Обзор Microsoft Defender для SQL

  • 7 мин

Функция защиты баз данных в Microsoft Defender для облака позволяет защищать всю среду баз данных, выявляя распространенные атаки, а также обеспечивая поддержку и реагирование на угрозы для наиболее популярных типов баз данных в Azure.

Типы защищаемых баз данных:

  • Базы данных SQL Azure
  • Серверы SQL на компьютерах
  • Реляционные базы данных с открытым кодом (OSS RDB)
  • База данных Azure Cosmos DB обеспечивает защиту ядер и типов данных с разными уязвимостями и рисками безопасности. Угрозы безопасности обнаруживаются для определенной уязвимой зоны каждого типа баз данных.

Функция защиты баз данных Defender для облака выявляет необычные и потенциально опасные попытки получить доступ к базам данных или воспользоваться ими. Расширенные возможности обнаружения угроз и данные анализа угроз Майкрософт предоставляют контекстные оповещения о безопасности. Эти оповещения включают действия по устранению обнаруженных угроз и предотвращению атак в будущем.

Вы можете включить защиту баз данных на уровне подписке или исключить определенные типы ресурсов баз данных.

Microsoft Defender для SQL содержит два плана, которые расширяют пакет безопасности данных Defender для облака и позволяют защитить сами базы данных и размещенные в них данные в любом расположении.

Что защищает Microsoft Defender для SQL?

Microsoft Defender для SQL состоит из двух отдельных планов Microsoft Defender.

  • Defender для серверов базы данных Azure SQL защищает следующее:

    • База данных SQL Azure

    • Управляемый экземпляр SQL Azure

    • Выделенный пул SQL в Azure Synapse

  • Microsoft Defender для серверов SQL на компьютерах расширяет возможности защиты для собственных серверов SQL Azure, предоставляя полную поддержку гибридных сред, и обеспечивает защиту серверов SQL (все поддерживаемые версии) не только в Azure, но и в других облачных средах и даже на локальных компьютерах:

    • SQL Server на виртуальных машинах

    • Локальные серверы SQL.

      • SQL Server с поддержкой Azure Arc (предварительная версия)

      • SQL Server, работающий на компьютерах Windows, без поддержки Azure Arc

Каковы преимущества Microsoft Defender для SQL?

Два предлагаемых плана включают возможности обнаружения и устранения потенциальных уязвимостей базы данных и обнаружения аномальных действий, которые могут указывать на угрозу для вашей базы данных.

  • Оценка уязвимостей — служба проверки, которая поможет обнаруживать, отслеживать и устранять потенциальные уязвимости базы данных. Оценочная проверка предоставит общие сведения о состоянии безопасности для компьютеров SQL и подробные сведения о результатах проверки безопасности.

  • Расширенная защита от угроз — служба обнаружения, которая постоянно проверяет наличие на серверах SQL таких угроз, как внедрение кода SQL, атаки методом перебора и злоупотребление привилегиями. Эта служба передает в Defender для облака оповещения системы безопасности, которые содержат описания подозрительных действий, рекомендации по устранению этих угроз и варианты для продолжения исследований с помощью Microsoft Sentinel.

Оповещения какого типа предоставляет Defender для SQL?

Оповещения системы безопасности, усовершенствованные анализом угроз, активируются, если существуют:

  • Потенциальные атаки путем внедрения кода SQL, включая обнаружения уязвимостей, связанные с созданием приложениями ошибочных инструкций SQL в базе данных.

  • Аномальные шаблоны доступа и запросов к базе данных, например необычно высокая доля неудачных попыток входа с разными учетными данными (как при атаках методом перебора).

  • Подозрительная активность базы данных, например допустимый пользователь обращается к SQL Server с поврежденного компьютера, который обменивается данными с сервером контроля и управления для добычи криптовалюты

Оповещения содержат сведения об инциденте, который привел к их активации, а также рекомендации по определению причины угроз и их устранению.

Преимущества Microsoft Defender для реляционных баз данных с открытым кодом

Этот план Defender для облака предоставляет средства защиты от угроз для следующих реляционных баз данных с открытым кодом:

  • База данных Azure для PostgreSQL
  • База данных Azure для MySQL
  • База данных Azure для MariaDB

При включении этого плана Microsoft Defender для облака будет предоставлять оповещения при обнаружении нетипичных способов запросов и доступа к базе данных, а также подозрительных действий с базами данных.

Screenshot of the alert screen with open-source database alerts.

Оповещения Microsoft Defender для реляционных баз данных с открытым кодом

Оповещения системы безопасности, усовершенствованные анализом угроз, активируются, если существуют следующие факторы.

  • Нетипичный доступ к базе данных и шаблоны запросов. Например, ненормальное большое число неудачных попыток входа с другими учетными данными (попытка перебора).
  • Подозрительная активность базы данных. Например, допустимый пользователь обращается к SQL Server с поврежденного компьютера, который обменивается данными с сервером контроля и управления для добычи криптовалюты.
  • Атаки методом подбора. С возможностью отделения простого подбора от подбора для допустимого пользователя или успешного подбора.

Каковы преимущества Microsoft Defender для Azure Cosmos DB?

Microsoft Defender для Azure Cosmos DB обнаруживает потенциальные внедрения SQL, известные плохие субъекты на основе аналитики угроз Майкрософт, подозрительные шаблоны доступа и потенциальную возможность использования базы данных с помощью скомпрометированных удостоверений или злоумышленников внутри организации.

Вы можете включить защиту для всех своих баз данных (рекомендуется) либо включить Microsoft Defender для Azure Cosmos DB на уровне подписки или на уровне ресурса.

Defender для Azure Cosmos DB непрерывно анализирует поток данных телеметрии, генерируемый службой Azure Cosmos DB. При обнаружении потенциально вредоносных действий создаются оповещения системы безопасности. Эти оповещения отображаются в Defender для облака вместе с подробными сведениями о подозрительной активности, а также о соответствующих шагах расследования, действиях по исправлению и рекомендациях по безопасности.

Defender для Azure Cosmos DB не обращается к данным учетной записи Azure Cosmos DB и не влияет на ее производительность.

Оповещения Microsoft Defender для базы данных Azure Cosmos DB

Оповещения системы безопасности, усовершенствованные анализом угроз, активируются, если существуют следующие факторы.

  • Возможные атаки внедрения кода SQL. В связи со структурой и возможностями запросов Azure Cosmos DB многие известные атаки, осуществляемые путем внедрения кода SQL, не работают в Azure Cosmos DB. Однако существуют разновидности внедрения кода SQL, которые могут быть успешно реализованы и способны привести к утечке данных из учетных записей Azure Cosmos DB. Defender для Azure Cosmos DB обнаруживает как успешные, так и неудачные попытки и помогает вам защитить свою среду, чтобы предотвратить эти атаки.

  • Нетипичные особенности доступа к базе данных. Например, доступ из выходных узлов TOR, с известных подозрительных IP-адресов, из необычных приложений и мест.

  • Подозрительная активность в базе данных. Например, подозрительные шаблоны получения списков ключей, напоминающие известные методы вредоносного горизонтального перемещения, и подозрительные шаблоны извлечения данных.