Entender o Microsoft Defender para SQL
O Microsoft Defender para SQL oferece um conjunto de proteções para o Banco de Dados SQL do Azure e a Instância Gerenciada de SQL do Azure como parte dos recursos avançados de segurança do SQL, incluindo avaliação de vulnerabilidade do SQL e Proteção Avançada contra Ameaças.
Avaliação de vulnerabilidades do SQL
A avaliação de vulnerabilidade do SQL é um serviço que usa uma base de dados de conhecimento de regras de segurança para sinalizar itens que não estão em conformidade quando são verificados. Ele verifica as melhores práticas de segurança do banco de dados e fornece visibilidade sobre seu estado de segurança, como configurações incorretas, permissões excessivas e exposição de dados confidenciais.
Para ver as recomendações do Banco de Dados SQL e da Instância Gerenciada de SQL, você deverá habilitar o Microsoft Defender para SQL no nível da assinatura (recomendado). Você também precisa fornecer uma conta de armazenamento. Como alternativa, você pode optar por receber emails com um resumo dos resultados da verificação.
O recurso de avaliação de vulnerabilidade pode detectar possíveis riscos em seu ambiente e ajudar a aprimorar a segurança do banco de dados. Ele também fornece insights sobre seu estado de segurança e etapas acionáveis para resolver alertas de segurança.
Para saber mais sobre a avaliação de vulnerabilidade do SQL, confira A avaliação de vulnerabilidade do SQL ajuda você a identificar vulnerabilidades do banco de dados.
Proteção Avançada contra Ameaças
A Proteção Avançada contra Ameaças monitora as conexões do banco de dados e as consultas executadas para detectar atividades potencialmente prejudiciais. Você pode gerenciar e acessar a Proteção Avançada contra Ameaças por meio do portal central do Microsoft Defender para SQL.
As seguintes ameaças são suportadas pela Proteção Avançada contra Ameaças:
| Alertas | Definição |
|---|---|
| Vulnerabilidade à injeção de SQL | Este alerta procura o código T-SQL que entra no seu banco de dados que pode estar vulnerável a ataques de injeção de SQL. Um exemplo seria uma chamada de procedimento armazenado que não limpou as entradas de usuário. |
| Possível injeção de SQL | Este alerta é disparado quando um invasor está tentando ativamente executar um ataque de injeção de SQL. |
| Acesso de uma localização incomum | Este alerta é disparado quando um usuário faz logon de uma localização geográfica incomum. |
| Acesso de um data center incomum do Azure | Este alerta está procurando ataques de um data center do Azure que não é normalmente acessado. |
| Acesso de uma entidade de segurança desconhecida | Este alerta é gerado quando um usuário ou aplicativo faz logon em um banco de dados que não tenha sido acessado anteriormente. |
| Acesso de um aplicativo potencialmente prejudicial | Este alerta detecta ferramentas comuns que são usadas para atacar bancos de dados. |
| Credenciais de SQL de força bruta | Este alerta é disparado quando há um grande número de falhas de logon com credenciais diferentes. |
Para obter o benefício máximo dele, você deseja habilitar a auditoria em seus bancos de dados. Embora não seja necessário, habilitar a auditoria permite uma investigação mais profunda sobre a origem do problema se a Proteção Avançada contra Ameaças detectar uma anomalia.
Os seguintes grupos de ações de auditoria são recomendados:
- BATCH_COMPLETED_GROUP
- SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
- SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
Como habilitar o Microsoft Defender para SQL
Você deve pertencer à função de gerenciador de segurança do SQL ou a uma das funções de administrador de banco de dados ou servidor para gerenciar as configurações do Microsoft Defender para SQL.
Habilite o Microsoft Defender para SQL para o Banco de Dados SQL ou a Instância Gerenciada de SQL na folha principal do servidor selecionando Microsoft Defender para Nuvem e o link (Configurar).
Na página Configurações do servidor, garanta que a propriedade MICROSOFT DEFENDER FOR SQL esteja definida para ON.
Depois que o Microsoft Defender para SQL estiver habilitado, você poderá exibir recomendações selecionando Microsoft Defender para Nuvem na folha do servidor.
O Microsoft Defender para SQL fornece recursos internos avançados para identificar e lidar com ameaças ao banco de dados sem a necessidade de ser um especialista em segurança.