Reagieren auf Defender-Warnungen zu Open-Source-Datenbanken

Für die folgenden Dienste erkennt Microsoft Defender für Cloud anomale Aktivitäten, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf Datenbanken zuzugreifen oder diese unbefugt zu nutzen:

• Azure-Datenbank für PostgreSQL
• Azure Database for MySQL
• Azure Database for MariaDB

und für RDS-Instanzen auf AWS (Vorschau):

• Aurora PostgreSQL
• Aurora MySQL
• PostgreSQL
• MySQL
• MariaDB

Um Benachrichtigungen aus dem Microsoft Defender-Plan zu erhalten, müssen Sie zunächst Defender für relationale Open Source-Datenbanken in Ihrem Azure- oder AWS-Konto aktivieren.

Weitere Informationen zu diesem Microsoft Defender-Plan finden Sie unter Übersicht zu Microsoft Defender für relationale Open-Source-Datenbanken.

Voraussetzungen

• Sie benötigen ein Microsoft Azure -Abonnement. Sollten Sie über kein Azure-Abonnement verfügen, können Sie sich für ein kostenloses Abonnement registrieren.

• Sie müssen Microsoft Defender for Cloud in Ihrem Azure-Abonnement aktivieren.

• Nur AWS-Benutzer: Verbinden Sie Ihr AWS-Konto.

Reagieren auf Warnungen in Defender for Cloud

Wenn Microsoft Defender für Cloud für Ihre Datenbank aktiviert ist, werden anomale Aktivitäten erkannt und Warnungen generiert. Diese Warnungen sind an mehreren Stellen verfügbar, z. B.:

• Führen Sie im Azure-Portal die folgenden Schritte aus:

  • Microsoft Defender für Cloud-Seite für Sicherheitswarnungen: Zeigt Warnungen für alle durch Defender für Cloud geschützten Ressourcen in den Abonnements an, für die Sie über Anzeigeberechtigungen verfügen.
  • Die Seite Microsoft Defender for Cloud der Ressource: Zeigt Warnungen und Empfehlungen für eine bestimmte Ressource an.

• Im Posteingang der Person in Ihrer Organisation, die für den Empfang von E-Mail-Warnungen festgelegt wurde.

Tipp

Auf einer Livekachel im Übersichtsdashboard von Microsoft Defender für Cloud wird der Status aktiver Bedrohungen für all Ihre Ressourcen (einschließlich Datenbanken) nachverfolgt. Wählen Sie die Kachel „Sicherheitswarnungen“ aus, um die Warnungsseite von Defender für Cloud zu öffnen und einen Überblick über die aktiven Bedrohungen zu erhalten, die für Ihre Datenbanken erkannt wurden.

Eine ausführliche Anleitung und die empfohlene Methode für die Reaktion auf Sicherheitswarnungen finden Sie unter Reagieren auf eine Sicherheitswarnung.

Reagieren auf E-Mail-Benachrichtigungen über Sicherheitswarnungen

Defender für Cloud sendet E-Mail-Benachrichtigungen, wenn anomale Datenbankaktivitäten erkannt werden. Die E-Mail enthält Informationen zum verdächtigen Sicherheitsereignis, z. B. Art der anomalen Aktivitäten, Datenbankname, Servername, Anwendungsname und Zeit des Ereignisses. Darüber hinaus enthält die E-Mail Informationen zu den möglichen Ursachen und empfohlene Maßnahmen zur Untersuchung und Abwehr potenzieller Bedrohungen für die Datenbank.

1. Wählen Sie in der E-Mail den Link Vollständige Warnung anzeigen aus, um das Azure-Portal zu öffnen und die Seite der Sicherheitswarnungen mit einer Übersicht der aktiven Bedrohungen anzuzeigen, die für die Datenbank erkannt wurden.

   

   Zeigen Sie aktive Bedrohungen auf der Abonnementebene auf den Defender für Cloud-Seiten im Portal an:

   

2. Wählen Sie eine Warnung aus, um weitere Details und empfohlene Aktionen zum Untersuchen der aktuellen Bedrohung und Abwehren zukünftiger Bedrohungen anzuzeigen.

   

Tipp

Ein ausführliches Tutorial zum Umgang mit Ihren Warnungen finden Sie unter Verwalten von und Reagieren auf Warnungen.

Nächster Schritt

• Automatisieren der Reaktionen auf Defender für Cloud-Trigger
• Streamen von Warnungen in eine SIEM-, SOAR- oder IT-Service-Management-Lösung
• Unterdrücken von Warnungen von Defender für Cloud