Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье перечислены оповещения системы безопасности, которые можно получить для базы данных SQL и Azure Synapse Analytics. Microsoft Defender для облака и все включенные планы Microsoft Defender создают эти оповещения. Оповещения, отображаемые в вашей среде, зависят от защищаемых ресурсов, служб и настроенной конфигурации.
Замечание
Некоторые из недавно добавленных оповещений, созданных Аналитика угроз Microsoft Defender и Microsoft Defender для конечной точки, могут быть незадокументированы.
Узнайте, как реагировать на эти оповещения.
Узнайте, как экспортировать оповещения.
Замечание
Время, требуемое для отображения оповещений из разных источников, может отличаться. Например, для отображения оповещений, требующих анализа сетевого трафика, может потребоваться больше времени, чем для оповещений, связанных с выполнением подозрительных процессов на виртуальных машинах.
Оповещения базы данных SQL и Azure Synapse Analytics
Дополнительные сведения и примечания
Возможная уязвимость при внедрении SQL
(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
Описание. Приложение создает неисправную инструкцию SQL в базе данных. Это указывает на возможную уязвимость к атакам на внедрение SQL. Существует две возможные причины для неисправной инструкции. Дефект в коде приложения может создать неисправную инструкцию SQL. Или код приложения или хранимые процедуры не очищают входные данные пользователя при создании неисправной инструкции SQL, которую можно использовать для внедрения SQL.
Тактика MITRE: предварительная атака
Серьезность: средний
Действие входа из потенциально вредного приложения
(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
Описание. Потенциально вредное приложение попыталось получить доступ к ресурсу.
Тактика MITRE: предварительная атака
Серьезность: высокий уровень
Вход из необычного Центра обработки данных Azure
(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
Описание. Произошло изменение шаблона доступа к SQL Server, где кто-то вошел на сервер из необычного Центра обработки данных Azure. В некоторых случаях оповещение обнаруживает законное действие (новое приложение или службу Azure). В других случаях оповещение обнаруживает вредоносное действие (злоумышленник, работающий из взломаенного ресурса в Azure).
Серьезность: низкая
Вход из необычного расположения
(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
Описание. Произошло изменение шаблона доступа к SQL Server, где кто-то вошел на сервер из необычного географического расположения. В некоторых случаях оповещение обнаруживает законное действие (новое приложение или обслуживание разработчика). В других случаях оповещение обнаруживает вредоносное действие (бывший сотрудник или внешний злоумышленник).
Серьезность: средний
Вход от основного пользователя, который не видел в 60 дней
(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
Описание. Основной пользователь, не замеченный за последние 60 дней, вошел в базу данных. Если эта база данных является новой или это ожидаемое поведение, вызванное недавними изменениями пользователей, обращаюющихся к базе данных, Defender for Cloud определит значительные изменения шаблонов доступа и попытается предотвратить будущие ложные срабатывания.
Серьезность: средний
Вход из домена, который не виделся в 60 дней
(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
Описание. Пользователь вошел в ресурс из домена, с которых другие пользователи не подключались за последние 60 дней. Если этот ресурс является новым или это ожидаемое поведение, вызванное недавними изменениями в доступе к ресурсу, Defender for Cloud определит значительные изменения шаблонов доступа и попытается предотвратить будущие ложные срабатывания.
Серьезность: средний
Вход из подозрительного IP-адреса
(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
Описание. Доступ к ресурсу был успешно получен из IP-адреса, связанного с подозрительным действием Microsoft Threat Intelligence.
Тактика MITRE: предварительная атака
Серьезность: средний
Потенциальная внедрение SQL
(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
Описание. Активная эксплойта возникла в отношении идентифицированного приложения, уязвимого к внедрению SQL. Это означает, что злоумышленник пытается внедрить вредоносные инструкции SQL с помощью уязвимого кода приложения или хранимых процедур.
Тактика MITRE: предварительная атака
Серьезность: высокий уровень
Предполагаемая атака методом подбора с использованием допустимого пользователя
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Описание. Обнаружена потенциальная атака подбора на ресурс. Злоумышленник использует допустимого пользователя (имя пользователя), у которого есть разрешения на вход.
Тактика MITRE: предварительная атака
Серьезность: высокий уровень
Подозреваемая атака подбора
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Описание. Обнаружена потенциальная атака подбора на ресурс.
Тактика MITRE: предварительная атака
Серьезность: высокий уровень
Подозреваемая успешная атака подбора
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Описание. Успешный вход произошел после очевидной атаки подбора на ресурс.
Тактика MITRE: предварительная атака
Серьезность: высокий уровень
SQL Server потенциально породил командную оболочку Windows и доступ к ненормальному внешнему источнику
(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
Описание. Подозрительное заявление SQL потенциально породило командную оболочку Windows с внешним источником, который раньше не был замечен. Выполнение оболочки, которая обращается к внешнему источнику, является методом, используемым злоумышленниками для скачивания вредоносных полезных данных, а затем выполнить его на компьютере и скомпрометировать его. Это позволяет злоумышленнику выполнять вредоносные задачи в удаленном направлении. Кроме того, доступ к внешнему источнику можно использовать для эксфильтрации данных во внешнее назначение.
Тактика MITRE: Выполнение
Серьезность: высокий или средний
Необычные полезные данные с запутанными частями были инициированы SQL Server
(SQL. VM_PotentialSqlInjection)
Описание. Кто-то инициировал новую полезные данные, используя слой в SQL Server, который взаимодействует с операционной системой при скрытии команды в SQL-запросе. Злоумышленники обычно скрывают затронутые команды, которые часто отслеживаются как xp_cmdshell, sp_add_job и другие. Методы маскирования используют допустимые команды, такие как объединение строк, приведение, изменение базы и другие, чтобы избежать обнаружения регулярных выражений и повредить удобочитаемость журналов.
Тактика MITRE: Выполнение
Серьезность: высокий или средний
Замечание
Для предварительных версий оповещений: предварительная версия дополнительных условий использования Azure включает дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.