Dela via


Aviseringar för SQL Database och Azure Synapse Analytics

Den här artikeln innehåller säkerhetsaviseringar som du kan få för SQL Database och Azure Synapse Analytics från Microsoft Defender för molnet och alla Microsoft Defender-planer som du har aktiverat. De aviseringar som visas i din miljö beror på de resurser och tjänster som du skyddar och din anpassade konfiguration.

Kommentar

Några av de nyligen tillagda aviseringarna som drivs av Informacije o pretnjama za Microsoft Defender och Microsoft Defender za krajnju tačku kan vara odokumenterade.

Lär dig hur du svarar på dessa aviseringar.

Lär dig hur du exporterar aviseringar.

Kommentar

Aviseringar från olika källor kan ta olika tid att visas. Aviseringar som kräver analys av nätverkstrafik kan till exempel ta längre tid att visas än aviseringar relaterade till misstänkta processer som körs på virtuella datorer.

SQL Database- och Azure Synapse Analytics-aviseringar

Mer information och anteckningar

En möjlig säkerhetsrisk för SQL-inmatning

(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)

Beskrivning: Ett program har genererat en felaktig SQL-instruktion i databasen. Detta kan tyda på en möjlig säkerhetsrisk för SQL-inmatningsattacker. Det finns två möjliga orsaker till en felaktig instruktion. Ett fel i programkoden kan ha konstruerat den felaktiga SQL-instruktionen. Eller så sanerade inte programkod eller lagrade procedurer användarindata när den felaktiga SQL-instruktionen konstruerades, som kan utnyttjas för SQL-inmatning.

MITRE-taktik: PreAttack

Allvarlighetsgrad: Medel

Inloggningsaktivitet från ett potentiellt skadligt program

(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)

Beskrivning: Ett potentiellt skadligt program försökte komma åt resursen.

MITRE-taktik: PreAttack

Allvarlighetsgrad: Hög

Logga in från ett ovanligt Azure Data Center

(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)

Beskrivning: Det har skett en ändring i åtkomstmönstret till en SQL Server, där någon har loggat in på servern från ett ovanligt Azure Data Center. I vissa fall identifierar aviseringen en legitim åtgärd (ett nytt program eller en Azure-tjänst). I andra fall identifierar aviseringen en skadlig åtgärd (angripare som arbetar från en resurs som har brutits i Azure).

MITRE-taktik: Avsökning

Allvarlighetsgrad: Låg

Logga in från en ovanlig plats

(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)

Beskrivning: Det har skett en ändring i åtkomstmönstret till SQL Server, där någon har loggat in på servern från en ovanlig geografisk plats. I vissa fall identifierar aviseringen en giltig åtgärd (ett nytt program eller nytt underhåll av utvecklare). I andra fall identifierar aviseringen en skadlig åtgärd (en tidigare anställd eller extern angripare).

MITRE-taktik: Utnyttjande

Allvarlighetsgrad: Medel

Logga in från en huvudanvändare som inte setts på 60 dagar

(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)

Beskrivning: En huvudanvändare som inte har setts under de senaste 60 dagarna har loggat in på databasen. Om den här databasen är ny eller om det här är ett förväntat beteende som orsakas av de senaste ändringarna i de användare som kommer åt databasen identifierar Defender för molnet betydande ändringar i åtkomstmönstren och försöker förhindra framtida falska positiva identifieringar.

MITRE-taktik: Utnyttjande

Allvarlighetsgrad: Medel

Logga in från en domän som inte visas på 60 dagar

(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)

Beskrivning: En användare har loggat in på resursen från en domän som inga andra användare har anslutit från under de senaste 60 dagarna. Om den här resursen är ny eller om det här är ett förväntat beteende som orsakas av de senaste ändringarna i de användare som kommer åt resursen identifierar Defender för molnet betydande ändringar i åtkomstmönstren och försöker förhindra framtida falska positiva identifieringar.

MITRE-taktik: Utnyttjande

Allvarlighetsgrad: Medel

Logga in från en misstänkt IP-adress

(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)

Beskrivning: Resursen har använts från en IP-adress som Microsoft Threat Intelligence har associerat med misstänkt aktivitet.

MITRE-taktik: PreAttack

Allvarlighetsgrad: Medel

Potentiell SQL-inmatning

(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)

Beskrivning: En aktiv exploatering har inträffat mot ett identifierat program som är sårbart för SQL-inmatning. Det innebär att en angripare försöker mata in skadliga SQL-instruktioner med hjälp av den sårbara programkoden eller lagrade procedurer.

MITRE-taktik: PreAttack

Allvarlighetsgrad: Hög

Misstänkt råstyrkeattack med en giltig användare

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Beskrivning: En potentiell råstyrkeattack har identifierats på resursen. Angriparen använder den giltiga användaren (användarnamnet), som har behörighet att logga in.

MITRE-taktik: PreAttack

Allvarlighetsgrad: Hög

Misstänkt brute force-attack

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Beskrivning: En potentiell råstyrkeattack har identifierats på resursen.

MITRE-taktik: PreAttack

Allvarlighetsgrad: Hög

Misstänkt lyckad brute force-attack

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Beskrivning: En lyckad inloggning inträffade efter en uppenbar råstyrkeattack på resursen.

MITRE-taktik: PreAttack

Allvarlighetsgrad: Hög

SQL Server skapade potentiellt ett Windows-kommandogränssnitt och fick åtkomst till en onormal extern källa

(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)

Beskrivning: En misstänkt SQL-instruktion kan ge upphov till ett Windows-kommandogränssnitt med en extern källa som inte har setts tidigare. Att köra ett gränssnitt som har åtkomst till en extern källa är en metod som används av angripare för att ladda ned skadlig nyttolast och sedan köra den på datorn och kompromettera den. Detta gör det möjligt för en angripare att utföra skadliga uppgifter under fjärrriktning. Du kan också använda åtkomst till en extern källa för att exfiltera data till ett externt mål.

MITRE-taktik: Körning

Allvarlighetsgrad: Hög/medelhög

Ovanlig nyttolast med fördunklade delar har initierats av SQL Server

(SQL. VM_PotentialSqlInjection)

Beskrivning: Någon har initierat en ny nyttolast med hjälp av lagret i SQL Server som kommunicerar med operativsystemet samtidigt som kommandot i SQL-frågan döljs. Angripare döljer ofta effektfulla kommandon som övervakas populärt som xp_cmdshell, sp_add_job och andra. Fördunklingstekniker missbrukar legitima kommandon som strängsammanfogning, gjutning, basbyte och andra för att undvika regexidentifiering och skada loggarnas läsbarhet.

MITRE-taktik: Körning

Allvarlighetsgrad: Hög/medelhög

Kommentar

För aviseringar som är i förhandsversion: Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Nästa steg