オープンソース リレーショナル データベースのアラート

この記事では、Microsoft Defender for Cloud のオープンソース リレーショナル データベースと、有効にしたすべての Microsoft Defender プランに対して発生する可能性があるセキュリティ アラートの一覧を示します。 お使いの環境で示されるアラートは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。

Note

Microsoft Defender 脅威インテリジェンスと Microsoft Defender for Endpoint を利用して最近追加されたアラートの一部は、文書化されていない可能性があります。

これらのアラートに対応する方法については、こちらを参照してください。

アラートをエクスポートする方法については、こちらを参照してください。

注意

アラートの出力元によって、表示されるまでの時間が変わる場合があります。 たとえば、ネットワーク トラフィックの分析を必要とするアラートは、仮想マシンで実行されている不審なプロセスに関連するアラートよりも、表示されるまでより長い時間がかかる可能性があります。

オープン ソースのリレーショナル データベースのアラート

詳細な説明と注意

Suspected brute force attack using a valid user (有効なユーザーを使用したブルート フォース攻撃の可能性)

(SQL。sql をPostgreSQL_BruteForceします。sql をMariaDB_BruteForceします。MySQL_BruteForce)

説明: リソースでブルート フォース攻撃の可能性が検出されました。 攻撃者は、ログインのアクセス許可を持つ有効なユーザー (ユーザー名) を使用しています。

MITRE の戦術: プレアタッチ

重大度: 中

Suspected successful brute force attack (ブルート フォース攻撃が成功した可能性)

(SQL。sql をPostgreSQL_BruteForceします。sql をMySQL_BruteForceします。MariaDB_BruteForce)

説明: リソースに対する明らかなブルート フォース攻撃の後にログインが成功しました。

MITRE の戦術: プレアタッチ

重大度: 高

Suspected brute force attack (ブルート フォース攻撃の可能性)

(SQL。sql をPostgreSQL_BruteForceします。sql をMySQL_BruteForceします。MariaDB_BruteForce)

説明: リソースでブルート フォース攻撃の可能性が検出されました。

MITRE の戦術: プレアタッチ

重大度: 中

Attempted logon by a potentially harmful application (潜在的に有害なアプリケーションによりログオンが試行されました)

(SQL。sql をPostgreSQL_HarmfulApplicationします。sql をMariaDB_HarmfulApplicationします。MySQL_HarmfulApplication)

説明: 潜在的に有害なアプリケーションがリソースにアクセスしようとしました。

MITRE の戦術: プレアタッチ

重大度: 高/中

Login from a principal user not seen in 60 days (プリンシパル ユーザーからのログインが 60 日以内に確認されていません)

(SQL。sql をPostgreSQL_PrincipalAnomalyします。sql をMariaDB_PrincipalAnomalyします。MySQL_PrincipalAnomaly)

説明: 過去 60 日間に表示されないプリンシパル ユーザーがデータベースにログインしました。 このデータベースが新しい場合や、これがデータベースにアクセスするユーザーの最近の変更に起因する予想される動作である場合は、Defender for Cloud によって、アクセス パターンの大幅な変更が識別され、今後の誤検知を防止する試みが行われます。

MITRE の戦術: 悪用

重大度: 低

Login from a domain not seen in 60 days (60 日間確認されていないドメインからのログイン)

(SQL。SQL をMariaDB_DomainAnomalyします。sql をPostgreSQL_DomainAnomalyします。MySQL_DomainAnomaly)

説明: ユーザーは、過去 60 日間に他のユーザーが接続していないドメインからリソースにログインしています。 このリソースが新しい場合や、これがリソースにアクセスするユーザーの最近の変更に起因する予想される動作である場合は、Defender for Cloud によって、アクセス パターンの大幅な変更が識別され、今後の誤検知を防止する試みが行われます。

MITRE の戦術: 悪用

重大度: 中

Log on from an unusual Azure Data Center (通常とは異なる Azure データ センターからのログオン)

(SQL。sql をPostgreSQL_DataCenterAnomalyします。SQL をMariaDB_DataCenterAnomalyします。MySQL_DataCenterAnomaly)

説明: 異常な Azure データ センターからリソースにログオンしたユーザー。

MITRE の戦術: プローブ

重大度: 低

Logon from an unusual cloud provider (通常とは異なるクラウド プロバイダーからのログオン)

(SQL。SQL をPostgreSQL_CloudProviderAnomalyします。sql をMariaDB_CloudProviderAnomalyします。MySQL_CloudProviderAnomaly)

説明: 過去 60 日以内にクラウド プロバイダーからリソースにログオンしたユーザー。 脅威アクターは、その活動で使用する破棄可能なコンピューティング能力をすばやくかつ簡単に入手できます。 これが、新しいクラウド プロバイダーの最近の導入に起因する予想される動作である場合、Defender for Cloud は時間をかけて学習し、今後の誤検知を防止することを試みます。

MITRE の戦術: 悪用

重大度: 中

Log on from an unusual location (通常とは異なる場所からのログオン)

(SQL。sql をMariaDB_GeoAnomalyします。sql をPostgreSQL_GeoAnomalyします。MySQL_GeoAnomaly)

説明: 異常な Azure データ センターからリソースにログオンしたユーザー。

MITRE の戦術: 悪用

重大度: 中

Login from a suspicious IP (不審な IP からのログイン)

(SQL。sql をPostgreSQL_SuspiciousIpAnomalyします。sql をMariaDB_SuspiciousIpAnomalyします。MySQL_SuspiciousIpAnomaly)

説明: Microsoft 脅威インテリジェンスが疑わしいアクティビティに関連付けた IP アドレスからリソースに正常にアクセスされました。

MITRE の戦術: プレアタッチ

重大度: 中

Note

プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

次のステップ