SQL 高级威胁防护

适用于:Azure SQL 数据库Azure SQL 托管实例Azure Synapse AnalyticsAzure 虚拟机上的 SQL ServerAzure Arc 启用的 SQL Server

适用于 Azure SQL 数据库Azure SQL 托管实例Azure Synapse AnalyticsAzure 虚拟机上的 SQL Server 以及由 Azure Arc 启用的 SQL Server 的高级威胁防护可检测异常活动,这些活动指示访问或利用数据库的异常和潜在有害尝试。

Microsoft Defender for SQL 产品/服务提供高级威胁防护功能,该产品/服务是一个提供高级 SQL 安全功能的统一包。 可通过中心 Microsoft Defender for SQL 门户访问和管理高级威胁防护。

概述

高级威胁防护提供新的安全层,在发生异常活动时会提供安全警报,让客户检测潜在威胁并做出响应。 出现可疑数据库活动、潜在漏洞、SQL 注入攻击和异常数据库访问和查询模式时,用户将收到警报。 高级威胁防护将警报与 Microsoft Defender for Cloud 集成,其中包含可疑活动的详细信息,以及关于如何调查和缓解威胁的建议操作。 不必是安全专家,也不需要管理先进的安全监视系统,就能使用高级威胁防护轻松解决数据库的潜在威胁。

为了提供完整的调查体验,建议启用审核,它会将数据库事件写入到 Azure 存储帐户中的审核日志。 若要启用审核,请参阅 Azure SQL 数据库和 Azure Synapse 的审核Azure SQL 托管实例的审核

警报

高级威胁防护可检测异常活动,指出在访问或利用数据库时的异常行为和可能有害的尝试。 有关警报列表,请参阅 Microsoft Defender for Cloud 内关于 SQL 数据库和 Azure Synapse Analytics 的警报

浏览检测到的可疑事件

检测到异常数据库活动时,将收到电子邮件通知。 电子邮件将提供可疑安全事件的相关信息,包括异常活动的性质、数据库名称、服务器名称、应用程序名称和事件时间。 此外,电子邮件还会提供可能原因和建议操作的相关信息,帮助调查和缓解数据库的潜在威胁。

Anomalous activity report

  1. 单击电子邮件中“查看最近的 SQL 警报”链接以启动 Azure 门户并显示“Microsoft Defender for Cloud 警报”页,该页面提供在 SQL 数据库上检测到的活动威胁的概述。

    Activity threats

  2. 单击特定警报可获得其他详细信息以及用于调查此威胁和解决潜在威胁的操作。

    例如,SQL 注入是 Internet 上最常见的 Web 应用程序安全问题之一,用于攻击数据驱动的应用程序。 攻击者利用应用程序漏洞将恶意 SQL 语句注入应用程序入口字段,以破坏或修改数据库中的数据。 对于 SQL 注入警报,警报的详细信息包括被利用的有漏洞的 SQL 语句。

    Specific alert

在 Azure 门户中浏览警报

高级威胁防护将其警报与 Microsoft Defender for Cloud 集成。 Azure 门户中数据库和 SQL Microsoft Defender for Cloud 边栏选项卡内的实时 SQL 高级威胁防护磁贴会跟踪活动威胁的状态。

单击“高级威胁防护警报”,以启动“Microsoft Defender for Cloud 警报”页,并概览在数据库中检测到的活动 SQL 威胁。

advanced threat protection alerts in database overview

advanced threat protection in Defender for SQL

后续步骤