你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于开源关系数据库的 Microsoft Defender 概述
在 Microsoft Defender for Cloud 中,Defender for Databases 内适用于开源关系数据库的 Defender 计划检测异常活动,这些活动指示有人企图以非寻常或可能有害的方式访问或恶意利用数据库。 借助此计划,你不需要成为安全专家,也不需要管理先进的安全监视系统,就能使用该计划轻松解决数据库的潜在威胁。
可用性
有关适用于开源关系数据库的 Defender 的定价信息,请参阅 Defender for Cloud 定价页。
Azure 和 Amazon Web Services (AWS) 的平台即服务 (PaaS) 环境支持适用于开源关系数据库的 Defender。 已启用 Azure Arc 的计算机不支持它。 有关可用性的详细信息,请参阅 Defender for Cloud 对 Azure 商业云/其他云的支持矩阵。
该计划为 Azure 上的以下开源关系数据库提供威胁保护。
Azure Database for PostgreSQL
受保护的 Azure Database for PostgreSQL 版本包括:
- 单一服务器:“常规用途”和“内存优化”定价层。 在“Azure Database for PostgreSQL 中的定价层 - 单一服务器”中了解详细信息。
- 灵活服务器:所有定价层。
Azure Database for MySQL
受保护的 Azure Database for MySQL 版本包括:
- 单一服务器:“常规用途”和“内存优化”定价层。
- 灵活服务器:所有定价层。
Azure Database for MariaDB
受保护的 Azure Database for MariaDB 版本包括:
- “常规用途”和“内存优化”定价层。 在“Azure Database for MariaDB 定价层”中了解详细信息。
Amazon RDS
AWS 上的 Amazon 关系数据库服务 (RDS) 实例(预览版)支持:
- Aurora PostgreSQL
- Aurora MySQL
- PostgreSQL
- MySQL
- MariaDB
优点
Defender for Cloud 提供针对异常活动的多云警报,以便检测潜在威胁,并在发生威胁时做出响应。
启用此计划时,Defender for Cloud 会在检测到异常的数据库访问和查询模式以及可疑的数据库活动时发出警报。 警报包括:
- 触发警报的可疑活动的详细信息。
- 关联的 MITRE ATT&CK 技巧。
- 有关如何调查和缓解威胁的建议操作。
- 继续使用 Microsoft Sentinel 进行调查的选项。
警报类型
触发扩充有威胁情报的多云警报的活动包括:
- 异常的数据库访问和查询模式:例如,使用不同的凭据尝试登录,但登录失败的次数异常多(暴力攻击)。 这些警报可以将成功的暴力攻击与失败的暴力攻击区分开来。
- 可疑的数据库活动:例如,合法用户从曾与加密挖掘命令和控制 (C&C) 服务器通信的被入侵计算机访问 SQL Server。
在“适用于开源关系数据库的警报”中查看数据库服务器的完整多云警报列表。