Microsoft Defender for SQL 이해

  • 7분

Microsoft Defender for Cloud 데이터베이스 보안을 사용하면 Azure에서 가장 인기 있는 데이터베이스 유형에 대한 일반적인 공격을 감지하고, 사용 및 위협 대응을 지원하여 전체 데이터베이스 자산을 보호할 수 있습니다.

보호된 데이터베이스 유형은 다음과 같습니다.

  • Azure SQL Databases
  • 컴퓨터의 SQL Server
  • OSS RDB(오픈 소스 관계형 데이터베이스)
  • Azure Cosmos DB 데이터베이스는 다양한 공격 표면과 보안 위험을 가진 엔진 및 데이터 형식을 보호합니다. 보안 검색은 각 DB 유형의 특정 공격 표면에 대해 이루어집니다.

Defender for Cloud의 데이터베이스 보호는 데이터베이스에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 검색합니다. 고급 위협 탐지 기능 및 Microsoft 위협 인텔리전스 데이터는 상황에 맞는 보안 경고를 제공하는 데 사용됩니다. 이러한 경고에는 검색된 위협을 완화하고 향후 공격을 방지하는 단계가 포함됩니다.

구독에서 데이터베이스 보호를 사용하도록 설정하거나 특정 데이터베이스 리소스 유형을 제외할 수 있습니다.

Microsoft Defender for SQL에는 클라우드용 Defender의 데이터 보안 패키지를 확장하여 데이터베이스와 해당 데이터를 어디서나 안전하게 보호하는 두 개의 플랜이 포함되어 있습니다.

Microsoft Defender SQL은 무엇을 보호하나요?

Azure Defender for SQL은 두 개의 개별 Microsoft Defender 요금제로 구성됩니다.

  • Defender for Azure SQL 데이터베이스 서버는 다음을 보호합니다.

    • Azure SQL Database

    • Azure SQL Managed Instance

    • Azure Synapse의 전용 SQL 풀

  • 머신의 Microsoft Defender for SQL 서버는 하이브리드 환경을 완벽하게 지원하고 Azure, 기타 클라우드 환경 및 온-프레미스 머신에서 호스팅되는 SQL 서버(지원되는 모든 버전)를 보호하도록 Azure 네이티브 SQL Server에 대한 보호를 확장합니다.

    • Virtual Machines의 SQL Server

    • 온-프레미스 SQL Server:

      • Azure Arc 지원 SQL Server(미리 보기)

      • Azure Arc를 사용하지 않는 Windows 머신에서 실행되는 SQL Server

Microsoft Defender for SQL의 이점은 무엇인가요?

이러한 두 요금제에는 잠재적인 데이터베이스 취약성 식별 및 완화, 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동 검색 기능이 포함됩니다.

  • 취약성 평가 - 잠재적인 데이터베이스 취약성을 검색, 추적 및 수정하는 검사 서비스입니다. 평가 검사는 SQL 머신의 대략적인 보안 상태와 세부적인 보안 정보를 보여줍니다.

  • 지능형 위협 방지 - SQL 서버에서 SQL 삽입, 무차별 암호 대입 공격 및 권한 남용 같은 위협을 지속적으로 모니터링하는 검색 서비스입니다. 해당 서비스는 클라우드용 Defender에서 작업 지향 보안 경고를 제공합니다. 또한 의심스러운 활동의 세부 정보, 위협을 완화하는 조치와 Microsoft Sentinel에서 조사를 지속할 수 있는 옵션을 보여 줍니다.

Defender for SQL은 어떤 종류의 경고를 제공하나요?

다음과 같은 경우 위협 인텔리전스 강화 보안 경고가 트리거됩니다.

  • 잠재적 SQL 삽입 공격 - 애플리케이션이 데이터베이스에서 잘못된 SQL 문을 생성할 때 검색되는 취약성 포함

  • 비정상적인 데이터베이스 액세스 및 쿼리 패턴 - 예: 여러 자격 증명을 사용한 로그인 시도 실패 횟수가 비정상적으로 많은 경우(무차별 암호 대입 시도)

  • 의심스러운 데이터베이스 활동 - 예를 들어, 암호화 마이닝 C&C 서버와 통신하여 보안이 뚫린 컴퓨터에서 SQL Server에 액세스하는 합법적인 사용자

경고에는 경고를 트리거한 인시던트의 세부 정보와 위협을 조사하고 완화하는 방법에 대한 권장 사항이 포함됩니다.

오픈 소스 관계형 데이터베이스용 Microsoft Defender의 이점

이 클라우드용 Defender 플랜은 다음과 같은 오픈 소스 관계형 데이터베이스에 대한 위협 방지를 제공합니다.

  • Azure Database for PostgreSQL
  • Azure Database for MySQL
  • Azure Database for MariaDB

이 플랜을 사용하도록 설정하면 클라우드용 Microsoft Defender는 비정상적인 데이터베이스 액세스 및 쿼리 패턴과 의심스러운 데이터베이스 활동을 탐지할 때 경고를 제공합니다.

Screenshot of the alert screen with open-source database alerts.

오픈 소스 관계형 데이터베이스에 대한 Microsoft Defender 경고

다음과 같은 경우 위협 인텔리전스 강화 보안 경고가 트리거됩니다.

  • 비정상 데이터베이스 액세스 및 쿼리 패턴 예를 들어 여러 자격 증명을 사용하여 실패한 로그인 시도 횟수가 비정상적으로 많은 경우(무차별 암호 대입 시도)
  • 의심스러운 데이터베이스 활동 예를 들어, 암호화 마이닝 C&C 서버와 통신하여 보안이 뚫린 컴퓨터에서 SQL Server에 액세스하는 합법적인 사용자
  • 무차별 암호 대입 공격 유효한 사용자 또는 무차별 암호 대입 성공 시 무차별 암호 대입으로부터 간단한 무차별 암호 대입을 분리할 수 있습니다.

Azure Cosmos DB용 Microsoft Defender의 이점은 무엇인가요?

Azure Cosmos DB용 Microsoft Defender는 잠재적인 SQL 삽입, Microsoft 위협 인텔리전스 기반의 알려진 악의적인 행위자, 의심스러운 액세스 패턴, 손상된 ID 또는 악의적인 내부자를 통한 데이터베이스 악용 가능성을 감지합니다.

모든 데이터베이스에 대한 보호를 사용하도록 설정하거나(권장) 구독 수준 또는 리소스 수준에서 Azure Cosmos DB용 Microsoft Defender를 사용하도록 설정할 수 있습니다.

Azure Cosmos DB용 Defender는 Azure Cosmos DB 서비스에서 생성된 원격 분석 스트림을 지속적으로 분석합니다. 잠재적으로 악의적인 활동이 감지되면 보안 경고가 생성됩니다. 이러한 경고는 관련 조사 단계, 수정 작업, 보안 권장 사항과 더불어 의심스러운 활동의 세부 정보와 함께 클라우드용 Defender에 표시됩니다.

Azure Cosmos DB용 Defender는 Azure Cosmos DB 계정 데이터에 액세스하지 않으며 성능에 영향을 주지 않습니다.

Azure용 Microsoft Defender Cosmos DB에 대한 Microsoft Defender 경고

다음과 같은 경우 위협 인텔리전스 강화 보안 경고가 트리거됩니다.

  • 잠재적 SQL 삽입 공격: Azure Cosmos DB 쿼리의 구조 및 기능으로 인해 알려진 많은 SQL 삽입 공격은 Azure Cosmos DB에서 작동할 수 없습니다. 그러나 성공하고 Azure Cosmos DB 계정에서 데이터를 유출할 수 있는 SQL 삽입의 몇 가지 변형이 있습니다. Azure Cosmos DB용 Defender는 성공적인 시도와 실패한 시도를 모두 감지하고 이러한 위협을 방지하기 위해 환경을 강화하는 데 도움이 됩니다.

  • 비정상적인 데이터베이스 액세스 패턴: 예를 들어 TOR 종료 노드, 알려진 의심스러운 IP 주소, 비정상적인 애플리케이션, 비정상적인 위치에서 액세스합니다.

  • 의심스러운 데이터베이스 활동: 예를 들어 알려진 악의적인 횡적 이동 기술 및 의심스러운 데이터 추출 패턴과 유사한 의심스러운 키 목록 패턴입니다.