Förstå Microsoft Defender för SQL

  • 7 minuter

Microsoft Defender för molnet databassäkerhet kan du skydda hela databasegendomen genom att identifiera vanliga attacker, stödja aktivering och hotsvar för de mest populära databastyperna i Azure.

Typerna av skyddade databaser är:

  • Azure SQL Databases
  • SQL-servrar på datorer
  • Relationsdatabaser med öppen källkod (OSS RDB)
  • Azure Cosmos DB Database ger skydd för motorer och datatyper med olika attackyta och säkerhetsrisker. Säkerhetsidentifieringar görs för den specifika attackytan för varje db-typ.

Defender för molnet databasskydd identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja dina databaser. Avancerade funktioner för hotidentifiering och Microsoft Threat Intelligence-data används för att tillhandahålla kontextuella säkerhetsaviseringar. Dessa aviseringar innehåller steg för att minimera de identifierade hoten och förhindra framtida attacker.

Du kan aktivera databasskydd för din prenumeration eller exkludera specifika databasresurstyper.

Microsoft Defender för SQL innehåller två planer som utökar Defender för molnet datasäkerhetspaket för att skydda dina databaser och deras data var de än finns.

Vad skyddar Microsoft Defender SQL?

Microsoft Defender för SQL består av två separata Microsoft Defender-planer:

  • Defender för Azure SQL-databasservrar skyddar:

    • Azure SQL Database

    • Hanterad Azure SQL-instans

    • Dedikerad SQL-pool i Azure Synapse

  • Microsoft Defender för SQL-servrar på datorer utökar skyddet för dina Azure-inbyggda SQL-servrar för att fullt ut stödja hybridmiljöer och skydda SQL-servrar (alla versioner som stöds) som finns i Azure, andra molnmiljöer och även lokala datorer:

    • SQL Server på virtuella datorer

    • Lokala SQL-servrar:

      • Azure Arc-aktiverad SQL Server (förhandsversion)

      • SQL Server som körs på Windows-datorer utan Azure Arc

Vilka är fördelarna med Microsoft Defender för SQL?

Dessa två planer omfattar funktioner för att identifiera och minimera potentiella databassårbarheter och identifiera avvikande aktiviteter som kan tyda på hot mot dina databaser:

  • Sårbarhetsbedömning – genomsökningstjänsten för att identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. Utvärderingsgenomsökningar ger en översikt över dina SQL-datorers säkerhetstillstånd och information om eventuella säkerhetsresultat.

  • Avancerat skydd mot hot – identifieringstjänsten som kontinuerligt övervakar dina SQL-servrar efter hot som SQL-inmatning, råstyrkeattacker och privilegier. Den här tjänsten tillhandahåller åtgärdsorienterade säkerhetsaviseringar i Defender för molnet med information om den misstänkta aktiviteten, vägledning om hur du minimerar hot och alternativ för att fortsätta dina undersökningar med Microsoft Sentinel.

Vilken typ av aviseringar tillhandahåller Defender för SQL?

Berikade säkerhetsaviseringar med hotinformation utlöses när det finns:

  • Potentiella SQL-inmatningsattacker – inklusive sårbarheter som identifieras när program genererar en felaktig SQL-instruktion i databasen

  • Avvikande databasåtkomst och frågemönster – till exempel ett onormalt stort antal misslyckade inloggningsförsök med olika autentiseringsuppgifter (ett brute force-försök)

  • Misstänkt databasaktivitet – till exempel en legitim användare som kommer åt en SQL Server från en dator som har brutits och som kommunicerat med en C&C-server för krypteringsutvinning

Aviseringar innehåller information om incidenten som utlöste dem och rekommendationer om hur du undersöker och åtgärdar hot.

Vilka är fördelarna med Microsoft Defender för relationsdatabaser med öppen källkod

Den här Defender för molnet planen ger skydd mot hot för följande relationsdatabaser med öppen källkod:

  • Azure Database for PostgreSQL
  • Azure Database for MySQL
  • Azure-databas för MariaDB

När du aktiverar den här planen får Microsoft Defender för molnet aviseringar när den identifierar avvikande databasåtkomst och frågemönster och misstänkta databasaktiviteter.

Screenshot of the alert screen with open-source database alerts.

Microsoft Defender-aviseringar för relationsdatabaser med öppen källkod

Hotinformation berikade säkerhetsaviseringar utlöses när det finns:

  • Avvikande databasåtkomst och frågemönster Till exempel ett onormalt stort antal misslyckade inloggningsförsök med olika autentiseringsuppgifter (ett brute force-försök)
  • Misstänkta databasaktiviteter Till exempel en legitim användare som kommer åt en SQL Server från en dator som har brutits och som kommunicerats med en C&C-server för krypteringsutvinning
  • Brute-force attacker Med möjlighet att separera enkel rå force från brute force på en giltig användare eller en lyckad brute force.

Vilka är fördelarna med Microsoft Defender för Azure Cosmos DB

Microsoft Defender för Azure Cosmos DB identifierar potentiella SQL-inmatningar, kända dåliga aktörer baserat på Microsoft Threat Intelligence, misstänkta åtkomstmönster och potentiellt utnyttjande av databasen via komprometterade identiteter eller skadliga insiders.

Du kan aktivera skydd för alla dina databaser (rekommenderas) eller aktivera Microsoft Defender för Azure Cosmos DB på antingen prenumerationsnivå eller resursnivå.

Defender för Azure Cosmos DB analyserar kontinuerligt telemetriströmmen som genereras av Azure Cosmos DB-tjänsten. När potentiellt skadliga aktiviteter identifieras genereras säkerhetsaviseringar. Dessa aviseringar visas i Defender för molnet tillsammans med information om den misstänkta aktiviteten tillsammans med relevanta undersökningssteg, reparationsåtgärder och säkerhetsrekommendationer.

Defender för Azure Cosmos DB har inte åtkomst till Azure Cosmos DB-kontodata och har ingen effekt på dess prestanda.

Microsoft Defender-aviseringar för Microsoft Defender för Azure Cosmos DB

Hotinformation berikade säkerhetsaviseringar utlöses när det finns:

  • Potentiella SQL-inmatningsattacker: På grund av strukturen och funktionerna i Azure Cosmos DB-frågor kan många kända SQL-inmatningsattacker inte fungera i Azure Cosmos DB. Det finns dock vissa varianter av SQL-inmatningar som kan lyckas och kan resultera i exfiltrering av data från dina Azure Cosmos DB-konton. Defender för Azure Cosmos DB identifierar både lyckade och misslyckade försök och hjälper dig att härda din miljö för att förhindra dessa hot.

  • Avvikande databasåtkomstmönster: Till exempel åtkomst från en TOR-utgångsnod, kända misstänkta IP-adresser, ovanliga program och ovanliga platser.

  • Misstänkt databasaktivitet: Till exempel misstänkta nyckellistningsmönster som liknar kända metoder för skadlig lateral förflyttning och misstänkta mönster för dataextrahering.