Explore as capacidades do Microsoft Defender para Bases de Dados
Os controlos de segurança da plataforma e os registos de auditoria são fundamentais, mas não alertam quando um ataque está em curso ou quando um serviço de IA começa a consultar dados sensíveis em padrões invulgares. O Microsoft Defender for Databases preenche esta lacuna ao fornecer deteção ativa de ameaças, alertas em tempo real e análise automática de vulnerabilidades em todas as suas cargas de trabalho da base de dados. Na Contoso Financial Services, a equipa de segurança precisa de determinar quais os planos a ativar e como configurar as políticas de deteção.
| Plan | Coverage |
|---|---|
| Proteção para Bases de Dados SQL do Azure | Base de Dados SQL do Azure, Azure SQL Managed Instance, pools SQL dedicados do Azure Synapse Analytics, SQL Server em VMs do Azure, SQL Server em máquinas habilitadas para Arc |
| Defender para bases de dados relacionais de código aberto | Base de Dados do Azure para PostgreSQL Flexible Server, Base de Dados do Azure para MySQL Flexible Server, instâncias Amazon RDS—Aurora PostgreSQL, Aurora MySQL, PostgreSQL, MySQL, MariaDB (Prévia) |
Compare os planos do Defender for Databases
Defender para Bases de Dados é um conjunto dentro do Microsoft Defender para a Cloud que contém quatro subplanos com preços independentes: Defender para Bases de Dados SQL Azure, Defender para Servidores SQL em Dispositivos, Defender para Bases de Dados Relacionais Open-Source, e Defender para Azure Cosmos DB. Este módulo foca-se nos dois planos mais relevantes para ambientes SQL do Azure. Cada plano visa uma família diferente de plataformas de bases de dados e opera de forma independente. Ativa um ou ambos consoante o teu ambiente.
O primeiro plano, Defender for SQL do Azure Databases, abrange todos os serviços baseados em Microsoft SQL. Isto inclui Base de Dados SQL do Azure (bases de dados únicas e pools elásticos), Azure SQL Managed Instance (incluindo réplicas de leitura/escrita), pools SQL dedicados Azure Synapse Analytics e SQL Server a correr em infraestrutura. Com este plano, protege o SQL Server 2012–2022 a correr em máquinas virtuais Azure e o SQL Server em máquinas on-premises ou multicloud ligadas através do Azure Arc. Esta ampla cobertura significa que pode aplicar políticas consistentes de deteção de ameaças tanto em bases de dados plataforma-como-serviço como em instâncias SQL alojadas na infraestrutura.
O segundo plano, Defender para bases de dados relacionais open-source, abrange cargas de trabalho PostgreSQL e MySQL. Este plano protege o Base de Dados do Azure para PostgreSQL Flexible Server e o Base de Dados do Azure para MySQL Flexible Server em todos os níveis de preço. Em pré-visualização, estende-se também a instâncias Amazon RDS a correr Aurora PostgreSQL, Aurora MySQL, PostgreSQL, MySQL e MariaDB. Ao contrário do plano SQL do Azure, este plano não suporta servidores de base de dados a correr em máquinas virtuais ou máquinas com Arc. O plano foi concebido exclusivamente para serviços de bases de dados geridas.
| Feature | SQL do Azure plan | Plano de código aberto |
|---|---|---|
| Cobertura da base de dados PaaS | Sim | Sim |
| Cobertura da base de dados IaaS | Sim (SQL Server em VMs e Arc) | No |
| Suporte multicloud | Sim (SQL habilitado para Arc) | Sim (Amazon RDS em pré-visualização) |
| Deteção de ameaças | Sim | Sim |
| Avaliação da vulnerabilidade | Sim | Não (não incluído) |
A principal diferença para a Contoso é o âmbito de cobertura: se executa SQL Server em máquinas virtuais ou servidores on-premises com Arc, precisa do plano SQL do Azure. Se usar apenas serviços geridos, PostgreSQL ou MySQL, o plano open-source oferece a proteção adequada.
Detetar ameaças ativas em tempo real
O Defender for Databases analisa a informação da base de dados para identificar ataques que contornam controlos de rede e acesso. O motor de deteção monitoriza continuamente padrões de consulta, comportamentos de acesso e tentativas de autenticação para revelar ameaças à medida que ocorrem.
Para cargas de trabalho SQL do Azure, o Defender deteta ataques de injeção SQL ao identificar quando as aplicações constroem instruções SQL que incluem entrada maliciosa do utilizador. A lógica de deteção identifica tanto tentativas de injeção bem-sucedidas como indicadores de vulnerabilidade. Mesmo que o atacante ainda não tenha escalado privilégios, recebe um alerta de que a base de dados está vulnerável. Na Contoso, a API bancária que constrói consultas dinâmicas a partir da entrada do cliente desencadearia um alerta quando um atacante tentasse injetar comandos, dando à equipa de segurança visibilidade imediata do ataque.
O Defender também deteta padrões anómalos de acesso e consulta a bases de dados. O serviço estabelece uma linha base de comportamento normal para cada base de dados e depois alerta quando ocorre acesso a partir de locais geográficos invulgares, em momentos inesperados ou com volumes de consultas que se desviam significativamente dos padrões históricos. Quando o serviço de deteção de fraude da Contoso, alimentado por IA, começa a consultar tabelas de transações dos clientes às 3 da manhã com um volume de consultas 10 vezes superior ao normal, o Defender assinala isto como atividade suspeita, mesmo que o serviço utilize credenciais legítimas.
Ataques por força bruta surgem como números anormalmente elevados de tentativas falhadas de registo num curto espaço de tempo. O Defender correlaciona estas tentativas e gera um único alerta em vez de inundar a fila com eventos individuais de autenticação falhada. Atividade suspeita em bases de dados inclui padrões de acesso associados a indicadores de ameaça conhecidos, como consultas originadas de um host que comunica com servidores de comando e controlo de mineração de criptomoedas.
Cada alerta inclui um mapeamento para as táticas MITRE ATT&CK, ajudando a sua equipa de operações de segurança a perceber a que etapa da cadeia de ataque a ameaça representa: acesso inicial, persistência ou exfiltração. Este contexto acelera as decisões de resposta e ajuda-o a priorizar a remediação com base na progressão do ataque.
Identificar vulnerabilidades antes que os atacantes as explorem
A avaliação de vulnerabilidades está incluída no Defender for SQL do Azure Databases como uma funcionalidade integrada, não como um produto separado. O motor de avaliação analisa automaticamente as suas bases de dados à procura de configurações incorretas de segurança e vulnerabilidades conhecidas, gerando depois resultados categorizados por nível de gravidade: recomendações de melhores práticas de alta, média e menor gravidade.
Com a configuração Express (o modo recomendado), a Microsoft gere o armazenamento dos resultados de varrimento e não é necessária a configuração da conta de armazenamento. As conclusões aparecem diretamente na vista de recomendações do Defender para a Cloud, sem necessidade de configurar contas de armazenamento ou analisar agentes. Pode assinalar conclusões aceites — como configurações intencionais para o seu ambiente — para que apenas novos desvios surjam como questões em aberto. Esta abordagem de base reduz a fadiga de alerta e foca a sua atenção na deriva da configuração.
Na Contoso, a avaliação de vulnerabilidades pode revelar conclusões como endpoints de base de dados acessíveis publicamente, políticas de palavras-passe fracas ou encriptação em repouso em ausência. Cada conclusão inclui orientações de remediação que a equipa de segurança pode aplicar imediatamente ou encaminhar para administradores de bases de dados através de integrações com Azure DevOps ou ServiceNow.
O Defender for Databases utiliza uma arquitetura sem agente em ambos os planos. Não é necessária a implementação de agentes em servidores de base de dados. O Defender analisa a informação na camada da plataforma Azure. Esta abordagem funciona de forma uniforme entre bases de dados plataforma-como-serviço, como o Base de Dados SQL do Azure, e instâncias do SQL Server alojadas na infraestrutura ligadas através do Arc. Obtém deteção ativa de ameaças sem gerir atualizações de agentes ou resolver problemas de conectividade.