SQL Advanced Threat Protection

  • Artikel

Gäller för:Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsSQL Server på Azure VMSQL Server aktiverat av Azure Arc

Advanced Threat Protection för Azure SQL Database, Azure SQL Managed Instance, Azure Synapse Analytics, SQL Server på virtuella Azure-datorer och SQL Server som aktiveras av Azure Arc identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser.

Advanced Threat Protection är en del av Microsoft Defender för SQL-erbjudandet , som är ett enhetligt paket för avancerade SQL-säkerhetsfunktioner. Advanced Threat Protection kan nås och hanteras via den centrala Microsoft Defender för SQL-portalen.

Översikt

Advanced Threat Protection ger ett nytt säkerhetslager som gör det möjligt för kunder att identifiera och svara på potentiella hot när de inträffar genom att tillhandahålla säkerhetsaviseringar om avvikande aktiviteter. Användare får en avisering om misstänkta databasaktiviteter, potentiella sårbarheter och SQL-inmatningsattacker samt avvikande mönster för databasåtkomst och frågor. Advanced Threat Protection integrerar aviseringar med Microsoft Defender för molnet, som innehåller information om misstänkt aktivitet och rekommenderar åtgärder för att undersöka och minimera hotet. Advanced Threat Protection gör det enkelt att hantera potentiella hot mot databasen utan att behöva vara säkerhetsexpert eller hantera avancerade säkerhetsövervakningssystem.

För en fullständig undersökning rekommenderar vi att du aktiverar granskning, vilket skriver databashändelser till en granskningslogg i ditt Azure-lagringskonto. Information om hur du aktiverar granskning finns i Granskning för Azure SQL Database och Azure Synapse eller Granskning för Azure SQL Managed Instance.

Aviseringar

Advanced Threat Protection identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. En lista över aviseringar finns i Aviseringar för SQL Database och Azure Synapse Analytics i Microsoft Defender för molnet.

Utforska identifiering av en misstänkt händelse

Du får ett e-postmeddelande när du identifierar avvikande databasaktiviteter. E-postmeddelandet innehåller information om den misstänkta säkerhetshändelsen, inklusive typen av avvikande aktiviteter, databasnamn, servernamn, programnamn och händelsetid. Dessutom innehåller e-postmeddelandet information om möjliga orsaker och rekommenderade åtgärder för att undersöka och minimera det potentiella hotet mot databasen.

Anomalous activity report

  1. Klicka på länken Visa senaste SQL-aviseringar i e-postmeddelandet för att starta Azure-portalen och visa sidan Microsoft Defender för molnet aviseringar, som ger en översikt över aktiva hot som identifierats i databasen.

    Activity threats

  2. Klicka på en specifik avisering för att få ytterligare information och åtgärder för att undersöka det här hotet och åtgärda framtida hot.

    SQL-inmatning är till exempel ett av de vanligaste säkerhetsproblemen för webbprogram på Internet som används för att attackera datadrivna program. Angripare utnyttjar programsårbarheter för att mata in skadliga SQL-instruktioner i programinmatningsfält, bryta mot eller ändra data i databasen. För SQL-inmatningsaviseringar innehåller aviseringens information den sårbara SQL-instruktionen som utnyttjades.

    Specific alert

Utforska aviseringar i Azure-portalen

Advanced Threat Protection integrerar sina aviseringar med Microsoft Defender för molnet. Live SQL Advanced Threat Protection-paneler i databasen och SQL-Microsoft Defender för molnet blad i Azure-portalen spårar statusen för aktiva hot.

Klicka på Advanced Threat Protection-aviseringen för att starta sidan Microsoft Defender för molnet aviseringar och få en översikt över aktiva SQL-hot som identifierats i databasen.

advanced threat protection alerts in database overview

advanced threat protection in Defender for SQL

Nästa steg