本文列出您可能會收到的 SQL 資料庫和 Azure Synapse Analytics 安全性警示。 適用於雲端的 Microsoft Defender 和任何已啟用的 Microsoft Defender 方案都會產生這些警示。 您環境中顯示的警示取決於您要保護的資源和服務,以及您的自定義組態。
備註
Microsoft Defender 威脅情報 和 適用於端點的 Microsoft Defender 提供電源的一些最近新增的警示可能未記載。
備註
來自不同來源的警示可能需要不同時間才會出現。 例如,需要分析網路流量的警示,可能會比與虛擬機上執行的可疑進程相關的警示出現的時間更長。
SQL Database 和 Azure Synapse Analytics 警示
SQL 注入的可能漏洞
(SQL.DB_VulnerabilityToSqlInjection SQL。VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL。DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
說明:應用程式在資料庫中產生錯誤的 SQL 陳述式。 這表示可能存在 SQL 注入攻擊的漏洞。 錯誤陳述有兩個可能的原因。 應用程式程式碼中的問題報告可能會建構錯誤的 SQL 陳述式。 或者,應用程式程式碼或預存程序在建構錯誤的 SQL 陳述式時不會清理使用者輸入,這可能會被用於 SQL 插入。
MITRE 策略:攻擊前
嚴重性:中
來自潛在有害應用程式的登入活動
(SQL.DB_HarmfulApplication SQL。VM_HarmfulApplication SQL.MI_HarmfulApplication SQL。DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
說明:可能有害的應用程式嘗試存取您的資源。
MITRE 策略:攻擊前
嚴重性:高
從不尋常的 Azure 資料中心登入
(SQL.DB_DataCenterAnomaly SQL。VM_DataCenterAnomaly SQL。DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
描述:SQL Server 的存取模式已變更,其中有人已從不尋常的 Azure 資料中心登入伺服器。 在某些情況下,警示會偵測到合法動作 (新的應用程式或 Azure 服務) 。 在其他情況下,警示會偵測惡意動作 (攻擊者從 Azure 中遭到的資源運作) 。
MITRE 策略:探查
嚴重性:低
從不尋常的位置登入
(SQL.DB_GeoAnomaly SQL。VM_GeoAnomaly SQL。DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
描述:SQL Server 的存取模式已變更,有人從不尋常的地理位置登入伺服器。 在某些情況下,警示會偵測到合法動作 (新應用程式或開發人員維護)。 在其他情況下,警示會偵測惡意動作 (前員工或外部攻擊者) 。
MITRE 策略:惡意探索
嚴重性:中
從 60 天內未看到的主要使用者登入
(SQL.DB_PrincipalAnomaly SQL。VM_PrincipalAnomaly SQL。DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
描述:過去 60 天內未看到的主體使用者已登入您的資料庫。 如果此資料庫是新的,或這是存取資料庫的使用者最近變更所造成的預期行為,適用於雲端的 Defender 會識別存取模式的重大變更,並嘗試防止未來的誤判。
MITRE 策略:惡意探索
嚴重性:中
從 60 天內未看到的網域登入
(SQL.DB_DomainAnomaly SQL。VM_DomainAnomaly SQL。DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
描述:使用者已從過去 60 天內沒有其他使用者連線的網域登入您的資源。 如果此資源是新的,或這是存取資源的使用者最近變更所造成的預期行為,適用於雲端的 Defender 會識別存取模式的重大變更,並嘗試防止未來的誤判。
MITRE 策略:惡意探索
嚴重性:中
從可疑 IP 登入
(SQL.DB_SuspiciousIpAnomaly SQL。VM_SuspiciousIpAnomaly SQL。DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
描述:已從 Microsoft 威脅情報與可疑活動相關聯的 IP 位址成功存取您的資源。
MITRE 策略:攻擊前
嚴重性:中
潛在的 SQL 注入
(SQL.DB_PotentialSqlInjection SQL。VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL。DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
說明:針對易受 SQL 注入攻擊的已識別應用程式發生主動惡意探索。 這表示攻擊者正嘗試使用易受攻擊的應用程式程式碼或預存程序來插入惡意 SQL 陳述式。
MITRE 策略:攻擊前
嚴重性:高
疑似使用有效使用者進行暴力破解攻擊
(SQL.DB_BruteForce SQL。VM_BruteForce SQL。DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
描述:在您的資源上偵測到潛在的暴力密碼破解攻擊。 攻擊者正在使用具有登入許可權的有效使用者 (使用者名稱)。
MITRE 策略:攻擊前
嚴重性:高
疑似暴力攻擊
(SQL.DB_BruteForce SQL。VM_BruteForce SQL。DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
描述:在您的資源上偵測到潛在的暴力密碼破解攻擊。
MITRE 策略:攻擊前
嚴重性:高
疑似暴力破解攻擊成功
(SQL.DB_BruteForce SQL。VM_BruteForce SQL。DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
描述:在對您的資源進行明顯的暴力密碼破解攻擊之後,登入成功。
MITRE 策略:攻擊前
嚴重性:高
SQL Server 可能產生 Windows 命令殼層,並存取異常的外部來源
(SQL.DB_ShellExternalSourceAnomaly SQL。VM_ShellExternalSourceAnomaly SQL。DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
說明:可疑的 SQL 陳述式可能會產生 Windows 命令 Shell,其中包含先前未曾見過的外部來源。 執行存取外部來源的 shell 是攻擊者用來下載惡意負載,然後在機器上執行並破壞它的方法。 這可讓攻擊者在遠端指示下執行惡意工作。 或者,存取外部來源可用於將資料外洩到外部目的地。
MITRE 策略:執行
嚴重性:高/中
SQL Server 已起始具有模糊化元件的異常承載
(SQL.VM_PotentialSqlInjection)
描述:有人利用 SQL Server 中的層起始新的承載,該層與作業系統通訊,同時在 SQL 查詢中隱藏命令。 攻擊者通常會隱藏有影響力的命令,這些命令受到普遍監控,例如 xp_cmdshell、sp_add_job 等。 混淆技術濫用字串串聯、轉換、基數變更等合法命令,以避免正則表達式偵測並損害日誌的可讀性。
MITRE 策略:執行
嚴重性:高/中
備註
針對處於預覽狀態的警示: Azure 預覽補充條款 包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款。