Informatie over Microsoft Defender voor SQL

  • 7 minuten

Microsoft Defender voor Cloud databasebeveiliging kunt u uw hele databaseomgeving beveiligen door veelvoorkomende aanvallen te detecteren, ondersteuning te bieden voor inschakeling en bedreigingsreacties voor de populairste databasetypen in Azure.

De typen beveiligde databases zijn:

  • Azure SQL Databases
  • SQL-servers op computers
  • Opensource relationele databases (OSS RDB)
  • Azure Cosmos DB Database biedt bescherming voor engines en gegevenstypen, met verschillende kwetsbaarheid voor aanvallen en beveiligingsrisico's. Beveiligingsdetecties worden gemaakt voor het specifieke kwetsbaarheid voor aanvallen van elk DB-type.

Defender voor Cloud databasebeveiliging detecteert ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot uw databases of misbruik te maken van uw databases. Geavanceerde mogelijkheden voor detectie van bedreigingen en Microsoft Threat Intelligence-gegevens worden gebruikt om contextuele beveiligingswaarschuwingen te bieden. Deze waarschuwingen omvatten stappen om de gedetecteerde bedreigingen te beperken en toekomstige aanvallen te voorkomen.

U kunt databasebeveiliging inschakelen voor uw abonnement of specifieke databaseresourcetypen uitsluiten.

Microsoft Defender voor SQL bevat twee abonnementen waarmee het gegevensbeveiligingspakket van Defender voor Cloud wordt uitgebreid om uw databases en hun gegevens te beveiligen, waar ze zich ook bevinden.

Wat beveiligt Microsoft Defender SQL?

Microsoft Defender voor SQL bestaat uit twee afzonderlijke Microsoft Defender-abonnementen:

  • Defender voor Azure SQL-databaseservers beschermt:

    • Azure SQL Database

    • Azure SQL Managed Instance

    • Toegewezen SQL-pool in Azure Synapse

  • Microsoft Defender voor SQL-servers op computers breidt de beveiligingen voor uw systeemeigen SQL-servers van Azure uit om hybride omgevingen volledig te ondersteunen en SQL-servers (alle ondersteunde versie) te beveiligen die worden gehost in Azure, andere cloudomgevingen en zelfs on-premises machines:

    • SQL Server on Virtual Machines

    • On-premises SQL-servers:

      • SQL Server met Azure Arc (preview)

      • SQL Server op Windows-computers zonder Azure Arc

Wat zijn de voordelen van Microsoft Defender voor SQL?

Deze twee abonnementen bevatten functionaliteit voor het identificeren en beperken van mogelijke beveiligingsproblemen van uw databases en het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging van uw databases:

  • Evaluatie van beveiligingsproblemen: de scanservice waarmee u potentiële zwakke plekken in de beveiliging van de database kunt detecteren, volgen en verhelpen. Evaluatiescans bieden een overzicht van de beveiligingsstatus en details van de beveiligingsresultaten van uw SQL-machines.

  • Geavanceerde beveiliging tegen bedreigingen: de detectieservice die uw SQL-servers continu bewaakt als het gaat om bedreigingen, zoals SQL-injectie, brute-force aanvallen en misbruik van bevoegdheden. Deze service biedt actiegerichte beveiligingswaarschuwingen in Defender voor Cloud met details van de verdachte activiteit, richtlijnen voor het beperken van de bedreigingen en opties voor het voortzetten van uw onderzoeken met Microsoft Sentinel.

Wat voor soort waarschuwingen biedt Defender voor SQL?

In de volgende gevallen worden er met bedreigingsinformatie verrijkte beveiligingswaarschuwingen geactiveerd:

  • Potentiële SQL-injectieaanvallen - inclusief beveiligingsproblemen die worden gedetecteerd bij het genereren van een mislukte SQL-instructie in de database

  • Afwijkende databasetoegangs- en querypatronen, bijvoorbeeld een abnormaal groot aantal mislukte aanmeldingspogingen met andere referenties (een poging tot een brute-force aanval)

  • Verdachte databaseactiviteit : bijvoorbeeld een legitieme gebruiker die toegang heeft tot een SQL Server vanaf een geschonden computer die communiceerde met een crypto-mining C&C-server

Waarschuwingen bevatten details van het incident dat ze heeft geactiveerd en aanbevelingen voor het onderzoeken en oplossen van bedreigingen.

Wat zijn de voordelen van Microsoft Defender voor opensource-relationele databases?

Dit Defender voor Cloud plan brengt bedreigingsbeveiligingen voor de volgende opensource relationele databases:

  • Azure Database for PostgreSQL
  • Azure Database for MySQL
  • Azure Database for MariaDB

Wanneer u dit plan inschakelt, geeft Microsoft Defender voor Cloud waarschuwingen wanneer afwijkende databasetoegang en querypatronen en verdachte databaseactiviteiten worden gedetecteerd.

Screenshot of the alert screen with open-source database alerts.

Microsoft Defender-waarschuwingen voor opensource-relationele databases

Bedreigingsinformatie verrijkte beveiligingswaarschuwingen worden geactiveerd wanneer er:

  • Afwijkende databasetoegangs- en querypatronen , bijvoorbeeld een abnormaal groot aantal mislukte aanmeldingspogingen met verschillende referenties (een brute force-poging)
  • Verdachte databaseactiviteiten Bijvoorbeeld een legitieme gebruiker die toegang heeft tot een SQL Server vanaf een geschonden computer die communiceerde met een crypto-mining C&C-server
  • Brute-force-aanvallen Met de mogelijkheid om eenvoudige brute force te scheiden van brute force op een geldige gebruiker of een geslaagde brute force.

Wat zijn de voordelen van Microsoft Defender voor Azure Cosmos DB?

Microsoft Defender voor Azure Cosmos DB detecteert potentiële SQL-injecties, bekende slechte actoren op basis van Microsoft Threat Intelligence, verdachte toegangspatronen en mogelijke exploitatie van uw database via verdachte identiteiten of kwaadwillende insiders.

U kunt beveiliging inschakelen voor al uw databases (aanbevolen) of Microsoft Defender voor Azure Cosmos DB inschakelen op abonnementsniveau of op resourceniveau.

Defender voor Azure Cosmos DB analyseert voortdurend de telemetriestroom die wordt gegenereerd door de Azure Cosmos DB-service. Wanneer mogelijk schadelijke activiteiten worden gedetecteerd, worden beveiligingswaarschuwingen gegenereerd. Deze waarschuwingen worden weergegeven in Defender voor Cloud samen met de details van de verdachte activiteit, samen met de relevante onderzoeksstappen, herstelacties en beveiligingsaanbeveling.

Defender voor Azure Cosmos DB heeft geen toegang tot de azure Cosmos DB-accountgegevens en heeft geen invloed op de prestaties.

Microsoft Defender-waarschuwingen voor Microsoft Defender voor Azure Cosmos DB

Bedreigingsinformatie verrijkte beveiligingswaarschuwingen worden geactiveerd wanneer er:

  • Mogelijke SQL-injectieaanvallen: vanwege de structuur en mogelijkheden van Azure Cosmos DB-query's kunnen veel bekende SQL-injectieaanvallen niet werken in Azure Cosmos DB. Er zijn echter enkele variaties van SQL-injecties die kunnen slagen en kunnen leiden tot exfiltratie van gegevens uit uw Azure Cosmos DB-accounts. Defender voor Azure Cosmos DB detecteert zowel geslaagde als mislukte pogingen en helpt u uw omgeving te beveiligen om deze bedreigingen te voorkomen.

  • Afwijkende databasetoegangspatronen: bijvoorbeeld toegang vanaf een TOR-afsluitknooppunt, bekende verdachte IP-adressen, ongebruikelijke toepassingen en ongebruikelijke locaties.

  • Verdachte databaseactiviteit: bijvoorbeeld verdachte patronen voor sleutelvermeldingen die lijken op bekende bekende technieken voor laterale verplaatsingen en verdachte patronen voor gegevensextractie.