SQL Database と Azure Synapse Analytics のアラート

この記事では、Microsoft Defender for Cloud から SQL Database と Azure Synapse Analytics に対して取得できるセキュリティ アラートと、有効にしたすべての Microsoft Defender プランの一覧を示します。 お使いの環境で示されるアラートは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。

Note

Microsoft Defender 脅威インテリジェンスと Microsoft Defender for Endpoint を利用して最近追加されたアラートの一部は、文書化されていない可能性があります。

これらのアラートに対応する方法については、こちらを参照してください。

アラートをエクスポートする方法については、こちらを参照してください。

注意

アラートの出力元によって、表示されるまでの時間が変わる場合があります。 たとえば、ネットワーク トラフィックの分析を必要とするアラートは、仮想マシンで実行されている不審なプロセスに関連するアラートよりも、表示されるまでより長い時間がかかる可能性があります。

SQL Database と Azure Synapse Analytics アラート

詳細な説明と注意

A possible vulnerability to SQL Injection (SQL インジェクションにつながる可能性のある脆弱性)

(SQL。sql をDB_VulnerabilityToSqlInjectionします。sql をVM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjectionします。DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)

説明: アプリケーションによって、データベースに問題のある SQL ステートメントが生成されました。 これは、SQL インジェクション攻撃に対する脆弱性があることを示している可能性があります。 エラーのあるステートメントの理由としては、次の 2 つが考えられます。 アプリケーション コードの欠陥により、エラーのある SQL ステートメントが作成された可能性がある。 または、アプリケーション コードまたはストアド プロシージャでユーザー入力がサニタイズされず、エラーのある SQL ステートメントが作成され、SQL インジェクションに悪用される可能性がある。

MITRE の戦術: プレアタッチ

重大度: 中

有害な可能性があるアプリケーションからのログオン アクティビティ

(SQL。SQL をDB_HarmfulApplicationします。sql をVM_HarmfulApplication SQL.MI_HarmfulApplicationします。DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)

説明: 潜在的に有害なアプリケーションがリソースにアクセスしようとしました。

MITRE の戦術: プレアタッチ

重大度: 高

Log on from an unusual Azure Data Center (通常とは異なる Azure データ センターからのログオン)

(SQL。SQL をDB_DataCenterAnomalyします。sql をVM_DataCenterAnomalyします。DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)

説明: SQL Server へのアクセス パターンに変更が加わり、だれかが通常とは異なる Azure Data Center からサーバーにサインインしました。 このアラートで正当なアクション (新しいアプリケーションや Azure サービス) が検出されることがあります。 それ以外の場合は、アラートによって悪意のあるアクション (Azure の侵害されたリソースからの攻撃者の操作) が検出されます。

MITRE の戦術: プローブ

重大度: 低

Log on from an unusual location (通常とは異なる場所からのログオン)

(SQL。sql をDB_GeoAnomalyします。sql をVM_GeoAnomalyします。DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)

説明: SQL Server へのアクセス パターンが変更されました。このパターンでは、だれかが通常とは異なる地理的な場所からサーバーにサインインしています。 このアラートで正当なアクション (新しいアプリケーションや開発者メンテナンス) が検出されることがあります。 別のケースでは、このアラートによって悪意のあるアクション (元従業員や外部の攻撃者など) が検出されます。

MITRE の戦術: 悪用

重大度: 中

Login from a principal user not seen in 60 days (プリンシパル ユーザーからのログインが 60 日以内に確認されていません)

(SQL。SQL をDB_PrincipalAnomalyします。sql をVM_PrincipalAnomalyします。DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)

説明: 過去 60 日間に表示されないプリンシパル ユーザーがデータベースにログインしました。 このデータベースが新しい場合や、これがデータベースにアクセスするユーザーの最近の変更に起因する予想される動作である場合は、Defender for Cloud によって、アクセス パターンの大幅な変更が識別され、今後の誤検知を防止する試みが行われます。

MITRE の戦術: 悪用

重大度: 中

Login from a domain not seen in 60 days (60 日間確認されていないドメインからのログイン)

(SQL。sql をDB_DomainAnomalyします。sql をVM_DomainAnomalyします。DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)

説明: ユーザーは、過去 60 日間に他のユーザーが接続していないドメインからリソースにログインしています。 このリソースが新しい場合や、これがリソースにアクセスするユーザーの最近の変更に起因する予想される動作である場合は、Defender for Cloud によって、アクセス パターンの大幅な変更が識別され、今後の誤検知を防止する試みが行われます。

MITRE の戦術: 悪用

重大度: 中

Login from a suspicious IP (不審な IP からのログイン)

(SQL。sql をDB_SuspiciousIpAnomalyします。SQL をVM_SuspiciousIpAnomalyします。DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)

説明: Microsoft 脅威インテリジェンスが疑わしいアクティビティに関連付けた IP アドレスからリソースに正常にアクセスされました。

MITRE の戦術: プレアタッチ

重大度: 中

SQL インジェクションの可能性

(SQL。sql をDB_PotentialSqlInjectionします。SQL をVM_PotentialSqlInjection SQL.MI_PotentialSqlInjectionします。DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)

説明: SQL インジェクションに対して脆弱な特定されたアプリケーションに対してアクティブな悪用が発生しました。 これは、攻撃者が脆弱なアプリケーション コードまたはストアド プロシージャを使用して、悪意のある SQL ステートメントを挿入しようとしていることを意味します。

MITRE の戦術: プレアタッチ

重大度: 高

Suspected brute force attack using a valid user (有効なユーザーを使用したブルート フォース攻撃の可能性)

(SQL。sql をDB_BruteForceします。sql をVM_BruteForceします。DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

説明: リソースでブルート フォース攻撃の可能性が検出されました。 攻撃者は、ログインのアクセス許可を持つ有効なユーザー (ユーザー名) を使用しています。

MITRE の戦術: プレアタッチ

重大度: 高

Suspected brute force attack (ブルート フォース攻撃の可能性)

(SQL。sql をDB_BruteForceします。sql をVM_BruteForceします。DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

説明: リソースでブルート フォース攻撃の可能性が検出されました。

MITRE の戦術: プレアタッチ

重大度: 高

Suspected successful brute force attack (ブルート フォース攻撃が成功した可能性)

(SQL。sql をDB_BruteForceします。sql をVM_BruteForceします。DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

説明: リソースに対する明らかなブルート フォース攻撃の後にログインが成功しました。

MITRE の戦術: プレアタッチ

重大度: 高

SQL Server potentially spawned a Windows command shell and accessed an abnormal external source (SQL Server では、Windows コマンド シェルを生成し、異常な外部ソースにアクセスする可能性があります)

(SQL。sql をDB_ShellExternalSourceAnomalyします。SQL をVM_ShellExternalSourceAnomalyします。DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)

説明: 疑わしい SQL ステートメントによって、これまで見たことのない外部ソースを含む Windows コマンド シェルが生成される可能性があります。 外部ソースにアクセスするシェルを実行することは、攻撃者が悪意のあるペイロードをダウンロードし、それをマシン上で実行して侵害するために使用される方法です。 これにより、攻撃者はリモートで悪意のあるタスクを実行できます。 または、外部ソースへのアクセスを使用して、外部変換先にデータを流出させることができます。

MITRE の戦術: 実行

重大度: 高/中

Unusual payload with obfuscated parts has been initiated by SQL Server (難読化されたパーツを含む通常とは異なるペイロードが、SQL Server によって開始されました)

(SQL.VM_PotentialSqlInjection)

説明: SQL クエリでコマンドを隠しながらオペレーティング システムと通信する SQL Server のレイヤーを使用して、新しいペイロードが開始されました。 攻撃者は、通常、xp_cmdshell、sp_add_job など、一般的に監視されている影響力のあるコマンドを隠します。 難読化手法では、正規表現の検出を回避し、ログの読みやすさを損なわせるために、文字列連結、キャスト、ベース変更などの正当なコマンドを悪用します。

MITRE の戦術: 実行

重大度: 高/中

Note

プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

次のステップ