Alertas para o Banco de Dados SQL e o Azure Synapse Analytics
Este artigo lista os alertas de segurança que você pode receber para o Banco de Dados SQL e o Azure Synapse Analytics do Microsoft Defender for Cloud e qualquer plano do Microsoft Defender habilitado. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo e da sua configuração personalizada.
Nota
Alguns dos alertas adicionados recentemente com o Microsoft Defender Threat Intelligence e o Microsoft Defender for Endpoint podem não estar documentados.
Saiba como responder a esses alertas.
Nota
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para aparecer. Por exemplo, alertas que exigem análise do tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Alertas do Banco de Dados SQL e do Azure Synapse Analytics
Uma possível vulnerabilidade à injeção de SQL
(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
Descrição: um aplicativo gerou uma instrução SQL defeituosa no banco de dados. Isso pode indicar uma possível vulnerabilidade a ataques de injeção de SQL. Há duas razões possíveis para uma declaração defeituosa. Um defeito no código do aplicativo pode ter construído a instrução SQL defeituosa. Ou, o código do aplicativo ou os procedimentos armazenados não limparam a entrada do usuário ao construir a instrução SQL defeituosa, que pode ser explorada para injeção de SQL.
Táticas MITRE: PreAttack
Gravidade: Média
Atividade de logon de um aplicativo potencialmente prejudicial
(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
Descrição: um aplicativo potencialmente prejudicial tentou acessar seu recurso.
Táticas MITRE: PreAttack
Gravidade: Alta
Fazer logon a partir de um Data Center do Azure incomum
(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
Descrição: houve uma alteração no padrão de acesso a um SQL Server, em que alguém entrou no servidor a partir de um Data Center do Azure incomum. Em alguns casos, o alerta deteta uma ação legítima (um novo aplicativo ou serviço do Azure). Em outros casos, o alerta deteta uma ação maliciosa (invasor operando a partir de recurso violado no Azure).
Táticas MITRE: Sondagem
Gravidade: Baixa
Faça logon a partir de um local incomum
(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
Descrição: houve uma alteração no padrão de acesso ao SQL Server, em que alguém entrou no servidor a partir de uma localização geográfica incomum. Em alguns casos, o alerta deteta uma ação legítima (uma nova manutenção de programador ou aplicação). Em outros casos, o alerta deteta uma ação maliciosa (um ex-funcionário ou invasor externo).
Táticas MITRE: Exploração
Gravidade: Média
Login de um usuário principal não visto em 60 dias
(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
Descrição: Um utilizador principal não visto nos últimos 60 dias iniciou sessão na sua base de dados. Se esse banco de dados for novo ou se esse comportamento for esperado causado por alterações recentes nos usuários que acessam o banco de dados, o Defender for Cloud identificará alterações significativas nos padrões de acesso e tentará evitar falsos positivos futuros.
Táticas MITRE: Exploração
Gravidade: Média
Login a partir de um domínio não visto em 60 dias
(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
Descrição: um utilizador iniciou sessão no seu recurso a partir de um domínio ao qual nenhum outro utilizador se ligou nos últimos 60 dias. Se esse recurso for novo ou se esse comportamento for esperado causado por alterações recentes nos usuários que acessam o recurso, o Defender for Cloud identificará alterações significativas nos padrões de acesso e tentará evitar falsos positivos futuros.
Táticas MITRE: Exploração
Gravidade: Média
Iniciar sessão a partir de um IP suspeito
(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
Descrição: O seu recurso foi acedido com êxito a partir de um endereço IP que o Microsoft Threat Intelligence associou a atividades suspeitas.
Táticas MITRE: PreAttack
Gravidade: Média
Potencial injeção de SQL
(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
Descrição: Ocorreu uma exploração ativa contra um aplicativo identificado vulnerável à injeção de SQL. Isso significa que um invasor está tentando injetar instruções SQL mal-intencionadas usando o código do aplicativo vulnerável ou os procedimentos armazenados.
Táticas MITRE: PreAttack
Gravidade: Alta
Suspeita de ataque de força bruta usando um usuário válido
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Descrição: Foi detetado um potencial ataque de força bruta no seu recurso. O invasor está usando o usuário válido (nome de usuário), que tem permissões para fazer logon.
Táticas MITRE: PreAttack
Gravidade: Alta
Suspeita de ataque de força bruta
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Descrição: Foi detetado um potencial ataque de força bruta no seu recurso.
Táticas MITRE: PreAttack
Gravidade: Alta
Suspeita de ataque de força bruta bem-sucedido
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Descrição: Ocorreu um login bem-sucedido após um aparente ataque de força bruta ao seu recurso.
Táticas MITRE: PreAttack
Gravidade: Alta
O SQL Server potencialmente gerou um shell de comando do Windows e acessou uma fonte externa anormal
(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
Descrição: uma instrução SQL suspeita potencialmente gerou um shell de comando do Windows com uma fonte externa que não foi vista antes. Executar um shell que acessa uma fonte externa é um método usado por invasores para baixar carga maliciosa e, em seguida, executá-la na máquina e comprometê-la. Isso permite que um invasor execute tarefas maliciosas sob direção remota. Como alternativa, o acesso a uma fonte externa pode ser usado para exfiltrar dados para um destino externo.
Táticas MITRE: Execução
Gravidade: Alta/Média
Carga útil incomum com peças ofuscadas foi iniciada pelo SQL Server
(SQL. VM_PotentialSqlInjection)
Descrição: Alguém iniciou uma nova carga utilizando a camada no SQL Server que se comunica com o sistema operacional enquanto oculta o comando na consulta SQL. Os atacantes geralmente escondem comandos impactantes que são monitorados popularmente como xp_cmdshell, sp_add_job e outros. As técnicas de ofuscação abusam de comandos legítimos como concatenação de cordas, casting, mudança de base e outros, para evitar a deteção de regex e prejudicar a legibilidade dos logs.
Táticas MITRE: Execução
Gravidade: Alta/Média
Nota
Para alertas que estão em pré-visualização: Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.