SQL 進階威脅防護

適用於：Azure SQL 資料庫Azure SQL 受控執行個體Azure Synapse AnalyticsAzure VM 上的 SQL Server已啟用 Azure Arc 的 SQL Server

適用於 Azure SQL 資料庫、Azure SQL 受控執行個體、Azure Synapse Analytics、Azure VM 上的 SQL Server 和已啟用 Azure Arc 的 SQL Server 的進階威脅防護會偵測異常活動，指出異常且潛在有害的資料庫存取或惡意探索嘗試。

進階威脅防護是適用於 SQL 之 Microsoft Defender 供應項目的一部分，該供應項目是進階 SQL 安全性功能的整合套件。 您可以透過適用於 SQL 的 Microsoft Defender 中央入口網站來存取和管理進階威脅防護。

概觀

進階威脅防護可提供新的一層安全性，在發生異常活動時會提供安全性警示，讓客戶偵測並回應潛在威脅。 一旦有可疑活動、潛在弱點、SQL 插入式攻擊以及異常的資料庫存取和查詢模式發生時，使用者就會收到警示。 進階威脅防護會整合警示與適用於雲端的 Microsoft Defender，其包括可疑活動的詳細資料，以及如何調查與降低威脅的建議。 您不必是安全性專家，也不需要管理進階的安全性監視系統，進階威脅防護可讓您輕鬆解決資料庫的潛在威脅。

如需完整的調查體驗，建議您啟用稽核，這會將資料庫事件寫入您 Azure 儲存體帳戶中的稽核記錄。 若要啟用稽核，請參閱 Azure SQL Database 和 Azure Synapse 的稽核或 Azure SQL 受控執行個體的稽核。

警示

進階威脅防護會偵測異常活動，指出有不尋常及可能有害的活動試圖存取或惡意探索資料庫。 如需警示清單，請參閱適用於雲端之 Microsoft Defender 中的 SQL Database 和 Azure Synapse Analytics 警示。

探索可疑事件的偵測

偵測到異常資料庫活動時，您會收到電子郵件通知。 電子郵件會提供可疑安全性事件的相關資訊，包括異常活動的性質、資料庫名稱、伺服器名稱、應用程式名稱和事件時間。 此外，該電子郵件還會提供可能原因和建議動作的相關資訊，以協助您調查和減輕資料庫的潛在威脅。

1. 按一下電子郵件中的 [檢視最近的 SQL 警示] 連結來啟動 Azure 入口網站，並顯示適用於雲端的 Microsoft Defender 頁面，其中會概述在資料庫上偵測到的作用中威脅。

   

2. 按一下特定警示，以取得調查此威脅並補救未來威脅的其他詳細資料和動作。

   例如，SQL 插入是網際網路上最常用於攻擊資料驅動應用程式的 Web 應用程式安全性問題之一。 攻擊者利用應用程式弱點將惡意的 SQL 陳述式插入應用程式輸入欄位，破壞或修改資料庫中的資料。 針對 SQL 插入式攻擊的警示，警示的詳細資料會包括遭到惡意探索且有弱點的 SQL 陳述式。

   

在 Azure 入口網站中探索警示

進階威脅防護會將其警示與適用於雲端的 Microsoft Defender 整合。 在 Azure 入口網站中，資料庫和 SQL 適用於雲端的 Microsoft Defender 刀鋒視窗內的即時 SQL 進階威脅防護磚會追蹤作用中威脅的狀態。

按一下 [進階威脅防護警示] 以啟動適用於雲端的 Microsoft Defender 警示頁面，並獲得在資料庫中偵測到的作用中 SQL 威脅概觀。

下一步

• 深入了解 Azure SQL 資料庫與 Azure Synapse 中的進階威脅防護。
• 深入了解 Azure SQL 受控執行個體中的進階威脅防護。
• 深入了解適用於 SQL 的 Microsoft Defender。
• 深入了解 Azure SQL Database 稽核
• 深入了解適用於雲端的 Microsoft Defender。如需定價的詳細資訊，請參閱 Azure SQL Database 定價頁面