Avvisi per database SQL e Azure Synapse Analytics
Questo articolo elenca gli avvisi di sicurezza che è possibile ottenere per database SQL e Azure Synapse Analytics da Microsoft Defender per il cloud ed eventuali piani di Microsoft Defender abilitati. Gli avvisi visualizzati nell'ambiente dipendono dalle risorse e dai servizi protetti e dalla configurazione personalizzata.
Nota
Alcuni degli avvisi aggiunti di recente basati su Microsoft Defender Threat Intelligence e Microsoft Defender per endpoint potrebbero non essere documentati.
Informazioni su come rispondere a questi avvisi.
Informazioni su come esportare gli avvisi.
Nota
Gli avvisi provenienti da origini diverse potrebbero comparire in tempi diversi. Ad esempio, la visualizzazione degli avvisi che richiedono l'analisi del traffico di rete potrebbe richiedere più tempo rispetto agli avvisi correlati a processi sospetti in esecuzione sulle macchine virtuali.
avvisi di database SQL e Azure Synapse Analytics
Possibile vulnerabilità agli attacchi SQL injection
(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
Descrizione: un'applicazione ha generato un'istruzione SQL difettosa nel database. Ciò potrebbe indicare una possibile vulnerabilità ad attacchi SQL injection. Ci sono due possibili motivi per un'istruzione non corretta. Un difetto nel codice dell'applicazione potrebbe aver creato l'istruzione SQL non corretta. Oppure il codice dell'applicazione o le stored procedure non hanno corretto l'input utente quando è stata creata l'istruzione SQL non corretta, che può essere sfruttata per attacchi SQL injection.
Tattiche MITRE: PreAttack
Gravità: medio
Attività di accesso da un'applicazione potenzialmente dannosa
(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
Descrizione: un'applicazione potenzialmente dannosa ha tentato di accedere alla risorsa.
Tattiche MITRE: PreAttack
Gravità: alta
Accesso da un data center di Azure insolito
(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
Descrizione: è stata apportata una modifica al modello di accesso a SQL Server, in cui un utente ha eseguito l'accesso al server da un data center di Azure insolito. In alcuni casi, l'avviso rileva un'azione legittima (una nuova applicazione o servizio di Azure). In altri casi, l'avviso rileva un'azione dannosa (un utente malintenzionato che opera da una risorsa violata in Azure).
Tattiche MITRE: Probing
Gravità: Bassa
Accesso da una posizione insolita
(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
Descrizione: è stata apportata una modifica del modello di accesso a SQL Server, in cui un utente ha eseguito l'accesso al server da una posizione geografica insolita. In alcuni casi, l'avviso rileva un'azione legittima (una nuova applicazione o la manutenzione da parte dello sviluppatore). In altri casi, l'avviso rileva un'azione dannosa (da parte di un ex dipendente o un utente malintenzionato esterno).
Tattiche MITRE: Sfruttamento
Gravità: medio
Accesso eseguito da un'entità di sicurezza che non si connettiva da 60 giorni
(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
Descrizione: un utente principale non visualizzato negli ultimi 60 giorni ha eseguito l'accesso al database. Se il database è nuovo o si tratta di un comportamento previsto causato da modifiche recenti apportate agli utenti che accedono al database, Defender per il cloud identificherà modifiche significative ai modelli di accesso e tenterà di evitare falsi positivi futuri.
Tattiche MITRE: Sfruttamento
Gravità: medio
Accesso da un dominio non visualizzato in 60 giorni
(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
Descrizione: un utente ha eseguito l'accesso alla risorsa da un dominio da cui non sono stati connessi altri utenti negli ultimi 60 giorni. Se questa risorsa è nuova o si tratta di un comportamento previsto causato da modifiche recenti apportate agli utenti che accedono alla risorsa, Defender per il cloud identificherà modifiche significative ai modelli di accesso e tenterà di evitare falsi positivi futuri.
Tattiche MITRE: Sfruttamento
Gravità: medio
Accesso da un indirizzo IP sospetto
(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
Descrizione: l'accesso alla risorsa è stato eseguito correttamente da un indirizzo IP associato all'attività sospetta da Microsoft Threat Intelligence.
Tattiche MITRE: PreAttack
Gravità: medio
Potenziale attacco SQL injection
(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
Descrizione: si è verificato un exploit attivo rispetto a un'applicazione identificata vulnerabile all'inserimento SQL. Ciò significa che un utente malintenzionato sta cercando di inserire istruzioni SQL dannose usando codice dell'applicazione o stored procedure vulnerabili.
Tattiche MITRE: PreAttack
Gravità: alta
Sospetto attacco di forza bruta tramite un utente valido
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Descrizione: è stato rilevato un potenziale attacco di forza bruta sulla risorsa. L'utente malintenzionato usa l'utente valido (nome utente), che dispone delle autorizzazioni per accedere.
Tattiche MITRE: PreAttack
Gravità: alta
Sospetto attacco di forza bruta
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Descrizione: è stato rilevato un potenziale attacco di forza bruta sulla risorsa.
Tattiche MITRE: PreAttack
Gravità: alta
Sospetto attacco di forza bruta riuscito
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Descrizione: un accesso riuscito si è verificato dopo un apparente attacco di forza bruta sulla risorsa.
Tattiche MITRE: PreAttack
Gravità: alta
SQL Server ha potenzialmente generato una shell dei comandi di Windows e ha eseguito l'accesso a un'origine esterna anomala
(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
Descrizione: un'istruzione SQL sospetta potenzialmente ha generato una shell dei comandi di Windows con un'origine esterna che non è stata vista in precedenza. L'esecuzione di una shell che accede a un'origine esterna è un metodo usato dagli utenti malintenzionati per scaricare payload dannoso e quindi eseguirlo nel computer e comprometterlo. Ciò consente a un utente malintenzionato di eseguire attività dannose in direzione remota. In alternativa, è possibile accedere a un'origine esterna per esfiltrare i dati in una destinazione esterna.
Tattiche MITRE: Esecuzione
Gravità: alta/media
Payload insolito con parti offuscate è stato avviato da SQL Server
(SQL. VM_PotentialSqlInjection)
Descrizione: un utente ha avviato un nuovo payload usando il livello in SQL Server che comunica con il sistema operativo nascondendo il comando nella query SQL. Gli utenti malintenzionati in genere nascondono comandi con impatto monitorati comunemente come xp_cmdshell, sp_add_job e altri. Le tecniche di offuscamento abusano di comandi legittimi come la concatenazione di stringhe, il cast, la modifica di base e altri, per evitare il rilevamento delle espressioni regolari e compromettere la leggibilità dei log.
Tattiche MITRE: Esecuzione
Gravità: alta/media
Nota
Per gli avvisi in anteprima: le condizioni supplementari di anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.