Compreender o Microsoft Defender para SQL
A segurança do banco de dados do Microsoft Defender for Cloud permite que você proteja todo o seu patrimônio de banco de dados, detetando ataques comuns, dando suporte à habilitação e à resposta a ameaças para os tipos de banco de dados mais populares no Azure.
Os tipos de bases de dados protegidas são:
- Bases de Dados SQL do Azure
- Servidores SQL em computadores
- Bancos de dados relacionais de código aberto (OSS RDB)
- O Banco de Dados do Azure Cosmos DB fornece proteção para mecanismos e tipos de dados, com diferentes superfícies de ataque e riscos de segurança. As deteções de segurança são feitas para a superfície de ataque específica de cada tipo de banco de dados.
A proteção de banco de dados do Defender for Cloud deteta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar seus bancos de dados. Recursos avançados de deteção de ameaças e dados do Microsoft Threat Intelligence são usados para fornecer alertas de segurança contextuais. Esses alertas incluem etapas para mitigar as ameaças detetadas e prevenir ataques futuros.
Você pode habilitar a proteção de banco de dados em sua assinatura ou excluir tipos de recursos de banco de dados específicos.
O Microsoft Defender for SQL inclui dois planos que estendem o pacote de segurança de dados do Defender for Cloud para proteger seus bancos de dados e seus dados onde quer que eles estejam localizados.
O que o Microsoft Defender SQL protege?
O Microsoft Defender para SQL compreende dois planos separados do Microsoft Defender:
Os servidores de banco de dados SQL do Defender for Azure protegem:
Base de Dados SQL do Azure
Instância Gerida do Azure SQL
Pool SQL dedicado no Azure Synapse
O Microsoft Defender para servidores SQL em máquinas estende as proteções para seus SQL Servers nativos do Azure para oferecer suporte total a ambientes híbridos e proteger servidores SQL (todas as versões com suporte) hospedados no Azure, outros ambientes de nuvem e até mesmo máquinas locais:
SQL Server nas Máquinas Virtuais
Servidores SQL no local:
SQL Server preparado para Azure Arc (pré-visualização)
SQL Server em execução em computadores Windows sem o Azure Arc
Quais são os benefícios do Microsoft Defender for SQL?
Esses dois planos incluem funcionalidade para identificar e mitigar possíveis vulnerabilidades do banco de dados e detetar atividades anômalas que podem indicar ameaças aos seus bancos de dados:
Avaliação de vulnerabilidades - O serviço de verificação para descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. As verificações de avaliação fornecem uma visão geral do estado de segurança de suas máquinas SQL e detalhes de quaisquer descobertas de segurança.
Proteção avançada contra ameaças - O serviço de deteção que monitora continuamente seus servidores SQL em busca de ameaças como injeção de SQL, ataques de força bruta e abuso de privilégios. Este serviço fornece alertas de segurança orientados para a ação no Defender for Cloud com detalhes da atividade suspeita, orientação sobre como mitigar as ameaças e opções para continuar suas investigações com o Microsoft Sentinel.
Que tipo de alertas o Defender for SQL fornece?
Os alertas de segurança enriquecidos com inteligência de ameaças são acionados quando há:
Possíveis ataques de injeção de SQL - incluindo vulnerabilidades detetadas quando aplicativos geram uma instrução SQL defeituosa no banco de dados
Acesso anômalo ao banco de dados e padrões de consulta - por exemplo, um número anormalmente alto de tentativas de entrada com falha com credenciais diferentes (uma tentativa de força bruta)
Atividade suspeita do banco de dados - por exemplo, um usuário legítimo acessando um SQL Server a partir de um computador violado que se comunicou com um servidor C&C de mineração de criptografia
Os alertas incluem detalhes do incidente que os desencadeou e recomendações sobre como investigar e remediar ameaças.
Quais são os benefícios do Microsoft Defender para bancos de dados relacionais de código aberto
Este plano do Defender for Cloud oferece proteções contra ameaças para os seguintes bancos de dados relacionais de código aberto:
- Base de Dados do Azure para PostgreSQL
- Base de Dados do Azure para MySQL
- Azure Database for MariaDB
Quando você habilita esse plano, o Microsoft Defender for Cloud fornece alertas quando deteta padrões anômalos de acesso e consulta ao banco de dados e atividades suspeitas do banco de dados.
Alertas do Microsoft Defender para bancos de dados relacionais de código aberto
Os alertas de segurança enriquecidos com inteligência de ameaças são acionados quando há:
- Acesso anômalo ao banco de dados e padrões de consulta Por exemplo, um número anormalmente alto de tentativas de entrada com falha com credenciais diferentes (uma tentativa de força bruta)
- Atividades suspeitas do banco de dados Por exemplo, um usuário legítimo acessando um SQL Server de um computador violado que se comunicou com um servidor C&C de mineração de criptografia
- Ataques de força bruta Com a capacidade de separar a força bruta simples da força bruta em um usuário válido ou uma força bruta bem-sucedida.
Quais são os benefícios do Microsoft Defender para Azure Cosmos DB
O Microsoft Defender for Azure Cosmos DB deteta possíveis injeções de SQL, agentes mal-intencionados conhecidos com base no Microsoft Threat Intelligence, padrões de acesso suspeitos e exploração potencial do seu banco de dados por meio de identidades comprometidas ou insiders mal-intencionados.
Você pode habilitar a proteção para todos os seus bancos de dados (recomendado) ou habilitar o Microsoft Defender para Azure Cosmos DB no nível de assinatura ou no nível de recurso.
O Defender for Azure Cosmos DB analisa continuamente o fluxo de telemetria gerado pelo serviço Azure Cosmos DB. Quando são detetadas atividades potencialmente maliciosas, são gerados alertas de segurança. Esses alertas são exibidos no Defender for Cloud juntamente com os detalhes da atividade suspeita, juntamente com as etapas de investigação relevantes, ações de correção e recomendações de segurança.
O Defender for Azure Cosmos DB não acessa os dados da conta do Azure Cosmos DB e não tem nenhum efeito sobre seu desempenho.
Alertas do Microsoft Defender para o Microsoft Defender para Azure Cosmos DB
Os alertas de segurança enriquecidos com inteligência de ameaças são acionados quando há:
Possíveis ataques de injeção de SQL: devido à estrutura e aos recursos das consultas do Azure Cosmos DB, muitos ataques conhecidos de injeção de SQL não podem funcionar no Azure Cosmos DB. No entanto, há algumas variações de injeções de SQL que podem ser bem-sucedidas e podem resultar na exfiltração de dados de suas contas do Azure Cosmos DB. O Defender for Azure Cosmos DB deteta tentativas bem-sucedidas e fracassadas e ajuda você a proteger seu ambiente para evitar essas ameaças.
Padrões anômalos de acesso ao banco de dados: por exemplo, acesso a partir de um nó de saída TOR, endereços IP suspeitos conhecidos, aplicativos incomuns e locais incomuns.
Atividade suspeita do banco de dados: por exemplo, padrões suspeitos de listagem de chaves que se assemelham a técnicas conhecidas de movimentação lateral maliciosa e padrões suspeitos de extração de dados.