SQL için Microsoft Defender'u anlama

  • 7 dakika

veritabanı güvenliği Bulut için Microsoft Defender, yaygın saldırıları algılayarak, etkinleştirmeyi destekleyerek ve Azure'daki en popüler veritabanı türleri için tehdit yanıtını destekleyerek tüm veritabanı varlığınızı korumanıza olanak tanır.

Korumalı veritabanı türleri şunlardır:

  • Azure SQL Veritabanları
  • Makinelerdeki SQL sunucuları
  • Açık kaynak ilişkisel veritabanları (OSS RDB)
  • Azure Cosmos DB Veritabanı, farklı saldırı yüzeyi ve güvenlik riskleri ile altyapılara ve veri türlerine koruma sağlar. Her db türünün belirli saldırı yüzeyi için güvenlik algılamaları yapılır.

Bulut için Defender veritabanı koruması, veritabanlarınıza erişmeye veya veritabanlarınızdan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılar. Bağlamsal güvenlik uyarıları sağlamak için gelişmiş tehdit algılama özellikleri ve Microsoft Threat Intelligence verileri kullanılır. Bu uyarılar, algılanan tehditleri azaltmaya ve gelecekteki saldırıları önlemeye yönelik adımları içerir.

Aboneliğinizde veritabanı korumasını etkinleştirebilir veya belirli veritabanı kaynak türlerini hariç tutabilirsiniz.

SQL için Microsoft Defender, veritabanlarınızı ve bunların verilerini bulundukları her yerde güvenli bir şekilde sağlamak için Bulut için Defender veri güvenlik paketini genişleten iki plan içerir.

Microsoft Defender SQL neleri korur?

SQL için Microsoft Defender iki ayrı Microsoft Defender planı içerir:

  • Azure SQL veritabanı sunucuları için Defender şu korumaları sağlar:

    • Azure SQL Veritabanı

    • Azure SQL Yönetilen Örnek

    • Azure Synapse'te ayrılmış SQL havuzu

  • Makinelerdeki SQL sunucuları için Microsoft Defender, Azure'da barındırılan karma ortamları ve sql sunucularını (desteklenen tüm sürümler) ve hatta şirket içi makineleri korumak için Azure'a özel SQL Sunucularınızın korumalarını genişletir:

    • Sanal Makinelerde SQL Server

    • Şirket içi SQL sunucuları:

      • Azure Arc özellikli SQL Server (önizleme)

      • Azure Arc olmadan Windows makinelerinde çalıştırılan SQL Server

SQL için Microsoft Defender'ın avantajları nelerdir?

Bu iki plan, olası veritabanı güvenlik açıklarını tanımlamaya ve azaltmaya ve veritabanlarınıza yönelik tehditleri gösterebilecek anormal etkinlikleri algılamaya yönelik işlevleri içerir:

  • Güvenlik açığı değerlendirmesi - Olası veritabanı güvenlik açıklarını bulmanıza, izlemenize ve düzeltmenize yardımcı olacak tarama hizmeti. Değerlendirme taramaları, SQL makinelerinizin güvenlik durumuna ve güvenlik bulgularının ayrıntılarına genel bir bakış sağlar.

  • Gelişmiş tehdit koruması - SQL ekleme, deneme yanılma saldırıları ve ayrıcalık kötüye kullanımı gibi tehditlere karşı SQL sunucularınızı sürekli izleyen algılama hizmeti. Bu hizmet, Bulut için Defender'da şüpheli etkinliğin ayrıntılarını, tehditleri azaltmaya yönelik rehberlik ve Microsoft Sentinel ile araştırmalarınızı sürdürmeye yönelik seçenekleri içeren eylem odaklı güvenlik uyarıları sağlar.

SQL için Defender ne tür uyarılar sağlar?

Tehdit bilgileri zenginleştirilmiş güvenlik uyarıları şu durumlarda tetiklenir:

  • Olası SQL ekleme saldırıları - uygulamalar veritabanında hatalı bir SQL deyimi oluşturduğunda algılanan güvenlik açıkları dahil

  • Anormal veritabanı erişimi ve sorgu desenleri - örneğin, farklı kimlik bilgilerine sahip anormal sayıda başarısız oturum açma girişimi (deneme yanılma girişimi)

  • Şüpheli veritabanı etkinliği - örneğin, şifreleme madenciliği C&C sunucusuyla iletişim kuran güvenliği ihlal edilmiş bir bilgisayardan SQL Server'a erişen meşru bir kullanıcı

Uyarılar, onları tetikleyen olayın ayrıntılarını ve tehditleri araştırma ve düzeltme hakkında öneriler içerir.

Microsoft Defender'ın açık kaynak ilişkisel veritabanları için avantajları nelerdir?

Bu Bulut için Defender planı, aşağıdaki açık kaynak ilişkisel veritabanları için tehdit korumaları getirir:

  • PostgreSQL için Azure Veritabanı
  • MySQL için Azure Veritabanı
  • MariaDB için Azure Veritabanı

Bu planı etkinleştirdiğinizde Bulut için Microsoft Defender anormal veritabanı erişimi, sorgu desenleri ve şüpheli veritabanı etkinlikleri algıladığında uyarılar sağlar.

Screenshot of the alert screen with open-source database alerts.

Açık kaynak ilişkisel veritabanları için Microsoft Defender uyarıları

Tehdit bilgileri zenginleştirilmiş güvenlik uyarıları şu durumlarda tetiklenir:

  • Anormal veritabanı erişimi ve sorgu desenleri Örneğin, farklı kimlik bilgilerine sahip anormal sayıda başarısız oturum açma girişimi (deneme yanılma girişimi)
  • Şüpheli veritabanı etkinlikleri Örneğin, şifreleme madenciliği C&C sunucusuyla iletişim kuran güvenliği ihlal edilmiş bir bilgisayardan SQL Server'a erişen meşru bir kullanıcı
  • Deneme yanılma saldırıları Basit deneme yanılma gücünü geçerli bir kullanıcıda deneme yanılmadan ayırma özelliği veya başarılı bir deneme yanılma gücü ile.

Azure Cosmos DB için Microsoft Defender'ın avantajları nelerdir?

Azure Cosmos DB için Microsoft Defender, olası SQL eklemelerini, Microsoft Tehdit Bilgileri'ni temel alan bilinen kötü aktörleri, şüpheli erişim düzenlerini ve güvenliği aşılmış kimlikler veya kötü niyetli insider'lar aracılığıyla veritabanınızın olası açıklarından yararlanmayı algılar.

Tüm veritabanlarınız için korumayı etkinleştirebilir (önerilir) veya Azure Cosmos DB için Microsoft Defender'ı abonelik düzeyinde veya kaynak düzeyinde etkinleştirebilirsiniz.

Azure Cosmos DB için Defender, Azure Cosmos DB hizmeti tarafından oluşturulan telemetri akışını sürekli olarak analiz eder. Kötü amaçlı olabilecek etkinlikler algılandığında güvenlik uyarıları oluşturulur. Bu uyarılar Bulut için Defender ilgili araştırma adımları, düzeltme eylemleri ve güvenlik önerileriyle birlikte şüpheli etkinliğin ayrıntılarıyla birlikte görüntülenir.

Azure Cosmos DB için Defender, Azure Cosmos DB hesap verilerine erişmez ve performansını etkilemez.

Azure Cosmos DB için Microsoft Defender uyarıları

Tehdit bilgileri zenginleştirilmiş güvenlik uyarıları şu durumlarda tetiklenir:

  • Olası SQL ekleme saldırıları: Azure Cosmos DB sorgularının yapısı ve özellikleri nedeniyle, bilinen birçok SQL ekleme saldırısı Azure Cosmos DB'de çalışamaz. Ancak, başarılı olabilecek ve Azure Cosmos DB hesaplarınızdan verilerin dışarı aktarılmasına neden olabilecek bazı SQL eklemeleri varyasyonları vardır. Azure Cosmos DB için Defender hem başarılı hem de başarısız girişimleri algılar ve bu tehditleri önlemek için ortamınızı sağlamlaştırmanıza yardımcı olur.

  • Anormal veritabanı erişim desenleri: Örneğin, TOR çıkış düğümünden erişim, bilinen şüpheli IP adresleri, olağan dışı uygulamalar ve olağan dışı konumlar.

  • Şüpheli veritabanı etkinliği: Örneğin, bilinen kötü amaçlı yanal hareket tekniklerine ve şüpheli veri ayıklama desenlerine benzeyen şüpheli anahtar listeleme desenleri.