Activați și monitorizați auditul bazei de date

Finalizat

Auditul pentru baza de date Azure Structured Query Language (SQL) și Azure Synapse Analytics urmărește evenimentele bazei de date și le scrie într-un jurnal de audit din contul de stocare Azure, spațiul de lucru Log Analytics sau Huburile de evenimente.

De asemenea, auditul:

  • Vă ajută să mențineți conformitatea cu reglementările, să înțelegeți activitatea bazei de date și să obțineți informații despre discrepanțe și anomalii care ar putea indica probleme de afaceri sau încălcări suspectate de securitate.
  • Permite și facilitează respectarea standardelor de conformitate, deși nu garantează conformitatea.

Prezentare generală

Puteți utiliza auditarea bazei de date SQL pentru:

  • Păstrați o pistă de audit a evenimentelor selectate. Puteți defini categorii de acțiuni ale bazei de date care urmează să fie auditate.
  • Raport privind activitatea bazei de date. Puteți utiliza rapoarte preconfigurate și un tablou de bord pentru a începe rapid cu rapoartele de activitate și evenimente.
  • Analizați rapoartele. Puteți găsi evenimente suspecte, activități neobișnuite și tendințe.

Auditul pentru baza de date SQL Azure, pool-urile SQL Azure Synapse Analytics și Instanța gestionată Azure SQL este optimizată pentru disponibilitatea și performanța bazei de date sau a instanței auditate. În perioadele de activitate foarte mare sau de încărcare mare a rețelei, caracteristica de audit poate permite tranzacțiilor să continue fără a înregistra toate evenimentele marcate pentru audit.

Mai jos este prezentată configurația auditului utilizând portalul Azure.

Captură de ecran care arată un exemplu de configurare de audit utilizând portalul Azure.

Limitări de audit

  • Activarea auditului pe un pool SQL Azure Synapse întrerupt nu este acceptată. Pentru a activa auditul, reluați pool-ul Synapse SQL.
  • Activarea auditului utilizând User Assigned Managed Identity (UAMI) nu este acceptată în Azure Synapse.
  • Auditarea pentru pool-urile SQL Azure Synapse acceptă numai grupuri de acțiuni de audit implicite.
  • Atunci când configurați auditul pentru un server logic în Azure sau Azure SQL Database cu destinația jurnalului ca cont de stocare, modul de autentificare trebuie să corespundă configurației pentru acel cont de stocare. Dacă utilizați chei de acces la stocare ca tip de autentificare, contul de stocare țintă trebuie să fie activat cu acces la cheile contului de stocare. Dacă contul de stocare este configurat să utilizeze numai autentificarea cu Microsoft Entra ID (anterior Azure Active Directory), auditarea poate fi configurată pentru a utiliza identități gestionate pentru autentificare.

Observații

  • Stocarea premium cu BlockBlobStorage este acceptată. Stocarea standard este acceptată. Cu toate acestea, pentru ca auditul să scrie într-un cont de stocare din spatele unei rețele virtuale sau a unui firewall, trebuie să aveți un cont de stocare v2 de uz general. Dacă aveți un cont de stocare v1 sau Blob de uz general, faceți upgrade la un cont de stocare v2 de uz general. Pentru instrucțiuni specifice, consultați Scrierea auditului într-un cont de stocare din spatele unei rețele virtuale și a paravanului de protecție.
  • Este acceptat spațiul de nume ierarhic pentru toate tipurile de cont de stocare standard și cont de stocare premium cu BlockBlobStorage.
  • Jurnalele de audit sunt scrise pentru a adăuga bloburi într-un Azure Blob Storage pe abonamentul Azure
  • Jurnalele de audit sunt în format .xel și pot fi deschise cu SQL Server Management Studio (SSMS).
  • Pentru a configura un depozit de jurnale imuabil pentru evenimentele de audit la nivel de server sau bază de date, urmați instrucțiunile furnizate de Stocarea Azure. Asigurați-vă că ați selectat Permiteți adăugări suplimentare atunci când configurați stocarea blob imuabilă.
  • Puteți scrie jurnale de audit într-un cont de stocare Azure în spatele unei rețele virtuale sau a unui firewall.
  • Pentru detalii despre formatul jurnalului, ierarhia folderului de stocare și convențiile de denumire, consultați Referința formatului jurnalului de audit blob.
  • Auditarea replicilor doar în citire este activată automat.
  • Când utilizați autentificarea Microsoft Entra, înregistrările de conectare eșuate nu apar în jurnalul de audit SQL. Pentru a vizualiza înregistrările de audit de conectare eșuate, trebuie să vizitați centrul de administrare Microsoft Entra, care înregistrează detaliile acestor evenimente.
  • Datele de conectare sunt direcționate de gateway către instanța specifică în care se află baza de date. Cu conectările Microsoft Entra, acreditările sunt verificate înainte de a încerca să utilizeze acel utilizator pentru a se conecta la baza de date solicitată. În caz de eșec, baza de date solicitată nu este niciodată accesată, deci nu are loc niciun audit. Cu autentificările SQL, acreditările sunt verificate pe datele solicitate, astfel încât în acest caz pot fi auditate. Conectările reușite, care ajung evident în baza de date, sunt auditate în ambele cazuri.
  • După ce ați configurat setările de auditare, puteți activa noua funcție de detectare a amenințărilor și puteți configura e-mailurile pentru a primi alerte de securitate. Când utilizați detectarea amenințărilor, primiți alerte proactive despre activitățile anormale ale bazei de date care pot indica potențiale amenințări de securitate.
  • După ce o bază de date cu auditul activat este copiată pe un alt server logic, este posibil să primiți un e-mail care vă anunță că auditul a eșuat. Aceasta este o problemă cunoscută, iar auditul ar trebui să funcționeze conform așteptărilor pe baza de date nou copiată.