Alertas para bases de datos relacionales de código abierto
En este artículo se enumeran las alertas de seguridad que puede obtener para las bases de datos relacionales de código abierto de Microsoft Defender for Cloud y los planes de Microsoft Defender habilitados. Las alertas que se muestran en el entorno dependen de los recursos y servicios que va a proteger, y de la configuración personalizada.
Nota:
Algunas de las alertas agregadas recientemente con tecnología de Inteligencia contra amenazas de Microsoft Defender y Microsoft Defender para punto de conexión podrían no estar documentadas.
Aprenda a responder a estas alertas.
Nota
Las alertas de orígenes diferentes pueden tardar un tiempo distinto en aparecer. Por ejemplo, las alertas que requieren un análisis del tráfico de red pueden tardar más en aparecer que las alertas relacionadas con procesos sospechosos que se ejecutan en máquinas virtuales.
Alertas de bases de datos relacionales de código abierto
Posible ataque por fuerza bruta mediante un usuario válido
(SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce)
Descripción: se ha detectado un posible ataque por fuerza bruta en el recurso. El atacante usa el usuario válido (nombre de usuario), que tiene permisos para iniciar sesión.
Tácticas de MITRE: PreAttack
Gravedad: media
Sospecha de ataque por fuerza bruta con éxito
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Descripción: se produjo un inicio de sesión correcto después de un ataque aparente por fuerza bruta en el recurso.
Tácticas de MITRE: PreAttack
Gravedad: alta
Sospecha de ataque por fuerza bruta
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Descripción: se ha detectado un posible ataque por fuerza bruta en el recurso.
Tácticas de MITRE: PreAttack
Gravedad: media
Intento de inicio de sesión desde una aplicación potencialmente dañina
(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)
Descripción: una aplicación potencialmente dañina intentó acceder al recurso.
Tácticas de MITRE: PreAttack
Gravedad: Alta/Media
Inicio de sesión de un usuario principal que no se ha visto en 60 días
(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)
Descripción: un usuario principal no visto en los últimos 60 días ha iniciado sesión en la base de datos. Si esta base de datos es nueva o este es el comportamiento esperado causado por cambios recientes en los usuarios que acceden a la base de datos, Defender for Cloud identificará los cambios significativos en los patrones de acceso e intentará evitar futuros falsos positivos.
Tácticas de MITRE: Explotación
Gravedad: baja
Inicio de sesión desde un dominio no visto en 60 días
(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)
Descripción: un usuario ha iniciado sesión en el recurso desde un dominio desde el que ningún otro usuario se ha conectado en los últimos 60 días. Si este recurso es nuevo o este es el comportamiento esperado causado por cambios recientes en los usuarios que acceden al recurso, Defender for Cloud identificará los cambios significativos en los patrones de acceso e intentará evitar futuros falsos positivos.
Tácticas de MITRE: Explotación
Gravedad: media
Inicio de sesión desde un centro de datos de Azure inusual
(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)
Descripción: alguien que inició sesión en el recurso desde un centro de datos de Azure inusual.
Tácticas de MITRE: sondeo
Gravedad: baja
Inicio de sesión desde un proveedor de nube inusual
(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly)
Descripción: alguien que inició sesión en el recurso desde un proveedor de nube no visto en los últimos 60 días. Es rápido y fácil que los agentes de amenazas obtengan potencia de proceso descartable para utilizarla en sus campañas. Si este es el comportamiento esperado causado por la reciente adopción de un nuevo proveedor de nube, Defender for Cloud aprenderá con el tiempo e intentará evitar futuros falsos positivos.
Tácticas de MITRE: Explotación
Gravedad: media
Inicio de sesión desde una ubicación inusual
(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)
Descripción: alguien que inició sesión en el recurso desde un centro de datos de Azure inusual.
Tácticas de MITRE: Explotación
Gravedad: media
Inicio de sesión desde una dirección IP sospechosa
(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)
Descripción: se ha accedido correctamente al recurso desde una dirección IP asociada a la actividad sospechosa de Microsoft Threat Intelligence.
Tácticas de MITRE: PreAttack
Gravedad: media
Nota:
En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.