Alertas para o Banco de Dados SQL e o Azure Synapse Analytics
Este artigo lista os alertas de segurança que você pode receber para o Banco de Dados SQL e o Azure Synapse Analytics do Microsoft Defender para Nuvem e todos os planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.
Observação
Alguns dos alertas adicionados recentemente com a plataforma Microsoft Defender Threat Intelligence e Microsoft Defender para Ponto de Extremidade podem não estar documentados.
Saiba como responder a esses alertas.
Observação
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para serem exibidos. Por exemplo, alertas que exigem análise de tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Alertas do Banco de Dados SQL e do Azure Synapse Analytics
Uma possível vulnerabilidade à injeção de SQL
(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
Descrição: um aplicativo gerou uma instrução SQL incorreta no banco de dados. Isso pode indicar uma possível vulnerabilidade a ataques de injeção de SQL. Há dois motivos possíveis para instrução com falha. Um defeito no código do aplicativo que pode ter construído a instrução SQL com falha. Ou, o código do aplicativo ou procedimentos armazenados não limpam a entrada do usuário ao construir a instrução SQL com erro, o que pode ser explorado para injeção de SQL.
Táticas MITRE: Pré-ataque
Gravidade: Média
Atividade de logon de um aplicativo potencialmente prejudicial
(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
Descrição: um aplicativo potencialmente prejudicial tentou acessar seu recurso.
Táticas MITRE: Pré-ataque
Gravidade: Alta
Logon de um Data Center do Azure incomum
(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
Descrição: houve uma alteração no padrão de acesso a um SQL Server, em que alguém entrou no servidor de um Data Center do Azure incomum. Em alguns casos, o alerta detecta uma ação legítima (um novo aplicativo ou serviço do Azure). Em outros casos, o alerta detecta uma ação mal-intencionada (o invasor está operando pelo recurso violado no Azure).
Táticas MITRE: Sondagem
Gravidade: Baixa
Fazer logon de um local incomum
(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
Descrição: houve uma alteração no padrão de acesso ao SQL Server, em que alguém entrou no servidor de uma localização geográfica incomum. Em alguns casos, o alerta detecta uma ação legítima (um novo aplicativo ou manutenção do desenvolvedor). Em outros casos, o alerta detecta uma ação mal-intencionada (um funcionário antigo ou invasor externo).
Táticas do MITRA: Exploração
Gravidade: Média
Logon de um usuário principal não visto em 60 dias
(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
Descrição: um usuário principal não visto nos últimos 60 dias fez logon no banco de dados. Se esse banco de dados for novo ou se esse for um comportamento esperado causado por alterações recentes nos usuários que acessam o banco de dados, o Defender para Nuvem identificará alterações significativas nos padrões de acesso e tentará evitar futuros falsos positivos.
Táticas do MITRA: Exploração
Gravidade: Média
Logon de um domínio não visto em 60 dias
(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
Descrição: um usuário fez login no seu recurso a partir de um domínio do qual nenhum outro usuário se conectou nos últimos 60 dias. Se esse recurso for novo, ou se esse for um comportamento esperado causado por alterações recentes nos usuários que acessam o recurso, o Defender para Nuvem identificará alterações significativas nos padrões de acesso e tentará evitar futuros falsos positivos.
Táticas do MITRA: Exploração
Gravidade: Média
Logon de um IP suspeito
(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
Descrição: Seu recurso foi acessado com êxito de um endereço IP que a Inteligência contra Ameaças da Microsoft associou a atividades suspeitas.
Táticas MITRE: Pré-ataque
Gravidade: Média
Possível injeção de SQL
(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
Descrição: ocorreu uma exploração ativa contra um aplicativo identificado vulnerável à injeção de SQL. Isso significa que um invasor está tentando inserir instruções SQL maliciosas usando o código de aplicativo ou procedimentos armazenados vulneráveis.
Táticas MITRE: Pré-ataque
Gravidade: Alta
Ataque de força bruta suspeito usando um usuário válido
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Descrição: um possível ataque de força bruta foi detectado em seu recurso. O invasor está usando o usuário válido (username) que tem permissões para fazer logon.
Táticas MITRE: Pré-ataque
Gravidade: Alta
Suspeita de ataque de força bruta
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Descrição: um possível ataque de força bruta foi detectado em seu recurso.
Táticas MITRE: Pré-ataque
Gravidade: Alta
Suspeita de ataque de força bruta bem-sucedido
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Descrição: ocorreu um login bem-sucedido após um aparente ataque de força bruta ao seu recurso.
Táticas MITRE: Pré-ataque
Gravidade: Alta
SQL Server potencialmente gerou um shell de comando do Windows e acessou uma fonte externa anormal
(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
Descrição: uma instrução SQL suspeita potencialmente gerou um shell de comando do Windows com uma fonte externa que não foi vista antes. Executar um shell que acessa uma fonte externa é um método usado pelos invasores para baixar conteúdo mal-intencionado e, em seguida, executá-lo no computador e comprometê-lo. Isso permite que um invasor execute tarefas mal-intencionadas na direção remota. Como alternativa, o acesso a uma fonte externa pode ser usado para exfiltrar dados em um destino externo.
Táticas do MITRE: Execução
Gravidade: Alta/Média
O conteúdo incomum com partes ofuscadas foi iniciado pelo SQL Server
(SQL.VM_PotentialSqlInjection)
Descrição: alguém iniciou uma nova carga utilizando a camada no SQL Server que se comunica com o sistema operacional enquanto oculta o comando na consulta SQL. Os invasores normalmente ocultam comandos impactantes que são popularmente monitorados como xp_cmdshell, sp_add_job e outros. As técnicas de ofuscação abusam de comandos legítimos, como concatenação de cadeia de caracteres, conversão, alteração de base e outros, para evitar a detecção de regex e prejudicar a legibilidade dos logs.
Táticas do MITRE: Execução
Gravidade: Alta/Média
Observação
Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.