Esplorare Microsoft Defender per le funzionalità dei database

Completato

I controlli di sicurezza della piattaforma e i log di controllo sono fondamentali, ma non avvisano quando è in corso un attacco o quando un servizio di intelligenza artificiale inizia a eseguire query sui dati sensibili in modelli insoliti. Microsoft Defender per i database riempie questo divario fornendo il rilevamento attivo delle minacce, gli avvisi in tempo reale e l'analisi automatizzata delle vulnerabilità nei carichi di lavoro del database. In Contoso Financial Services, il team di sicurezza deve determinare quali piani abilitare e come configurare i criteri di rilevamento.

Diagramma di Defender per Database, con copertura, funzionalità condivise di rilevamento delle minacce e mappatura MITRE ATT&CK.

Plan Coverage
Defender per i database Azure SQL database SQL di Azure, Istanza gestita di SQL di Azure, pool SQL dedicati di Azure Synapse Analytics, SQL Server in macchine virtuali Azure, SQL Server in macchine abilitate per Arc
Defender per database relazionali open source Server Flessibile Database di Azure per PostgreSQL, Server Flessibile Database di Azure per MySQL, Istanze di Amazon RDS: Aurora PostgreSQL, Aurora MySQL, PostgreSQL, MySQL, MariaDB (Anteprima)

Confrontare Defender per i piani di database

Defender per database è un bundle all'interno di Microsoft Defender per il cloud che contiene quattro sottopiani a prezzo indipendente: Defender per database Azure SQL, Defender per SQL Server in computer, Defender per database relazionali Open-Source e Defender per Azure Cosmos DB. Questo modulo è incentrato sui due piani più rilevanti per gli ambienti Azure SQL. Ogni piano è destinato a una famiglia di piattaforme di database diversa e opera in modo indipendente. Abilitare uno o entrambi in base all'ambiente in uso.

Il primo piano, Defender per i database Azure SQL, copre tutti i servizi basati su SQL Microsoft. Sono inclusi database SQL di Azure (database singoli e pool elastici), Istanza gestita di SQL di Azure (incluse le repliche di lettura/scrittura), Azure Synapse Analytics pool SQL dedicati e SQL Server in esecuzione nell'infrastruttura. Con questo piano, è possibile proteggere SQL Server 2012-2022 in esecuzione in macchine virtuali Azure e SQL Server computer locali o multicloud connessi tramite Azure Arc. Questa copertura generale consente di applicare criteri di rilevamento delle minacce coerenti sia nei database come servizio che nelle istanze SQL ospitate nell'infrastruttura.

Il secondo piano, Defender per i database relazionali open source, copre i carichi di lavoro PostgreSQL e MySQL. Questo piano protegge Database di Azure per PostgreSQL Server Flessibile e Database di Azure per MySQL Server Flessibile attraverso tutti i livelli di prezzo. In anteprima, si estende anche alle istanze di Amazon RDS che eseguono Aurora PostgreSQL, Aurora MySQL, PostgreSQL, MySQL e MariaDB. A differenza del piano Azure SQL, questo piano non supporta i server di database in esecuzione in macchine virtuali o computer abilitati per Arc. Il piano è progettato esclusivamente per i servizi di database gestiti.

Caratteristica / Funzionalità piano Azure SQL Piano open source
Copertura del database PaaS Yes Yes
Copertura del database IaaS Sì (SQL Server nelle macchine virtuali e in Arc) No
Supporto per più cloud: Sì (SQL con supporto Arc) Sì (Amazon RDS in anteprima)
Rilevamento delle minacce Yes Yes
Valutazione della vulnerabilità Yes No (non incluso)

La differenza principale per Contoso è l'ambito di copertura: se si esegue SQL Server in macchine virtuali o server locali con Arc, è necessario il piano di Azure SQL. Se si usano solo servizi PostgreSQL o MySQL gestiti, il piano open source fornisce la protezione appropriata.

Rilevare le minacce attive in tempo reale

Defender per i database analizza le informazioni sul database per identificare gli attacchi che ignorano i controlli di rete e di accesso. Il motore di rilevamento monitora continuamente i modelli di interrogazione, il comportamento di accesso e i tentativi di autenticazione per far emergere le minacce al momento della loro occorrenza.

Per i carichi di lavoro su Azure SQL, Defender rileva gli attacchi di SQL injection identificando quando le applicazioni creano istruzioni SQL che includono input dannoso da parte dell'utente. La logica di rilevamento identifica sia i tentativi di inserimento riusciti che gli indicatori di vulnerabilità. Anche se l'utente malintenzionato non ha ancora eseguito l'escalation dei privilegi, viene visualizzato un avviso che indica che il database è vulnerabile. In Contoso, l'API bancaria che costruisce query dinamiche dall'input del cliente attiva un avviso quando un utente malintenzionato tenta di inserire comandi, offrendo al team di sicurezza la visibilità immediata sull'attacco.

Defender rileva anche modelli di query e accesso anomalo al database. Il servizio stabilisce una linea di base del comportamento normale per ogni database, quindi avvisa quando si verifica l'accesso da posizioni geografiche insolite, in momenti imprevisti o con volumi di query che deviano significativamente dai modelli cronologici. Quando il servizio di rilevamento delle frodi basate su intelligenza artificiale di Contoso inizia a eseguire query sulle tabelle delle transazioni dei clienti alle 3:00 con 10 volte il normale volume di query, Defender contrassegna questa operazione come attività sospetta anche se il servizio usa credenziali legittime.

Gli attacchi di forza bruta vengono visualizzati come numeri anomali di tentativi di accesso non riusciti entro un breve intervallo di tempo. Defender correla questi tentativi e genera un singolo avviso anziché inondare la coda con singoli eventi di autenticazione non riusciti. L'attività di database sospetta include modelli di accesso associati a indicatori di minaccia noti, ad esempio le query provenienti da un host che comunica con i server di data mining e controllo di criptovaluta.

Ogni avviso include un mapping alle tattiche MITRE ATT&CK, aiutando il team delle operazioni di sicurezza a comprendere quale fase della catena di attacchi rappresenta la minaccia: accesso iniziale, persistenza o esfiltrazione. Questo contesto accelera le decisioni di risposta e consente di classificare in ordine di priorità la correzione in base alla progressione degli attacchi.

Identificare le vulnerabilità prima che gli utenti malintenzionati li sfruttano

La valutazione della vulnerabilità è inclusa in Defender per i database Azure SQL come funzionalità integrata, non un prodotto separato. Il motore di valutazione analizza automaticamente i database per rilevare errori di configurazione della sicurezza e vulnerabilità note, quindi genera i risultati classificati in base al livello di gravità: raccomandazioni sulle procedure consigliate per alta, media e bassa gravità.

Con la configurazione rapida (modalità consigliata), Microsoft gestisce l'archiviazione dei risultati dell'analisi e non è necessaria alcuna configurazione dell'account di archiviazione. I risultati vengono visualizzati direttamente nella visualizzazione delle raccomandazioni di Defender per il cloud senza dover configurare gli account di archiviazione o gli agenti di analisi. È possibile contrassegnare i risultati accettati, ad esempio le configurazioni intenzionali per l'ambiente, in modo che solo le nuove deviazioni vengano rilevate come problemi aperti. Questo approccio di base riduce l'affaticamento degli avvisi e concentra l'attenzione sulla deriva della configurazione.

**Presso Contoso, la valutazione della vulnerabilità potrebbe presentare risultati come endpoint di database accessibili pubblicamente, politiche di password deboli o mancanza di crittografia per i dati inattivi. Ogni ricerca include indicazioni sulla correzione che il team di sicurezza può applicare immediatamente o instradare agli amministratori di database tramite integrazioni di Azure DevOps o ServiceNow.

Defender per i database usa un'architettura senza agente in entrambi i piani. Non è necessaria alcuna distribuzione dell'agente nei server di database. Defender analizza le informazioni a livello di piattaforma Azure. Questo approccio funziona in modo uniforme tra database platform-as-a-service come database SQL di Azure e istanze di SQL Server ospitate dall'infrastruttura connesse tramite Arc. È possibile ottenere il rilevamento delle minacce attivo senza gestire gli aggiornamenti dell'agente o risolvere i problemi di connettività.