Upozornění pro SLUŽBU SQL Database a Azure Synapse Analytics
Tento článek obsahuje seznam výstrah zabezpečení, které můžete získat pro SLUŽBU SQL Database a Azure Synapse Analytics z programu Microsoft Defender for Cloud a všech plánů Microsoft Defenderu, které jste povolili. Výstrahy zobrazené ve vašem prostředí závisí na prostředcích a službách, které chráníte, a na vlastní konfiguraci.
Poznámka:
Některé nedávno přidané výstrahy využívající Analýza hrozeb v programu Microsoft Defender a Microsoft Defender for Endpoint můžou být nezdokumentované.
Přečtěte si, jak na tato upozornění reagovat.
Zjistěte, jak exportovat upozornění.
Poznámka:
Zobrazení výstrah z různých zdrojů může trvat různě dlouho. Například výstrahy, které vyžadují analýzu síťového provozu, můžou trvat déle, než se zobrazí výstrahy související s podezřelými procesy spuštěnými na virtuálních počítačích.
Upozornění SLUŽBY SQL Database a Azure Synapse Analytics
Možné ohrožení zabezpečení injektáže SQL
(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
Popis: Aplikace vygenerovala v databázi chybný příkaz SQL. To může značit možné ohrožení zabezpečení útoků prostřednictvím injektáže SQL. Existují dva možné důvody chybného příkazu. Chyba v kódu aplikace mohla vytvořit chybný příkaz SQL. Nebo kód aplikace nebo uložené procedury neukončily uživatelský vstup při vytváření chybného příkazu SQL, který lze zneužít pro injektáž SQL.
Taktika MITRE: Předběžné připojení
Závažnost: Střední
Aktivita přihlášení z potenciálně škodlivé aplikace
(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
Popis: Potenciálně škodlivá aplikace se pokusila o přístup k vašemu prostředku.
Taktika MITRE: Předběžné připojení
Závažnost: Vysoká
Přihlášení z neobvyklého datového centra Azure
(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
Popis: Došlo ke změně vzoru přístupu k SQL Serveru, kde se někdo přihlásil k serveru z neobvyklého datacentra Azure. V některých případech výstraha detekuje legitimní akci (novou aplikaci nebo službu Azure). V jiných případech výstraha detekuje škodlivou akci (útočník, který pracuje z porušeného prostředku v Azure).
Taktika MITRE: Testování
Závažnost: Nízká
Přihlášení z neobvyklého umístění
(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
Popis: Došlo ke změně vzoru přístupu k SQL Serveru, kde se někdo přihlásil k serveru z neobvyklého zeměpisného umístění. V některých případech výstraha detekuje legitimní akci (nová aplikace nebo údržba prováděná vývojářem). V jiných případech výstraha detekuje škodlivou akci (bývalý zaměstnanec nebo externí útočník).
Taktika MITRE: Zneužití
Závažnost: Střední
Přihlášení od hlavního uživatele se během 60 dnů nezobrazuje
(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
Popis: Hlavní uživatel se během posledních 60 dnů nepřihlásil k vaší databázi. Pokud je tato databáze nová nebo je to očekávané chování způsobené nedávnými změnami uživatelů, kteří k databázi přistupují, program Defender for Cloud identifikuje významné změny vzorů přístupu a pokusí se zabránit budoucím falešně pozitivním výsledkům.
Taktika MITRE: Zneužití
Závažnost: Střední
Přihlášení z domény se během 60 dnů nezobrazuje
(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
Popis: Uživatel se přihlásil k vašemu prostředku z domény, ze které se během posledních 60 dnů nepřipojili jiní uživatelé. Pokud je tento prostředek nový nebo je to očekávané chování způsobené nedávnými změnami uživatelů, kteří k prostředku přistupují, defender for Cloud identifikuje významné změny vzorů přístupu a pokusí se zabránit budoucím falešně pozitivním výsledkům.
Taktika MITRE: Zneužití
Závažnost: Střední
Přihlášení z podezřelé IP adresy
(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
Popis: Váš prostředek byl úspěšně přístupný z IP adresy, ke které má služba Microsoft Threat Intelligence přidruženou podezřelou aktivitu.
Taktika MITRE: Předběžné připojení
Závažnost: Střední
Potenciální injektáž SQL
(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
Popis: Došlo k aktivnímu zneužití vůči identifikované aplikaci ohrožené injektáží SQL. To znamená, že se útočník pokouší vložit škodlivé příkazy SQL pomocí zranitelného kódu aplikace nebo uložených procedur.
Taktika MITRE: Předběžné připojení
Závažnost: Vysoká
Podezření na útok hrubou silou pomocí platného uživatele
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Popis: Ve vašem prostředku byl zjištěn potenciální útok hrubou silou. Útočník používá platného uživatele (uživatelské jméno), který má oprávnění k přihlášení.
Taktika MITRE: Předběžné připojení
Závažnost: Vysoká
Podezřelý útok hrubou silou
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Popis: Ve vašem prostředku byl zjištěn potenciální útok hrubou silou.
Taktika MITRE: Předběžné připojení
Závažnost: Vysoká
Podezření na úspěšný útok hrubou silou
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Popis: Úspěšné přihlášení proběhlo po zjevném útoku hrubou silou na váš prostředek.
Taktika MITRE: Předběžné připojení
Závažnost: Vysoká
SQL Server potenciálně vytvořila příkazové prostředí Windows a přistupovala k neobvyklému externímu zdroji.
(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
Popis: Podezřelý příkaz SQL potenciálně vytvořil příkazové prostředí Windows s externím zdrojem, který ještě nebyl vidět. Spuštění prostředí, které přistupuje k externímu zdroji, je metoda, kterou útočníci používají ke stažení škodlivé datové části a jejich následnému spuštění na počítači a ohrožení zabezpečení. Útočník tak může provádět škodlivé úlohy ve vzdáleném směru. Případně můžete použít přístup k externímu zdroji k exfiltraci dat do externího cíle.
Taktika MITRE: Provádění
Závažnost: vysoká/střední
Sql Server zahájil neobvyklou datovou část s obfuskovanými částmi.
(SQL. VM_PotentialSqlInjection)
Popis: Někdo zahájil novou datovou část s využitím vrstvy v SQL Serveru, která komunikuje s operačním systémem a zároveň skryje příkaz v dotazu SQL. Útočníci obvykle skrývají ovlivněné příkazy, které se často sledují, jako jsou xp_cmdshell, sp_add_job a další. Techniky obfuskace zneužívají legitimní příkazy, jako je zřetězení řetězců, přetypování, změna základu a další, aby se zabránilo detekci regulárních výrazů a poškodit čitelnost protokolů.
Taktika MITRE: Provádění
Závažnost: vysoká/střední
Poznámka:
Upozornění, která jsou ve verzi Preview: Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.