SQL Advanced Threat Protection

Se aplica a: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics SQL Server en VM de Azure SQL Server con Azure Arc habilitado

Advanced Threat Protection para la base de datos de Azure SQL, Azure SQL Managed Instance, Azure Synapse Analytics, SQL Server en las máquinas virtuales de Azure y SQL Server habilitado para Azure Arc detecta actividades anómalas que indican intentos inusuales y potencialmente perjudiciales de aprovechar vulnerabilidades de bases de datos o acceder a ellas.

Protección contra amenazas avanzada forma parte de la oferta Microsoft Defender para SQL, que es un paquete unificado de funcionalidades de seguridad avanzadas de SQL. Se puede acceder a Protección contra amenazas avanzada y administrarlo a través del portal central de Microsoft Defender para SQL.

Información general

Advanced Threat Protection proporciona una nueva capa de seguridad, que permite a los clientes detectar amenazas potenciales y responder a ellas cuando se producen, gracias a las alertas de seguridad sobre actividades anómalas. Los usuarios reciben una alerta sobre actividades sospechosas en las bases de datos, posibles vulnerabilidades y ataques por inyección de código SQL, así como sobre los patrones de acceso y consultas a las bases de datos anómalos. Protección contra amenazas avanzada integra las alertas con Microsoft Defender for Cloud, que incluye detalles de actividades sospechosas y acciones recomendadas sobre cómo investigar y mitigar la amenaza. Advanced Threat Protection facilita la solución de posibles amenazas a la base de datos sin necesidad de ser un experto en seguridad ni tener que administrar sistemas de supervisión de seguridad avanzada.

Para obtener una experiencia de investigación completa, se recomienda habilitar la auditoría, que escribe los eventos de las bases de datos en un registro de auditoría en su cuenta de Azure Storage. Para habilitar la auditoría, consulte Auditoría para Azure SQL Database y Azure Synapse o Auditoría para Instancia administrada de Azure SQL.

Alertas

Advanced Threat Protection detecta actividades anómalas que indican intentos poco habituales y posiblemente dañinos de acceder a las bases de datos o aprovecharse de ellas. Para ver una lista de las alertas, consulte Alertas de SQL Database y Azure Synapse Analytics en Microsoft Defender for Cloud.

Exploración de la detección de un evento sospechoso

Cuando se detecten actividades anómalas en las bases de datos, recibirá una notificación por correo electrónico. El correo electrónico proporciona información sobre el evento de seguridad sospechoso, en la que se incluyen la naturaleza de las actividades anómalas, el nombre de la base de datos, el nombre del servidor, el nombre de la aplicación y la hora del evento. Además, el correo electrónico proporciona información sobre las posibles causas y las medidas recomendadas para investigar y mitigar la amenaza potencial para la base de datos.

Informes de actividades anómalas

  1. Seleccione el vínculo Ver las alertas recientes de SQL del correo electrónico para iniciar Azure Portal y mostrar la página de alertas de Microsoft Defender for Cloud, que proporciona información general sobre amenazas activas detectadas en la base de datos.

    Amenazas de actividad

  2. Seleccione una alerta específica para obtener detalles y acciones adicionales para investigar esta amenaza y corregir futuras amenazas.

    Por ejemplo, la inyección de código SQL es uno de los problemas de seguridad de aplicaciones web más comunes en Internet y se usa para atacar aplicaciones controladas por datos. Los atacantes aprovechan las vulnerabilidades de la aplicación para inyectar instrucciones SQL malintencionadas en los campos de entrada de la aplicación, con el fin de infringir la seguridad o modificar datos en la base de datos. Para las alertas de inyección de código SQL, los detalles de la alerta incluyen la instrucción SQL vulnerable que se ha aprovechado.

    Alerta específica

Exploración de alertas en Azure Portal

Protección contra amenazas avanzada integra sus alertas con Microsoft Defender for Cloud. Los iconos de Protección contra amenazas avanzada de SQL de la base de datos y las hojas de Microsoft Defender for Cloud de SQL en Azure Portal muestran el seguimiento del estado de las amenazas activas.

Seleccione la alerta de Protección contra amenazas avanzada para iniciar la página de alertas de Microsoft Defender for Cloud y obtener información general de las amenazas de SQL activas detectadas en la base de datos.

Información general sobre las alertas de Protección contra amenazas avanzada en la base de datos

Protección contra amenazas avanzada en Defender para SQL