重要
注意:根据世纪互联发布的公告,2026 年 8 月 18 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。
在 Microsoft Defender for Cloud 中,Defender for Databases 内适用于开源关系数据库的 Defender 计划检测异常活动,这些活动指示有人企图以非寻常或可能有害的方式访问或恶意利用数据库。 借助此计划,你不需要成为安全专家,也不需要管理先进的安全监视系统,就能使用该计划轻松解决数据库的潜在威胁。
可用性
有关适用于开源关系数据库的 Defender 的定价信息,请参阅 Defender for Cloud 定价页。 还可以 使用 Defender for Cloud 成本计算器估算成本。
Azure 的平台即服务(PaaS)环境中支持 Defender for Open-Source 关系数据库。 已启用 Azure Arc 的计算机不支持它。 有关可用性的详细信息,请参阅 Defender for Cloud 对 Azure 商业云/其他云的支持矩阵。
该计划为 Azure 上的以下开源关系数据库提供威胁保护。
Azure Database for PostgreSQL
受保护的 Azure Database for PostgreSQL 版本包括:
- 单一服务器:“常规用途”和“内存优化”定价层。 在“Azure Database for PostgreSQL 中的定价层 - 单一服务器”中了解详细信息。
- 灵活服务器:所有定价层。
Azure Database for MySQL
受保护的 Azure Database for MySQL 版本包括:
- 单一服务器:“常规用途”和“内存优化”定价层。
- 灵活服务器:所有定价层。
Azure Database for MariaDB
受保护的 Azure Database for MariaDB 版本包括:
- “常规用途”和“内存优化”定价层。 在“Azure Database for MariaDB 定价层”中了解详细信息。
优点
Defender for Cloud 提供针对异常活动的警报,以便检测潜在威胁,并在发生威胁时做出响应。
启用此计划时,Defender for Cloud 会在检测到异常的数据库访问和查询模式以及可疑的数据库活动时发出警报。 警报包括:
- 触发警报的可疑活动的详细信息。
- 关联的 MITRE ATT&CK 技巧。
- 有关如何调查和缓解威胁的建议操作。
- 继续使用 Microsoft Sentinel 进行调查的选项。
警报类型
触发扩充有威胁情报的多云警报的活动包括:
- 异常的数据库访问和查询模式:例如,使用不同的凭据尝试登录,但登录失败的次数异常多(暴力攻击)。 这些警报可以将成功的暴力攻击与失败的暴力攻击区分开来。
- 可疑的数据库活动:例如,合法用户通过一台曾与加密挖掘指挥与控制(C&C)服务器通信的被入侵计算机访问 SQL 服务器。
在 开放源代码关系数据库的警报中查看数据库服务器警报的完整列表。