你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
开源关系数据库的警报
本文列出了可以从 Microsoft Defender for Cloud 获取的开源关系数据库以及启用的任何Microsoft Defender 计划的安全警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。
注意
一些最近添加的由 Microsoft Defender 威胁智能 和 Microsoft Defender for Endpoint 提供支持的警报可能未记录。
注意
来自不同源的警报可能在不同的时间后出现。 例如,需要分析网络流量的警报的出现时间,可能比虚拟机上运行的可疑进程的相关警报要晚一些。
开源关系数据库警报
采用有效用户身份的可疑暴力攻击
(SQL.PostgreSQL_BruteForce SQL。MariaDB_BruteForce SQL。MySQL_BruteForce)
说明:在资源上检测到潜在的暴力攻击。 攻击者采用的身份是具有登录权限的有效用户(用户名)。
MITRE 策略:PreAttack
严重性:中等
疑似成功的暴力攻击
(SQL.PostgreSQL_BruteForce SQL。MySQL_BruteForce SQL。MariaDB_BruteForce)
说明:在对资源进行明显的暴力攻击后,登录成功。
MITRE 策略:PreAttack
严重性:高
可疑的暴力攻击
(SQL.PostgreSQL_BruteForce SQL。MySQL_BruteForce SQL。MariaDB_BruteForce)
说明:在资源上检测到潜在的暴力攻击。
MITRE 策略:PreAttack
严重性:中等
来自可能有害的应用程序的登录尝试
(SQL.PostgreSQL_HarmfulApplication SQL。MariaDB_HarmfulApplication SQL。MySQL_HarmfulApplication)
说明:尝试访问资源的潜在有害应用程序。
MITRE 策略:PreAttack
严重性:高/中
来自 60 天内未见过的主体用户的登录
(SQL.PostgreSQL_PrincipalAnomaly SQL。MariaDB_PrincipalAnomaly SQL。MySQL_PrincipalAnomaly)
说明:过去 60 天内未看到的主要用户已登录到数据库。 如果此数据库是新数据库,或者这是由访问数据库的用户最近更改引起的预期行为,则 Defender for Cloud 将识别对访问模式的重大更改,并尝试防止将来出现误报。
MITRE 策略:利用
严重性:低
从 60 天内未遇到过的域中登录
(SQL.MariaDB_DomainAnomaly SQL。PostgreSQL_DomainAnomaly SQL。MySQL_DomainAnomaly)
说明:用户已从域登录到资源,在过去 60 天内没有其他用户进行连接。 如果此资源是新数据库,或者这是由访问资源的用户最近更改引起的预期行为,则 Defender for Cloud 将识别对访问模式的重大更改,并尝试防止将来出现误报。
MITRE 策略:利用
严重性:中等
来自异常 Azure 数据中心的登录
(SQL.PostgreSQL_DataCenterAnomaly SQL。MariaDB_DataCenterAnomaly SQL。MySQL_DataCenterAnomaly)
说明:有人从异常的 Azure 数据中心登录到资源。
MITRE 策略:探测
严重性:低
从异常的云提供商登录
(SQL.PostgreSQL_CloudProviderAnomaly SQL。MariaDB_CloudProviderAnomaly SQL。MySQL_CloudProviderAnomaly)
说明:过去 60 天内未看到有人从云提供商登录到你的资源。 威胁参与者可以快速轻松地获取可自由处置的计算能力,以用于其自身的活动。 如果这是最近采用新云提供商造成的预期行为,Defender for Cloud 会逐渐学习这些行为,并尝试防止将来出现误报。
MITRE 策略:利用
严重性:中等
来自异常位置的登录
(SQL.MariaDB_GeoAnomaly SQL。PostgreSQL_GeoAnomaly SQL。MySQL_GeoAnomaly)
说明:有人从异常的 Azure 数据中心登录到资源。
MITRE 策略:利用
严重性:中等
从可疑 IP 登录
(SQL.PostgreSQL_SuspiciousIpAnomaly SQL。MariaDB_SuspiciousIpAnomaly SQL。MySQL_SuspiciousIpAnomaly)
说明:已从Microsoft威胁情报与可疑活动关联的 IP 地址成功访问资源。
MITRE 策略:PreAttack
严重性:中等
注意
对于处于预览状态的警报:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
后续步骤
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈