Оповещения для Базы данных SQL Azure и Azure Synapse Analytics
В этой статье перечислены оповещения системы безопасности, которые можно получить для База данных SQL и Azure Synapse Analytics из Microsoft Defender для облака и всех включенных планов Microsoft Defender. Оповещения, отображаемые в вашей среде, зависят от защищаемых ресурсов, служб и настроенной конфигурации.
Примечание.
Некоторые из недавно добавленных оповещений, созданных Аналитика угроз Microsoft Defender и Microsoft Defender для конечной точки, могут быть незадокументированы.
Узнайте, как реагировать на эти оповещения.
Узнайте, как экспортировать оповещения.
Примечание.
Время, требуемое для отображения оповещений из разных источников, может отличаться. Например, для отображения оповещений, требующих анализа сетевого трафика, может потребоваться больше времени, чем для оповещений, связанных с выполнением подозрительных процессов на виртуальных машинах.
оповещения База данных SQL и Azure Synapse Analytics
Дополнительные сведения и примечания
A possible vulnerability to SQL Injection (Возможная уязвимость при внедрении кода SQL)
(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
Описание. Приложение создало неисправную инструкцию SQL в базе данных. Это может указывать на возможную уязвимость к атакам путем внедрения кода SQL. Существует две причины создания инструкции с ошибкой. Из-за дефекта в коде приложения может создаваться инструкция SQL с ошибкой. Код приложения или хранимые процедуры не очищают ввод данных пользователя при создании ошибочной инструкции SQL, которая может быть использована для внедрения кода SQL.
Тактика MITRE: PreAttack
Серьезность: средний
Действие входа из потенциально вредного приложения
(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
Описание. Потенциально вредное приложение попыталось получить доступ к ресурсу.
Тактика MITRE: PreAttack
Серьезность: высокий уровень
Log on from an unusual Azure Data Center (Вход из необычного центра обработки данных Azure)
(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
Описание. Произошло изменение шаблона доступа к SQL Server, где кто-то вошел на сервер из необычного Центра обработки данных Azure. Иногда оповещение определяет допустимые действия (новое приложение или службу Azure). В других случаях оповещение обнаруживает вредоносное действие (злоумышленника, работающего со скомпрометированного ресурса в Azure).
Серьезность: низкая
Log on from an unusual location (Вход из необычного расположения)
(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
Описание. Произошло изменение шаблона доступа к SQL Server, где кто-то вошел на сервер из необычного географического расположения. Иногда предупреждение определяет допустимые действия (новое приложение, обслуживание разработчиком). В других случаях оповещение обнаруживает угрозу (бывшего сотрудника, внешнего злоумышленника).
Серьезность: средний
Отсутствие входа основного пользователя на протяжении 60 дней
(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
Описание. Основной пользователь, не замеченный за последние 60 дней, вошел в базу данных. Если эта база данных является новой либо это ожидаемое поведение, вызванное недавними изменениями списка пользователей, осуществляющих доступ к базе данных, Defender для облака определит существенные изменения в шаблонах доступа и попытается предотвратить ложные срабатывания в будущем.
Серьезность: средний
Вход с домена, который не использовался в течение 60 дней
(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
Описание. Пользователь вошел в ресурс из домена, с которых другие пользователи не подключались за последние 60 дней. Если этот ресурс является новым либо это ожидаемое поведение, вызванное недавними изменениями списка пользователей, осуществляющих доступ к ресурсу, Defender для облака определит существенные изменения в шаблонах доступа и попытается предотвратить ложные срабатывания в будущем.
Серьезность: средний
Вход с подозрительного IP-адреса
(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
Описание. Доступ к ресурсу был успешно получен из IP-адреса, связанного с подозрительным действием Microsoft Threat Intelligence.
Тактика MITRE: PreAttack
Серьезность: средний
Потенциальная атака путем внедрения кода SQL
(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
Описание. Активная эксплойта возникла в отношении идентифицированного приложения, уязвимого к внедрению SQL. Это означает, что злоумышленник пытается внедрить вредоносные инструкции SQL с помощью кода уязвимого приложения или хранимых процедур.
Тактика MITRE: PreAttack
Серьезность: высокий уровень
Предполагаемая атака методом подбора с использованием допустимого пользователя
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Описание. Обнаружена потенциальная атака подбора на ресурс. Злоумышленник использует допустимого пользователя (имя пользователя), у которого есть разрешения на вход.
Тактика MITRE: PreAttack
Серьезность: высокий уровень
Предполагаемая атака подбором пароля
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Описание. Обнаружена потенциальная атака подбора на ресурс.
Тактика MITRE: PreAttack
Серьезность: высокий уровень
Предполагаемая успешная атака методом подбора
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Описание. Успешное имя входа произошло после явной атаки подбора на ресурс.
Тактика MITRE: PreAttack
Серьезность: высокий уровень
SQL Server потенциально породил командную оболочку Windows и доступ к ненормальному внешнему источнику
(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
Описание. Подозрительное заявление SQL потенциально породило командную оболочку Windows с внешним источником, который раньше не был замечен. Выполнение оболочки, которая обращается к внешнему источнику, является методом, используемым злоумышленниками для скачивания вредоносных полезных данных, а затем выполнить его на компьютере и скомпрометировать его. Это позволяет злоумышленнику выполнять вредоносные задачи в удаленном направлении. Кроме того, доступ к внешнему источнику можно использовать для эксфильтрации данных во внешнее назначение.
Тактика MITRE: Выполнение
Серьезность: высокий или средний
Необычные полезные данные с запутанными частями были инициированы SQL Server
(SQL. VM_PotentialSqlInjection)
Описание. Кто-то инициировал новую полезные данные, используя слой в SQL Server, который взаимодействует с операционной системой при скрытии команды в SQL-запросе. Злоумышленники обычно скрывают затронутые команды, которые часто отслеживаются как xp_cmdshell, sp_add_job и другие. Методы маскирования используют допустимые команды, такие как объединение строк, приведение, изменение базы и другие, чтобы избежать обнаружения регулярных выражений и повредить удобочитаемость журналов.
Тактика MITRE: Выполнение
Серьезность: высокий или средний
Примечание.
Для предварительных версий оповещений: предварительная версия дополнительных условий использования Azure включает дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.