SQL Advanced Threat Protection

S’applique à : Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics SQL Server sur machine virtuelle Azure SQL Server avec Azure Arc

Advanced Threat Protection pour la base de données Azure SQL, Azure SQL Managed Instance, Azure Synapse Analytics, SQL Server sur les machines virtuelles Azure et SQL Server activé par Azure Arc détecte les activités anormales révélant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des bases de données.

Advanced Threat Protection fait partie de l’offre Microsoft Defender pour SQL. Il s’agit d’un package unifié pour les fonctionnalités de sécurité SQL avancées. Advanced Threat Protection est accessible et peut être géré par le biais du portail Microsoft Defender pour SQL central.

Vue d’ensemble

Advanced Threat Protection fournit une nouvelle couche de sécurité qui permet aux clients de détecter des menaces potentielles et d’y réagir en temps réel en déclenchant des alertes de sécurité en lien avec des activités anormales. Les utilisateurs reçoivent une alerte en cas d’activités de base de données suspectes, de vulnérabilités potentielles, d’attaques par injection de code SQL et de modèles d’accès et de requêtes anormaux à la base de données. Advanced Threat Protection intègre des alertes à Microsoft Defender pour le cloud, qui incluent des détails sur les activités suspectes et recommandent l’action à entreprendre pour analyser et prévenir la menace. Advanced Threat Protection vous permet de réagir facilement aux menaces potentielles visant la base de données sans devenir un expert en sécurité ni gérer des systèmes avancés de supervision de la sécurité.

Pour une expérience d’analyse complète, il est recommandé d’activer l’audit, qui inscrit les événements de la base de données dans un journal d’audit sur votre compte de stockage Azure. Pour activer l’audit, consultez Audit pour Azure SQL Database et Azure Synapse ou Audit pour Azure SQL Managed Instance.

Alertes

Advanced Threat Protection détecte les activités anormales indiquant des tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses de vos bases de données. Pour obtenir la liste des alertes, consultez Alertes pour SQL Database et Azure Synapse Analytics dans Microsoft Defender pour le cloud.

Explorer la détection d’un événement suspect

Vous recevez une notification par e-mail quand des activités anormales sont détectées sur la base de données. L’e-mail contient des informations sur l’événement de sécurité suspect, notamment la nature des activités anormales, le nom de la base de données, le nom du serveur, le nom de l’application et l’heure de l’événement. Il fournit également des informations sur les causes possibles et les mesures recommandées pour examiner et atténuer la menace potentielle pesant sur la base de données.

Rapports d’activités anormales

  1. Sélectionnez le lien Afficher les alertes SQL récentes contenu dans l’e-mail pour ouvrir le portail Azure et accéder à la page d’alertes de Microsoft Defender pour le cloud, qui fournit une vue d’ensemble des menaces actives détectées sur la base de données.

    Menaces d’activité

  2. Sélectionnez une alerte spécifique pour obtenir des détails et des actions supplémentaires pour examiner cette menace et corriger les menaces futures.

    Par exemple, l’injection SQL est l’un des problèmes de sécurité des applications web les plus courants sur Internet utilisé pour attaquer les applications reposant sur les données. Les pirates exploitent les vulnérabilités des applications pour injecter des instructions SQL nuisibles dans les champs de saisie d’application afin de violer ou modifier les données contenues dans la base de données. Pour les alertes d’injection SQL, les détails de l’alerte incluent l’instruction SQL vulnérable qui a été exploitée.

    Alerte spécifique

Explorer les alertes dans le portail Azure

La protection avancée contre les menaces intègre ses alertes à Microsoft Defender pour le cloud. Des vignettes Advanced Threat Protection SQL dans les panneaux de base de données et SQL Microsoft Defender pour le cloud au sein du portail Azure effectuent le suivi de l’état des menaces actives.

Sélectionnez Alerte Advanced Threat Protection pour ouvrir la page des alertes de Microsoft Defender pour le cloud et obtenir une vue d’ensemble de toutes les menaces SQL actives détectées dans la base de données.

Présentation de la protection avancée contre les menaces dans une base de données

Protection avancée contre les menaces dans Defender pour SQL