Auditoria do Banco de Dados SQL do Azure e Azure Synapse Analytics

Aplica-se a: Banco de Dados SQL do Azure Azure Synapse Analytics

A auditoria para O que é o Banco de Dados SQL do Azure? e Azure Synapse Analytics rastreia eventos do banco de dados e realiza a gravação em um log de auditoria na sua conta de armazenamento do Azure, no workspace do Log Analytics ou nos Hubs de Eventos.

A auditoria também:

  • Ajuda a manter conformidade com as normas, entender a atividade do banco de dados e aprofundar-se sobre discrepâncias e anomalias que podem indicar preocupações comerciais ou violações suspeitas de segurança.

  • Permite e facilita a adesão aos padrões de conformidade, embora não garanta a conformidade. Para saber mais, confira a Central de Confiabilidade do Microsoft Azure, onde é possível encontrar a lista mais atual de certificações de conformidade do Banco de Dados SQL.

Observação

Para obter informações sobre a auditoria da Instância Gerenciada de SQL do Azure, confira Introdução à auditoria da Instância Gerenciada de SQL do Azure.

Visão geral

É possível usar a auditoria do Banco de Dados SQL para:

  • Retenha uma trilha de auditoria dos eventos selecionados. Definir categorias de ações de banco de dados a ser auditadas.
  • Relate sobre a atividade do banco de dados. Utilizar relatórios pré-configurados e um painel para iniciar rapidamente um relatório de atividades e eventos.
  • Analise relatórios. Encontrar eventos suspeitos, atividades incomuns e tendências.

Importante

A auditoria do Banco de Dados SQL do Azure, dos pools de SQL do Azure Synapse e da Instância Gerenciada de SQL do Azure é otimizada para disponibilidade e desempenho dos bancos de dados ou das instâncias que estão sendo auditadas. Em momentos de atividade muito intensa ou de grande carga na rede, o recurso de auditoria pode permitir que as transações prossigam sem efetuar o registro de todos os eventos marcados para auditoria.

Limitações da auditoria

  • Não há compatibilidade para habilitar a auditoria nos pools de SQL do Azure Synapse em pausa. Para habilitar a auditoria, retome o pool de SQL do Synapse.
  • Não há suporte para habilitar a auditoria usando a UAMI (Identidade Gerenciada Atribuída pelo Usuário) no Azure Synapse.
  • Atualmente, não há suporte para as identidades gerenciadas por parte do Azure Synapse, a menos que a conta de armazenamento esteja protegida por uma rede virtual ou por um firewall.
  • A auditoria de pools do Azure Synapse Analytics dá suporte apenas a grupos de ação de auditoria padrão.
  • Quando você configura a auditoria para um servidor lógico no Azure ou no Banco de Dados SQL do Azure com o destino do log como uma conta de armazenamento, o modo de autenticação deve corresponder à configuração dessa conta de armazenamento. Se você estiver usando chaves de acesso de armazenamento como o tipo de autenticação, a conta de armazenamento de destino deverá ser habilitada com acesso às chaves da conta de armazenamento. Se a conta de armazenamento estiver configurada para usar apenas a autenticação com o Microsoft Entra ID (anteriormente, Azure Active Directory), a auditoria poderá ser configurada para usar identidades gerenciadas para autenticação.

Comentários

  • Há suporte para o armazenamento Premium com o BlockBlobStorage. Há suporte para o armazenamento Standard. Entretanto, para que a auditoria realize a gravação em uma conta de armazenamento protegida por uma rede virtual ou por um firewall, é necessário ter uma conta de armazenamento de uso geral v2. Se tiver uma conta de armazenamento de uso geral v1 ou de Armazenamento de Blobs, atualize para uma conta de armazenamento de uso geral v2. Para ver instruções específicas, consulte Gravar auditoria em uma conta de armazenamento atrás de uma VNet e um firewall. Para obter mais informações, veja Tipos de contas de armazenamento.
  • Há suporte para o namespace hierárquico para todos os tipos de conta de armazenamento Standard e Premium com o BlockBlobStorage.
  • Os logs de auditoria são gravados nos Blob de acréscimo em um Armazenamento de Blobs do Azure em sua assinatura do Azure
  • Os logs de auditoria estão no formato .xel e podem ser abertos com o SSMS (SQL Server Management Studio).
  • Para configurar um repositório de logs imutável ou eventos de auditoria no nível do banco de dados, siga as instruções fornecidas pelo Armazenamento do Azure. Verifique se você selecionou Permitir acréscimos adicionais ao configurar o armazenamento de blob imutável.
  • É possível realizar a gravação de logs de auditoria em uma conta de armazenamento do Azure protegida por uma rede virtual ou por um firewall.
  • Para obter mais detalhes sobre o formato dos logs, a hierarquia da pasta de armazenamento e as convenções de nomenclatura, confira o artigo: Formato do log de auditoria do Banco de Dados SQL.
  • A auditoria sobre Usar réplicas somente leitura para descarregar cargas de trabalho de consulta somente leitura é habilitada automaticamente. Para obter mais informações sobre a hierarquia das pastas de armazenamento, as convenções de nomenclatura e o formato dos logs, confira o artigo: Formato do log de auditoria do Banco de Dados SQL.
  • Ao usar a autenticação do Microsoft Entra, os registros de logons com falha não são mostrados no log de auditoria SQL. Para ver os registros de auditoria de logon com falha você precisa acessar o portal do Centro de administração Microsoft Entra, que registra em log os detalhes desses eventos.
  • Os logons são encaminhados pelo gateway para a instância específica em que o banco de dados está localizado. Com os logons do Microsoft Entra, as credenciais são verificadas antes da tentativa de usar esse usuário para entrar no banco de dados solicitado. Em caso de falha, o banco de dados solicitado nunca é acessado, portanto, a auditoria não é realizada. Com logons do SQL, as credenciais são verificadas nos dados solicitados e, portanto, nesse caso, elas podem ser auditadas. Os logons bem-sucedidos, que obviamente alcançaram o banco de dados, são auditados em ambos os casos.
  • Depois de definir as configurações de auditoria, você poderá ativar o novo recurso de detecção de ameaças e configurar emails para receber alertas de segurança. Ao usar a detecção de ameaças, você recebe alertas proativos sobre atividades anômalas do banco de dados que podem indicar possíveis ameaças à segurança. Para obter mais informações, confira Proteção Avançada contra Ameaças ao SQL.
  • Após um banco de dados com auditoria habilitada ser copiado para outro servidor lógico, você pode receber um email notificando que a auditoria apresentou falhas. Trata-se de um problema conhecido; a auditoria deve funcionar conforme o esperado no banco de dados recém-copiado.