通过

开源关系数据库的警报

重要

注意:根据世纪互联发布的公告2026 年 8 月 18 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。

本文列出了你可能会从 Microsoft Defender for Cloud 和启用的任何 Microsoft Defender 计划收到的针对开源关系数据库的安全警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。

注意

一些最近添加的 Microsoft Defender 威胁智能支持的警报可能未记录。

了解如何响应这些警报

了解如何导出警报

注意

来自不同源的警报可能在不同的时间后出现。 例如,需要分析网络流量的警报的出现时间,可能比虚拟机上运行的可疑进程的相关警报要晚一些。

开源关系数据库警报

更多详细信息和说明

采用有效用户身份的可疑暴力攻击

(SQL.PostgreSQL_BruteForce SQL。MariaDB_BruteForce SQL。MySQL_BruteForce)

说明:检测到你的资源可能遭到暴力攻击。 攻击者采用的身份是具有登录权限的有效用户(用户名)。

MITRE 策略:PreAttack

严重性:中等

疑似成功的暴力攻击

(SQL.PostgreSQL_BruteForce SQL。MySQL_BruteForce SQL。MariaDB_BruteForce)

说明:在你的资源明显遭到暴力攻击后出现成功登录。

MITRE 策略:PreAttack

严重性:高

可疑的暴力攻击

(SQL.PostgreSQL_BruteForce SQL。MySQL_BruteForce SQL。MariaDB_BruteForce)

说明:检测到你的资源可能遭到暴力攻击。

MITRE 策略:PreAttack

严重性:中等

来自可能有害的应用程序的登录尝试

(SQL.PostgreSQL_HarmfulApplication SQL。MariaDB_HarmfulApplication SQL。MySQL_HarmfulApplication)

说明:可能有害的应用程序尝试访问资源。

MITRE 策略:PreAttack

严重性:高/中

来自 60 天内未见过的主体用户的登录

(SQL.PostgreSQL_PrincipalAnomaly SQL。MariaDB_PrincipalAnomaly SQL。MySQL_PrincipalAnomaly)

说明:过去 60 天内未见过的主体用户已登录到你的数据库。 如果此数据库是新数据库,或者这是由访问数据库的用户最近更改引起的预期行为,则 Defender for Cloud 将识别对访问模式的重大更改,并尝试防止将来出现误报。

MITRE 策略:利用

严重性:低

从 60 天内未遇到过的域中登录

(SQL.MariaDB_DomainAnomaly SQL。PostgreSQL_DomainAnomaly SQL。MySQL_DomainAnomaly)

说明:用户从某个域登录到你的资源,但过去 60 天内其他用户从未通过这个域进行连接。 如果此资源是新数据库,或者这是由访问资源的用户最近更改引起的预期行为,则 Defender for Cloud 将识别对访问模式的重大更改,并尝试防止将来出现误报。

MITRE 策略:利用

严重性:中等

来自异常 Azure 数据中心的登录

(SQL.PostgreSQL_DataCenterAnomaly SQL。MariaDB_DataCenterAnomaly SQL。MySQL_DataCenterAnomaly)

说明:有人从异常的 Azure 数据中心登录到你的资源。

MITRE 策略:探测

严重性:低

从异常的云提供商登录

(SQL.PostgreSQL_CloudProviderAnomaly SQL。MariaDB_CloudProviderAnomaly SQL。MySQL_CloudProviderAnomaly)

说明:有人从过去 60 天内从未看到过的云提供商登录到你的资源。 威胁参与者可以快速轻松地获取可自由处置的计算能力,以用于其自身的活动。 如果这是最近采用新云提供商造成的预期行为,Defender for Cloud 会逐渐学习这些行为,并尝试防止将来出现误报。

MITRE 策略:利用

严重性:中等

来自异常位置的登录

(SQL.MariaDB_GeoAnomaly SQL。PostgreSQL_GeoAnomaly SQL。MySQL_GeoAnomaly)

说明:有人从异常的 Azure 数据中心登录到你的资源。

MITRE 策略:利用

严重性:中等

从可疑 IP 登录

(SQL.PostgreSQL_SuspiciousIpAnomaly SQL。MariaDB_SuspiciousIpAnomaly SQL。MySQL_SuspiciousIpAnomaly)

说明:有人成功通过 Microsoft 威胁情报与可疑活动关联的 IP 地址访问了你的资源。

MITRE 策略:PreAttack

严重性:中等

注意

对于处于预览状态的警报:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

后续步骤