本文列出了你可能会收到的 SQL 数据库和 Azure Synapse Analytics 的安全警报。 Microsoft Defender for Cloud 和任何已启用的 Microsoft Defender 计划生成这些警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。
注意
一些最近添加的 Microsoft Defender 威胁智能支持的警报可能未记录。
注意
来自不同源的警报可能在不同的时间后出现。 例如,需要分析网络流量的警报的出现时间,可能比虚拟机上运行的可疑进程的相关警报要晚一些。
(SQL.DB_VulnerabilityToSqlInjection SQL.VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL.DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
说明:某个应用程序在数据库中生成了错误的 SQL 语句。 此警报指示可能存在易受 SQL 注入攻击的漏洞。 生成错误语句的可能原因有两个。 应用程序代码中的缺陷导致构造出错误的 SQL 语句。 或者,应用程序代码或存储过程在构造错误的 SQL 语句时未清理用户输入,使该语句被 SQL 注入攻击利用。
MITRE 策略:预攻击
严重性:中等
(SQL.DB_HarmfulApplication SQL.VM_HarmfulApplication SQL.MI_HarmfulApplication SQL.DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
说明:可能有害的应用程序尝试访问资源。
MITRE 策略:预攻击
严重性:高
(SQL.DB_DataCenterAnomaly SQL.VM_DataCenterAnomaly SQL.DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
说明:对 SQL Server 的访问模式发生了变化,有人从异常的 Azure 数据中心登录到了服务器。 在某些情况下,警报会检测到合法操作(新应用程序或 Azure 服务)。 在其他情况下,警报会检测到恶意操作(攻击者从 Azure 中遭到入侵的资源进行操作)。
MITRE 策略:探测
严重性:低
(SQL.DB_GeoAnomaly SQL.VM_GeoAnomaly SQL.DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
说明:对 SQL Server 的访问模式发生了变化,有人从异常的地理位置登录到服务器。 在某些情况下,警报会检测合法操作(发布新应用程序或开发人员维护)。 在其他情况下,警报会检测到恶意操作(前员工或外部攻击者)。
MITRE 策略:利用
严重性:中等
(SQL.DB_PrincipalAnomaly SQL.VM_PrincipalAnomaly SQL.DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
说明:过去 60 天内未见过的主体用户已登录到你的数据库。 如果此数据库是新数据库,或者这是由访问数据库的用户最近更改引起的预期行为,则 Defender for Cloud 将识别对访问模式的重大更改,并尝试防止将来出现误报。
MITRE 策略:利用
严重性:中等
(SQL.DB_DomainAnomaly SQL.VM_DomainAnomaly SQL.DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
说明:用户从某个域登录到你的资源,但过去 60 天内其他用户从未通过这个域进行连接。 如果此资源是新数据库,或者这是由访问资源的用户最近更改引起的预期行为,则 Defender for Cloud 将识别对访问模式的重大更改,并尝试防止将来出现误报。
MITRE 策略:利用
严重性:中等
(SQL.DB_SuspiciousIpAnomaly SQL.VM_SuspiciousIpAnomaly SQL.DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
说明:有人成功通过 Microsoft 威胁情报与可疑活动关联的 IP 地址访问了你的资源。
MITRE 策略:预攻击
严重性:中等
(SQL.DB_PotentialSqlInjection SQL.VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL.DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
说明:攻击者有效利用已识别的应用程序漏洞以进行 SQL 注入攻击。 这意味着,攻击者正在尝试使用有漏洞的应用程序代码或存储过程注入恶意 SQL 语句。
MITRE 策略:预攻击
严重性:高
(SQL.DB_BruteForce SQL.VM_BruteForce SQL.DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
说明:检测到你的资源上可能遭到暴力攻击。 攻击者采用的身份是具有登录权限的有效用户(用户名)。
MITRE 策略:预攻击
严重性:高
(SQL.DB_BruteForce SQL.VM_BruteForce SQL.DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
说明:检测到你的资源上可能遭到暴力攻击。
MITRE 策略:预攻击
严重性:高
(SQL.DB_BruteForce SQL.VM_BruteForce SQL.DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
说明:在你的资源明显遭到暴力攻击后出现成功登录。
MITRE 策略:预攻击
严重性:高
(SQL.DB_ShellExternalSourceAnomaly SQL.VM_ShellExternalSourceAnomaly SQL.DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
说明:可疑的 SQL 语句可能通过之前未出现过的外部源生成了 Windows 命令 shell。 执行访问外部源的 shell 是攻击者用来下载恶意有效负载,然后在计算机上执行并破坏它的一种方法。 这使攻击者能够在远程指导下执行恶意任务。 或者,访问外部源可用于将数据外泄到外部目标。
MITRE 策略:执行
严重性:高/中
(SQL.VM_PotentialSqlInjection)
说明:有人利用 SQL Server 中与操作系统通信的层启动了新的有效负载,同时隐藏了 SQL 查询中的命令。 攻击者通常会隐藏经常受到监视的有效命令,如 xp_cmdshell、sp_add_job 等。 混淆技术会滥用如字符串串联、转换、基更改等合法命令,以避免正则表达式检测并损害日志的可读性。
MITRE 策略:执行
严重性:高/中
注意
对于处于预览状态的警报:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
注意:作者透過 AI 的協助創作了這篇文章。 深入了解