Microsoft Defender for SQL について
Microsoft Defender for Cloud のデータベース セキュリティを使うと、一般的な攻撃を検出し、Azure で最も一般的なデータベースの種類に対する有効化と脅威への対応をサポートすることで、データベース資産全体を保護できます。
保護されるデータベースの種類は次のとおりです。
- Azure SQL Databases
- マシン上の SQL サーバー
- オープンソースのリレーショナル データベース (OSS RDB)
- Azure Cosmos DB データベースにより、さまざまな攻撃面とセキュリティ リスクを持つエンジンとデータ型に対する保護が提供されます。 セキュリティの検出は、DB の種類ごとに特定の攻撃面に対して行われます。
Defender for Cloud のデータベース保護によって、通常とは異なる、害を及ぼす可能性のあるデータベースへのアクセスや悪用の試みが検出されます。 高度な脅威検出機能と Microsoft の脅威インテリジェンス データを使って、コンテキストに応じたセキュリティ アラートが提供されます。 それらのアラートには、検出された脅威を軽減し、将来の攻撃を防ぐための手順が含まれます。
サブスクリプションでデータベース保護を有効にしたり、特定のデータベース リソースの種類を除外したりできます。
Microsoft Defender for SQL には、Defender for Cloud のデータ セキュリティ パッケージを拡張して、データベースの場所を問わず、データベースとそのデータをセキュリティで保護する 2 つのプランが含まれています。
Microsoft Defender SQL の保護対象
Microsoft Defender for SQL は、2 つの異なる Microsoft Defender プランで構成されています。
Defender for Azure SQL データベース サーバーは次のものを保護します。
Azure SQL データベース
Azure SQL Managed Instance
Azure Synapse の専用 SQL プール
Microsoft Defender for SQL servers on machines では、Azure ネイティブの SQL Server の保護を拡張してハイブリッド環境を完全にサポートし、Azure、他のクラウド環境、さらにはオンプレミスのマシンでホストされている SQL サーバー (サポートされているすべてのバージョン) を保護します。
Virtual Machines 上の SQL Server
オンプレミスの SQL サーバー:
Azure Arc 対応 SQL Server (プレビュー)
Windows マシン上で実行される SQL Server (Azure Arc なし)
Microsoft Defender for SQL の利点
この 2 つのプランには、データベースの潜在的な脆弱性を特定して軽減する機能や、データベースに対する脅威を示している可能性がある異常なアクティビティを検出する機能が含まれています。
脆弱性評価 - データベースの潜在的な脆弱性を検出、追跡し、修復を支援するスキャン サービス。 評価スキャンでは、SQL マシンのセキュリティ状態の概要と、セキュリティ調査結果の詳細が示されます。
Advanced Threat Protection - SQL インジェクション、ブルートフォース攻撃、特権の悪用などの脅威について、SQL サーバーを継続的に監視する検出サービス。 このサービスでは、疑わしいアクティビティの詳細、脅威の軽減方法に関するガイダンス、Microsoft Sentinel で調査を続行するためのオプションを含む、Defender for Cloud のアクション指向のセキュリティ アラートが提供されます。
Defender for SQL でどのような種類のアラートが提供されるか?
脅威インテリジェンスによってエンリッチされたセキュリティ アラートは、次のような場合にトリガーされます。
潜在的な SQL インジェクション攻撃 - アプリケーションによって、データベースにエラーのある SQL ステートメントが生成されたときに検出される脆弱性など
異常なデータベース アクセスとクエリ パターン - さまざまな資格情報でのサインイン試行の失敗が異常に多い場合 (ブルートフォース試行) など
不審なデータベース アクティビティ - 正当なユーザーが、クリプトマイニング C&C サーバーとの通信を行う侵害されたコンピューターから SQL Server にアクセスするなど
アラートには、それらをトリガーするインシデントの詳細と、脅威の調査や修復方法に関する推奨事項が含まれています。
Microsoft Defender for open-source relational databases の利点
この Defender for Cloud プランでは、次のオープンソース リレーショナル データベースに対する脅威の保護が提供されます。
- Azure Database for PostgreSQL
- Azure Database for MySQL
- Azure Database for MariaDB
このプランを有効にした場合、Microsoft Defender for Cloud では、異常なデータベース アクセスとクエリ パターン、および疑わしいデータベース アクティビティが検出されるとアラートが表示されます。
オープンソース リレーショナル データベースに対する Microsoft Defender アラート
脅威インテリジェンスによってエンリッチされたセキュリティ アラートは、次のような場合にトリガーされます。
- 異常なデータベース アクセスとクエリ パターン たとえば、異なる資格情報を使用したサインイン試行の失敗回数が異常に多い (ブルート フォース攻撃試行)
- 不審なデータベース アクティビティ 正当なユーザーが、クリプトマイニング C&C サーバーとの通信を行った侵害されたコンピューターから SQL Server にアクセスするなど
- ブルート フォース攻撃 単純なブルート フォースと有効なユーザーに対するブルート フォースを分離したり、ブルート フォースの成功を分離したりする機能。
Microsoft Defender for Azure Cosmos DB の利点
Microsoft Defender for Azure Cosmos DB は、潜在的な SQL インジェクション、Microsoft 脅威インテリジェンスに基づく既知の悪意のあるアクター、疑わしいアクセス パターン、侵害された ID を介したデータベースの悪用の可能性、または悪意のある内部関係者を検出します。
すべてのデータベースの保護を有効にする (推奨) か、サブスクリプション レベルまたはリソース レベルのいずれかで Microsoft Defender for Azure Cosmos DB を有効にすることができます。
Defender for Azure Cosmos DB は、Azure Cosmos DB サービスによって生成されるテレメトリ ストリームを継続的に分析します。 悪意のある可能性のあるアクティビティが検出されると、セキュリティ アラートが生成されます。 これらのアラートは、疑わしいアクティビティの詳細と、関連する調査手順、修復アクション、セキュリティに関する推奨事項と共に、Microsoft Defender for Cloud に表示されます。
Defender for Azure Cosmos DB は、Azure Cosmos DB のアカウント データにアクセスせず、またそのパフォーマンスに影響を与えません。
Microsoft Defender for Azure Cosmos DB 用の Microsoft Defender アラート
脅威インテリジェンスによってエンリッチされたセキュリティ アラートは、次のような場合にトリガーされます。
SQL インジェクション攻撃の可能性: Azure Cosmos DB クエリの構造と機能により、多くの既知の SQL インジェクション攻撃は Azure Cosmos DB では動作しません。 ただし、成功する可能性がある SQL インジェクションの複数のバリエーションがあり、Azure Cosmos DB アカウントからデータが盗み出される可能性があります。 Defender for Azure Cosmos DB は成功した試行と失敗した試行の両方を検出し、これらの脅威を防ぐために環境を強化するのに役立ちます。
異常なデータベース アクセス パターン: たとえば、TOR 出口ノード、既知の疑わしい IP アドレス、普通でないアプリケーション、通常とは異なる場所からのアクセスなどです。
不審なデータベース アクティビティ: たとえば、既知の悪意のある横移動手法に似た疑わしいキーリスティング パターンや疑わしいデータ抽出パターンです。