Auditoria para a Base de Dados SQL do Azure e o Azure Synapse Analytics

Aplica-se a:Banco de DadosSQL do Azure Azure Synapse Analytics

A auditoria do Banco de Dados SQL do Azure e do Azure Synapse Analytics rastreia eventos de banco de dados e os grava em um log de auditoria em sua conta de armazenamento do Azure, espaço de trabalho do Log Analytics ou Hubs de Eventos.

A auditoria também:

  • Ajuda a manter a conformidade regulatória, a compreender as atividades da base de dados e a obter informações relativas a discrepâncias e anomalias que possam indicar preocupações comerciais ou suspeitas de violações de segurança.

  • Ativa e facilita o cumprimento das normas de conformidade, apesar de não garantir a conformidade. Para obter mais informações, consulte a Central de Confiabilidade do Microsoft Azure, onde você pode encontrar a lista mais atual de certificações de conformidade do Banco de Dados SQL.

Nota

Para obter informações sobre a auditoria da Instância Gerenciada SQL do Azure, consulte Introdução à auditoria da Instância Gerenciada do SQL.

Descrição geral

Você pode usar a auditoria do Banco de dados SQL para:

  • Mantenha uma trilha de auditoria de eventos selecionados. Pode definir categorias de ações de bases de dados para serem auditadas.
  • Relatório sobre a atividade do banco de dados. Pode utilizar relatórios pré-configurados e um dashboard para começar rapidamente a utilizar relatórios de eventos e de atividade.
  • Analise relatórios. Pode encontrar eventos suspeitos, atividades invulgares e tendências.

Importante

A auditoria para o Banco de Dados SQL do Azure, pools SQL do Azure Synapse Analytics e Instância Gerenciada SQL do Azure é otimizada para disponibilidade e desempenho do banco de dados ou instância que está sendo auditada. Durante períodos de atividade muito alta ou alta carga de rede, o recurso de auditoria pode permitir que as transações prossigam sem registrar todos os eventos marcados para auditoria.

Limitações da auditoria

  • Não há suporte para habilitar a auditoria em um pool SQL do Azure Synapse pausado. Para habilitar a auditoria, retome o pool Synapse SQL.
  • Não há suporte para habilitar a auditoria usando a UAMI (Identidade Gerenciada Atribuída pelo Usuário) no Azure Synapse.
  • A auditoria para pools SQL do Azure Synapse dá suporte apenas a grupos de ações de auditoria padrão.
  • Quando você configura a auditoria para um servidor lógico no Azure ou no Banco de Dados SQL do Azure com o destino do log como uma conta de armazenamento, o modo de autenticação deve corresponder à configuração dessa conta de armazenamento. Se estiver usando chaves de acesso de armazenamento como o tipo de autenticação, a conta de armazenamento de destino deverá ser habilitada com acesso às chaves da conta de armazenamento. Se a conta de armazenamento estiver configurada para usar apenas a autenticação com a ID do Microsoft Entra (anteriormente Azure Ative Directory), a auditoria poderá ser configurada para usar identidades gerenciadas para autenticação.

Observações

  • O armazenamento premium com BlockBlobStorage é suportado. O armazenamento padrão é suportado. No entanto, para que a auditoria grave em uma conta de armazenamento atrás de uma VNet ou firewall, você deve ter uma conta de armazenamento v2 de uso geral. Se você tiver uma conta de armazenamento v1 ou Blob de uso geral, atualize para uma conta de armazenamento v2 de uso geral. Para obter instruções específicas, consulte Gravar auditoria em uma conta de armazenamento por trás de VNet e firewall. Para obter mais informações, consulte Tipos de contas de armazenamento.
  • Há suporte para namespace hierárquico para todos os tipos de conta de armazenamento padrão e conta de armazenamento premium com BlockBlobStorage.
  • Os logs de auditoria são gravados em Acrescentar Blobs em um Armazenamento de Blobs do Azure em sua assinatura do Azure
  • Os logs de auditoria estão no formato .xel e podem ser abertos com o SQL Server Management Studio (SSMS).
  • Para configurar um armazenamento de log imutável para o servidor ou eventos de auditoria no nível de banco de dados, siga as instruções fornecidas pelo Armazenamento do Azure. Certifique-se de ter selecionado Permitir acréscimos adicionais ao configurar o armazenamento de blob imutável.
  • Você pode gravar logs de auditoria em uma conta de Armazenamento do Azure atrás de uma VNet ou firewall.
  • Para obter detalhes sobre o formato de log, hierarquia da pasta de armazenamento e convenções de nomenclatura, consulte a Referência de formato de log de auditoria de Blob.
  • A auditoria em Réplicas Só de Leitura é ativada automaticamente. Para obter mais informações sobre a hierarquia das pastas de armazenamento, convenções de nomenclatura e formato de log, consulte o Formato de log de auditoria do Banco de dados SQL.
  • Ao usar a autenticação do Microsoft Entra, os registros de logon com falha não aparecem no log de auditoria do SQL. Para exibir registros de auditoria de login com falha, você precisa visitar o Centro de administração do Microsoft Entra, que registra os detalhes desses eventos.
  • Os inícios de sessão são encaminhados pelo gateway para a instância específica onde a base de dados está localizada. Com os logins do Microsoft Entra, as credenciais são verificadas antes de tentar usar esse usuário para entrar no banco de dados solicitado. Em caso de falha, a base de dados pedida nunca é acedida, pelo que não ocorre qualquer auditoria. Com logins SQL, as credenciais são verificadas nos dados solicitados, portanto, neste caso, eles podem ser auditados. Os logins realizados com êxito, que, obviamente, alcançam a base de dados, são auditados em ambos os casos.
  • Depois de configurar as definições de auditoria, pode ativar a nova funcionalidade de deteção de ameaças e configurar e-mails para receber alertas de segurança. Quando utiliza a deteção de ameaças, recebe alertas proativos sobre atividades anómalas da base de dados que podem indicar potenciais ameaças à segurança. Para obter mais informações, consulte Introdução à deteção de ameaças.
  • Depois que um banco de dados com auditoria habilitada é copiado para outro servidor lógico, você pode receber um e-mail notificando que a auditoria falhou. Esse é um problema conhecido e a auditoria deve funcionar conforme o esperado no banco de dados recém-copiado.

Próximos passos

Consulte também