Omówienie usługi Microsoft Defender for SQL

  • 7 min

Microsoft Defender dla Chmury zabezpieczenia bazy danych umożliwia ochronę całego majątku bazy danych przez wykrywanie typowych ataków, obsługę włączania i reagowania na zagrożenia dla najpopularniejszych typów baz danych na platformie Azure.

Typy chronionych baz danych to:

  • Bazy danych Azure SQL Database
  • Serwery SQL na maszynach
  • Relacyjne bazy danych typu open source (OSS RDB)
  • Usługa Azure Cosmos DB Database zapewnia ochronę aparatów i typów danych z różnymi obszarami ataków i zagrożeniami bezpieczeństwa. Wykrycia zabezpieczeń są tworzone dla określonej powierzchni ataków każdego typu bazy danych.

ochrona bazy danych Defender dla Chmury wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu lub wykorzystania baz danych. Zaawansowane funkcje wykrywania zagrożeń i dane analizy zagrożeń firmy Microsoft są używane do dostarczania kontekstowych alertów zabezpieczeń. Te alerty obejmują kroki w celu wyeliminowania wykrytych zagrożeń i zapobiegania przyszłym atakom.

Możesz włączyć ochronę bazy danych w ramach subskrypcji lub wykluczyć określone typy zasobów bazy danych.

Usługa Microsoft Defender for SQL obejmuje dwa plany rozszerzające pakiet zabezpieczeń danych Defender dla Chmury w celu zabezpieczenia baz danych i ich danych niezależnie od ich lokalizacji.

Co chroni usługa Microsoft Defender SQL?

Usługa Microsoft Defender for SQL obejmuje dwa oddzielne plany usługi Microsoft Defender:

  • Serwery usługi Defender for Azure SQL Database chronią:

    • Azure SQL Database

    • Wystąpienie zarządzane Azure SQL

    • Dedykowana pula SQL w usłudze Azure Synapse

  • Usługa Microsoft Defender dla serwerów SQL na maszynach rozszerza ochronę serwerów SQL natywnych dla platformy Azure w celu pełnej obsługi środowisk hybrydowych i ochrony serwerów SQL (wszystkich obsługiwanych wersji) hostowanych na platformie Azure, innych środowiskach w chmurze, a nawet na maszynach lokalnych:

    • Program SQL Server w usłudze Virtual Machines

    • Lokalne serwery SQL:

      • Program SQL Server z obsługą usługi Azure Arc (wersja zapoznawcza)

      • Program SQL Server działający na maszynach z systemem Windows bez usługi Azure Arc

Jakie są zalety usługi Microsoft Defender for SQL?

Te dwa plany obejmują funkcje identyfikowania i ograniczania potencjalnych luk w zabezpieczeniach bazy danych oraz wykrywania nietypowych działań, które mogą wskazywać na zagrożenia dla baz danych:

  • Ocena luk w zabezpieczeniach — usługa skanowania umożliwiająca odnajdywanie, śledzenie i pomaga w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. Skany ocen zawierają omówienie stanu zabezpieczeń maszyn SQL oraz szczegółowe informacje na temat wszelkich ustaleń dotyczących zabezpieczeń.

  • Zaawansowana ochrona przed zagrożeniami — usługa wykrywania, która stale monitoruje serwery SQL pod kątem zagrożeń, takich jak wstrzyknięcie kodu SQL, ataki siłowe i nadużycie uprawnień. Ta usługa udostępnia alerty zabezpieczeń zorientowane na działania w Defender dla Chmury ze szczegółowymi informacjami o podejrzanych działaniach, wskazówki dotyczące ograniczania zagrożeń i opcji kontynuowania badań w usłudze Microsoft Sentinel.

Jakiego rodzaju alerty zapewnia usługa Defender for SQL?

Analiza zagrożeń wzbogaconych alertów zabezpieczeń jest wyzwalana w następujących przypadkach:

  • Potencjalne ataki polegających na wstrzyknięciu kodu SQL — w tym luki w zabezpieczeniach wykryte, gdy aplikacje generują wadliwą instrukcję SQL w bazie danych

  • Nietypowe wzorce dostępu do bazy danych i zapytań — na przykład wyjątkowo duża liczba nieudanych prób logowania przy użyciu różnych poświadczeń (próba ataku siłowego)

  • Podejrzane działanie bazy danych — na przykład uprawniony użytkownik, który uzyskuje dostęp do programu SQL Server z komputera, który komunikował się z serwerem kryptograficznym C&C

Alerty zawierają szczegółowe informacje o zdarzeniu, które je wywołały, oraz zalecenia dotyczące sposobu badania i korygowania zagrożeń.

Jakie są zalety usługi Microsoft Defender dla relacyjnych baz danych typu open source

Ten plan Defender dla Chmury zapewnia ochronę przed zagrożeniami dla następujących relacyjnych baz danych typu open source:

  • Azure Database for PostgreSQL
  • Azure Database for MySQL
  • Azure Database for MariaDB

Po włączeniu tego planu Microsoft Defender dla Chmury udostępni alerty, gdy wykryje nietypowy dostęp do bazy danych i wzorce zapytań oraz podejrzane działania bazy danych.

Screenshot of the alert screen with open-source database alerts.

Alerty usługi Microsoft Defender dla relacyjnych baz danych typu open source

W przypadku, gdy istnieją następujące informacje, są wyzwalane alerty zabezpieczeń wzbogacone o zagrożenia:

  • Nietypowy dostęp do bazy danych i wzorce zapytań, na przykład nietypowo duża liczba nieudanych prób logowania z różnymi poświadczeniami (próba ataku siłowego)
  • Podejrzane działania bazy danych Na przykład uprawniony użytkownik, który uzyskuje dostęp do programu SQL Server z komputera, który komunikował się z serwerem kryptograficznym C&C
  • Ataki siłowe Z możliwością oddzielenia prostej siły brutalnej od siły brutalnej na prawidłowego użytkownika lub udanej siły brutalnej.

Jakie są zalety usługi Microsoft Defender dla usługi Azure Cosmos DB

Usługa Microsoft Defender dla usługi Azure Cosmos DB wykrywa potencjalne wstrzyknięcia kodu SQL, znane złośliwe podmioty oparte na usłudze Microsoft Threat Intelligence, podejrzane wzorce dostępu i potencjalne wykorzystanie bazy danych za pośrednictwem tożsamości, których bezpieczeństwo jest naruszone, lub złośliwych testerów.

Możesz włączyć ochronę wszystkich baz danych (zalecane) lub włączyć usługę Microsoft Defender dla usługi Azure Cosmos DB na poziomie subskrypcji lub na poziomie zasobu.

Usługa Defender dla usługi Azure Cosmos DB stale analizuje strumień telemetrii wygenerowany przez usługę Azure Cosmos DB. Po wykryciu potencjalnie złośliwych działań są generowane alerty zabezpieczeń. Te alerty są wyświetlane w Defender dla Chmury wraz ze szczegółami podejrzanych działań wraz z odpowiednimi krokami badania, akcjami korygowania i zaleceniami dotyczącymi zabezpieczeń.

Usługa Defender dla usługi Azure Cosmos DB nie uzyskuje dostępu do danych konta usługi Azure Cosmos DB i nie ma żadnego wpływu na jej wydajność.

Alerty usługi Microsoft Defender dla usługi Microsoft Defender dla usługi Azure Cosmos DB

W przypadku, gdy istnieją następujące informacje, są wyzwalane alerty zabezpieczeń wzbogacone o zagrożenia:

  • Potencjalne ataki polegających na wstrzyknięciu kodu SQL: ze względu na strukturę i możliwości zapytań usługi Azure Cosmos DB wiele znanych ataków polegających na wstrzyknięciu kodu SQL nie może działać w usłudze Azure Cosmos DB. Istnieją jednak pewne odmiany iniekcji SQL, które mogą zakończyć się powodzeniem i mogą spowodować eksfiltrację danych z kont usługi Azure Cosmos DB. Usługa Defender dla usługi Azure Cosmos DB wykrywa zarówno pomyślne, jak i nieudane próby, i pomaga zabezpieczyć środowisko, aby zapobiec tym zagrożeniom.

  • Nietypowe wzorce dostępu do bazy danych: na przykład dostęp z węzła wyjścia TOR, znane podejrzane adresy IP, nietypowe aplikacje i nietypowe lokalizacje.

  • Podejrzane działanie bazy danych: na przykład podejrzane wzorce list kluczy, które przypominają znane techniki przenoszenia bocznego złośliwego i podejrzane wzorce wyodrębniania danych.