Udostępnij za pośrednictwem

Alerty dotyczące usług SQL Database i Azure Synapse Analytics

  • Artykuł

W tym artykule wymieniono alerty zabezpieczeń, które można uzyskać dla usług SQL Database i Azure Synapse Analytics z Microsoft Defender dla Chmury i wszystkich planów usługi Microsoft Defender, które włączono. Alerty wyświetlane w środowisku zależą od chronionych zasobów i usług oraz dostosowanej konfiguracji.

Uwaga

Niektóre ostatnio dodane alerty obsługiwane przez usługę Microsoft Defender Threat Intelligence i Ochrona punktu końcowego w usłudze Microsoft Defender mogą być nieudokumentowane.

Dowiedz się, jak reagować na te alerty.

Dowiedz się, jak eksportować alerty.

Uwaga

Alerty z różnych źródeł mogą zająć różne czasy. Na przykład alerty wymagające analizy ruchu sieciowego mogą być wyświetlane dłużej niż alerty związane z podejrzanymi procesami uruchomionymi na maszynach wirtualnych.

Alerty usługi SQL Database i Azure Synapse Analytics

Dalsze szczegóły i uwagi

Możliwa luka w zabezpieczeniach dotycząca wstrzyknięcia kodu SQL

(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)

Opis: aplikacja wygenerowała wadliwą instrukcję SQL w bazie danych. Może to wskazywać na możliwą lukę w zabezpieczeniach przed atakami polegającymi na wstrzyknięciu kodu SQL. Istnieją dwa możliwe przyczyny błędnej instrukcji. Usterka w kodzie aplikacji mogła skonstruować wadliwą instrukcję SQL. Lub kod aplikacji lub procedury składowane nie oczyszczały danych wejściowych użytkownika podczas konstruowania błędnej instrukcji SQL, która może być wykorzystywana do wstrzykiwania kodu SQL.

Taktyka MITRE: PreAttack

Ważność: średni rozmiar

Działanie logowania z potencjalnie szkodliwej aplikacji

(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)

Opis: Potencjalnie szkodliwa aplikacja próbowała uzyskać dostęp do zasobu.

Taktyka MITRE: PreAttack

Ważność: Wysoka

Logowanie z nietypowego centrum danych platformy Azure

(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)

Opis: Nastąpiła zmiana wzorca dostępu do programu SQL Server, w którym ktoś zalogował się do serwera z nietypowego centrum danych platformy Azure. W niektórych przypadkach alert wykrywa legalną akcję (nową aplikację lub usługę platformy Azure). W innych przypadkach alert wykrywa złośliwą akcję (atakujący działa z naruszonego zasobu na platformie Azure).

Taktyka MITRE: Sondowanie

Ważność: Niska

Logowanie z nietypowej lokalizacji

(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)

Opis: Nastąpiła zmiana wzorca dostępu do programu SQL Server, w którym ktoś zalogował się do serwera z nietypowej lokalizacji geograficznej. W niektórych przypadkach ten alert wykrywa prawidłowe działanie (nowa aplikacja lub konserwacja przeprowadzana przez deweloperów). W innych przypadkach alert wykrywa złośliwe działanie (byłego pracownika lub zewnętrznego atakującego).

Taktyka MITRE: Wyzysk

Ważność: średni rozmiar

Logowanie od głównego użytkownika, który nie był widoczny w ciągu 60 dni

(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)

Opis: Główny użytkownik, który nie był widoczny w ciągu ostatnich 60 dni, zalogował się do bazy danych. Jeśli ta baza danych jest nowa lub jest to oczekiwane zachowanie spowodowane ostatnimi zmianami w użytkownikach, którzy uzyskują dostęp do bazy danych, Defender dla Chmury zidentyfikuje istotne zmiany wzorców dostępu i spróbuje zapobiec przyszłym wynikom fałszywie dodatnim.

Taktyka MITRE: Wyzysk

Ważność: średni rozmiar

Logowanie z domeny nie jest widoczne w ciągu 60 dni

(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)

Opis: Użytkownik zalogował się do zasobu z domeny, z którego żaden inny użytkownik nie nawiązał połączenia w ciągu ostatnich 60 dni. Jeśli ten zasób jest nowy lub jest to oczekiwane zachowanie spowodowane ostatnimi zmianami w użytkownikach, którzy uzyskują dostęp do zasobu, Defender dla Chmury zidentyfikuje istotne zmiany wzorców dostępu i spróbuje zapobiec przyszłym wynikom fałszywie dodatnim.

Taktyka MITRE: Wyzysk

Ważność: średni rozmiar

Logowanie z podejrzanego adresu IP

(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)

Opis: Zasób został pomyślnie uzyskany z adresu IP skojarzonego z podejrzanymi działaniami przez usługę Microsoft Threat Intelligence.

Taktyka MITRE: PreAttack

Ważność: średni rozmiar

Potencjalne wstrzyknięcie kodu SQL

(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)

Opis: Wystąpił aktywny atak wykorzystujący zidentyfikowaną aplikację podatną na wstrzyknięcie kodu SQL. Oznacza to, że osoba atakująca próbuje wstrzyknąć złośliwe instrukcje SQL przy użyciu kodu aplikacji podatnej na zagrożenia lub procedur składowanych.

Taktyka MITRE: PreAttack

Ważność: Wysoka

Podejrzany atak siłowy przy użyciu prawidłowego użytkownika

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Opis: Wykryto potencjalny atak siłowy na zasób. Osoba atakująca używa prawidłowego użytkownika (nazwy użytkownika), który ma uprawnienia do logowania.

Taktyka MITRE: PreAttack

Ważność: Wysoka

Podejrzany atak siłowy

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Opis: Wykryto potencjalny atak siłowy na zasób.

Taktyka MITRE: PreAttack

Ważność: Wysoka

Podejrzenie pomyślnego ataku siłowego

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Opis: Logowanie powiodło się po pozornym ataku siłowym na zasób.

Taktyka MITRE: PreAttack

Ważność: Wysoka

Program SQL Server potencjalnie wywołał powłokę poleceń systemu Windows i uzyskiwał dostęp do nietypowego źródła zewnętrznego

(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)

Opis: podejrzana instrukcja SQL potencjalnie wywołała powłokę poleceń systemu Windows z zewnętrznym źródłem, które nie było wcześniej widoczne. Wykonanie powłoki, która uzyskuje dostęp do zewnętrznego źródła, jest metodą używaną przez osoby atakujące do pobierania złośliwego ładunku, a następnie wykonywania go na maszynie i naruszenia zabezpieczeń. Dzięki temu osoba atakująca może wykonywać złośliwe zadania w kierunku zdalnym. Alternatywnie dostęp do zewnętrznego źródła może służyć do eksfiltracji danych do zewnętrznego miejsca docelowego.

Taktyka MITRE: Wykonywanie

Ważność: wysoka/średnia

Nietypowy ładunek z zaciemnionymi częściami został zainicjowany przez program SQL Server

(SQL. VM_PotentialSqlInjection)

Opis: Ktoś zainicjował nowy ładunek korzystający z warstwy w programie SQL Server, która komunikuje się z systemem operacyjnym, ukrywając polecenie w zapytaniu SQL. Osoby atakujące często ukrywają mające wpływ polecenia, które są często monitorowane, takie jak xp_cmdshell, sp_add_job i inne. Techniki zaciemniania nadużywają uzasadnionych poleceń, takich jak łączenie ciągów, rzutowanie, zmiana podstawy i inne, aby uniknąć wykrywania wyrażeń regularnych i zaszkodzić czytelności dzienników.

Taktyka MITRE: Wykonywanie

Ważność: wysoka/średnia

Uwaga

W przypadku alertów w wersji zapoznawczej: Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Następne kroki