你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
开源关系数据库的警报
本文列出了你可能会从 Microsoft Defender for Cloud 和启用的任何 Microsoft Defender 计划收到的针对开源关系数据库的安全警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。
注意
某些最近添加的、由 Microsoft Defender 威胁智能和 Microsoft Defender for Endpoint 提供支持的警报可能未记录。
注意
来自不同源的警报可能在不同的时间后出现。 例如,需要分析网络流量的警报的出现时间,可能比虚拟机上运行的可疑进程的相关警报要晚一些。
开源关系数据库警报
采用有效用户身份的可疑暴力攻击
(SQL.PostgreSQL_BruteForce SQL.MariaDB_BruteForce SQL.MySQL_BruteForce)
说明:检测到你的资源可能遭到暴力攻击。 攻击者采用的身份是具有登录权限的有效用户(用户名)。
MITRE 策略:PreAttack
严重性:中等
疑似成功的暴力攻击
(SQL.PostgreSQL_BruteForce SQL.MySQL_BruteForce SQL.MariaDB_BruteForce)
说明:在你的资源明显遭到暴力攻击后出现成功登录。
MITRE 策略:PreAttack
严重性:高
可疑的暴力攻击
(SQL.PostgreSQL_BruteForce SQL.MySQL_BruteForce SQL.MariaDB_BruteForce)
说明:检测到你的资源可能遭到暴力攻击。
MITRE 策略:PreAttack
严重性:中等
来自可能有害的应用程序的登录尝试
(SQL.PostgreSQL_HarmfulApplication SQL.MariaDB_HarmfulApplication SQL.MySQL_HarmfulApplication)
说明:可能有害的应用程序尝试访问资源。
MITRE 策略:PreAttack
严重性:高/中
来自 60 天内未见过的主体用户的登录
(SQL.PostgreSQL_PrincipalAnomaly SQL.MariaDB_PrincipalAnomaly SQL.MySQL_PrincipalAnomaly)
说明:过去 60 天内未见过的主体用户已登录到你的数据库。 如果此数据库是新数据库,或者这是由访问数据库的用户最近更改引起的预期行为,则 Defender for Cloud 将识别对访问模式的重大更改,并尝试防止将来出现误报。
MITRE 策略:利用
严重性:低
从 60 天内未遇到过的域中登录
(SQL.MariaDB_DomainAnomaly SQL.PostgreSQL_DomainAnomaly SQL.MySQL_DomainAnomaly)
说明:用户从某个域登录到你的资源,但过去 60 天内其他用户从未通过这个域进行连接。 如果此资源是新数据库,或者这是由访问资源的用户最近更改引起的预期行为,则 Defender for Cloud 将识别对访问模式的重大更改,并尝试防止将来出现误报。
MITRE 策略:利用
严重性:中等
来自异常 Azure 数据中心的登录
(SQL.PostgreSQL_DataCenterAnomaly SQL.MariaDB_DataCenterAnomaly SQL.MySQL_DataCenterAnomaly)
说明:有人从异常的 Azure 数据中心登录到你的资源。
MITRE 策略:探测
严重性:低
从异常的云提供商登录
(SQL.PostgreSQL_CloudProviderAnomaly SQL.MariaDB_CloudProviderAnomaly SQL.MySQL_CloudProviderAnomaly)
说明:有人从过去 60 天内从未看到过的云提供商登录到你的资源。 威胁参与者可以快速轻松地获取可自由处置的计算能力,以用于其自身的活动。 如果这是最近采用新云提供商造成的预期行为,Defender for Cloud 会逐渐学习这些行为,并尝试防止将来出现误报。
MITRE 策略:利用
严重性:中等
来自异常位置的登录
(SQL.MariaDB_GeoAnomaly SQL.PostgreSQL_GeoAnomaly SQL.MySQL_GeoAnomaly)
说明:有人从异常的 Azure 数据中心登录到你的资源。
MITRE 策略:利用
严重性:中等
从可疑 IP 登录
(SQL.PostgreSQL_SuspiciousIpAnomaly SQL.MariaDB_SuspiciousIpAnomaly SQL.MySQL_SuspiciousIpAnomaly)
说明:有人成功通过 Microsoft 威胁情报与可疑活动关联的 IP 地址访问了你的资源。
MITRE 策略:PreAttack
严重性:中等
注意
对于处于预览状态的警报:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。