Makinelerde SQL sunucuları için uyarıların simülasyonunu oluşturma

Bulut için Microsoft Defender, kuruluşların ve güvenlik ekiplerinin gerçek güvenlik riskleri oluşturmadan güvenlik ekipleri algılama, yanıt ve otomasyon iş akışlarının hazırlığını doğrulamalarına ve testlerine yardımcı olan bir SQL sanal uyarı özelliği sağlar.

Simülasyon, adlı Sql-SimulateAlertözel bir betik uzantısı aracılığıyla hedef makinelere (Azure Sanal Makineler (VM) veya Arc'a bağlı makinelere telemetri kayıtları ekler. Sanal uyarılar konak, SQL örneği, veritabanı ve işlem bilgileri gibi tam çalışma zamanı bağlamını içerir, böylece uçtan uca güvenlik yanıt akışlarınızı doğrulayabilirsiniz. Bu işlem güvenlidir ve müdahaleci değildir ve kaynaklarınızın güvende kalmasını sağlar.

Aşağıdaki güvenlik senaryolarının benzetimini yapabilirsiniz:

• Kaba kuvvet kimlik doğrulaması
• Şüpheli uygulamadan kimlik doğrulaması
• SQL enjeksiyonu
• Asıl anomali
• Kabuğun dış kaynak anomalisi
• Kabuk gizleme

Benzetim, makinede yerel olarak, dışarıdan kötü amaçlı bir yük çalıştırmadan, Özel Betik Uzantısı aracılığıyla gerçekleştirilir. Oluşturulan tüm uyarılar tam makine ve kaynak tanımlayıcıları, SQL örneği adları, veritabanı bilgileri, işlem ayrıntıları ve playbook'lar ve güvenlik otomasyonu iş akışları için gereken telemetri verilerini içerir.

Önkoşullar

• Veritabanları için Defender'da Makinelerdeki SQL Sunucuları Planını Aktifleştirin.

• İSTER SQL VM ister Arc bağlantılı makine olsun hedef makinenin başarıyla korunduğundan emin olun.

• Aşağıdaki role ve izne sahip olmalıdır:

  • ARM dağıtımı oluşturma ve VM uzantıları yazma: Hedef abonelikte Güvenlik Yöneticisi veya Katkıda Bulunan.
  • Kaynağa Microsoft.Compute/virtualMachines/write ve Microsoft.Resources/deployments/* katkıda bulunan izni ile Kaynak İlkesi katkıda bulunanı.

• SQL Server örneği, kullanıcı adı ve parola gerektiren simülasyon senaryoları için SQL Kimlik Doğrulaması'na izin verecek şekilde yapılandırılmalıdır (bazı simülasyon türleri kullanıcı kimlik bilgilerini kabul eder).

  Uyarı

  Üretim hesabı yerine uygun bir test SQL kullanıcı adı ve parolası kullanın.

Uyarıların simülasyonunu oluşturun

abonelik SqlAlertSimulationClient , kaynak grubu, makine adı, konum ve Defender uzantısının varlığı gibi şablon parametrelerini hedef kaynaktan ayıklar.

SqlAlertSimulationClient makinede özel betik uzantısını dağıtmak veya yeniden kullanmak için bir Azure Resource Manager (ARM) şablonu oluşturur. Uzantı, istenen saldırı parametreleriyle SQL için Defender sanal yardımcısını çağıran bir PowerShell komutu çalıştırır. Yardımcı, Bulut için Defender'a akan uyarı telemetrisi oluşturarak sonraki aşama otomasyon ve mobilizasyon bağlayıcılarının kullanabileceği uyarıları tetikler.

1. Azure portalınaoturum açın.

2. Azure SQL'i arayın ve seçin.

3. Azure VM'ler üzerinde SQL Server veya SQL Server örnekleri (Azure Arc) seçin.

   

4. İlgili veritabanını seçin.

5. Bulut için Güvenlik>Microsoft Defender'ı seçin.

6. Uyarıyı simüle edin'i seçin.

   

7. Bir uyarı türü seçin.

   

8. Seçili uyarı türü için gerekli bilgileri girin. Örneğin, kimlik doğrulama saldırıları için kullanıcı adı ve parola.

9. Uyarı Benzetimi'ne tıklayın.

Uyarı birkaç dakika sonra görünür ve güvenlik izleme kurulumunuzu doğrulamak için bu uyarıyı kullanabilirsiniz.

Uyarının oluşturulduğunu doğrulayın

Uyarı benzetimini yaptıktan sonra uyarının oluşturulduğunu doğrulayın.

1. Azure portalında Azure SQL'i arayın ve seçin.

2. Azure VMS üzerinde SQL Server veya SQL Server örneklerini (Azure Arc) seçin.

3. İlgili veritabanını seçin.

4. Bulut için Güvenlik>Microsoft Defender'ı seçin.

5. Bulut için Microsoft Defender'da bu kaynakla ilgili uyarıları denetle'yi seçin.

   

Sanal uyarının kaynak için uyarılar listesinde göründüğünü doğrulayın ve güvenlik uyarısını yönetin ve yanıt verin.

Sonraki adım

Güvenlik uyarılarını yönetme ve yanıtlama