SQL Database 和 Azure Synapse Analytics 的警示
本文列出您可能會從 適用於雲端的 Microsoft Defender 取得 SQL 資料庫 和 Azure Synapse Analytics 的安全性警示,以及您啟用的任何 Microsoft Defender 方案。 您環境中顯示的警示取決於您要保護的資源和服務,以及您的自定義組態。
注意
一些由 Microsoft Defender 威脅情報 和 適用於端點的 Microsoft Defender 提供電源的最近新增警示可能未記載。
注意
來自不同來源的警示可能需要不同時間才會出現。 例如,需要分析網路流量的警示,可能會比與虛擬機上執行的可疑進程相關的警示出現的時間更長。
SQL 資料庫 和 Azure Synapse Analytics 警示
SQL 插入式可能弱點
(SQL.DB_VulnerabilityToSqlInjection SQL。VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL。DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
描述:應用程式已在資料庫中產生錯誤的 SQL 語句。 這表示 SQL 插入式攻擊的可能弱點。 錯誤語句有兩個可能的原因。 應用程式程式代碼的瑕疵可能已建構錯誤的 SQL 語句。 或者,建構錯誤的 SQL 語句時,應用程式程式代碼或預存程式不會清理使用者輸入,而 SQL 插入可能會遭到惡意探索。
MITRE 策略:P reAttack
嚴重性:中
來自潛在有害應用程式的登入活動
(SQL.DB_HarmfulApplication SQL。VM_HarmfulApplication SQL.MI_HarmfulApplication SQL。DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
描述:可能有害的應用程式嘗試存取您的資源。
MITRE 策略:P reAttack
嚴重性:高
從不尋常的 Azure 數據中心登入
(SQL.DB_DataCenterAnomaly SQL。VM_DataCenterAnomaly SQL。DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
描述:SQL Server 的存取模式有所變更,其中有人已從不尋常的 Azure 數據中心登入伺服器。 在某些情況下,警示會偵測合法的動作(新的應用程式或 Azure 服務)。 在其他情況下,警示會偵測惡意動作(攻擊者在 Azure 中從入侵的資源作業)。
MITRE 策略:探查
嚴重性:低
從不尋常的位置登入
(SQL.DB_GeoAnomaly SQL。VM_GeoAnomaly SQL。DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
描述:SQL Server 的存取模式有所變更,其中有人已從不尋常的地理位置登入伺服器。 在某些情況下,警示會偵測合法的動作(新的應用程式或開發人員維護)。 在其他情況下,警示會偵測惡意動作(前員工或外部攻擊者)。
MITRE 策略:惡意探索
嚴重性:中
60 天內未看到主體使用者的登入
(SQL.DB_PrincipalAnomaly SQL。VM_PrincipalAnomaly SQL。DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
描述:過去 60 天內未看到的主要使用者已登入您的資料庫。 如果這個資料庫是新的,或這是最近存取資料庫的用戶變更所造成的預期行為,適用於雲端的 Defender 會識別存取模式的重大變更,並嘗試防止未來的誤判。
MITRE 策略:惡意探索
嚴重性:中
從 60 天內看不到的網域登入
(SQL.DB_DomainAnomaly SQL。VM_DomainAnomaly SQL。DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
描述:使用者已從網域登入您的資源,過去 60 天內沒有其他用戶連線。 如果此資源是新的,或這是最近存取資源的用戶變更所造成的預期行為,適用於雲端的 Defender 將會識別存取模式的重大變更,並嘗試防止未來的誤判。
MITRE 策略:惡意探索
嚴重性:中
從可疑IP登入
(SQL.DB_SuspiciousIpAnomaly SQL。VM_SuspiciousIpAnomaly SQL。DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
描述:您的資源已成功從Microsoft威脅情報與可疑活動相關聯的IP位址存取。
MITRE 策略:P reAttack
嚴重性:中
潛在 SQL 插入
(SQL.DB_PotentialSqlInjection SQL。VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL。DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
描述:已針對容易遭受 SQL 插入的已識別應用程式發生作用中惡意探索。 這表示攻擊者嘗試使用易受攻擊的應用程式程式碼或預存程式插入惡意 SQL 語句。
MITRE 策略:P reAttack
嚴重性:高
使用有效使用者的可疑暴力密碼破解攻擊
(SQL.DB_BruteForce SQL。VM_BruteForce SQL。DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
描述:在您的資源上偵測到潛在的暴力密碼破解攻擊。 攻擊者使用具有登入許可權的有效使用者(用戶名稱)。
MITRE 策略:P reAttack
嚴重性:高
可疑的暴力密碼破解攻擊
(SQL.DB_BruteForce SQL。VM_BruteForce SQL。DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
描述:在您的資源上偵測到潛在的暴力密碼破解攻擊。
MITRE 策略:P reAttack
嚴重性:高
可疑成功的暴力密碼破解攻擊
(SQL.DB_BruteForce SQL。VM_BruteForce SQL。DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
描述:在對資源進行明顯的暴力密碼破解攻擊之後,發生成功的登入。
MITRE 策略:P reAttack
嚴重性:高
SQL Server 可能會繁衍 Windows 命令殼層,並存取異常的外部來源
(SQL.DB_ShellExternalSourceAnomaly SQL。VM_ShellExternalSourceAnomaly SQL。DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
描述:可疑的 SQL 語句可能會繁衍 Windows 命令殼層,其中包含之前尚未看到的外部來源。 執行存取外部來源的殼層是攻擊者用來下載惡意承載的方法,然後在機器上執行並入侵它。 這可讓攻擊者以遠端方向執行惡意工作。 或者,存取外部來源可用來將數據外流至外部目的地。
MITRE 策略:執行
嚴重性:高/中
SQL Server 已起始具有模糊元件的異常承載
(SQL.VM_PotentialSqlInjection)
描述:有人已在 SQL Server 中使用與作業系統通訊的層,同時隱藏 SQL 查詢中的命令,來起始新的承載。 攻擊者通常會隱藏熱門監視的具影響命令,例如xp_cmdshell、sp_add_job和其他命令。 混淆技術會濫用字串串連、轉換、基底變更等合法命令,以避免 regex 偵測並損害記錄的可讀性。
MITRE 策略:執行
嚴重性:高/中
注意
針對處於預覽狀態的警示: Azure 預覽補充條款 包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款。