Расширенная защита от угроз SQL

Статья
04/26/2023

Применяется к:Azure SQL Database Azure Sql Managed Instance Azure Synapse Analytics SQL Server на виртуальной машине Azure Arc с поддержкой SQL Server

Расширенная защита от угроз для Базы данных Azure, Управляемого экземпляра SQL Azure, Azure Synapse Analytics, SQL Server на Виртуальных машинах Azure и SQL Server с поддержкой Azure Arc позволяет выявить подозрительную активность, указывающую на необычные и потенциально опасные попытки получить доступ к базам данных или воспользоваться ими.

Расширенная защита от угроз входит в состав предложения Microsoft Defender для SQL, которое представляет собой единый пакет расширенных средств обеспечения безопасности SQL. Доступ к расширенной защите от угроз можно получить через центральный портал Microsoft Defender для SQL.

Обзор

Благодаря оповещениям безопасности о подозрительной активности Расширенная защита от угроз формирует дополнительный уровень безопасности, позволяющий клиентам обнаруживать потенциальные угрозы по мере возникновения и реагировать на них. Пользователи получают оповещения о подозрительных действиях с базами данных, потенциальных уязвимостях, атаках путем внедрения кода SQL и аномальных закономерностей в доступе к базам данных и шаблонам запросов. Расширенная защита от угроз интегрирует оповещения с Microsoft Defender для облака, который предоставляет сведения о подозрительных операциях и дает рекомендации о том, как определить причину угрозы и устранить ее. Расширенная защита от угроз упрощает устранение потенциальных угроз безопасности базы данных, не требуя от пользователя экспертных навыков в сфере безопасности либо умения работать в сложных системах отслеживания угроз.

Чтобы воспользоваться всеми преимуществами исследования, советуем включить аудит, при котором события базы данных записываются в журнал аудита вашей учетной записи хранения Azure. Сведения о включении аудита см. в статьях Аудит для базы данных SQL Azure и Azure Synapse или Аудит для управляемого экземпляра Azure SQL.

видны узлы

Расширенная защита от угроз позволяет выявить подозрительную активность, указывающую на необычные и потенциально опасные попытки получить доступ к базам данных или воспользоваться ими. Список предупреждений см. в разделе Оповещения для Базы данных SQL и Azure Synapse Analytics в Microsoft Defender для облака.

Сведения об обнаружении подозрительных событий

При обнаружении подозрительной активности в базе данных вы получите уведомление по электронной почте. В этом уведомлении содержится информация о подозрительном событии безопасности, в том числе характер подозрительных операций, имя базы данных, имя сервера, имя приложения, а также время, когда произошло событие. Кроме того, в уведомлении приводится информация о возможных причинах возникновения события, а также рекомендуемые действия по поиску и устранению потенциальной угрозы безопасности базы данных.

Anomalous activity report

Щелкните ссылку Просмотр недавних оповещений SQL в почтовом сообщении, чтобы запустить портал Azure и открыть страницу оповещений Microsoft Defender для облака. На этой странице содержится обзор активных угроз, обнаруженных в базе данных.
Щелкните определенное оповещение, чтобы отобразить дополнительные сведения и действия для изучения этой угрозы и устранения будущих угроз.

Например, внедрение кода SQL — один из распространенных видов угроз безопасности веб-приложений в Интернете, используемый для получения несанкционированного доступа к приложениям, управляемым данными. Хакеры используют уязвимости приложения, чтобы ввести вредоносные инструкции SQL в поля ввода приложения, чтобы испортить или изменить данные в базе данных. Для оповещений внедрения SQL сведения об оповещении включают уязвимую инструкцию SQL, которая была использована.

Сведения об оповещениях на портале Azure

Расширенная защита от угроз интегрируется с Microsoft Defender для облака. Динамические фрагменты расширенной защиты от угроз SQL в базе данных и колонки SQL в Microsoft Defender для облака на портале Azure отслеживают состояние активных угроз.

Щелкните Оповещение Расширенной защиты от угроз, чтобы запустить страницу оповещений Microsoft Defender для облака и получить обзор активных угроз SQL, обнаруженных в базе данных.

advanced threat protection alerts in database overview

advanced threat protection in Defender for SQL

Дальнейшие действия

Дополнительные сведения о Расширенной защите от угроз в Базе данных SQL Azure и & Azure Synapse.
Подробнее о Расширенной защиты от угроз в Управляемом экземпляре Azure SQL.
Ознакомьтесь с дополнительными сведениями о Microsoft Defender для SQL.
Узнайте больше об аудите Базы данных SQL Azure здесь.
Узнайте больше о Microsoft Defender для облака. Сведения о ценах можно узнать на странице с ценами для базы данных Azure SQL