITRE: Wyzysk
Ważność: Niska
Logowanie z domeny nie jest widoczne w ciągu 60 dni
(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)
Opis: Użytkownik zalogował się do zasobu z domeny, z którego żaden inny użytkownik nie nawiązał połączenia w ciągu ostatnich 60 dni. Jeśli ten zasób jest nowy lub jest to oczekiwane zachowanie spowodowane ostatnimi zmianami w użytkownikach, którzy uzyskują dostęp do zasobu, Defender dla Chmury zidentyfikuje istotne zmiany wzorców dostępu i spróbuje zapobiec przyszłym wynikom fałszywie dodatnim.
Taktyka MITRE: Wyzysk
Ważność: średni rozmiar
Logowanie z nietypowego centrum danych platformy Azure
(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)
Opis: Ktoś zalogował się do zasobu z nietypowego centrum danych platformy Azure.
Taktyka MITRE: Sondowanie
Ważność: Niska
Logowanie z nietypowego dostawcy usług w chmurze
(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly)
Opis: Ktoś zalogował się do zasobu od dostawcy usług w chmurze, który nie był widoczny w ciągu ostatnich 60 dni. Aktorzy zagrożeń mogą szybko i łatwo uzyskać jednorazową moc obliczeniową do użycia w swoich kampaniach. Jeśli jest to oczekiwane zachowanie spowodowane niedawnym wdrożeniem nowego dostawcy usług w chmurze, Defender dla Chmury nauczy się z upływem czasu i spróbuje zapobiec przyszłym wynikom fałszywie dodatnim.
Taktyka MITRE: Wyzysk
Ważność: średni rozmiar
Logowanie z nietypowej lokalizacji
(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)
Opis: Ktoś zalogował się do zasobu z nietypowego centrum danych platformy Azure.
Taktyka MITRE: Wyzysk
Ważność: średni rozmiar
Logowanie z podejrzanego adresu IP
(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)
Opis: Zasób został pomyślnie uzyskany z adresu IP skojarzonego z podejrzanymi działaniami przez usługę Microsoft Threat Intelligence.
Taktyka MITRE: PreAttack
Ważność: średni rozmiar
Uwaga
W przypadku alertów w wersji zapoznawczej: Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.