了解适用于 SQL 的 Microsoft Defender

  • 7 分钟

借助 Microsoft Defender for Cloud 数据库安全性,可以通过检测常见攻击、支持启用,以及对 Azure 中最常用的数据库类型进行威胁响应,保护整个数据库资产。

受保护数据库的类型如下:

  • Azure SQL 数据库
  • 计算机上的 SQL 服务器
  • 开放源代码关系数据库 (OSS RDB)
  • Azure Cosmos DB 数据库为具有不同攻击面和安全风险的引擎和数据类型提供保护。 针对每个数据库类型的特定攻击面进行安全检测。

Defender for Cloud 数据库保护检测以非寻常和可能有害的方式访问或攻击数据库的企图。 使用高级威胁检测功能和 Microsoft 威胁智能数据来提供上下文安全警报。 这些警报包括用于缓解检测到的威胁并防止未来攻击的步骤。

你可以在订阅上启用数据库保护,或排除特定的数据库资源类型。

适用于 SQL 的 Microsoft Defender 包括两个计划,这些计划可扩展 Defender for Cloud 的数据安全包以保护任何位置的数据库及其数据。

Microsoft Defender SQL 保护哪些内容?

Microsoft Defender for SQL 包含两个单独的 Microsoft Defender 计划:

  • 适用于 Azure SQL 数据库服务器的 Defender 保护:

    • Azure SQL 数据库

    • Azure SQL 托管实例

    • Azure Synapse 中的专用 SQL 池

  • 适用于计算机上 SQL Server 的 Microsoft Defender 会扩展对 Azure 原生 SQL Server 的保护以完全支持混合环境,并保护在 Azure、其他云环境,甚至本地计算机上托管的 SQL Server(所有受支持的版本):

    • 虚拟机上的 SQL Server

    • 本地 SQL Server:

      • 已启用 Azure Arc 的 SQL Server(预览)

      • 在不带 Azure Arc 的 Windows 计算机上运行的 SQL Server

Microsoft Defender for SQL 有哪些优点?

这两项计划包括用于识别和减少潜在的数据库漏洞的功能,以及用于检测可能表明数据库有威胁的异常活动的功能:

  • 漏洞评估 - 一种扫描服务,用于发现、跟踪并帮助修正潜在的数据库漏洞。 评估扫描概述了 SQL 计算机的安全状态以及任何安全发现结果的详细信息。

  • 高级威胁防护 -一种检测服务,用于持续监视 SQL 服务器的威胁,例如 SQL 注入、暴力攻击和特权滥用。 此服务在 Defender for Cloud 提供面向操作的安全警报,其中包括可疑活动的详细信息、有关如何减少威胁的指导以及使用 Microsoft Sentinel 继续调查的选项。

适用于 SQL 的 Defender 提供哪些警报?

存在以下情况时,会触发具有大量威胁情报的安全警报:

  • 潜在的 SQL 注入攻击 - 包括应用程序在数据库中生成错误的 SQL 语句时检测到的漏洞

  • 异常的数据库访问和查询模式 - 例如,使用不同的凭据尝试登陆,但登录失败的次数异常多(强制尝试)

  • 可疑的数据库活动 - 例如,合法用户从遭到入侵的计算机访问 SQL Server,而此计算机曾与加密挖掘 C&C 服务器通信

警报包含触发警报的事件的详细信息,并提供有关如何调查和消除威胁的建议。

适用于开放源代码关系数据库的 Microsoft Defender 有什么好处?

此 Defender for Cloud 计划为以下开放源代码的关系数据库提供威胁防护:

  • Azure Database for PostgreSQL
  • Azure Database for MySQL
  • Azure Database for MariaDB

启用此计划时,Microsoft Defender for Cloud 会在检测到异常的数据库访问和查询模式以及可疑的数据库活动时发出警报。

Screenshot of the alert screen with open-source database alerts.

开放源代码的关系数据库的 Microsoft Defender 警报

存在以下情况时,会触发具有大量威胁情报的安全警报:

  • 异常的数据库访问和查询模式 例如,使用不同凭据进行的登录尝试(暴力破解尝试)的失败次数异常高
  • 可疑的数据库活动 例如,合法用户从遭到入侵的计算机访问 SQL Server,而此计算机曾与加密挖掘 C&C 服务器通信
  • 暴力攻击 能够将简单的暴力破解与针对有效用户的暴力破解或成功的暴力破解分开。

Microsoft Defender for Azure Cosmos DB 有哪些优点

Microsoft Defender for Azure Cosmos DB 检测潜在的 SQL 注入、已知恶意参与者(基于 Microsoft 威胁智能)、可疑访问模式以及通过泄露的标识或由恶意预览体验成员对数据库的潜在利用。

可以为所有数据库启用保护(推荐),或在订阅级别或资源级别启用 Microsoft Defender for Azure Cosmos DB。

Defender for Azure Cosmos DB 不断分析 Azure Cosmos DB 服务生成的遥测流。 当检测到潜在的恶意活动时,将生成安全警报。 这些警报与可疑活动的详细信息以及相关的调查步骤、修补操作和安全建议一起显示在“Defender for Cloud”中。

Defender for Azure Cosmos DB 不会访问 Azure Cosmos DB 帐户数据,也不会对其性能产生任何影响。

Microsoft Defender for Azure Cosmos DB 的 Microsoft Defender 警报

存在以下情况时,会触发具有大量威胁情报的安全警报:

  • 潜在的 SQL 注入攻击:由于 Azure Cosmos DB 查询的结构和功能,许多已知的 SQL 注入攻击在 Azure Cosmos DB 中都不起作用。 不过,SQL 注入的某些变体可能会成功,并可能导致从 Azure Cosmos DB 帐户中泄漏数据。 Defender for Azure Cosmos DB 检测成功和失败的尝试,并帮助你强化环境以防止这些威胁。

  • 异常数据库访问模式:例如,从 TOR 出口节点的访问、已知的可疑 IP 地址、异常应用程序和异常位置。

  • 可疑数据库活动:例如,类似于已知恶意横向移动技术和可疑数据提取模式的可疑密钥列表模式。