Расширенная защита от угроз SQL
Область применения: База данных SQL Azure Управляемый экземпляр SQL Azure Azure Synapse Analytics SQL Server на виртуальной машине Azure, включенной Azure Arc
Расширенная защита от угроз для База данных SQL Azure, Управляемый экземпляр SQL Azure, Azure Synapse Analytics, SQL Server на виртуальных машинах Azure и SQL Server с поддержкой Azure Arc обнаруживает аномальные действия, указывающие на необычные и потенциально опасные попытки доступа к базам данных или эксплойтирования.
Расширенная защита от угроз входит в состав предложения Microsoft Defender для SQL, которое представляет собой единый пакет расширенных средств обеспечения безопасности SQL. Доступ к расширенной защите от угроз можно получить через центральный портал Microsoft Defender для SQL.
Обзор
Благодаря оповещениям безопасности о подозрительной активности Расширенная защита от угроз формирует дополнительный уровень безопасности, позволяющий клиентам обнаруживать потенциальные угрозы по мере возникновения и реагировать на них. Пользователи получают оповещения о подозрительных действиях с базами данных, потенциальных уязвимостях, атаках путем внедрения кода SQL и аномальных закономерностей в доступе к базам данных и шаблонам запросов. Расширенная защита от угроз интегрирует оповещения с Microsoft Defender для облака, который предоставляет сведения о подозрительных операциях и дает рекомендации о том, как определить причину угрозы и устранить ее. Расширенная защита от угроз упрощает устранение потенциальных угроз безопасности базы данных, не требуя от пользователя экспертных навыков в сфере безопасности либо умения работать в сложных системах отслеживания угроз.
Чтобы воспользоваться всеми преимуществами исследования, советуем включить аудит, при котором события базы данных записываются в журнал аудита вашей учетной записи хранения Azure. Сведения о включении аудита см. в статьях Аудит для базы данных SQL Azure и Azure Synapse или Аудит для управляемого экземпляра Azure SQL.
видны узлы
Расширенная защита от угроз позволяет выявить подозрительную активность, указывающую на необычные и потенциально опасные попытки получить доступ к базам данных или воспользоваться ими. Список предупреждений см. в разделе Оповещения для Базы данных SQL и Azure Synapse Analytics в Microsoft Defender для облака.
Сведения об обнаружении подозрительных событий
При обнаружении подозрительной активности в базе данных вы получите уведомление по электронной почте. В этом уведомлении содержится информация о подозрительном событии безопасности, в том числе характер подозрительных операций, имя базы данных, имя сервера, имя приложения, а также время, когда произошло событие. Кроме того, в уведомлении приводится информация о возможных причинах возникновения события, а также рекомендуемые действия по поиску и устранению потенциальной угрозы безопасности базы данных.
Выберите ссылку "Просмотр последних оповещений SQL" в сообщении электронной почты, чтобы запустить портал Azure и отобразить страницу оповещений Microsoft Defender для облака, которая содержит обзор активных угроз, обнаруженных в базе данных.
Выберите определенное оповещение, чтобы получить дополнительные сведения и действия для изучения этой угрозы и устранения будущих угроз.
Например, внедрение кода SQL — один из распространенных видов угроз безопасности веб-приложений в Интернете, используемый для получения несанкционированного доступа к приложениям, управляемым данными. Хакеры используют уязвимости приложения, чтобы ввести вредоносные инструкции SQL в поля ввода приложения, чтобы испортить или изменить данные в базе данных. Для оповещений внедрения SQL сведения об оповещении включают уязвимую инструкцию SQL, которая была использована.
Сведения об оповещениях на портале Azure
Расширенная защита от угроз интегрируется с Microsoft Defender для облака. Динамические фрагменты расширенной защиты от угроз SQL в базе данных и колонки SQL в Microsoft Defender для облака на портале Azure отслеживают состояние активных угроз.
Выберите оповещение Advanced Threat Protection, чтобы запустить страницу оповещений Microsoft Defender для облака и получить обзор активных угроз SQL, обнаруженных в базе данных.