Обзор Microsoft Defender для SQL
Microsoft Defender для SQL предоставляет набор средств защиты для Базы данных SQL Azure и Управляемого экземпляра SQL Azure в рамках расширенных функций безопасности SQL, включая оценку уязвимостей SQL и Расширенную защиту от угроз.
Оценка уязвимостей SQL
Оценка уязвимостей SQL — это служба, которая использует база знаний с правилами безопасности для пометки элементов, которые при проверке не соответствуют требованиям. Она проверяет базу данных на соблюдение рекомендаций по обеспечению безопасности и обеспечивает видимость состояния безопасности, например оповещает о неправильных настройках, чрезмерных разрешениях и уязвимости конфиденциальных данных.
Чтобы просмотреть рекомендации по Базе данных SQL и Управляемому экземпляру SQL, необходимо включить Microsoft Defender для SQL на уровне подписки (рекомендуется). Кроме того, следует указать учетную запись хранения. Вместо этого вы можете получить сообщения с сводкой результатов сканирования по электронной почте.
Функция оценки уязвимостей может обнаруживать потенциальные риски в вашей среде и помогает повысить безопасность базы данных. Этот компонент предоставляет сведения о состоянии безопасности и предлагает практические действия для устранения оповещений безопасности.
Дополнительные сведения об оценке уязвимостей SQL см. в статье Оценка уязвимостей SQL помогает выявить уязвимости баз данных.
Расширенная защита от угроз
Расширенная защита от угроз отслеживает подключения к базе данных и запросы, которые выполняются для обнаружения потенциально опасных действий. Для доступа к Расширенной защите от угроз и управления ею можно использовать централизованный портал Microsoft Defender для SQL.
Расширенная защита от угроз поддерживает следующие угрозы.
| видны узлы | Определение |
|---|---|
| Уязвимость к атакам путем внедрения кода SQL | Это предупреждение ищет поступающий в вашу базу данных код T-SQL, который может быть уязвим для атак путем внедрения кода SQL. В качестве примера можно привести вызов хранимой процедуры, которая не очищает входные данные пользователя. |
| Потенциальная атака путем внедрения кода SQL | Это предупреждение срабатывает, когда злоумышленник активно пытается провести атаку путем внедрения кода SQL. |
| Доступ из незнакомого расположения | Это предупреждение срабатывает, когда пользователь входит в систему из необычного географического расположения. |
| Доступ из необычного центра обработки данных Azure | Это предупреждение ищет атаки из центра обработки данных Azure, который обычно не используется для доступа. |
| Доступ из незнакомого субъекта | Это предупреждение возникает, когда пользователи или приложения входят в базу данных, к которой они ранее не обращались. |
| Доступ из потенциально вредного приложения | Это предупреждение отслеживает известные средства, используемые для атак на базы данных. |
| Подбор учетных данных SQL. | Это предупреждение срабатывает при большом количестве неудачных попыток входа в систему с разными учетными данными. |
Чтобы получить максимальное преимущество, необходимо включить аудит в базах данных. Хотя это не обязательно, включение аудита позволяет более глубоко изучить источник проблемы, если Расширенная защита от угроз обнаруживает аномалию.
Мы рекомендуем использовать следующие группы действий для аудита:
- BATCH_COMPLETED_GROUP
- SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
- FAILED_DATABASE_AUTHENTICATION_GROUP
Как включить Microsoft Defender для SQL
Для управления параметрами Microsoft Defender для SQL необходимо иметь роль диспетчера безопасности SQL или любую из ролей администратора базы данных или сервера.
Чтобы включить Microsoft Defender для SQL для Базы данных SQL или Управляемого экземпляра SQL, выберите в главной колонке для нужного сервера раздел Microsoft Defender для облака, а затем ссылку (Настройка).
На странице Параметры сервера убедитесь, что для элемента MICROSOFT DEFENDER FOR SQL указано значение ON (Включено).
Включив Microsoft Defender для SQL, вы сможете просматривать рекомендации в разделе Microsoft Defender для облака в колонке этого сервера.
Microsoft Defender для SQL предоставляет расширенные встроенные функции для выявления и устранения угроз для базы данных, которые не требуют экспертного уровня знаний по безопасности.