Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Sicherheitswarnungen aufgeführt, die Sie möglicherweise für SQL-Datenbank und Azure Synapse Analytics erhalten. Microsoft Defender für Cloud und alle aktivierten Microsoft Defender-Pläne generieren diese Warnungen. Welche Warnungen in Ihrer Umgebung angezeigt werden, hängt von den Ressourcen und Diensten, die Sie schützen, sowie von Ihrer angepassten Konfiguration ab.
Hinweis
Einige der kürzlich hinzugefügten Warnungen, die von Microsoft Defender Threat Intelligence und Microsoft Defender für Endpunkt unterstützt werden, sind möglicherweise nicht dokumentiert.
Informationen zur Reaktion auf diese Warnungen
Informationen zum Exportieren von Warnungen
Hinweis
Warnungen aus unterschiedlichen Quellen erfordern möglicherweise unterschiedlich lange Zeit, bis sie angezeigt werden. Beispielsweise kann es länger dauern, bis Warnungen, die eine Analyse des Netzwerkdatenverkehrs erfordern, angezeigt werden, als das Anzeigen von Warnungen im Zusammenhang mit verdächtigen Prozessen auf virtuellen Computern.
SQL-Datenbank und Azure Synapse Analytics-Warnungen
Eine mögliche Sicherheitsanfälligkeit in SQL Injection
(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
Beschreibung: Eine Anwendung generiert eine fehlerhafte SQL-Anweisung in der Datenbank. Dies weist auf eine mögliche Sicherheitsanfälligkeit bei SQL-Einfügungsangriffen hin. Es gibt zwei mögliche Gründe für eine fehlerhafte Anweisung. Ein Fehler im Anwendungscode kann die fehlerhafte SQL-Anweisung erstellen. Oder Anwendungscode oder gespeicherte Prozeduren bereinigen keine Benutzereingaben beim Erstellen der fehlerhaften SQL-Anweisung, die für die SQL-Einfügung ausgenutzt werden kann.
MITRE-Taktiken: Pre-Attack
Schweregrad: Mittel
Anmeldeaktivitäten von einer potenziell schädlichen Anwendung
(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
Beschreibung: Eine potenziell schädliche Anwendung hat versucht, auf Ihre Ressource zuzugreifen.
MITRE-Taktiken: Pre-Attack
Schweregrad: hoch
Melden Sie sich über ein ungewöhnliches Azure Data Center an
(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
Beschreibung: Es gab eine Änderung des Zugriffsmusters für einen SQL Server, bei dem sich jemand von einem ungewöhnlichen Azure Data Center aus beim Server angemeldet hat. In einigen Fällen erkennt die Warnung eine legitime Aktion (eine neue Anwendung oder einen neuen Azure-Dienst). In anderen Fällen erkennt die Warnung eine böswillige Aktion (Angreifer, die von verletzter Ressource in Azure ausgeführt werden).
MITRE-Taktiken: Probing
Schweregrad: Niedrig
Melden Sie sich von einem ungewöhnlichen Ort an
(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
Beschreibung: Es gab eine Änderung des Zugriffsmusters für SQL Server, bei dem sich jemand von einem ungewöhnlichen geografischen Standort an dem Server angemeldet hat. In einigen Fällen erkennt die Warnung eine legitime Aktion (eine neue Anwendung oder Entwicklerwartung). In anderen Fällen erkennt die Warnung eine böswillige Aktion (ein ehemaliger Mitarbeiter oder externer Angreifer).
MITRE-Taktiken: Ausbeutung
Schweregrad: Mittel
Anmeldung von einem Prinzipalbenutzer, der in 60 Tagen nicht angezeigt wurde
(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
Beschreibung: Ein Prinzipalbenutzer, der in den letzten 60 Tagen nicht gesehen wurde, hat sich bei Ihrer Datenbank angemeldet. Wenn diese Datenbank neu ist oder das Verhalten durch kürzlich vorgenommene Änderungen der Benutzer verursacht wird, die auf die Datenbank zugreifen, identifiziert Defender für Cloud erhebliche Änderungen an den Zugriffsmustern und versucht, zukünftige falsch positive Ergebnisse zu verhindern.
MITRE-Taktiken: Ausbeutung
Schweregrad: Mittel
Anmeldung von einer Domäne, die in 60 Tagen nicht angezeigt wurde
(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
Beschreibung: Ein Benutzer hat sich von einer Domäne aus bei Ihrer Ressource angemeldet, von der in den letzten 60 Tagen keine anderen Benutzer verbunden sind. Wenn diese Ressource neu ist oder das Verhalten durch aktuelle Änderungen der Benutzer verursacht wird, die auf die Ressource zugreifen, identifiziert Defender für Cloud erhebliche Änderungen an den Zugriffsmustern und versucht, zukünftige falsch positive Ergebnisse zu verhindern.
MITRE-Taktiken: Ausbeutung
Schweregrad: Mittel
Melden Sie sich von einer verdächtigen IP an
(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
Beschreibung: Auf Ihre Ressource wurde erfolgreich über eine IP-Adresse zugegriffen, die Microsoft Threat Intelligence verdächtigen Aktivitäten zugeordnet hat.
MITRE-Taktiken: Pre-Attack
Schweregrad: Mittel
Potenzielle SQL-Einfügung
(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
Beschreibung: Ein aktiver Exploit ist gegen eine identifizierte Anwendung aufgetreten, die für die SQL-Einfügung anfällig ist. Dies bedeutet, dass ein Angreifer versucht, schädliche SQL-Anweisungen mithilfe des anfälligen Anwendungscodes oder gespeicherter Prozeduren einzujizieren.
MITRE-Taktiken: Pre-Attack
Schweregrad: hoch
Mutmaßlicher Brute-Force-Angriff mit einem gültigen Benutzer
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Beschreibung: Ein potenzieller Brute-Force-Angriff wurde für Ihre Ressource erkannt. Der Angreifer verwendet den gültigen Benutzer (Benutzername), der über die Berechtigung zum Anmelden verfügt.
MITRE-Taktiken: Pre-Attack
Schweregrad: hoch
Mutmaßlicher Brute-Force-Angriff
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Beschreibung: Ein potenzieller Brute-Force-Angriff wurde für Ihre Ressource erkannt.
MITRE-Taktiken: Pre-Attack
Schweregrad: hoch
Vermuteter erfolgreicher Brute-Force-Angriff
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Beschreibung: Eine erfolgreiche Anmeldung ist nach einem offensichtlichen Brute-Force-Angriff auf Ihre Ressource aufgetreten.
MITRE-Taktiken: Pre-Attack
Schweregrad: hoch
SQL Server hat potenziell eine Windows-Befehlsshell geöffnet und auf eine ungewöhnliche externe Quelle zugegriffen.
(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
Beschreibung: Eine verdächtige SQL-Anweisung hat möglicherweise eine Windows-Befehlsshell mit einer externen Quelle geöffnet, die noch nicht gesehen wurde. Das Ausführen einer Shell, die auf eine externe Quelle zugreift, ist eine Methode, mit der Angreifer schädliche Nutzlast herunterladen und dann auf dem Computer ausführen und kompromittieren. Dadurch kann ein Angreifer schädliche Aufgaben unter Remoterichtung ausführen. Alternativ kann der Zugriff auf eine externe Quelle verwendet werden, um Daten an ein externes Ziel zu exfiltrieren.
MITRE-Taktiken: Ausführung
Schweregrad: Hoch/Mittel
Ungewöhnliche Nutzlast mit verschleierten Teilen wurde von SQL Server initiiert
(SQL. VM_PotentialSqlInjection)
Beschreibung: Jemand hat eine neue Nutzlast unter Verwendung der Ebene in SQL Server initiiert, die mit dem Betriebssystem kommuniziert, während der Befehl in der SQL-Abfrage verdeckt wird. Angreifer verbergen häufig wirkungsvolle Befehle, die häufig wie xp_cmdshell, sp_add_job und andere überwacht werden. Verschleierungstechniken missbrauchen legitime Befehle wie Zeichenfolgenverkettung, Umwandlung, Basisänderung und andere, um die Regex-Erkennung zu vermeiden und die Lesbarkeit der Protokolle zu beeinträchtigen.
MITRE-Taktiken: Ausführung
Schweregrad: Hoch/Mittel
Hinweis
Für Warnungen, die sich in der Vorschau befinden: Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.