Förstå Microsoft Defender för SQL
Microsoft Defender för SQL erbjuder en uppsättning skydd för Azure SQL Database och Azure SQL Managed Instance som en del av de avancerade SQL-säkerhetsfunktionerna, inklusive SQL-sårbarhetsbedömning och Advanced Threat Protection.
SQL-sårbarhetsbedömning
SQL-sårbarhetsbedömning är en tjänst som använder en kunskapsbas med säkerhetsregler för att flagga objekt som inte uppfyller kraven när de genomsöks. Den kontrollerar databasen efter metodtips för säkerhet och ger insyn i ditt säkerhetstillstånd, till exempel felkonfigurationer, överdrivna behörigheter och exponering av känsliga data.
Om du vill se rekommendationer för SQL Database och SQL Managed Instance måste du aktivera Microsoft Defender för SQL på prenumerationsnivå (rekommenderas). Du måste också ange ett lagringskonto. Du kan också välja att ta emot e-postmeddelanden med en sammanfattning av genomsökningsresultatet.
Funktionen för sårbarhetsbedömning kan identifiera potentiella risker i din miljö och hjälpa dig att förbättra databassäkerheten. Det ger också insikt i ditt säkerhetstillstånd och åtgärdsbara steg för att lösa säkerhetsaviseringar.
Mer information om SQL-sårbarhetsbedömning finns i SQL-sårbarhetsbedömning som hjälper dig att identifiera sårbarheter i databasen.
Advanced Threat Protection
Advanced Threat Protection övervakar databasanslutningarna och de frågor som körs för att identifiera potentiellt skadliga aktiviteter. Du kan hantera och komma åt Advanced Threat Protection via den centrala Microsoft Defender för SQL-portalen.
Följande hot stöds av Advanced Threat Protection:
| Aviseringar | Definition |
|---|---|
| Sårbarhet för SQL-inmatning | Den här aviseringen letar efter T-SQL-kod som kommer in i databasen och som kan vara sårbar för SQL-inmatningsattacker. Ett exempel skulle vara ett lagrat proceduranrop som inte sanerar användarindata. |
| Potentiell SQL-inmatning | Den här aviseringen utlöses när en angripare aktivt försöker utföra en SQL-inmatningsattack. |
| Åtkomst från ovanlig plats | Den här aviseringen utlöses när en användare loggar in från en ovanlig geografisk plats. |
| Åtkomst från ovanligt Azure-datacenter | Den här aviseringen letar efter attacker från ett Azure-datacenter som normalt inte används. |
| Åtkomst från okänt huvudnamn | Den här aviseringen utlöses när en användare eller ett program loggar in på en databas som de inte har använt tidigare. |
| Åtkomst från ett potentiellt skadligt program | Den här aviseringen identifierar vanliga verktyg som används för att attackera databaser. |
| Brute force SQL-autentiseringsuppgifter | Den här aviseringen utlöses när det finns ett stort antal inloggningsfel med olika autentiseringsuppgifter. |
För att få ut maximal nytta av det vill du aktivera granskning av dina databaser. Även om det inte krävs, möjliggör aktivering av granskning djupare undersökning av orsaken till problemet om Advanced Threat Protection identifierar en avvikelse.
Följande granskningsåtgärdsgrupper rekommenderas:
- BATCH_COMPLETED_GROUP
- SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
- FAILED_DATABASE_AUTHENTICATION_GROUP
Så här aktiverar du Microsoft Defender för SQL
Du måste tillhöra antingen SQL Security Manager-rollen eller någon av databas- eller serveradministratörsrollerna för att hantera Microsoft Defender för SQL-inställningar.
Aktivera Microsoft Defender för SQL för SQL Database eller SQL Managed Instance från serverns huvudblad genom att välja Microsoft Defender för molnet och sedan länken (Konfigurera).
På sidan Serverinställningar kontrollerar du att egenskapen MICROSOFT DEFENDER FOR SQL är inställd på PÅ.
När Microsoft Defender för SQL har aktiverats kan du visa rekommendationer genom att välja Microsoft Defender för molnet på serverbladet.
Microsoft Defender för SQL tillhandahåller avancerade inbyggda funktioner för att identifiera och hantera hot mot databasen utan att behöva vara säkerhetsexpert.