Оповещения для реляционных баз данных с открытым исходным кодом
В этой статье перечислены оповещения системы безопасности, которые можно получить для реляционных баз данных с открытым кодом из Microsoft Defender для облака и всех включенных планов Microsoft Defender. Оповещения, отображаемые в вашей среде, зависят от защищаемых ресурсов, служб и настроенной конфигурации.
Примечание.
Некоторые из недавно добавленных оповещений, созданных Аналитика угроз Microsoft Defender и Microsoft Defender для конечной точки, могут быть незадокументированы.
Узнайте, как реагировать на эти оповещения.
Узнайте, как экспортировать оповещения.
Примечание.
Время, требуемое для отображения оповещений из разных источников, может отличаться. Например, для отображения оповещений, требующих анализа сетевого трафика, может потребоваться больше времени, чем для оповещений, связанных с выполнением подозрительных процессов на виртуальных машинах.
Оповещения реляционных баз данных с открытым исходным кодом
Дополнительные сведения и примечания
Предполагаемая атака методом подбора с использованием допустимого пользователя
(SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce)
Описание. Обнаружена потенциальная атака подбора на ресурс. Злоумышленник использует допустимого пользователя (имя пользователя), у которого есть разрешения на вход.
Тактика MITRE: PreAttack
Серьезность: средний
Предполагаемая успешная атака методом подбора
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Описание. Успешное имя входа произошло после явной атаки подбора на ресурс.
Тактика MITRE: PreAttack
Серьезность: высокий уровень
Предполагаемая атака подбором пароля
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Описание. Обнаружена потенциальная атака подбора на ресурс.
Тактика MITRE: PreAttack
Серьезность: средний
Attempted logon by a potentially harmful application (Попытка входа потенциально опасного приложения)
(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)
Описание. Потенциально вредное приложение попыталось получить доступ к ресурсу.
Тактика MITRE: PreAttack
Серьезность: высокий или средний
Отсутствие входа основного пользователя на протяжении 60 дней
(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)
Описание. Основной пользователь, не замеченный за последние 60 дней, вошел в базу данных. Если эта база данных является новой либо это ожидаемое поведение, вызванное недавними изменениями списка пользователей, осуществляющих доступ к базе данных, Defender для облака определит существенные изменения в шаблонах доступа и попытается предотвратить ложные срабатывания в будущем.
Серьезность: низкая
Вход с домена, который не использовался в течение 60 дней
(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)
Описание. Пользователь вошел в ресурс из домена, с которых другие пользователи не подключались за последние 60 дней. Если этот ресурс является новым либо это ожидаемое поведение, вызванное недавними изменениями списка пользователей, осуществляющих доступ к ресурсу, Defender для облака определит существенные изменения в шаблонах доступа и попытается предотвратить ложные срабатывания в будущем.
Серьезность: средний
Log on from an unusual Azure Data Center (Вход из необычного центра обработки данных Azure)
(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)
Описание. Кто-то вошел в ресурс из необычного Центра обработки данных Azure.
Серьезность: низкая
Вход от необычного поставщика облачных услуг
(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly)
Описание. Кто-то вошел в ресурс из поставщика облачных служб, который не видел за последние 60 дней. Злоумышленникам не составит труда и не займет много времени получить одноразовые вычислительные мощности для использования в своих кампаниях. Если это ожидаемый алгоритм поведения, вызванный недавним переходом на нового поставщика облачных услуг, Defender для облака со временем обучится распознавать ложные срабатывания и попытается предотвратить их в будущем.
Серьезность: средний
Log on from an unusual location (Вход из необычного расположения)
(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)
Описание. Кто-то вошел в ресурс из необычного Центра обработки данных Azure.
Серьезность: средний
Вход с подозрительного IP-адреса
(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)
Описание. Доступ к ресурсу был успешно получен из IP-адреса, связанного с подозрительным действием Microsoft Threat Intelligence.
Тактика MITRE: PreAttack
Серьезность: средний
Примечание.
Для предварительных версий оповещений: предварительная версия дополнительных условий использования Azure включает дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.