SQL 進階威脅防護
適用於: Azure SQL 資料庫 Azure SQL 受控執行個體 Azure Synapse Analytics Azure VM 上的 SQL Server 已啟用 SQL Server 的 Azure Arc
適用於 Azure SQL 資料庫、Azure SQL 受控執行個體、Azure Synapse Analytics、Azure VM 上的 SQL Server 和已啟用 Azure Arc 的 SQL Server 的進階威脅防護會偵測異常活動,指出異常且潛在有害的資料庫存取或惡意探索嘗試。
進階威脅防護是適用於 SQL 之 Microsoft Defender 供應項目的一部分,該供應項目是進階 SQL 安全性功能的整合套件。 您可以透過適用於 SQL 的 Microsoft Defender 中央入口網站來存取和管理進階威脅防護。
概觀
進階威脅防護可提供新的一層安全性,在發生異常活動時會提供安全性警示,讓客戶偵測並回應潛在威脅。 一旦有可疑活動、潛在弱點、SQL 插入式攻擊以及異常的資料庫存取和查詢模式發生時,使用者就會收到警示。 進階威脅防護會整合警示與適用於雲端的 Microsoft Defender,其包括可疑活動的詳細資料,以及如何調查與降低威脅的建議。 您不必是安全性專家,也不需要管理進階的安全性監視系統,進階威脅防護可讓您輕鬆解決資料庫的潛在威脅。
如需完整的調查體驗,建議您啟用稽核,這會將資料庫事件寫入您 Azure 儲存體帳戶中的稽核記錄。 若要啟用稽核,請參閱 Azure SQL Database 和 Azure Synapse 的稽核或 Azure SQL 受控執行個體的稽核。
警示
進階威脅防護會偵測異常活動,指出有不尋常及可能有害的活動試圖存取或惡意探索資料庫。 如需警示清單,請參閱適用於雲端之 Microsoft Defender 中的 SQL Database 和 Azure Synapse Analytics 警示。
探索可疑事件的偵測
偵測到異常資料庫活動時,您會收到電子郵件通知。 電子郵件會提供可疑安全性事件的相關資訊,包括異常活動的性質、資料庫名稱、伺服器名稱、應用程式名稱和事件時間。 此外,該電子郵件還會提供可能原因和建議動作的相關資訊,以協助您調查和減輕資料庫的潛在威脅。
選取電子郵件中的檢視最近的 SQL 警示連結來啟動 Azure 入口網站,並顯示適用於雲端的 Microsoft Defender 警示頁面,其中會提供在資料庫上偵測到的作用中威脅之概觀。
選取特定警示,以取得調查此威脅並補救未來威脅的其他詳細資料和動作。
例如,SQL 插入是網際網路上最常用於攻擊資料驅動應用程式的 Web 應用程式安全性問題之一。 攻擊者利用應用程式弱點將惡意的 SQL 陳述式插入應用程式輸入欄位,破壞或修改資料庫中的資料。 針對 SQL 插入式攻擊的警示,警示的詳細資料會包括遭到惡意探索且有弱點的 SQL 陳述式。
在 Azure 入口網站中探索警示
進階威脅防護會將其警示與適用於雲端的 Microsoft Defender 整合。 在 Azure 入口網站中,資料庫和 SQL 適用於雲端的 Microsoft Defender 刀鋒視窗內的即時 SQL 進階威脅防護磚會追蹤作用中威脅的狀態。
選取進階威脅防護警示以啟動適用於雲端的 Microsoft Defender 警示頁面,並獲得在資料庫中偵測到的作用中 SQL 威脅概觀。