Alerty dotyczące usług SQL Database i Azure Synapse Analytics
W tym artykule wymieniono alerty zabezpieczeń, które można uzyskać dla usług SQL Database i Azure Synapse Analytics z Microsoft Defender dla Chmury i wszystkich planów usługi Microsoft Defender, które włączono. Alerty wyświetlane w środowisku zależą od chronionych zasobów i usług oraz dostosowanej konfiguracji.
Uwaga
Niektóre ostatnio dodane alerty obsługiwane przez usługę Microsoft Defender Threat Intelligence i Ochrona punktu końcowego w usłudze Microsoft Defender mogą być nieudokumentowane.
Dowiedz się, jak reagować na te alerty.
Dowiedz się, jak eksportować alerty.
Uwaga
Alerty z różnych źródeł mogą zająć różne czasy. Na przykład alerty wymagające analizy ruchu sieciowego mogą być wyświetlane dłużej niż alerty związane z podejrzanymi procesami uruchomionymi na maszynach wirtualnych.
Alerty usługi SQL Database i Azure Synapse Analytics
Możliwa luka w zabezpieczeniach dotycząca wstrzyknięcia kodu SQL
(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
Opis: aplikacja wygenerowała wadliwą instrukcję SQL w bazie danych. Może to wskazywać na możliwą lukę w zabezpieczeniach przed atakami polegającymi na wstrzyknięciu kodu SQL. Istnieją dwa możliwe przyczyny błędnej instrukcji. Usterka w kodzie aplikacji mogła skonstruować wadliwą instrukcję SQL. Lub kod aplikacji lub procedury składowane nie oczyszczały danych wejściowych użytkownika podczas konstruowania błędnej instrukcji SQL, która może być wykorzystywana do wstrzykiwania kodu SQL.
Taktyka MITRE: PreAttack
Ważność: średni rozmiar
Działanie logowania z potencjalnie szkodliwej aplikacji
(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
Opis: Potencjalnie szkodliwa aplikacja próbowała uzyskać dostęp do zasobu.
Taktyka MITRE: PreAttack
Ważność: Wysoka
Logowanie z nietypowego centrum danych platformy Azure
(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
Opis: Nastąpiła zmiana wzorca dostępu do programu SQL Server, w którym ktoś zalogował się do serwera z nietypowego centrum danych platformy Azure. W niektórych przypadkach alert wykrywa legalną akcję (nową aplikację lub usługę platformy Azure). W innych przypadkach alert wykrywa złośliwą akcję (atakujący działa z naruszonego zasobu na platformie Azure).
Taktyka MITRE: Sondowanie
Ważność: Niska
Logowanie z nietypowej lokalizacji
(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
Opis: Nastąpiła zmiana wzorca dostępu do programu SQL Server, w którym ktoś zalogował się do serwera z nietypowej lokalizacji geograficznej. W niektórych przypadkach ten alert wykrywa prawidłowe działanie (nowa aplikacja lub konserwacja przeprowadzana przez deweloperów). W innych przypadkach alert wykrywa złośliwe działanie (byłego pracownika lub zewnętrznego atakującego).
Taktyka MITRE: Wyzysk
Ważność: średni rozmiar
Logowanie od głównego użytkownika, który nie był widoczny w ciągu 60 dni
(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
Opis: Główny użytkownik, który nie był widoczny w ciągu ostatnich 60 dni, zalogował się do bazy danych. Jeśli ta baza danych jest nowa lub jest to oczekiwane zachowanie spowodowane ostatnimi zmianami w użytkownikach, którzy uzyskują dostęp do bazy danych, Defender dla Chmury zidentyfikuje istotne zmiany wzorców dostępu i spróbuje zapobiec przyszłym wynikom fałszywie dodatnim.
Taktyka MITRE: Wyzysk
Ważność: średni rozmiar
Logowanie z domeny nie jest widoczne w ciągu 60 dni
(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
Opis: Użytkownik zalogował się do zasobu z domeny, z którego żaden inny użytkownik nie nawiązał połączenia w ciągu ostatnich 60 dni. Jeśli ten zasób jest nowy lub jest to oczekiwane zachowanie spowodowane ostatnimi zmianami w użytkownikach, którzy uzyskują dostęp do zasobu, Defender dla Chmury zidentyfikuje istotne zmiany wzorców dostępu i spróbuje zapobiec przyszłym wynikom fałszywie dodatnim.
Taktyka MITRE: Wyzysk
Ważność: średni rozmiar
Logowanie z podejrzanego adresu IP
(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
Opis: Zasób został pomyślnie uzyskany z adresu IP skojarzonego z podejrzanymi działaniami przez usługę Microsoft Threat Intelligence.
Taktyka MITRE: PreAttack
Ważność: średni rozmiar
Potencjalne wstrzyknięcie kodu SQL
(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
Opis: Wystąpił aktywny atak wykorzystujący zidentyfikowaną aplikację podatną na wstrzyknięcie kodu SQL. Oznacza to, że osoba atakująca próbuje wstrzyknąć złośliwe instrukcje SQL przy użyciu kodu aplikacji podatnej na zagrożenia lub procedur składowanych.
Taktyka MITRE: PreAttack
Ważność: Wysoka
Podejrzany atak siłowy przy użyciu prawidłowego użytkownika
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Opis: Wykryto potencjalny atak siłowy na zasób. Osoba atakująca używa prawidłowego użytkownika (nazwy użytkownika), który ma uprawnienia do logowania.
Taktyka MITRE: PreAttack
Ważność: Wysoka
Podejrzany atak siłowy
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Opis: Wykryto potencjalny atak siłowy na zasób.
Taktyka MITRE: PreAttack
Ważność: Wysoka
Podejrzenie pomyślnego ataku siłowego
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Opis: Logowanie powiodło się po pozornym ataku siłowym na zasób.
Taktyka MITRE: PreAttack
Ważność: Wysoka
Program SQL Server potencjalnie wywołał powłokę poleceń systemu Windows i uzyskiwał dostęp do nietypowego źródła zewnętrznego
(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
Opis: podejrzana instrukcja SQL potencjalnie wywołała powłokę poleceń systemu Windows z zewnętrznym źródłem, które nie było wcześniej widoczne. Wykonanie powłoki, która uzyskuje dostęp do zewnętrznego źródła, jest metodą używaną przez osoby atakujące do pobierania złośliwego ładunku, a następnie wykonywania go na maszynie i naruszenia zabezpieczeń. Dzięki temu osoba atakująca może wykonywać złośliwe zadania w kierunku zdalnym. Alternatywnie dostęp do zewnętrznego źródła może służyć do eksfiltracji danych do zewnętrznego miejsca docelowego.
Taktyka MITRE: Wykonywanie
Ważność: wysoka/średnia
Nietypowy ładunek z zaciemnionymi częściami został zainicjowany przez program SQL Server
(SQL. VM_PotentialSqlInjection)
Opis: Ktoś zainicjował nowy ładunek korzystający z warstwy w programie SQL Server, która komunikuje się z systemem operacyjnym, ukrywając polecenie w zapytaniu SQL. Osoby atakujące często ukrywają mające wpływ polecenia, które są często monitorowane, takie jak xp_cmdshell, sp_add_job i inne. Techniki zaciemniania nadużywają uzasadnionych poleceń, takich jak łączenie ciągów, rzutowanie, zmiana podstawy i inne, aby uniknąć wykrywania wyrażeń regularnych i zaszkodzić czytelności dzienników.
Taktyka MITRE: Wykonywanie
Ważność: wysoka/średnia
Uwaga
W przypadku alertów w wersji zapoznawczej: Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.