通过

开源关系数据库的警报

  • 项目

本文列出了你可能会从 Microsoft Defender for Cloud 和启用的任何 Microsoft Defender 计划收到的针对开源关系数据库的安全警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。

注意

一些最近添加的 Microsoft Defender 威胁智能支持的警报可能未记录。

了解如何响应这些警报

了解如何导出警报

注意

来自不同源的警报可能在不同的时间后出现。 例如,需要分析网络流量的警报的出现时间,可能比虚拟机上运行的可疑进程的相关警报要晚一些。

开源关系数据库警报

更多详细信息和说明

采用有效用户身份的可疑暴力攻击

(SQL.PostgreSQL_BruteForce SQL.MariaDB_BruteForce SQL.MySQL_BruteForce)

说明:检测到你的资源可能遭到暴力攻击。 攻击者采用的身份是具有登录权限的有效用户(用户名)。

MITRE 策略:PreAttack

严重性:中等

疑似成功的暴力攻击

(SQL.PostgreSQL_BruteForce SQL.MySQL_BruteForce SQL.MariaDB_BruteForce)

说明:在你的资源明显遭到暴力攻击后出现成功登录。

MITRE 策略:PreAttack

严重性:高

可疑的暴力攻击

(SQL.PostgreSQL_BruteForce SQL.MySQL_BruteForce SQL.MariaDB_BruteForce)

说明:检测到你的资源可能遭到暴力攻击。

MITRE 策略:PreAttack

严重性:中等

来自可能有害的应用程序的登录尝试

(SQL.PostgreSQL_HarmfulApplication SQL.MariaDB_HarmfulApplication SQL.MySQL_HarmfulApplication)

说明:可能有害的应用程序尝试访问资源。

MITRE 策略:PreAttack

严重性:高/中

来自 60 天内未见过的主体用户的登录

(SQL.PostgreSQL_PrincipalAnomaly SQL.MariaDB_PrincipalAnomaly SQL.MySQL_PrincipalAnomaly)

说明:过去 60 天内未见过的主体用户已登录到你的数据库。 如果此数据库是新数据库,或者这是由访问数据库的用户最近更改引起的预期行为,则 Defender for Cloud 将识别对访问模式的重大更改,并尝试防止将来出现误报。

MITRE 策略:利用

严重性:低

从 60 天内未遇到过的域中登录

(SQL.MariaDB_DomainAnomaly SQL.PostgreSQL_DomainAnomaly SQL.MySQL_DomainAnomaly)

说明:用户从某个域登录到你的资源,但过去 60 天内其他用户从未通过这个域进行连接。 如果此资源是新数据库,或者这是由访问资源的用户最近更改引起的预期行为,则 Defender for Cloud 将识别对访问模式的重大更改,并尝试防止将来出现误报。

MITRE 策略:利用

严重性:中等

来自异常 Azure 数据中心的登录

(SQL.PostgreSQL_DataCenterAnomaly SQL.MariaDB_DataCenterAnomaly SQL.MySQL_DataCenterAnomaly)

说明:有人从异常的 Azure 数据中心登录到你的资源。

MITRE 策略:探测

严重性:低

从异常的云提供商登录

(SQL.PostgreSQL_CloudProviderAnomaly SQL.MariaDB_CloudProviderAnomaly SQL.MySQL_CloudProviderAnomaly)

说明:有人从过去 60 天内从未看到过的云提供商登录到你的资源。 威胁参与者可以快速轻松地获取可自由处置的计算能力,以用于其自身的活动。 如果这是最近采用新云提供商造成的预期行为,Defender for Cloud 会逐渐学习这些行为,并尝试防止将来出现误报。

MITRE 策略:利用

严重性:中等

来自异常位置的登录

(SQL.MariaDB_GeoAnomaly SQL.PostgreSQL_GeoAnomaly SQL.MySQL_GeoAnomaly)

说明:有人从异常的 Azure 数据中心登录到你的资源。

MITRE 策略:利用

严重性:中等

从可疑 IP 登录

(SQL.PostgreSQL_SuspiciousIpAnomaly SQL.MariaDB_SuspiciousIpAnomaly SQL.MySQL_SuspiciousIpAnomaly)

说明:有人成功通过 Microsoft 威胁情报与可疑活动关联的 IP 地址访问了你的资源。

MITRE 策略:PreAttack

严重性:中等

注意

对于处于预览状态的警报:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

后续步骤