สํารวจความสามารถของ Microsoft Defender for Databases

เสร็จสมบูรณ์เมื่อ

การควบคุมความปลอดภัยของแพลตฟอร์มและบันทึกการตรวจสอบเป็นพื้นฐาน แต่จะไม่แจ้งเตือนคุณเมื่อมีการโจมตีหรือเมื่อบริการ AI เริ่มสืบค้นข้อมูลที่ละเอียดอ่อนในรูปแบบที่ผิดปกติ Microsoft Defender for Databases เติมเต็มช่องว่างนี้ด้วยการให้การตรวจหาภัยคุกคามที่ใช้งานอยู่ การแจ้งเตือนแบบเรียลไทม์ และการสแกนช่องโหว่อัตโนมัติในปริมาณงานฐานข้อมูลของคุณ ที่ Contoso Financial Services ทีมรักษาความปลอดภัยจําเป็นต้องกําหนดแผนที่จะเปิดใช้งานและวิธีกําหนดค่านโยบายการตรวจหา

ไดอะแกรมของแผน Defender สําหรับฐานข้อมูล ความครอบคลุม ความสามารถในการตรวจจับภัยคุกคามที่ใช้ร่วมกัน และ MITRE ATT& การทําแผนที่ CK.

แผน ความครอบคลุม
ฐานข้อมูล Defender for Azure SQL Azure SQL Database, Azure SQL Managed Instance, Azure Synapse Analytics เฉพาะ SQL pools, SQL Server บน Azure VMs, SQL Server บนเครื่องที่เปิดใช้งาน Arc
Defender สําหรับฐานข้อมูลเชิงสัมพันธ์แบบโอเพนซอร์ส Azure Database for PostgreSQL Flexible Server, Azure Database for MySQL Flexible Server, อินสแตนซ์ Amazon RDS—Aurora PostgreSQL, Aurora MySQL, PostgreSQL, MySQL, MariaDB (พรีวิว)

เปรียบเทียบแผน Defender for Databases

Defender for Databases เป็นชุดรวมภายใน Microsoft Defender for Cloud ที่มีแผนย่อยที่มีราคาอิสระสี่แผน: Defender สําหรับฐานข้อมูล Azure SQL Defender สําหรับ SQL Servers บนเครื่อง Defender สําหรับฐานข้อมูลเชิงสัมพันธ์ Open-Source และ Defender for Azure Cosmos DB โมดูลนี้มุ่งเน้นไปที่สองแผนที่เกี่ยวข้องกับสภาพแวดล้อม Azure SQL มากที่สุด แต่ละแผนกําหนดเป้าหมายตระกูลแพลตฟอร์มฐานข้อมูลที่แตกต่างกันและทํางานอย่างอิสระ เปิดใช้งานอย่างใดอย่างหนึ่งหรือทั้งสองอย่างตามสภาพแวดล้อมของคุณ

แผนแรก Defender for Azure SQL Databases ครอบคลุมบริการที่ใช้ Microsoft SQL ทั้งหมด ซึ่งรวมถึง Azure SQL Database (ฐานข้อมูลเดี่ยวและพูลยืดหยุ่น), Azure SQL Managed Instance (รวมถึงแบบจําลองการอ่าน/เขียน), พูล SQL เฉพาะของ Azure Synapse Analytics และ SQL Server ที่ทํางานบนโครงสร้างพื้นฐาน ด้วยแผนนี้ คุณจะปกป้อง SQL Server 2012–2022 ที่ทํางานบนเครื่องเสมือน Azure และ SQL Server บนเครื่องภายในองค์กรหรือมัลติคลาวด์ที่เชื่อมต่อผ่าน Azure Arc ความครอบคลุมที่กว้างขวางนี้หมายความว่าคุณสามารถใช้นโยบายการตรวจจับภัยคุกคามที่สอดคล้องกันทั้งในฐานข้อมูล platform-as-a-service และอินสแตนซ์ SQL ที่โฮสต์โดยโครงสร้างพื้นฐาน

แผนที่สอง Defender สําหรับฐานข้อมูลเชิงสัมพันธ์แบบโอเพนซอร์ส ครอบคลุมปริมาณงาน PostgreSQL และ MySQL แผนนี้ปกป้อง Azure Database for PostgreSQL Flexible Server และ Azure Database for MySQL Flexible Server ในทุกระดับราคา ในการแสดงตัวอย่าง ยังขยายไปยังอินสแตนซ์ Amazon RDS ที่ใช้ Aurora PostgreSQL, Aurora MySQL, PostgreSQL, MySQL และ MariaDB ซึ่งแตกต่างจากแผน Azure SQL แผนนี้ไม่สนับสนุนเซิร์ฟเวอร์ฐานข้อมูลที่ทํางานบนเครื่องเสมือนหรือเครื่องที่เปิดใช้งาน Arc แผนนี้ออกแบบมาสําหรับบริการฐานข้อมูลที่มีการจัดการโดยเฉพาะ

คุณลักษณะ แผน Azure SQL แผนโอเพ่นซอร์ส
ความครอบคลุมของฐานข้อมูล PaaS Yes Yes
ความครอบคลุมของฐานข้อมูล IaaS ใช่ (SQL Server บน VM และ Arc) No
การสนับสนุนมัลติคลาวด์ ใช่ (SQL ที่เปิดใช้งาน Arc) ใช่ (Amazon RDS ในตัวอย่าง)
การตรวจหาภัยคุกคาม Yes Yes
การประเมินช่องโหว่ Yes ไม่ (ไม่รวม)

ความแตกต่างที่สําคัญสําหรับ Contoso คือขอบเขตความครอบคลุม: ถ้าคุณเรียกใช้ SQL Server บนเครื่องเสมือนหรือเซิร์ฟเวอร์ภายในองค์กรด้วย Arc คุณต้องมีแผน Azure SQL หากคุณใช้บริการ PostgreSQL หรือ MySQL ที่มีการจัดการเท่านั้น แผนโอเพนซอร์สจะให้การป้องกันที่เหมาะสม

ตรวจจับภัยคุกคามที่ใช้งานอยู่แบบเรียลไทม์

Defender for Databases วิเคราะห์ข้อมูลฐานข้อมูลเพื่อระบุการโจมตีที่เลี่ยงผ่านเครือข่ายและการควบคุมการเข้าถึง กลไกการตรวจหาจะตรวจสอบรูปแบบการสืบค้น พฤติกรรมการเข้าถึง และความพยายามในการรับรองความถูกต้องอย่างต่อเนื่องเพื่อแสดงภัยคุกคามที่เกิดขึ้น

สําหรับปริมาณงาน Azure SQL Defender จะตรวจพบการโจมตีแบบแทรก SQL โดยการระบุเมื่อแอปพลิเคชันสร้างคําสั่ง SQL ที่มีการป้อนข้อมูลของผู้ใช้ที่เป็นอันตราย ตรรกะการตรวจจับระบุทั้งความพยายามในการฉีดที่สําเร็จและตัวบ่งชี้ช่องโหว่ แม้ว่าผู้โจมตีจะยังไม่ได้ยกระดับสิทธิ์ แต่คุณก็ได้รับการแจ้งเตือนว่าฐานข้อมูลมีช่องโหว่ ที่ Contoso API ธนาคารที่สร้างการสืบค้นแบบไดนามิกจากข้อมูลของลูกค้าจะทริกเกอร์การแจ้งเตือนเมื่อผู้โจมตีพยายามแทรกคําสั่ง ทําให้ทีมรักษาความปลอดภัยสามารถมองเห็นการโจมตีได้ทันที

Defender ยังตรวจจับการเข้าถึงฐานข้อมูลที่ผิดปกติและรูปแบบการสืบค้น บริการจะสร้างพื้นฐานของพฤติกรรมปกติสําหรับแต่ละฐานข้อมูล จากนั้นจะแจ้งเตือนเมื่อมีการเข้าถึงเกิดขึ้นจากตําแหน่งทางภูมิศาสตร์ที่ผิดปกติ ในเวลาที่ไม่คาดคิด หรือด้วยปริมาณการสืบค้นที่เบี่ยงเบนไปจากรูปแบบในอดีตอย่างมีนัยสําคัญ เมื่อบริการตรวจจับการฉ้อโกงที่ขับเคลื่อนด้วย AI ของ Contoso เริ่มสืบค้นตารางธุรกรรมของลูกค้าเวลา 03.00 น. โดยมีปริมาณการสืบค้นปกติ 10 เท่า Defender จะตั้งค่าสถานะว่าเป็นกิจกรรมที่น่าสงสัยแม้ว่าบริการจะใช้ข้อมูลประจําตัวที่ถูกต้องก็ตาม

การโจมตีด้วยกําลังเดรัจฉานปรากฏขึ้นเป็นจํานวนความพยายามในการลงชื่อเข้าใช้ที่ล้มเหลวสูงผิดปกติภายในกรอบเวลาอันสั้น Defender เชื่อมโยงความพยายามเหล่านี้และสร้างการแจ้งเตือนเพียงครั้งเดียวแทนที่จะท่วมคิวของคุณด้วยเหตุการณ์การรับรองความถูกต้องที่ล้มเหลวแต่ละครั้ง กิจกรรมฐานข้อมูลที่น่าสงสัยรวมถึงรูปแบบการเข้าถึงที่เกี่ยวข้องกับตัวบ่งชี้ภัยคุกคามที่รู้จัก เช่น การสืบค้นที่มาจากโฮสต์ที่สื่อสารกับเซิร์ฟเวอร์คําสั่งและควบคุมการขุดสกุลเงินดิจิทัล

การแจ้งเตือนแต่ละครั้งจะมีการแมปกับกลยุทธ์ MITRE ATT&CK ซึ่งช่วยให้ทีมปฏิบัติการรักษาความปลอดภัยของคุณเข้าใจว่าภัยคุกคามนั้นแสดงถึงขั้นตอนใดของห่วงโซ่การโจมตี: การเข้าถึงครั้งแรก บริบทนี้ช่วยเร่งการตัดสินใจในการตอบสนองและช่วยให้คุณจัดลําดับความสําคัญของการแก้ไขตามความคืบหน้าของการโจมตี

ระบุช่องโหว่ก่อนที่ผู้โจมตีจะใช้ประโยชน์จากช่องโหว่เหล่านั้น

การประเมินช่องโหว่จะรวมอยู่ในฐานข้อมูล Defender for Azure SQL เป็นคุณลักษณะแบบรวม ไม่ใช่ผลิตภัณฑ์แยกต่างหาก กลไกการประเมินจะสแกนฐานข้อมูลของคุณโดยอัตโนมัติเพื่อหาการกําหนดค่าความปลอดภัยที่ผิดพลาดและช่องโหว่ที่ทราบ จากนั้นจะสร้างผลการวิจัยที่จัดหมวดหมู่ตามระดับความรุนแรง: คําแนะนําแนวทางปฏิบัติที่ดีที่สุดที่มีความรุนแรงสูง ปานกลาง และต่ํา

ด้วยการกําหนดค่าด่วน (โหมดที่แนะนํา) Microsoft จะจัดการที่เก็บข้อมูลผลการสแกนและไม่จําเป็นต้องกําหนดค่าบัญชีที่เก็บข้อมูล สิ่งที่ค้นพบจะปรากฏโดยตรงในมุมมองคําแนะนําของ Defender for Cloud โดยที่คุณไม่ต้องกําหนดค่าบัญชีพื้นที่จัดเก็บหรือสแกนตัวแทน คุณสามารถทําเครื่องหมายสิ่งที่ค้นพบที่ยอมรับ เช่น การกําหนดค่าที่มีเจตนาสําหรับสภาพแวดล้อมของคุณ เพื่อให้เฉพาะการเบี่ยงเบนใหม่เท่านั้นที่ปรากฏเป็นปัญหาที่เปิดอยู่ แนวทางพื้นฐานนี้ช่วยลดความเหนื่อยล้าของการแจ้งเตือนและมุ่งความสนใจไปที่การเบี่ยงเบนการกําหนดค่า

ที่ Contoso การประเมินช่องโหว่อาจแสดงผลการค้นพบ เช่น ปลายทางฐานข้อมูลที่เข้าถึงได้แบบสาธารณะ การค้นพบแต่ละรายการประกอบด้วยคําแนะนําในการแก้ไขที่ทีมรักษาความปลอดภัยสามารถนําไปใช้ได้ทันทีหรือกําหนดเส้นทางไปยังผู้ดูแลระบบฐานข้อมูลผ่านการรวม Azure DevOps หรือ ServiceNow

Defender for Databases ใช้สถาปัตยกรรมแบบไร้เอเจนต์ในทั้งสองแผน ไม่จําเป็นต้องปรับใช้เอเจนต์บนเซิร์ฟเวอร์ฐานข้อมูล Defender วิเคราะห์ข้อมูลที่เลเยอร์แพลตฟอร์ม Azure วิธีการนี้ทํางานอย่างสม่ําเสมอในฐานข้อมูล platform-as-a-service เช่น Azure SQL Database และอินสแตนซ์ SQL Server ที่โฮสต์โครงสร้างพื้นฐานที่เชื่อมต่อผ่าน Arc คุณจะได้รับการตรวจจับภัยคุกคามที่ใช้งานอยู่โดยไม่ต้องจัดการการอัปเดตตัวแทนหรือแก้ไขปัญหาการเชื่อมต่อ