Eksplorowanie możliwości Microsoft Defender dla baz danych

Ukończone

Podstawowe mechanizmy kontroli zabezpieczeń i dzienniki inspekcji platformy nie ostrzegają, gdy atak jest w toku lub gdy usługa sztucznej inteligencji rozpoczyna wykonywanie zapytań o poufne dane w nietypowych wzorcach. Microsoft Defender dla baz danych wypełnia tę lukę, zapewniając aktywne wykrywanie zagrożeń, alerty w czasie rzeczywistym i automatyczne skanowanie luk w zabezpieczeniach w obciążeniach bazy danych. W firmie Contoso Financial Services zespół ds. zabezpieczeń musi określić, które plany mają być włączone i jak skonfigurować zasady wykrywania.

Diagram planów Defendera dla baz danych, zakresu, wspólnych funkcji wykrywania zagrożeń i mapowania MITRE ATT&CK.

Plan Coverage
Defender dla baz danych Azure SQL Azure SQL Database, Azure SQL Managed Instance, dedykowane pule SQL w Azure Synapse Analytics, SQL Server na maszynach wirtualnych Azure, SQL Server na maszynach z obsługą usługi Arc
Usługa Defender dla relacyjnych baz danych typu open source Azure Database for PostgreSQL serwer elastyczny, Azure Database for MySQL serwer elastyczny, wystąpienia usługi Amazon RDS — Aurora PostgreSQL, Aurora MySQL, PostgreSQL, MySQL, MariaDB (wersja zapoznawcza)

Porównanie planów Defender dla baz danych

Defender for Databases to pakiet w Microsoft Defender dla Chmury, który zawiera cztery niezależnie wyceniane podplany: Defender dla baz danych Azure SQL, Defender dla serwerów SQL Server na maszynach, Defender dla Open-Source relacyjnych baz danych i Defender dla Azure Cosmos DB. Ten moduł koncentruje się na dwóch planach, które mają największe znaczenie dla Azure SQL środowisk. Każdy plan jest przeznaczony dla innej rodziny platformy baz danych i działa niezależnie. Włącz jedną lub obie elementy w zależności od środowiska.

Pierwszy plan, Defender dla baz danych Azure SQL, obejmuje wszystkie usługi oparte na języku SQL Microsoft. Dotyczy to Azure SQL Database (pojedynczych baz danych i elastycznych pul), Azure SQL Managed Instance (w tym replik do odczytu/zapisu), dedykowanych pul SQL w Azure Synapse Analytics oraz SQL Server uruchomionego w infrastrukturze. Dzięki temu planowi można chronić SQL Server 2012–2022 uruchomione na maszynach wirtualnych Azure i SQL Server lokalnych lub wielochmurowych maszyn połączonych za pośrednictwem Azure Arc. Ten szeroki zakres oznacza, że można stosować spójne zasady wykrywania zagrożeń w obu bazach danych typu "platforma jako usługa" i wystąpieniach SQL hostowanych w infrastrukturze.

Drugi plan, Defender dla relacyjnych baz danych typu open source, obejmuje obciążenia PostgreSQL i MySQL. Ten plan chroni serwer elastyczny Azure Database for PostgreSQL i serwer elastyczny Azure Database for MySQL we wszystkich warstwach cenowych. W wersji zapoznawczej jest ona również rozszerzana na wystąpienia usługi Amazon RDS z uruchomionymi usługami Aurora PostgreSQL, Aurora MySQL, PostgreSQL, MySQL i MariaDB. W przeciwieństwie do planu Azure SQL ten plan nie obsługuje serwerów baz danych działających na maszynach wirtualnych ani maszynach z obsługą usługi Arc. Plan jest przeznaczony wyłącznie dla zarządzanych usług baz danych.

Funkcja Plan dla Azure SQL Plan open source
Pokrycie bazy danych PaaS Yes Yes
Pokrycie bazy danych IaaS Tak (SQL Server na maszynach wirtualnych i w usłudze Arc) No
Obsługa wielu chmur Tak (SQL z obsługą Arc) Tak (Amazon RDS w wersji zapoznawczej)
Wykrywanie zagrożeń Yes Yes
Ocena luk w zabezpieczeniach Yes Nie (niewłączone)

Kluczową różnicą dla firmy Contoso jest zakres pokrycia: jeśli uruchamiasz SQL Server na maszynach wirtualnych lub serwerach lokalnych z usługą Arc, potrzebujesz planu Azure SQL. Jeśli używasz tylko zarządzanych usług PostgreSQL lub MySQL, plan open source zapewnia odpowiednią ochronę.

Wykrywanie aktywnych zagrożeń w czasie rzeczywistym

Defender dla baz danych analizuje informacje o bazie danych w celu zidentyfikowania ataków, które pomijają mechanizmy kontroli dostępu i sieci. Aparat wykrywania stale monitoruje wzorce zapytań, zachowania dostępu oraz próby uwierzytelniania, aby wykrywać zagrożenia na bieżąco.

W przypadku obciążeń Azure SQL Defender wykrywa ataki iniekcyjne SQL, identyfikując, kiedy aplikacje konstruowają instrukcje SQL, które zawierają złośliwe dane wejściowe użytkownika. Logika wykrywania identyfikuje zarówno pomyślne próby wstrzyknięcia, jak i wskaźniki luk w zabezpieczeniach. Nawet jeśli atakujący nie zwiększył jeszcze uprawnień, otrzymasz alert, że baza danych jest podatna. W firmie Contoso interfejs API bankowości, który konstruuje dynamiczne zapytania z danych wejściowych klienta, wyzwoli alert, gdy osoba atakująca spróbuje wstrzyknąć polecenia, zapewniając zespołowi ds. zabezpieczeń natychmiastowy wgląd w atak.

Defender wykrywa również nietypowy dostęp do bazy danych i wzorce zapytań. Usługa ustanawia punkt odniesienia normalnego zachowania dla każdej bazy danych, a następnie wysyła alert, gdy dostęp występuje z nietypowych lokalizacji geograficznych, w nieoczekiwanym czasie lub z ilością zapytań, które znacznie odbiegają od wzorców historycznych. Gdy usługa wykrywania oszustw oparta na sztucznej inteligencji firmy Contoso rozpoczyna wykonywanie zapytań dotyczących tabel transakcji klientów o godzinie 3:00 z 10 razy normalnym woluminem zapytań, Defender flaguje to jako podejrzane działanie, mimo że usługa używa wiarygodnych poświadczeń.

Ataki typu brute force objawiają się jako nietypowo duża liczba nieudanych prób logowania w krótkim przedziale czasu. Defender koreluje te próby i generuje pojedynczy alert, a nie zalewa kolejkę pojedynczymi zdarzeniami uwierzytelniania, które zakończyły się niepowodzeniem. Podejrzane działanie bazy danych obejmuje wzorce dostępu skojarzone ze znanymi wskaźnikami zagrożeń, takie jak zapytania pochodzące z hosta komunikującego się z serwerami poleceń i kontroli kryptowalut.

Każdy alert zawiera mapowanie taktyki MITRE ATT&CK, pomagając zespołowi ds. operacji zabezpieczeń zrozumieć, który etap łańcucha ataków reprezentuje zagrożenie: początkowy dostęp, trwałość lub eksfiltrację. Ten kontekst przyspiesza podejmowanie decyzji dotyczących odpowiedzi i pomaga określić priorytety korygowania w oparciu o postęp ataku.

Identyfikowanie luk w zabezpieczeniach przed wykorzystaniem ich przez osoby atakujące

Ocena luk w zabezpieczeniach jest uwzględniana w Defender dla baz danych Azure SQL jako funkcji zintegrowanej, a nie oddzielnego produktu. Aparat oceny automatycznie skanuje bazy danych pod kątem błędów konfiguracji zabezpieczeń i znanych luk w zabezpieczeniach, a następnie generuje wyniki podzielone na kategorie według poziomu ważności: Zalecenia dotyczące najlepszych rozwiązań o wysokiej, średniej i niższej ważności.

W przypadku konfiguracji express (tryb zalecany) Microsoft zarządza magazynem wyników skanowania i nie jest wymagana żadna konfiguracja konta magazynu. Wyniki pojawiają się bezpośrednio w widoku zaleceń w Defender dla Chmury, bez potrzeby konfigurowania kont magazynu czy agentów skanowania. Możesz oznaczyć zaakceptowane wyniki , takie jak konfiguracje, które są zamierzone dla danego środowiska, więc tylko nowe odchylenia pojawiają się jako otwarte problemy. To podejście bazowe zmniejsza zmęczenie alertami i skupia uwagę na dryfie konfiguracji.

W firmie Contoso ocena luk w zabezpieczeniach może uwidocznić wyniki, takie jak publicznie dostępne punkty końcowe bazy danych, słabe zasady haseł lub brak szyfrowania w spoczynku. Każde odkrycie zawiera wskazówki dotyczące korygowania, które zespół ds. zabezpieczeń może stosować natychmiast lub kierować do administratorów baz danych za pomocą Azure DevOps lub integracji usługi ServiceNow.

Defender dla baz danych używa architektury bez agenta w obu planach. Wdrożenie agenta nie jest wymagane na serwerach baz danych. Defender analizuje informacje w warstwie platformy Azure. Takie podejście działa jednolicie w bazach danych typu "platforma jako usługa", takich jak Azure SQL Database i wystąpieniach SQL Server hostowanych w infrastrukturze, połączonych poprzez Arc. Aktywne wykrywanie zagrożeń można uzyskać bez konieczności zarządzania aktualizacjami agenta lub rozwiązywania problemów z łącznością.