Dela via


Svara på defender-databasaviseringar med öppen källkod

Microsoft Defender för molnet identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser för följande tjänster:

och för RDS-instanser på AWS (förhandsversion):

  • Aurora PostgreSQL
  • Aurora MySQL
  • PostgreSQL
  • MySQL
  • MariaDB

För att få aviseringar från Microsoft Defender-planen måste du först aktivera Defender för relationsdatabaser med öppen källkod på ditt Azure- eller AWS-konto.

Läs mer om den här Microsoft Defender-planen i Översikt över Microsoft Defender för relationsdatabaser med öppen källkod.

Förutsättningar

Svara på aviseringar i Defender för molnet

När Microsoft Defender för molnet är aktiverat i databasen identifieras avvikande aktiviteter och aviseringar genereras. Dessa aviseringar är tillgängliga från flera platser, inklusive:

  • I Azure-portalen:

    • Microsoft Defender för molnets sida med säkerhetsaviseringar – Visar aviseringar för alla resurser som skyddas av Defender för molnet i de prenumerationer som du har behörighet att visa.
    • Resursens Microsoft Defender för molnet-sida – Visar aviseringar och rekommendationer för en specifik resurs.
  • I inkorgen för den som i din organisation har utsetts att ta emot e-postaviseringar.

Dricks

En live-panel på Översiktsinstrumentpanelen i Microsoft Defender för molnet spårar statusen för aktiva hot mot alla dina resurser, inklusive databaser. Välj panelen säkerhetsaviseringar för att gå till sidan Säkerhetsaviseringar för Defender för molnet och få en översikt över aktiva hot som har identifierats i dina databaser.

Detaljerade steg och den rekommenderade metoden för att svara på säkerhetsaviseringar finns i Svara på en säkerhetsavisering.

Svara på e-postaviseringar om säkerhetsaviseringar

Defender for Cloud skickar e-postaviseringar när avvikande databasaktiviteter identifieras. E-postmeddelandet innehåller information om den misstänkta säkerhetshändelsen, till exempel arten av avvikande aktiviteter, databasnamn, servernamn, programnamn och händelsetid. E-postmeddelandet innehåller också information om möjliga orsaker och rekommenderade åtgärder för att undersöka och minimera eventuella hot mot databasen.

  1. I e-postmeddelandet väljer du länken Visa den fullständiga aviseringen för att starta Azure-portalen och visar sidan säkerhetsaviseringar, som ger en översikt över aktiva hot som identifierats i databasen.

    Defender for Clouds e-postavisering om en misstänkt råstyrkeattack.

    Visa aktiva hot på prenumerationsnivå inifrån Defender for Cloud-portalsidorna:

    Aktiva hot på en eller flera prenumerationer visas i Microsoft Defender för molnet.

  2. Om du vill ha mer information och rekommenderade åtgärder för att undersöka det aktuella hotet och åtgärda framtida hot väljer du en specifik avisering.

    Skärmbild som visar information om en specifik avisering.

Dricks

En detaljerad självstudie om hur du hanterar dina aviseringar finns i Hantera och svara på aviseringar.

Gå vidare