Avvisi per database relazionali open-source
Questo articolo elenca gli avvisi di sicurezza che è possibile ottenere per i database relazionali open source da Microsoft Defender per il cloud ed eventuali piani di Microsoft Defender abilitati. Gli avvisi visualizzati nell'ambiente dipendono dalle risorse e dai servizi protetti e dalla configurazione personalizzata.
Nota
Alcuni degli avvisi aggiunti di recente basati su Microsoft Defender Threat Intelligence e Microsoft Defender per endpoint potrebbero non essere documentati.
Informazioni su come rispondere a questi avvisi.
Informazioni su come esportare gli avvisi.
Nota
Gli avvisi provenienti da origini diverse potrebbero comparire in tempi diversi. Ad esempio, la visualizzazione degli avvisi che richiedono l'analisi del traffico di rete potrebbe richiedere più tempo rispetto agli avvisi correlati a processi sospetti in esecuzione sulle macchine virtuali.
Avvisi di database relazionali open source
Sospetto attacco di forza bruta tramite un utente valido
(SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce)
Descrizione: è stato rilevato un potenziale attacco di forza bruta sulla risorsa. L'utente malintenzionato usa l'utente valido (nome utente), che dispone delle autorizzazioni per accedere.
Tattiche MITRE: PreAttack
Gravità: medio
Sospetto attacco di forza bruta riuscito
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Descrizione: un accesso riuscito si è verificato dopo un apparente attacco di forza bruta sulla risorsa.
Tattiche MITRE: PreAttack
Gravità: alta
Sospetto attacco di forza bruta
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Descrizione: è stato rilevato un potenziale attacco di forza bruta sulla risorsa.
Tattiche MITRE: PreAttack
Gravità: medio
Tentativo di accesso da un'applicazione potenzialmente dannosa
(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)
Descrizione: un'applicazione potenzialmente dannosa ha tentato di accedere alla risorsa.
Tattiche MITRE: PreAttack
Gravità: alta/media
Accesso eseguito da un'entità di sicurezza che non si connettiva da 60 giorni
(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)
Descrizione: un utente principale non visualizzato negli ultimi 60 giorni ha eseguito l'accesso al database. Se il database è nuovo o si tratta di un comportamento previsto causato da modifiche recenti apportate agli utenti che accedono al database, Defender per il cloud identificherà modifiche significative ai modelli di accesso e tenterà di evitare falsi positivi futuri.
Tattiche MITRE: Sfruttamento
Gravità: Bassa
Accesso da un dominio non visualizzato in 60 giorni
(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)
Descrizione: un utente ha eseguito l'accesso alla risorsa da un dominio da cui non sono stati connessi altri utenti negli ultimi 60 giorni. Se questa risorsa è nuova o si tratta di un comportamento previsto causato da modifiche recenti apportate agli utenti che accedono alla risorsa, Defender per il cloud identificherà modifiche significative ai modelli di accesso e tenterà di evitare falsi positivi futuri.
Tattiche MITRE: Sfruttamento
Gravità: medio
Accesso da un data center di Azure insolito
(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)
Descrizione: un utente connesso alla risorsa da un data center di Azure insolito.
Tattiche MITRE: Probing
Gravità: Bassa
Accesso da un provider di servizi cloud insolito
(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly)
Descrizione: un utente connesso alla risorsa da un provider di servizi cloud non è stato visualizzato negli ultimi 60 giorni. È facile e veloce per gli attori delle minacce ottenere potenza di calcolo eliminabile per l'uso nelle campagne. Se si tratta di un comportamento previsto causato dall'adozione recente di un nuovo provider di servizi cloud, Defender per il cloud imparerà nel tempo e tenterà di prevenire futuri falsi positivi.
Tattiche MITRE: Sfruttamento
Gravità: medio
Accesso da una posizione insolita
(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)
Descrizione: un utente connesso alla risorsa da un data center di Azure insolito.
Tattiche MITRE: Sfruttamento
Gravità: medio
Accesso da un indirizzo IP sospetto
(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)
Descrizione: l'accesso alla risorsa è stato eseguito correttamente da un indirizzo IP associato all'attività sospetta da Microsoft Threat Intelligence.
Tattiche MITRE: PreAttack
Gravità: medio
Nota
Per gli avvisi in anteprima: le condizioni supplementari di anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.