Omówienie usługi Microsoft Defender for SQL
Usługa Microsoft Defender for SQL oferuje pakiet ochrony usług Azure SQL Database i Azure SQL Managed Instance w ramach zaawansowanych funkcji zabezpieczeń SQL, w tym oceny luk w zabezpieczeniach SQL i zaawansowanej ochrony przed zagrożeniami.
Ocena luk w zabezpieczeniach SQL
Ocena luk w zabezpieczeniach SQL to usługa, która używa baza wiedzy reguł zabezpieczeń do flagowania elementów, które nie są zgodne podczas skanowania. Sprawdza ona bazę danych pod kątem najlepszych rozwiązań w zakresie zabezpieczeń i zapewnia wgląd w stan zabezpieczeń, na przykład błędy konfiguracji, nadmierne uprawnienia i narażenie poufnych danych.
Aby wyświetlić zalecenia dotyczące usługi SQL Database i usługi SQL Managed Instance, należy włączyć usługę Microsoft Defender for SQL na poziomie subskrypcji (zalecane). Musisz również podać konto magazynu. Alternatywnie możesz otrzymywać wiadomości e-mail z podsumowaniem wyników skanowania.
Funkcja oceny luk w zabezpieczeniach może wykrywać potencjalne zagrożenia w danym środowisku i pomóc zwiększyć bezpieczeństwo bazy danych. Zapewnia również wgląd w stan zabezpieczeń i kroki umożliwiające podejmowanie działań w celu rozwiązania alertów zabezpieczeń.
Aby dowiedzieć się więcej na temat oceny luk w zabezpieczeniach SQL, zobacz Ocena luk w zabezpieczeniach SQL ułatwia identyfikowanie luk w zabezpieczeniach bazy danych.
Advanced Threat Protection
Usługa Advanced Threat Protection monitoruje połączenia bazy danych i zapytania, które są wykonywane w celu wykrywania potencjalnie szkodliwych działań. Dostęp do zaawansowanej ochrony przed zagrożeniami można zarządzać i uzyskiwać do nie tylko za pośrednictwem centralnej usługi Microsoft Defender for SQL Portal.
Następujące zagrożenia są obsługiwane przez usługę Advanced Threat Protection:
| Alerty | Definicja |
|---|---|
| Luka w zabezpieczeniach dotycząca wstrzyknięcia kodu SQL | Ten alert wyszukuje kod T-SQL przychodzący do bazy danych, który może być narażony na ataki polegający na wstrzyknięciu kodu SQL. Przykładem może być wywołanie procedury składowanej, które nie oczyszczono danych wejściowych użytkownika. |
| Potencjalne wstrzyknięcie kodu SQL | Ten alert jest wyzwalany, gdy osoba atakująca aktywnie próbuje wykonać atak polegający na wstrzyknięciu kodu SQL. |
| Dostęp z nietypowej lokalizacji | Ten alert jest wyzwalany, gdy użytkownik loguje się z nietypowej lokalizacji geograficznej. |
| Dostęp z nietypowego centrum danych platformy Azure | Ten alert szuka ataków z centrum danych platformy Azure, do którego zwykle nie uzyskuje się dostępu. |
| Dostęp z nieznanego podmiotu zabezpieczeń | Ten alert jest zgłaszany, gdy użytkownik lub aplikacje logują się do bazy danych, do której wcześniej nie uzyskiwali dostępu. |
| Dostęp z potencjalnie szkodliwej aplikacji | Ten alert wykrywa typowe narzędzia używane do atakowania baz danych. |
| Wymuszanie poświadczeń SQL | Ten alert jest wyzwalany w przypadku dużej liczby niepowodzeń logowania z różnymi poświadczeniami. |
Aby uzyskać maksymalną korzyść, chcesz włączyć inspekcję w bazach danych. Mimo że nie jest to wymagane, włączenie inspekcji umożliwia dokładniejsze badanie źródła problemu, jeśli usługa Advanced Threat Protection wykryje anomalię.
Zalecane są następujące grupy akcji inspekcji:
- BATCH_COMPLETED_GROUP
- SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
- FAILED_DATABASE_AUTHENTICATION_GROUP
Jak włączyć usługę Microsoft Defender for SQL
Aby zarządzać ustawieniami usługi Microsoft Defender for SQL, musisz należeć do roli menedżera zabezpieczeń SQL lub jednej z ról administratora bazy danych lub serwera.
Włącz usługę Microsoft Defender for SQL Database lub sql Managed Instance z głównego bloku serwera, wybierając pozycję Microsoft Defender dla Chmury, a następnie link (Konfiguruj).
Na stronie Ustawienia serwera upewnij się, że właściwość MICROSOFT DEFENDER FOR SQL jest ustawiona na WŁĄCZONE.
Po włączeniu usługi Microsoft Defender for SQL możesz wyświetlić zalecenia, wybierając pozycję Microsoft Defender dla Chmury w bloku serwera.
Usługa Microsoft Defender for SQL udostępnia zaawansowane wbudowane funkcje umożliwiające identyfikowanie i obsługę zagrożeń dla bazy danych bez konieczności bycia ekspertem od zabezpieczeń.