オープンソース リレーショナル データベースのアラート
この記事では、Microsoft Defender for Cloud のオープンソース リレーショナル データベースと、有効にしたすべての Microsoft Defender プランに対して発生する可能性があるセキュリティ アラートの一覧を示します。 お使いの環境で示されるアラートは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。
Note
Microsoft Defender 脅威インテリジェンスと Microsoft Defender for Endpoint を利用して最近追加されたアラートの一部は、文書化されていない可能性があります。
これらのアラートに対応する方法については、こちらを参照してください。
アラートをエクスポートする方法については、こちらを参照してください。
注意
アラートの出力元によって、表示されるまでの時間が変わる場合があります。 たとえば、ネットワーク トラフィックの分析を必要とするアラートは、仮想マシンで実行されている不審なプロセスに関連するアラートよりも、表示されるまでより長い時間がかかる可能性があります。
オープン ソースのリレーショナル データベースのアラート
Suspected brute force attack using a valid user (有効なユーザーを使用したブルート フォース攻撃の可能性)
(SQL。sql をPostgreSQL_BruteForceします。sql をMariaDB_BruteForceします。MySQL_BruteForce)
説明: リソースでブルート フォース攻撃の可能性が検出されました。 攻撃者は、ログインのアクセス許可を持つ有効なユーザー (ユーザー名) を使用しています。
MITRE の戦術: プレアタッチ
重大度: 中
Suspected successful brute force attack (ブルート フォース攻撃が成功した可能性)
(SQL。sql をPostgreSQL_BruteForceします。sql をMySQL_BruteForceします。MariaDB_BruteForce)
説明: リソースに対する明らかなブルート フォース攻撃の後にログインが成功しました。
MITRE の戦術: プレアタッチ
重大度: 高
Suspected brute force attack (ブルート フォース攻撃の可能性)
(SQL。sql をPostgreSQL_BruteForceします。sql をMySQL_BruteForceします。MariaDB_BruteForce)
説明: リソースでブルート フォース攻撃の可能性が検出されました。
MITRE の戦術: プレアタッチ
重大度: 中
Attempted logon by a potentially harmful application (潜在的に有害なアプリケーションによりログオンが試行されました)
(SQL。sql をPostgreSQL_HarmfulApplicationします。sql をMariaDB_HarmfulApplicationします。MySQL_HarmfulApplication)
説明: 潜在的に有害なアプリケーションがリソースにアクセスしようとしました。
MITRE の戦術: プレアタッチ
重大度: 高/中
Login from a principal user not seen in 60 days (プリンシパル ユーザーからのログインが 60 日以内に確認されていません)
(SQL。sql をPostgreSQL_PrincipalAnomalyします。sql をMariaDB_PrincipalAnomalyします。MySQL_PrincipalAnomaly)
説明: 過去 60 日間に表示されないプリンシパル ユーザーがデータベースにログインしました。 このデータベースが新しい場合や、これがデータベースにアクセスするユーザーの最近の変更に起因する予想される動作である場合は、Defender for Cloud によって、アクセス パターンの大幅な変更が識別され、今後の誤検知を防止する試みが行われます。
MITRE の戦術: 悪用
重大度: 低
Login from a domain not seen in 60 days (60 日間確認されていないドメインからのログイン)
(SQL。SQL をMariaDB_DomainAnomalyします。sql をPostgreSQL_DomainAnomalyします。MySQL_DomainAnomaly)
説明: ユーザーは、過去 60 日間に他のユーザーが接続していないドメインからリソースにログインしています。 このリソースが新しい場合や、これがリソースにアクセスするユーザーの最近の変更に起因する予想される動作である場合は、Defender for Cloud によって、アクセス パターンの大幅な変更が識別され、今後の誤検知を防止する試みが行われます。
MITRE の戦術: 悪用
重大度: 中
Log on from an unusual Azure Data Center (通常とは異なる Azure データ センターからのログオン)
(SQL。sql をPostgreSQL_DataCenterAnomalyします。SQL をMariaDB_DataCenterAnomalyします。MySQL_DataCenterAnomaly)
説明: 異常な Azure データ センターからリソースにログオンしたユーザー。
MITRE の戦術: プローブ
重大度: 低
Logon from an unusual cloud provider (通常とは異なるクラウド プロバイダーからのログオン)
(SQL。SQL をPostgreSQL_CloudProviderAnomalyします。sql をMariaDB_CloudProviderAnomalyします。MySQL_CloudProviderAnomaly)
説明: 過去 60 日以内にクラウド プロバイダーからリソースにログオンしたユーザー。 脅威アクターは、その活動で使用する破棄可能なコンピューティング能力をすばやくかつ簡単に入手できます。 これが、新しいクラウド プロバイダーの最近の導入に起因する予想される動作である場合、Defender for Cloud は時間をかけて学習し、今後の誤検知を防止することを試みます。
MITRE の戦術: 悪用
重大度: 中
Log on from an unusual location (通常とは異なる場所からのログオン)
(SQL。sql をMariaDB_GeoAnomalyします。sql をPostgreSQL_GeoAnomalyします。MySQL_GeoAnomaly)
説明: 異常な Azure データ センターからリソースにログオンしたユーザー。
MITRE の戦術: 悪用
重大度: 中
Login from a suspicious IP (不審な IP からのログイン)
(SQL。sql をPostgreSQL_SuspiciousIpAnomalyします。sql をMariaDB_SuspiciousIpAnomalyします。MySQL_SuspiciousIpAnomaly)
説明: Microsoft 脅威インテリジェンスが疑わしいアクティビティに関連付けた IP アドレスからリソースに正常にアクセスされました。
MITRE の戦術: プレアタッチ
重大度: 中
Note
プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。