Kontrola dla Azure SQL Database i Azure Synapse Analytics
Dotyczy:Azure SQL Database
Azure Synapse Analytics
Audytowanie usługi Azure SQL Database i Azure Synapse Analytics śledzi zdarzenia bazy danych i zapisuje je w dzienniku audytu w Twoim koncie usługi Azure Storage, obszarze roboczym Log Analytics lub usłudze Event Hubs.
Ponadto inspekcja:
Pomaga zachować zgodność z przepisami, analizować aktywność bazy danych oraz uzyskać wgląd w odchylenia i anomalie, które mogą oznaczać problemy biznesowe lub podejrzane naruszenia zabezpieczeń.
Umożliwia i ułatwia przestrzeganie standardów zgodności, chociaż nie gwarantuje zgodności. Aby uzyskać więcej informacji, zobacz Centrum zaufania platformy Microsoft Azure, w którym można znaleźć najbardziej aktualną listę certyfikatów zgodności usługi SQL Database.
Uwaga
Aby uzyskać informacje na temat inspekcji usługi Azure SQL Managed Instance, zobacz Rozpoczynanie pracy z inspekcją usługi Azure SQL Managed Instance.
Omówienie
Inspekcja usługi SQL Database umożliwia:
- Zachowaj dziennik inspekcji wybranych zdarzeń. Możesz zdefiniować kategorie akcji bazy danych, które mają być poddane inspekcji.
- Raport dotyczący aktywności bazy danych. Możesz użyć wstępnie skonfigurowanych raportów i pulpitu nawigacyjnego, aby szybko rozpocząć pracę z raportowaniem aktywności i zdarzeń.
- Analizowanie raportów. Możesz wyszukiwać podejrzane zdarzenia, nietypową aktywność i trendy.
Ważne
Inspekcja dla pul SQL Azure SQL Database, Azure Synapse Analytics i Azure SQL Managed Instance jest zoptymalizowana pod kątem dostępności i wydajności bazy danych lub wystąpienia, które są poddawane inspekcji. W okresach bardzo dużej aktywności lub dużego obciążenia sieciowego funkcja inspekcji może zezwalać na kontynuowanie transakcji bez rejestrowania wszystkich zdarzeń oznaczonych do inspekcji.
Ograniczenia inspekcji
- Włączanie audytu w wstrzymanej puli SQL Azure Synapse nie jest obsługiwane. Aby włączyć inspekcję, wznów pulę SQL usługi Synapse.
- Włączanie inspekcji przy użyciu przypisanej przez użytkownika tożsamości zarządzanej (UAMI) nie jest obsługiwane na Azure Synapse.
- Obecnie zarządzane tożsamości nie są obsługiwane w usłudze Azure Synapse, chyba że konto magazynowe znajduje się za siecią wirtualną lub zaporą.
- Ze względu na ograniczenia wydajności nie przeprowadzamy audytu tempdb i tabel tymczasowych . Podczas gdy wsadowa ukończona grupa akcji przechwytuje instrukcje względem tabel tymczasowych, może to nie być poprawne wypełnienie nazw obiektów. Jednak tabela źródłowa jest zawsze poddawana inspekcji, zapewniając, że wszystkie dodania z tabeli źródłowej do tabel tymczasowych są rejestrowane.
- Audytowanie pul SQL usługi Azure Synapse obsługuje tylko domyślne grupy akcji audytu.
- Podczas konfigurowania inspekcji dla serwera logicznego na platformie Azure lub w usłudze Azure SQL Database z miejscem docelowym dziennika ustawionym na konto magazynu, tryb uwierzytelniania musi być zgodny z konfiguracją tego konta magazynu. W przypadku używania kluczy dostępu do magazynu jako typu uwierzytelniania, na docelowym koncie magazynu musi być włączony dostęp do kluczy konta magazynu. Jeśli konto magazynu jest skonfigurowane do używania uwierzytelniania wyłącznie za pomocą identyfikatora Microsoft Entra ID (dawniej Azure Active Directory), inspekcję można skonfigurować do używania tożsamości zarządzanych do uwierzytelniania.
Uwagi
- Magazyn Premium z typem BlockBlobStorage jest obsługiwany. Obsługiwane jest przechowywanie standardowe. Jednak aby audyt mógł zapisywać na koncie magazynu za siecią wirtualną lub zaporą, musisz mieć konto magazynu ogólnego przeznaczenia w wersji 2. Jeśli masz konto ogólnego użytku w wersji 1 lub konto Blob Storage, zaktualizuj do konta magazynu ogólnego użytku w wersji 2. Aby uzyskać szczegółowe instrukcje, zobacz temat Zapisywanie inspekcji na koncie magazynu znajdującym się za siecią wirtualną i zaporą ogniową. Aby uzyskać więcej informacji, zobacz Typy kont magazynowych.
- Hierarchiczna przestrzeń nazw dla wszystkich typów konta magazynu standardowego i konta magazynu premium z BlockBlobStorage jest obsługiwana.
- Dzienniki inspekcji są zapisywane w Append Blobs w usłudze Azure Blob Storage w ramach subskrypcji Azure.
- Dzienniki inspekcji są w formacie xel i można je otworzyć za pomocą programu SQL Server Management Studio (SSMS).
- Aby skonfigurować niezmienny magazyn dzienników dla zdarzeń inspekcji na poziomie serwera lub bazy danych, postępuj zgodnie z instrukcjami dostarczonymi przez usługę Azure Storage. Upewnij się, że podczas konfigurowania niezmiennego magazynu obiektów blob wybrano opcję Zezwalaj na dodatkowe dołączania .
- Dzienniki inspekcji można zapisywać na koncie usługi Azure Storage za siecią wirtualną lub zaporą.
- Aby uzyskać szczegółowe informacje na temat formatu dziennika audytu SQL Database, hierarchii folderu magazynu i konwencji nazewnictwa, zobacz artykuł Format dziennika audytu SQL Database.
- Funkcja audytu dla użycia replik tylko do odczytu w celu odciążenia zapytań tylko do odczytu jest automatycznie włączona. Aby uzyskać więcej informacji na temat hierarchii folderów magazynu, konwencji nazewnictwa i formatu dziennika, zapoznaj się z artykułem Format dziennika inspekcji SQL Database.
- W przypadku korzystania z uwierzytelniania Microsoft Entra rekordy nieudanych logowań nie są wyświetlane w dzienniku audytu SQL. Aby wyświetlić rekordy inspekcji nieudanych logowań, należy odwiedzić centrum administracyjne firmy Microsoft Entra, które rejestruje szczegóły tych zdarzeń.
- Loginy są kierowane przez bramę do konkretnego wystąpienia, w którym znajduje się baza danych. W przypadku logowań firmy Microsoft Entra poświadczenia są weryfikowane przed podjęciem próby zalogowania się do żądanej bazy danych przy użyciu tego użytkownika. W przypadku niepowodzenia żądana baza danych nigdy nie jest używana, więc Inspekcja nie jest przeprowadzana. W przypadku logowań SQL poświadczenia są weryfikowane w oparciu o żądane dane, więc w takim przypadku mogą być poddane inspekcji. Pomyślne logowania, które oczywiście docierają do bazy danych, są poddawane inspekcji w obu przypadkach.
- Po skonfigurowaniu ustawień inspekcji można włączyć nową funkcję wykrywania zagrożeń i skonfigurować adresy e-mail, na które będą trafiać alerty zabezpieczeń. Podczas korzystania z wykrywania zagrożeń otrzymujesz proaktywne alerty dotyczące nietypowych działań w bazie danych, które mogą wskazywać na potencjalne zagrożenia bezpieczeństwa. Aby uzyskać więcej informacji, zobacz SQL Advanced Threat Protection.
- Po skopiowaniu bazy danych z włączoną inspekcją na inny serwer logiczny możesz otrzymać e-mail z powiadomieniem o niepomyślnym zakończeniu inspekcji. Jest to znany problem i inspekcja powinna działać zgodnie z oczekiwaniami w nowo skopiowanej bazie danych.