SQL Advanced Threat Protection
Gilt für: Azure SQL-Datenbank Azure SQL Managed Instance Azure Synapse Analytics SQL Server auf Azure-VMs SQL Server mit Azure Arc-Unterstützung
Advanced Threat Protection für Azure SQL-Datenbank, Azure SQL Managed Instance, Azure Synapse Analytics, SQL Server auf Azure-VMs und SQL Server mit Azure Arc-Unterstützung erkennt anomale Aktivitäten, die auf ungewöhnliche und möglicherweise schädliche Zugriffs- oder Exploitversuche auf Datenbanken hinweisen.
Erweiterter Bedrohungsschutz (Advanced Threat Protection) ist Teil des Angebots von Microsoft Defender für SQL. Dabei handelt es sich um ein vereinheitlichtes Paket für erweiterte SQL-Sicherheitsfunktionen. Der Zugriff auf den erweiterten Bedrohungsschutz (Advanced Threat Protection) und dessen Verwaltung sind über das zentrale Microsoft Defender-für-SQL-Portal möglich.
Übersicht
Dank der neuen Sicherheitsebene von Advanced Threat Protection können Kunden potenzielle Bedrohungen erkennen und darauf reagieren, sobald diese auftreten, indem bei anomalen Aktivitäten Sicherheitswarnungen ausgegeben werden. Benutzer erhalten Warnungen zu verdächtigen Datenbankaktivitäten, potenziellen Sicherheitsrisiken sowie Angriffen durch Einschleusung von SQL-Befehlen und anomalen Datenbankzugriffs- und -abfragemustern. Der erweiterte Bedrohungsschutz (Advanced Threat Protection) integriert Warnungen in Microsoft Defender für Cloud. Dabei werden Informationen zu verdächtigen Aktivitäten sowie Empfehlungen bereitgestellt, wie die Bedrohung untersucht und entschärft werden kann. Advanced Threat Protection vereinfacht den Umgang mit potenziellen Bedrohungen der Datenbank, ohne das Fachwissen eines Sicherheitsexperten besitzen oder komplexe Sicherheitsüberwachungssysteme verwalten zu müssen.
Zur vollständigen Untersuchung empfiehlt es sich, die Datenbanküberwachung zu aktivieren, bei der Datenbankereignisse in ein Überwachungsprotokoll in Ihrem Azure Storage-Konto geschrieben werden. Informationen zum Aktivieren der Überwachung finden Sie unter Überwachung für Azure SQL-Datenbank und Azure-Synapse oder Überwachung für Azure SQL Managed Instance.
Alerts
Advanced Threat Protection erkennt Anomalien bei Aktivitäten, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf Datenbanken zuzugreifen oder diese zu nutzen. Eine Liste der Warnungen finden Sie unter Warnungen für eine SQL-Datenbank und Azure Synapse Analytics in Microsoft Defender für Cloud.
Erkennen eines verdächtigen Ereignisses
Bei Erkennung anormaler Datenbankaktivitäten erhalten Sie eine E-Mail-Benachrichtigung. Die E-Mail enthält Informationen zum verdächtigen Sicherheitsereignis (dazu gehören Art der anomalen Aktivitäten, Datenbankname, Servername, Anwendungsname und Zeit des Ereignisses). Darüber hinaus enthält die E-Mail Angaben zu möglichen Ursachen und empfohlenen Maßnahmen zur Untersuchung und Abwehr der potenziellen Bedrohung für die Datenbank.
Wählen Sie in der E-Mail den Link Aktuelle SQL-Warnungen anzeigen (View recent SQL alerts) aus, um das Azure-Portal zu starten und die Seite für Warnungen in Microsoft Defender für Cloud zu öffnen, auf der eine Übersicht über die aktiven Bedrohungen angezeigt wird, die in der Datenbank erkannt wurden.
Wählen Sie eine bestimmte Warnung aus, um Details und Aktionen zum Untersuchen dieser Bedrohung und zum Behandeln zukünftiger Bedrohungen anzuzeigen.
Beispielweise ist die Einschleusung von SQL-Befehlen eine der am häufigsten auftretenden Sicherheitsrisiken in Webanwendungen im Internet, die zum Angreifen datengesteuerter Anwendungen genutzt wird. Die Angreifer nutzen Sicherheitslücken der Anwendung, um böswillige SQL-Anweisungen in Eingabefelder der Anwendung einzuschleusen, sodass Daten in der Datenbank manipuliert oder verändert werden können. Bei Warnungen in Bezug auf die Einschleusung von SQL-Befehlen schließen die Details der Warnung die anfällige missbräuchlich genutzte SQL-Anweisung ein.
Warnungen im Azure-Portal
Warnungen des erweiterten Bedrohungsschutzes (Advanced Threat Protection) sind in Microsoft Defender für Cloud integriert. Auf Live-Kacheln von SQL Advanced Threat Protection (erweiterter Bedrohungsschutz) innerhalb der Datenbank und auf den Blades von SQL Microsoft Defender für Cloud im Azure-Portal lässt sich der Status aktiver Bedrohungen nachverfolgen.
Wählen Sie Advanced Threat Protection Warnung aus, um die Seite für Warnungen bei Microsoft Defender für Cloud zu öffnen und eine Übersicht über die aktiven SQL-Bedrohungen zu erhalten, die in der Datenbank erkannt wurden.