Waarschuwingen voor SQL Database en Azure Synapse Analytics
Dit artikel bevat de beveiligingswaarschuwingen die u mogelijk krijgt voor SQL Database en Azure Synapse Analytics van Microsoft Defender voor Cloud en eventuele Microsoft Defender-abonnementen die u hebt ingeschakeld. De waarschuwingen die in uw omgeving worden weergegeven, zijn afhankelijk van de resources en services die u beveiligt en uw aangepaste configuratie.
Notitie
Sommige van de onlangs toegevoegde waarschuwingen mogelijk gemaakt door Microsoft Defender-bedreigingsinformatie en Microsoft Defender voor Eindpunt zijn mogelijk niet-gedocumenteerd.
Meer informatie over hoe u kunt reageren op deze waarschuwingen.
Meer informatie over het exporteren van waarschuwingen.
Notitie
Hoe snel een waarschuwing wordt weergegeven, hangt af van de bron van de waarschuwing. Waarschuwingen waarvoor analyse van netwerkverkeer is vereist, worden bijvoorbeeld later weergegeven dan waarschuwingen met betrekking tot verdachte processen op virtuele machines.
Waarschuwingen voor SQL Database en Azure Synapse Analytics
Extra informatie en opmerkingen
A possible vulnerability to SQL Injection (Mogelijk beveiligingslek dat mogelijkheden biedt voor SQL-injectie)
(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
Beschrijving: Een toepassing heeft een foutieve SQL-instructie in de database gegenereerd. Dit kan duiden op een mogelijke kwetsbaarheid voor SQL-injectieaanvallen. Er zijn twee mogelijke redenen voor een onjuiste instructie. Een fout in de toepassingscode waardoor de onjuiste SQL-instructie is gemaakt. Toepassingscode of opgeslagen procedures schonen gebruikersinvoer niet op tijdens het construeren van de onjuiste SQL-instructie, wat kan worden misbruikt voor SQL-injectie
MITRE-tactieken: PreAttack
Ernst: gemiddeld
Aanmeldingsactiviteit van een mogelijk schadelijke toepassing
(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
Beschrijving: Een mogelijk schadelijke toepassing heeft geprobeerd toegang te krijgen tot uw resource.
MITRE-tactieken: PreAttack
Ernst: Hoog
Log on from an unusual Azure Data Center (Aanmelding vanuit een ongebruikelijk Azure-datacenter)
(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
Beschrijving: Er is een wijziging aangebracht in het toegangspatroon voor een SQL Server, waarbij iemand zich vanuit een ongebruikelijk Azure-datacentrum heeft aangemeld bij de server. In sommige gevallen wijst de waarschuwing op een legitieme actie (een nieuwe toepassing of Azure-service). In andere gevallen wijst de waarschuwing op een schadelijke actie (aanvaller die werkt vanuit een geïnfecteerde resource in Azure).
MITRE-tactieken: Testen
Ernst: Laag
Log on from an unusual location (Aanmelding vanaf een ongebruikelijke locatie)
(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
Beschrijving: Er is een wijziging aangebracht in het toegangspatroon voor SQL Server, waarbij iemand zich vanaf een ongebruikelijke geografische locatie heeft aangemeld bij de server. In sommige gevallen detecteert de waarschuwing een legitieme actie (een nieuwe toepassing of onderhoud door ontwikkelaars). In andere gevallen wijst de waarschuwing op een schadelijke actie (een voormalig werknemer of externe aanvaller).
MITRE-tactieken: Exploitatie
Ernst: gemiddeld
Principalgebruiker heeft zich de afgelopen zestig dagen niet aangemeld
(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
Beschrijving: Een principal-gebruiker die de afgelopen 60 dagen niet is gezien, is aangemeld bij uw database. Als deze database nieuw is of dit wordt verwacht door recente wijzigingen in de gebruikers die toegang hebben tot de database, identificeert Defender voor Cloud belangrijke wijzigingen in de toegangspatronen en probeert toekomstige fout-positieven te voorkomen.
MITRE-tactieken: Exploitatie
Ernst: gemiddeld
Aanmelden vanuit een domein niet gezien in 60 dagen
(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
Beschrijving: Een gebruiker heeft zich in de afgelopen 60 dagen aangemeld bij uw resource vanuit een domein dat geen andere gebruikers heeft verbonden. Als deze resource nieuw is of dit verwacht gedrag wordt veroorzaakt door recente wijzigingen in de gebruikers die toegang hebben tot de resource, identificeert Defender voor Cloud belangrijke wijzigingen in de toegangspatronen en probeert toekomstige fout-positieven te voorkomen.
MITRE-tactieken: Exploitatie
Ernst: gemiddeld
Aanmelding vanaf een verdacht IP-adres
(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
Beschrijving: Uw resource is geopend vanaf een IP-adres dat Microsoft Threat Intelligence heeft gekoppeld aan verdachte activiteiten.
MITRE-tactieken: PreAttack
Ernst: gemiddeld
Potential SQL injection (Mogelijke SQL-injectie)
(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
Beschrijving: Er is een actieve aanval opgetreden tegen een geïdentificeerde toepassing die kwetsbaar is voor SQL-injectie. Dit betekent dat een aanvaller schadelijke SQL-instructies probeert te injecteren met de kwetsbare toepassingscode of opgeslagen procedures.
MITRE-tactieken: PreAttack
Ernst: Hoog
Verdachte beveiligingsaanval met behulp van een geldige gebruiker
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Beschrijving: Er is een mogelijke beveiligingsaanval op uw resource gedetecteerd. De aanvaller gebruikt de geldige gebruiker (gebruikersnaam), die machtigingen heeft om zich aan te melden.
MITRE-tactieken: PreAttack
Ernst: Hoog
Vermoedelijke beveiligingsaanval
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Beschrijving: Er is een mogelijke beveiligingsaanval op uw resource gedetecteerd.
MITRE-tactieken: PreAttack
Ernst: Hoog
Geslaagde vermoedelijke beveiligingsaanval
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Beschrijving: Er is een geslaagde aanmelding opgetreden na een schijnbare beveiligingsaanval op uw resource.
MITRE-tactieken: PreAttack
Ernst: Hoog
SQL Server heeft mogelijk een Windows-opdrachtshell gemaakt en een abnormale externe bron geopend
(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
Beschrijving: Een verdachte SQL-instructie heeft mogelijk een Windows-opdrachtshell met een externe bron die nog niet eerder is gezien. Het uitvoeren van een shell die toegang heeft tot een externe bron is een methode die door aanvallers wordt gebruikt om schadelijke nettoladingen te downloaden en deze vervolgens uit te voeren op de computer en deze te compromitteerd. Hierdoor kan een aanvaller kwaadwillende taken uitvoeren onder externe richting. U kunt ook een externe bron openen om gegevens naar een externe bestemming te exfiltreren.
MITRE-tactiek: uitvoering
Ernst: hoog/gemiddeld
Ongebruikelijke nettolading met verborgen onderdelen is gestart door SQL Server
(SQL. VM_PotentialSqlInjection)
Beschrijving: Iemand heeft een nieuwe nettolading geïnitieerd die gebruikmaakt van de laag in SQL Server die communiceert met het besturingssysteem terwijl de opdracht in de SQL-query wordt verborgen. Aanvallers verbergen meestal impactvolle opdrachten die populair worden bewaakt, zoals xp_cmdshell, sp_add_job en anderen. Verdoezelingstechnieken misbruiken legitieme opdrachten zoals tekenreekssamenvoeging, casten, basis wijzigen en andere, om regex-detectie te voorkomen en de leesbaarheid van de logboeken te kwetsen.
MITRE-tactiek: uitvoering
Ernst: hoog/gemiddeld
Notitie
Voor waarschuwingen die in preview zijn: de aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die beschikbaar zijn in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.