Alertas para bancos de dados relacionais de código aberto
Este artigo lista os alertas de segurança que você pode receber para bancos de dados relacionais de código aberto do Microsoft Defender for Cloud e quaisquer planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo e da sua configuração personalizada.
Nota
Alguns dos alertas adicionados recentemente com o Microsoft Defender Threat Intelligence e o Microsoft Defender for Endpoint podem não estar documentados.
Saiba como responder a esses alertas.
Nota
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para aparecer. Por exemplo, alertas que exigem análise do tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Alertas de bancos de dados relacionais de código aberto
Suspeita de ataque de força bruta usando um usuário válido
(SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce)
Descrição: Foi detetado um potencial ataque de força bruta no seu recurso. O invasor está usando o usuário válido (nome de usuário), que tem permissões para fazer logon.
Táticas MITRE: PreAttack
Gravidade: Média
Suspeita de ataque de força bruta bem-sucedido
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Descrição: Ocorreu um login bem-sucedido após um aparente ataque de força bruta ao seu recurso.
Táticas MITRE: PreAttack
Gravidade: Alta
Suspeita de ataque de força bruta
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Descrição: Foi detetado um potencial ataque de força bruta no seu recurso.
Táticas MITRE: PreAttack
Gravidade: Média
Tentativa de logon por um aplicativo potencialmente prejudicial
(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)
Descrição: um aplicativo potencialmente prejudicial tentou acessar seu recurso.
Táticas MITRE: PreAttack
Gravidade: Alta/Média
Login de um usuário principal não visto em 60 dias
(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)
Descrição: Um utilizador principal não visto nos últimos 60 dias iniciou sessão na sua base de dados. Se esse banco de dados for novo ou se esse comportamento for esperado causado por alterações recentes nos usuários que acessam o banco de dados, o Defender for Cloud identificará alterações significativas nos padrões de acesso e tentará evitar falsos positivos futuros.
Táticas MITRE: Exploração
Gravidade: Baixa
Login a partir de um domínio não visto em 60 dias
(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)
Descrição: um utilizador iniciou sessão no seu recurso a partir de um domínio ao qual nenhum outro utilizador se ligou nos últimos 60 dias. Se esse recurso for novo ou se esse comportamento for esperado causado por alterações recentes nos usuários que acessam o recurso, o Defender for Cloud identificará alterações significativas nos padrões de acesso e tentará evitar falsos positivos futuros.
Táticas MITRE: Exploração
Gravidade: Média
Fazer logon a partir de um Data Center do Azure incomum
(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)
Descrição: alguém iniciou sessão no seu recurso a partir de um Centro de Dados do Azure invulgar.
Táticas MITRE: Sondagem
Gravidade: Baixa
Logon de um provedor de nuvem incomum
(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly)
Descrição: alguém iniciou sessão no seu recurso a partir de um fornecedor de nuvem não visto nos últimos 60 dias. É rápido e fácil para os agentes de ameaças obterem poder de computação descartável para uso em suas campanhas. Se esse comportamento for esperado causado pela recente adoção de um novo provedor de nuvem, o Defender for Cloud aprenderá com o tempo e tentará evitar futuros falsos positivos.
Táticas MITRE: Exploração
Gravidade: Média
Faça logon a partir de um local incomum
(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)
Descrição: alguém iniciou sessão no seu recurso a partir de um Centro de Dados do Azure invulgar.
Táticas MITRE: Exploração
Gravidade: Média
Iniciar sessão a partir de um IP suspeito
(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)
Descrição: O seu recurso foi acedido com êxito a partir de um endereço IP que o Microsoft Threat Intelligence associou a atividades suspeitas.
Táticas MITRE: PreAttack
Gravidade: Média
Nota
Para alertas que estão em pré-visualização: Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.