了解適用於 SQL 的 Microsoft Defender

  • 7 分鐘

適用於雲端的 Microsoft Defender 資料庫安全性,可為 Azure 中最常用的資料庫類型偵測常見攻擊、支援啟用及威脅回應,保護整個資料庫資產。

受保護的資料庫類型包含:

  • Azure SQL Database
  • 機器上的 SQL 伺服器
  • 開放原始碼關聯式資料庫 (OSS RDB)
  • Azure Cosmos DB 資料庫為引擎和資料類型提供保護,防止各種攻擊面及安全性風險。 系統會針對各資料庫類型的特定受攻擊面進行安全性偵測。

適用於雲端的 Defender 資料庫保護功能會偵測是否有人試圖以不尋常、可能有害的方式存取或惡意探索資料庫。 採用進階威脅偵測功能和 Microsoft 威脅情報資料,以提供內容相關的安全性警示。 這些警示包含了減輕所偵測威脅、防範未來攻擊的各項步驟。

您可在訂用帳戶上啟用資料庫保護,或排除特定資料庫資源類型。

適用於 SQL 的 Microsoft Defender 包含兩個方案,可擴充適用於雲端的 Defender的資料安全性套件,以保護您的資料庫及其資料 (不論位於何處)。

Microsoft Defender SQL 可保護哪些項目?

適用於 SQL 的 Microsoft Defender 包含兩個不同的 Microsoft Defender 方案:

  • 適用於 Azure SQL 資料庫伺服器的 Defender 可保護:

    • Azure SQL Database

    • Azure SQL 受控執行個體

    • Azure Synapse 中的專用 SQL 集區

  • 適用於機器上 SQL 伺服器的 Microsoft Defender 可擴充 Azure 原生 SQL Server 的保護,以完整支援混合式環境,並保護裝載於 Azure、其他雲端環境,甚至是內部部署機器的 SQL 伺服器 (所有支援的版本):

    • 虛擬機器上的 SQL Server

    • 內部部署 SQL Server:

      • 已啟用 Azure Arc 的 SQL Server (預覽)

      • 在沒有 Azure Arc 的Windows 機器上執行的 SQL Server

適用於 SQL 的 Microsoft Defender 有哪些優點?

這兩項方案的功能包含發現並減少潛在資料庫弱點,以及偵測可能威脅到資料庫的異常活動:

  • 弱點評估 - 掃描服務可探索、追蹤及協助您補救資料庫的潛在弱點。 評量掃描可讓您概略了解 SQL 機器的安全性狀態,並提供任何安全性結果的詳細資料。

  • 進階威脅防護 - 偵測服務會持續監視 SQL 伺服器是否受威脅,例如 SQL 插入、暴力密碼破解攻擊和權限濫用。 這項服務會在適用於雲端的 Defender 中提供動作導向的安全性警示,以及可疑活動的詳細資料、如何降低威脅的指引,還有使用 Microsoft Sentinel 繼續進行調查的選項。

適用於 SQL 的 Defender 提供何種警示?

發生下列情況時,擴充威脅情報的安全性警示便會觸發:

  • 潛在的 SQL 插入式攻擊 - 包含當應用程式在資料庫中產生錯誤的 SQL 陳述式時偵測到的弱點

  • 異常的資料庫存取和查詢模式 例如:使用不同認證的登入嘗試 (暴力密碼破解嘗試) 次數異常偏高

  • 可疑的資料庫活動 - 例如,合法使用者從遭入侵的電腦存取 SQL Server,而該電腦與加密編譯的 C&C 伺服器通訊

警示中包含事件觸發的詳細資料,以及關於如何調查和補救威脅的建議。

適用於開放原始碼關聯式資料庫的 Microsoft Defender 有哪些優點

此適用於雲端的 Defender 方案會為下列開放原始碼關聯式資料庫帶來威脅防護:

  • 適用於 PostgreSQL 的 Azure 資料庫
  • 適用於 MySQL 的 Azure 資料庫
  • 適用於 MariaDB 的 Azure 資料庫

當您啟用此方案時,適用於雲端的 Microsoft Defender 會在偵測到異常資料庫存取和查詢模式以及可疑資料庫活動時提供警示。

Screenshot of the alert screen with open-source database alerts.

適用於開放原始碼關聯式資料庫的 Microsoft Defender 警示

發生下列情況時,會觸發威脅情報擴充的安全性警示:

  • 異常的資料庫存取和查詢模式 例如,使用不同認證的登入嘗試 (暴力密碼破解嘗試) 次數異常偏高
  • 可疑的資料庫活動 例如,從與密碼編譯採礦 C&C 伺服器通訊的外泄計算機存取 SQL Server 的合法使用者
  • 暴力密碼破解攻擊 能夠將簡單的暴力密碼破解與有效使用者上的暴力密碼破解或成功的暴力密碼破解進行區隔。

適用於 Azure Cosmos DB 的 Microsoft Defender 有哪些優點

「適用於 Azure Cosmos DB 的 Microsoft Defender」偵測 SQL 插入、根據 Microsoft 威脅情報而得知的惡意執行者、可疑的存取模式,以及可能利用盜用身分識別或惡意內部人員而惡意探索資料庫。

您可以啟用所有資料庫的保護 (建議),或者在訂用帳戶層級或資源層級啟用適用於 Azure Cosmos DB 的 Microsoft Defender。

適用於 Azure Cosmos DB 的 Defender 會持續分析 Azure Cosmos DB 服務所產生的遙測串流。 偵測到潛在的惡意活動時,系統會產生安全性警示。 這些警示會顯示在適用於雲端的 Defender 中,且會顯示可疑活動的詳細資料,以及相關的調查步驟、補救動作和安全性建議。

適用於 Azure Cosmos DB 的 Defender 不會存取 Azure Cosmos DB 帳戶資料,且不會影響其效能。

適用於 Azure Cosmos DB 的 Microsoft Defender 的 Microsoft Defender 警示

發生下列情況時,會觸發威脅情報擴充的安全性警示:

  • 潛在的 SQL 插入式攻擊:由於 Azure Cosmos DB 查詢的結構和功能,許多已知的 SQL 插入式攻擊無法在 Azure Cosmos DB 中發揮作用。 但某些 SQL 插入式攻擊的變化型態仍可能成功,且可能會導致 Azure Cosmos DB 帳戶資料外洩。 適用於 Azure Cosmos DB 的 Defender 可偵測成功與失敗的嘗試,並協助您強化環境,以防止這些威脅。

  • 異常的資料庫存取模式:例如:存取自 TOR 結束節點、已知的可疑 IP 地址、不尋常的應用程式和位置等。

  • 可疑的資料庫活動:例如:類似已知的惡意橫向移動技術、可疑的資料擷取模式等可疑的金鑰列表模式。