Entender o Microsoft Defender para SQL

  • 7 minutos

A segurança de banco de dados do Microsoft Defender para Nuvem permite que você proteja todo o seu patrimônio de banco de dados, detectando ataques comuns, dando suporte à habilitação e à resposta a ameaças para os tipos de banco de dados mais populares no Azure.

Os tipos de bancos de dados protegidos são:

  • Bancos de Dados SQL do Azure
  • SQL Servers em computadores
  • Bancos de dados relacionais de código aberto (OSS RDB)
  • O banco de dados Azure Cosmos DB fornece proteção para mecanismos e tipos de dados, com diferentes superfícies de ataque e riscos de segurança. As detecções de segurança são feitas para a superfície de ataque específica de cada tipo de banco de dados.

A proteção de banco de dados do Microsoft Defender para Nuvem detecta tentativas incomuns e possivelmente prejudiciais de acessar ou explorar seus bancos de dados. Recursos avançados de detecção de ameaças e dados da Inteligência contra Ameaças da Microsoft são usados para fornecer alertas de segurança contextuais. Esses alertas incluem etapas para atenuar as ameaças detectadas e evitar ataques futuros.

Você pode habilitar a proteção de banco de dados em sua assinatura ou excluir tipos de recursos de banco de dados específicos.

O Microsoft Defender para SQL inclui dois planos que estendem o pacote de segurança de dados do Defender para Nuvem para proteger seus bancos de dados e os dados neles onde quer que estejam.

O que o Microsoft Defender para SQL protege?

O Microsoft Defender para SQL é formado por dois planos do Microsoft Defender:

  • Defender para servidores de banco de dados SQL do Azure protege:

    • Banco de Dados SQL do Azure

    • Instância Gerenciada de SQL do Azure

    • Pool de SQL dedicado no Azure Synapse

  • O Microsoft Defender para servidores SQL em computadores estende as proteções para os servidores SQL nativos do Azure a fim de oferecer suporte total a ambientes híbridos e proteger os servidores SQL (todas as versões compatíveis) hospedados no Azure, em outros ambientes de nuvem e até mesmo nos computadores locais:

    • SQL Server em máquinas virtuais

    • Servidores SQL locais:

      • SQL Server habilitado para Azure Arc (versão prévia)

      • SQL Server em execução em computadores Windows sem o Azure Arc

Quais são os benefícios do Microsoft Defender para SQL?

Esses dois planos incluem a funcionalidade para identificar e atenuar possíveis vulnerabilidades de banco de dados e detectar atividades anormais que podem indicar ameaças aos seus banco de dados:

  • Avaliação de vulnerabilidade – Serviço de verificação para descobrir, acompanhar e ajudar você a corrigir possíveis vulnerabilidades de banco de dados. Os exames de avaliação oferecem uma visão geral do estado de segurança dos computadores SQL e detalhes sobre conclusões de segurança.

  • Proteção avançada contra ameaças – Serviço de detecção que monitora continuamente os SQL Servers em busca de ameaças como injeção de SQL, ataques de força bruta e abuso de privilégios. Esse serviço fornece alertas de segurança orientados para a ação no Defender para Nuvem com detalhes da atividade suspeita, orientação sobre como mitigar as ameaças e opções para continuar suas investigações com o Microsoft Sentinel.

Que tipo de alertas o Defender para SQL fornece?

Os alertas de segurança aprimorados da inteligência contra ameaças são disparados quando há:

  • Possíveis ataques de injeção de SQL – Incluindo vulnerabilidades detectadas quando os aplicativos geram uma instrução SQL com falha no banco de dados

  • Padrões anômalos de consulta e acesso a banco de dados – Por exemplo, um número estranhamente elevado de tentativas de entrada sem sucesso usando credenciais diferentes (uma tentativa de força bruta)

  • Atividade suspeita no banco de dados: por exemplo, um usuário legítimo que acessa um SQL Server de um computador violado que se comunicou com um servidor de comando e controle de mineração de criptografia

Um alerta inclui detalhes sobre o incidente que o disparou e recomendações sobre como investigar e corrigir as ameaças.

Quais são os benefícios do Microsoft Defender para bancos de dados relacionais de código aberto

Esse plano do Defender para Nuvem traz proteções contra ameaças para os seguintes bancos de dados relacionais de código aberto:

  • Banco de Dados do Azure para PostgreSQL
  • Banco de Dados do Azure para MySQL
  • Banco de Dados do Azure para MariaDB

Ao habilitar esse plano, o Microsoft Defender para Nuvem fornecerá alertas ao detectar acesso e padrões de consulta anômalos ao banco de dados, bem como atividades de banco de dados suspeitas.

Screenshot of the alert screen with open-source database alerts.

Alertas do Microsoft Defender para bancos de dados relacionais de código aberto

Os alertas de segurança aprimorados da inteligência contra ameaças são disparados quando há:

  • Padrões de consulta e acesso a banco de dados anômalos Por exemplo, um número anormalmente alto de tentativas de login com falha com credenciais diferentes (uma tentativa de força bruta)
  • Atividades suspeitas no banco de dados Por exemplo, um usuário legítimo que acessa um SQL Server de um computador violado que se comunicou com um servidor de comando e controle de mineração de criptografia
  • Ataques de força bruta Com a capacidade de separar a força bruta simples da força bruta em um usuário válido ou em uma força bruta bem-sucedida.

Quais são os benefícios do Microsoft Defender para Azure Cosmos DB?

O Microsoft Defender para Azure Cosmos DB detecta possíveis injeções de SQL, atores mal-intencionados conhecidos com base na Inteligência contra Ameaças da Microsoft, padrões de acesso suspeitos e exploração potencial do banco de dados por meio de identidades comprometidas ou de funcionários mal-intencionados.

Você pode habilitar a proteção em todos os seus bancos de dados (recomendado) ou habilitar o Microsoft Defender para Azure Cosmos DB na assinatura ou no recurso.

O Defender para Azure Cosmos DB analisa continuamente o fluxo de telemetria gerado pelo serviço do Azure Cosmos DB. Quando atividades potencialmente mal-intencionadas são detectadas, alertas de segurança são gerados. Esses alertas são exibidos no Defender para Nuvem com os detalhes da atividade suspeita, bem como as etapas de investigação, as ações de correção e as recomendações de segurança relevantes.

O Defender para Azure Cosmos DB não acessa os dados da conta do Azure Cosmos DB e não tem nenhum efeito sobre o desempenho dele.

Alertas do Microsoft Defender para Microsoft Defender para Azure Cosmos DB

Os alertas de segurança aprimorados da inteligência contra ameaças são disparados quando há:

  • Ataques potenciais de injeção de SQL: devido à estrutura e às funcionalidades de consultas do Azure Cosmos DB, muitos ataques de injeção de SQL conhecidos não funcionam no Azure Cosmos DB. No entanto, há algumas variações de injeções de SQL que podem ser bem-sucedidas e resultar na exfiltração dos dados das suas contas do Azure Cosmos DB. O Defender para Azure Cosmos DB detecta as tentativas bem-sucedidas e com falha e ajuda você a proteger seu ambiente para evitar essas ameaças.

  • Padrões de acesso anômalos ao banco de dados: por exemplo, acesso de um nó de saída TOR, endereços IP suspeitos conhecidos, aplicativos incomuns e localizações incomuns.

  • Atividade suspeita do banco de dados: por exemplo, padrões suspeitos de listagem de chaves que se assemelham a técnicas de movimentação lateral mal-intencionadas conhecidas e padrões de extração de dados suspeitos.