Расширенная защита от угроз SQL

Применимо к: Azure SQL Управляемый экземпляр SQL Azure Azure Synapse Analytics SQL Server на виртуальной машине Azure Arc с поддержкой SQL Server

Расширенная защита от угроз для Базы данных Azure, Управляемого экземпляра SQL Azure, Azure Synapse Analytics, SQL Server на Виртуальных машинах Azure и SQL Server с поддержкой Azure Arc позволяет выявить подозрительную активность, указывающую на необычные и потенциально опасные попытки получить доступ к базам данных или воспользоваться ими.

Расширенная защита от угроз входит в состав предложения Microsoft Defender для SQL, которое представляет собой единый пакет расширенных средств обеспечения безопасности SQL. Доступ к расширенной защите от угроз можно получить через центральный портал Microsoft Defender для SQL.

Обзор

Благодаря оповещениям безопасности о подозрительной активности Расширенная защита от угроз формирует дополнительный уровень безопасности, позволяющий клиентам обнаруживать потенциальные угрозы по мере возникновения и реагировать на них. Пользователи получают оповещения о подозрительных действиях с базами данных, потенциальных уязвимостях, атаках путем внедрения кода SQL и аномальных закономерностей в доступе к базам данных и шаблонам запросов. Расширенная защита от угроз интегрирует оповещения с Microsoft Defender для облака, который предоставляет сведения о подозрительных операциях и дает рекомендации о том, как определить причину угрозы и устранить ее. Расширенная защита от угроз упрощает устранение потенциальных угроз безопасности базы данных, не требуя от пользователя экспертных навыков в сфере безопасности либо умения работать в сложных системах отслеживания угроз.

Чтобы воспользоваться всеми преимуществами исследования, советуем включить аудит, при котором события базы данных записываются в журнал аудита вашей учетной записи хранения Azure. Сведения о включении аудита см. в статьях Аудит для базы данных SQL Azure и Azure Synapse или Аудит для управляемого экземпляра Azure SQL.

видны узлы

Расширенная защита от угроз позволяет выявить подозрительную активность, указывающую на необычные и потенциально опасные попытки получить доступ к базам данных или воспользоваться ими. Список предупреждений см. в разделе Оповещения для Базы данных SQL и Azure Synapse Analytics в Microsoft Defender для облака.

Сведения об обнаружении подозрительных событий

При обнаружении подозрительной активности в базе данных вы получите уведомление по электронной почте. В этом уведомлении содержится информация о подозрительном событии безопасности, в том числе характер подозрительных операций, имя базы данных, имя сервера, имя приложения, а также время, когда произошло событие. Кроме того, в уведомлении приводится информация о возможных причинах возникновения события, а также рекомендуемые действия по поиску и устранению потенциальной угрозы безопасности базы данных.

Отчеты об аномальных действиях

  1. Щелкните ссылку Просмотр недавних оповещений SQL в почтовом сообщении, чтобы запустить портал Azure и открыть страницу оповещений Microsoft Defender для облака. На этой странице содержится обзор активных угроз, обнаруженных в базе данных.

    Угрозы, связанные с действиями

  2. Щелкните определенное оповещение, чтобы отобразить дополнительные сведения и действия для изучения этой угрозы и устранения будущих угроз.

    Например, внедрение кода SQL — один из распространенных видов угроз безопасности веб-приложений в Интернете, используемый для получения несанкционированного доступа к приложениям, управляемым данными. Хакеры используют уязвимости приложения, чтобы ввести вредоносные инструкции SQL в поля ввода приложения, чтобы испортить или изменить данные в базе данных. В сведениях оповещений о внедрении кода SQL указывается уязвимая инструкция SQL, которая была использована.

    Определенное оповещение

Сведения об оповещениях на портале Azure

Расширенная защита от угроз интегрируется с Microsoft Defender для облака. Динамические фрагменты расширенной защиты от угроз SQL в базе данных и колонки SQL в Microsoft Defender для облака на портале Azure отслеживают состояние активных угроз.

Щелкните Оповещение Расширенной защиты от угроз, чтобы запустить страницу оповещений Microsoft Defender для облака и получить обзор активных угроз SQL, обнаруженных в базе данных.

Общие сведения об оповещениях Расширенной защиты от угроз в базе данных

расширенная защита от угроз в Defender для SQL

Дальнейшие действия