针对 SQL 数据库和 Azure Synapse Analytics 的警报
本文列出了你可能会收到的 SQL 数据库和 Azure Synapse Analytics 的安全警报。 Microsoft Defender for Cloud 和任何已启用的 Microsoft Defender 计划生成这些警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。
注意
一些最近添加的 Microsoft Defender 威胁智能支持的警报可能未记录。
注意
来自不同源的警报可能在不同的时间后出现。 例如,需要分析网络流量的警报的出现时间,可能比虚拟机上运行的可疑进程的相关警报要晚一些。
SQL 数据库和 Azure Synapse Analytics 警报
可能存在易受 SQL 注入攻击的漏洞
(SQL.DB_VulnerabilityToSqlInjection SQL.VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL.DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
说明:某个应用程序在数据库中生成了错误的 SQL 语句。 此警报指示可能存在易受 SQL 注入攻击的漏洞。 生成错误语句的可能原因有两个。 应用程序代码中的缺陷导致构造出错误的 SQL 语句。 或者,应用程序代码或存储过程在构造错误的 SQL 语句时未清理用户输入,使该语句被 SQL 注入攻击利用。
MITRE 策略:预攻击
严重性:中等
从潜在有害的应用程序进行登录活动
(SQL.DB_HarmfulApplication SQL.VM_HarmfulApplication SQL.MI_HarmfulApplication SQL.DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
说明:可能有害的应用程序尝试访问资源。
MITRE 策略:预攻击
严重性:高
来自异常 Azure 数据中心的登录
(SQL.DB_DataCenterAnomaly SQL.VM_DataCenterAnomaly SQL.DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
说明:对 SQL Server 的访问模式发生了变化,有人从异常的 Azure 数据中心登录到了服务器。 在某些情况下,警报会检测到合法操作(新应用程序或 Azure 服务)。 在其他情况下,警报会检测到恶意操作(攻击者从 Azure 中遭到入侵的资源进行操作)。
MITRE 策略:探测
严重性:低
来自异常位置的登录
(SQL.DB_GeoAnomaly SQL.VM_GeoAnomaly SQL.DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
说明:对 SQL Server 的访问模式发生了变化,有人从异常的地理位置登录到服务器。 在某些情况下,警报会检测合法操作(发布新应用程序或开发人员维护)。 在其他情况下,警报会检测到恶意操作(前员工或外部攻击者)。
MITRE 策略:利用
严重性:中等
来自 60 天内未见过的主体用户的登录
(SQL.DB_PrincipalAnomaly SQL.VM_PrincipalAnomaly SQL.DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
说明:过去 60 天内未见过的主体用户已登录到你的数据库。 如果此数据库是新数据库,或者这是由访问数据库的用户最近更改引起的预期行为,则 Defender for Cloud 将识别对访问模式的重大更改,并尝试防止将来出现误报。
MITRE 策略:利用
严重性:中等
从 60 天内未遇到过的域中登录
(SQL.DB_DomainAnomaly SQL.VM_DomainAnomaly SQL.DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
说明:用户从某个域登录到你的资源,但过去 60 天内其他用户从未通过这个域进行连接。 如果此资源是新数据库,或者这是由访问资源的用户最近更改引起的预期行为,则 Defender for Cloud 将识别对访问模式的重大更改,并尝试防止将来出现误报。
MITRE 策略:利用
严重性:中等
从可疑 IP 登录
(SQL.DB_SuspiciousIpAnomaly SQL.VM_SuspiciousIpAnomaly SQL.DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
说明:有人成功通过 Microsoft 威胁情报与可疑活动关联的 IP 地址访问了你的资源。
MITRE 策略:预攻击
严重性:中等
潜在 SQL 注入
(SQL.DB_PotentialSqlInjection SQL.VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL.DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
说明:攻击者有效利用已识别的应用程序漏洞以进行 SQL 注入攻击。 这意味着,攻击者正在尝试使用有漏洞的应用程序代码或存储过程注入恶意 SQL 语句。
MITRE 策略:预攻击
严重性:高
采用有效用户身份的可疑暴力攻击
(SQL.DB_BruteForce SQL.VM_BruteForce SQL.DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
说明:检测到你的资源上可能遭到暴力攻击。 攻击者采用的身份是具有登录权限的有效用户(用户名)。
MITRE 策略:预攻击
严重性:高
可疑的暴力攻击
(SQL.DB_BruteForce SQL.VM_BruteForce SQL.DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
说明:检测到你的资源上可能遭到暴力攻击。
MITRE 策略:预攻击
严重性:高
疑似成功的暴力攻击
(SQL.DB_BruteForce SQL.VM_BruteForce SQL.DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
说明:在你的资源明显遭到暴力攻击后出现成功登录。
MITRE 策略:预攻击
严重性:高
SQL Server 可能生成 Windows 命令 shell 并访问异常的外部源
(SQL.DB_ShellExternalSourceAnomaly SQL.VM_ShellExternalSourceAnomaly SQL.DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
说明:可疑的 SQL 语句可能通过之前未出现过的外部源生成了 Windows 命令 shell。 执行访问外部源的 shell 是攻击者用来下载恶意有效负载,然后在计算机上执行并破坏它的一种方法。 这使攻击者能够在远程指导下执行恶意任务。 或者,访问外部源可用于将数据外泄到外部目标。
MITRE 策略:执行
严重性:高/中
SQL Server 已启动具有混淆部分的异常负载
(SQL.VM_PotentialSqlInjection)
说明:有人利用 SQL Server 中与操作系统通信的层启动了新的有效负载,同时隐藏了 SQL 查询中的命令。 攻击者通常会隐藏经常受到监视的有效命令,如 xp_cmdshell、sp_add_job 等。 混淆技术会滥用如字符串串联、转换、基更改等合法命令,以避免正则表达式检测并损害日志的可读性。
MITRE 策略:执行
严重性:高/中
注意
对于处于预览状态的警报:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。