Erkunden der Fähigkeiten von Microsoft Defender für Datenbanken
Plattformsicherheitssteuerelemente und Überwachungsprotokolle sind grundlegende, aber sie benachrichtigen Sie nicht, wenn ein Angriff ausgeführt wird oder wenn ein KI-Dienst mit der Abfrage vertraulicher Daten in ungewöhnlichen Mustern beginnt. Microsoft Defender für Datenbanken füllt diese Lücke, indem aktive Bedrohungserkennung, Echtzeitwarnungen und automatisierte Sicherheitsrisikoüberprüfungen in Ihren Datenbankworkloads bereitgestellt werden. Bei Contoso Financial Services muss das Sicherheitsteam bestimmen, welche Pläne aktiviert und wie Erkennungsrichtlinien konfiguriert werden sollen.
| Plan | Abdeckung |
|---|---|
| Defender für Azure SQL-Datenbanken | Azure SQL-Datenbank, Azure SQL Managed Instance, Azure Synapse Analytics, dedizierte SQL-Pools, SQL Server auf Azure VMs, SQL Server auf Arc-fähigen Maschinen |
| Defender für relationale Open-Source-Datenbanken | Azure Database for PostgreSQL Flexible Server, Azure Database for MySQL Flexible Server, Amazon RDS-Instanzen – Aurora PostgreSQL, Aurora MySQL, PostgreSQL, MySQL, MariaDB (Preview) |
Vergleichen Sie die Tarife für Defender für Datenbanken
Defender für Datenbanken ist ein Bündel in Microsoft Defender for Cloud, das vier unabhängig preisbezogene Unterpläne enthält: Defender für Azure SQL Datenbanken, Defender für SQL Server auf Computern, Defender für Open-Source relationale Datenbanken und Defender für Azure Cosmos DB. Dieses Modul konzentriert sich auf die beiden Pläne, die für Azure SQL Umgebungen am relevantesten sind. Jeder Plan zielt auf eine andere Datenbankplattformfamilie ab und arbeitet unabhängig. Aktivieren Sie eine oder beide basierend auf Ihrer Umgebung.
Der erste Plan, Defender für Azure SQL Datenbanken, umfasst alle Microsoft SQL-basierten Dienste. Dazu gehören Azure SQL-Datenbank (einzelne Datenbanken und elastische Pools), Azure SQL Managed Instance (einschließlich Lese-/Schreibreplikate), Azure Synapse Analytics dedizierten SQL-Pools und SQL Server, die auf der Infrastruktur ausgeführt werden. Mit diesem Plan schützen Sie SQL Server 2012–2022, die auf Azure virtuellen Computern ausgeführt werden, und SQL Server auf lokalen oder multicloud-Computern, die über Azure Arc verbunden sind. Diese breite Abdeckung bedeutet, dass Sie konsistente Richtlinien für die Bedrohungserkennung sowohl für Plattform-as-a-Service-Datenbanken als auch für in der Infrastruktur gehostete SQL-Instanzen anwenden können.
Der zweite Plan, Defender für relationale Open-Source-Datenbanken, umfasst PostgreSQL- und MySQL-Workloads. Dieser Plan schützt Azure Database for PostgreSQL Flexible Server und Azure Database for MySQL Flexible Server in allen Preisklassen. In der Vorschau erstreckt es sich auch auf Amazon RDS-Instanzen mit Aurora PostgreSQL, Aurora MySQL, PostgreSQL, MySQL und MariaDB. Im Gegensatz zum Azure SQL Plan unterstützt dieser Plan keine Datenbankserver, die auf virtuellen Computern oder Arc-fähigen Computern ausgeführt werden. Der Plan wurde ausschließlich für verwaltete Datenbankdienste entwickelt.
| Merkmal | Azure SQL-Plan | Open-Source-Plan |
|---|---|---|
| PaaS-Datenbankabdeckung | Yes | Yes |
| IaaS-Datenbankabdeckung | Ja (SQL Server auf VMs und Azure Arc) | No |
| Multicloudunterstützung | Ja (Arc-enabled SQL) | Ja (Amazon RDS in der Vorschau) |
| Bedrohungserkennung | Yes | Yes |
| Sicherheitsrisikobewertung | Yes | Nein (nicht enthalten) |
Der hauptunterschied für Contoso ist der Abdeckungsbereich: Wenn Sie SQL Server auf virtuellen Computern oder lokalen Servern mit Arc ausführen, benötigen Sie den Azure SQL Plan. Wenn Sie nur verwaltete PostgreSQL- oder MySQL-Dienste verwenden, bietet der Open-Source-Plan den entsprechenden Schutz.
Erkennen aktiver Bedrohungen in Echtzeit
Defender für Datenbanken analysiert Datenbankinformationen, um Angriffe zu identifizieren, die Netzwerk- und Zugriffssteuerungen umgehen. Das Erkennungsmodul überwacht kontinuierlich Abfragemuster, Zugriffsverhalten und Authentifizierungsversuche, um Bedrohungen beim Auftreten zu erkennen.
Bei Azure SQL Workloads erkennt Defender SQL-Einfügungsangriffe, indem sie erkennen, wann Anwendungen SQL-Anweisungen erstellen, die böswillige Benutzereingaben enthalten. Die Erkennungslogik identifiziert sowohl erfolgreiche Einfügungsversuche als auch Schwachstellenindikatoren. Auch wenn der Angreifer noch keine Berechtigungen eskaliert hat, erhalten Sie eine Warnung, dass die Datenbank anfällig ist. Bei Contoso löst die Banking-API, die dynamische Abfragen von Kundeneingaben erstellt, eine Warnung aus, wenn ein Angreifer versucht, Befehle einzufügen, wodurch das Sicherheitsteam sofort Einblick in den Angriff erhält.
Defender erkennt auch anomale Datenbankzugriffs- und Abfragemuster. Der Dienst richtet einen Basisplan für normales Verhalten für jede Datenbank ein, warnt dann, wenn der Zugriff von ungewöhnlichen geografischen Standorten, zu unerwarteten Zeiten oder mit Abfragevolumes erfolgt, die erheblich von historischen Mustern abweichen. Wenn der KI-gestützte Betrugserkennungsdienst von Contoso mit der Abfrage von Kundentransaktionstabellen um 3:00 Uhr beginnt, wobei das normale Abfragevolumen 10 mal ist, Defender dies als verdächtige Aktivität kennzeichnet, obwohl der Dienst legitime Anmeldeinformationen verwendet.
Brute-Force-Angriffe werden als ungewöhnlich hohe Anzahl fehlgeschlagener Anmeldeversuche innerhalb eines kurzen Zeitfensters angezeigt. Defender korreliert diese Versuche und generiert eine einzelne Warnung, anstatt Ihre Warteschlange mit einzelnen fehlgeschlagenen Authentifizierungsereignissen zu überfluten. Verdächtige Datenbankaktivitäten umfassen Zugriffsmuster, die bekannten Bedrohungsindikatoren zugeordnet sind, z. B. Abfragen, die von einem Host stammen, der mit Krypto-Mining-Befehls- und Kontrollservern kommuniziert.
Jede Warnung enthält eine Zuordnung zu MITRE ATT&CK-Taktiken und hilft Ihrem Sicherheitsteam zu verstehen, welche Phase der Angriffskette die Bedrohung darstellt: anfänglicher Zugriff, Persistenz oder Exfiltration. Dieser Kontext beschleunigt Reaktionsentscheidungen und hilft Ihnen, die Behebung basierend auf der Angriffsentwicklung zu priorisieren.
Identifizieren von Sicherheitsrisiken, bevor Angreifer sie ausnutzen
Die Sicherheitsrisikobewertung ist in Defender für Azure SQL Datenbanken als integriertes Feature und kein separates Produkt enthalten. Das Bewertungsmodul überprüft Ihre Datenbanken automatisch auf Sicherheitsfehler und bekannte Sicherheitsrisiken und generiert dann Ergebnisse, die nach Schweregrad kategorisiert sind: Empfehlungen für hohe, mittlere und niedrigere Schweregrade.
Mit der Express-Konfiguration (dem empfohlenen Modus) verwaltet Microsoft Scanergebnisspeicher und es ist keine Konfiguration des Speicherkontos erforderlich. Ergebnisse werden direkt in der Empfehlungsansicht Defender for Cloud angezeigt, ohne dass Sie Speicherkonten oder Scan-Agents konfigurieren müssen. Sie können akzeptierte Ergebnisse , z. B. Konfigurationen, die für Ihre Umgebung beabsichtigt sind, markieren, sodass nur neue Abweichungen als offene Probleme angezeigt werden. Dieser grundlegende Ansatz trägt zur Reduzierung von „Warnungsmüdigkeit” bei und lenkt Ihre Aufmerksamkeit auf die Konfigurationsabweichung.
Bei Contoso kann die Sicherheitsrisikobewertung Ergebnisse wie öffentlich zugängliche Datenbankendpunkte, schwache Kennwortrichtlinien oder fehlende ruhende Verschlüsselung anzeigen. Jeder Befund enthält Anleitungen zur Behebung, die das Sicherheitsteam sofort anwenden oder über Azure DevOps- oder ServiceNow-Integrationen an Datenbankadministratoren übermitteln kann.
Defender für Datenbanken verwendet eine agentlose Architektur in beiden Plänen. Auf Datenbankservern ist keine Agentbereitstellung erforderlich. Defender analysiert Informationen auf der Azure Plattformebene. Dieser Ansatz funktioniert einheitlich über Plattform-as-a-Service-Datenbanken wie Azure SQL-Datenbank und infrastrukturgehostete SQL Server Instanzen, die über Arc verbunden sind. Sie erhalten eine aktive Bedrohungserkennung, ohne Agentupdates zu verwalten oder Konnektivitätsprobleme zu beheben.