Alertes pour les bases de données relationnelles open source
Cet article répertorie les alertes de sécurité que vous pouvez obtenir pour les bases de données relationnelles open source de Microsoft Defender pour le cloud et les plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.
Remarque
Certaines des alertes récemment ajoutées alimentées par Veille des menaces Microsoft Defender et Microsoft Defender pour point de terminaison peuvent être non documentées.
Découvrez comment répondre à ces alertes.
Découvrez comment exporter des alertes.
Notes
Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.
Alertes de bases de données relationnelles open source
Informations complémentaires et notes
Attaque par force brute probable à l’aide d’un utilisateur valide
(SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce)
Description : une attaque par force brute potentielle a été détectée sur votre ressource. L’attaquant se sert de l’utilisateur valide (nom d’utilisateur), qui dispose des autorisations pour se connecter.
Tactiques MITRE : PreAttack
Gravité : moyenne
Attaque par force brute réussie probable
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Description : une connexion réussie s’est produite après une attaque de force brute apparente sur votre ressource.
Tactiques MITRE : PreAttack
Gravité : élevée
Attaque par force brute probable
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Description : une attaque par force brute potentielle a été détectée sur votre ressource.
Tactiques MITRE : PreAttack
Gravité : moyenne
Tentative de connexion par une application potentiellement dangereuse
(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)
Description : une application potentiellement dangereuse a tenté d’accéder à votre ressource.
Tactiques MITRE : PreAttack
Gravité : haut/moyen
Connexion à partir d’un utilisateur principal non vu en 60 jours
(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)
Description : un utilisateur principal non vu au cours des 60 derniers jours s’est connecté à votre base de données. Si cette base de données est nouvelle ou si le comportement attendu est dû à des modifications récentes des utilisateurs accédant à la base de données, Defender pour le cloud identifie les modifications significatives apportées aux modèles d’accès et tente d’éviter les futurs faux positifs.
Tactiques MITRE : Exploitation
Gravité : faible
Connexion à partir d’un domaine pas vu pendant 60 jours
(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)
Description : un utilisateur s’est connecté à votre ressource à partir d’un domaine depuis lequel aucun autre utilisateur n’a connecté au cours des 60 derniers jours. Si cette ressource est nouvelle ou si le comportement attendu est dû à des modifications récentes des utilisateurs accédant à la ressource, Defender pour le cloud identifiera les modifications significatives apportées aux modèles d’accès et tentera d’éviter les futurs faux positifs.
Tactiques MITRE : Exploitation
Gravité : moyenne
Connexion à partir d’un centre de données Azure inhabituel
(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)
Description : Une personne connecté à votre ressource à partir d’un Centre de données Azure inhabituel.
Tactiques MITRE : détection
Gravité : faible
Ouverture de session à partir d’un fournisseur de cloud inhabituel
(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly)
Description : une personne connecté à votre ressource à partir d’un fournisseur de cloud n’a pas été vue au cours des 60 derniers jours. Il est facile et rapide pour les acteurs de menaces d’obtenir une puissance de calcul à disposition à utiliser dans leurs campagnes. Si ce comportement est attendu suite à l’adoption récente d’un nouveau fournisseur de cloud, Defender pour le cloud apprendra au fur et à mesure et tentera d’éviter les futurs faux positifs.
Tactiques MITRE : Exploitation
Gravité : moyenne
Connexion à partir d’un emplacement inhabituel
(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)
Description : Une personne connecté à votre ressource à partir d’un Centre de données Azure inhabituel.
Tactiques MITRE : Exploitation
Gravité : moyenne
Connexion à partir d’une adresse IP suspecte
(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)
Description : Votre ressource a été accessible avec succès à partir d’une adresse IP associée à Microsoft Threat Intelligence.
Tactiques MITRE : PreAttack
Gravité : moyenne
Remarque
Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.