Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article répertorie les alertes de sécurité que vous pouvez obtenir pour les bases de données relationnelles open source de Microsoft Defender pour cloud et les plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.
Note
Certaines des alertes récemment ajoutées alimentées par Veille des menaces Microsoft Defender et Microsoft Defender pour point de terminaison peuvent être non documentées.
Découvrez comment répondre à ces alertes.
Découvrez comment exporter des alertes.
Note
Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.
Alertes de bases de données relationnelles open source
Informations complémentaires et notes
Suspicion d’attaque par force brute à l’aide d’un utilisateur valide
(SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce)
Description : une attaque par force brute potentielle a été détectée sur votre ressource. L’attaquant utilise l’utilisateur valide (nom d’utilisateur), qui dispose des autorisations nécessaires pour se connecter.
Tactiques MITRE : PreAttack
Gravité : moyenne
Suspicion d’attaque par force brute réussie
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Description : une connexion réussie s’est produite après une attaque de force brute apparente sur votre ressource.
Tactiques MITRE : PreAttack
Gravité : élevée
Suspicion d’attaque par force brute
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Description : une attaque par force brute potentielle a été détectée sur votre ressource.
Tactiques MITRE : PreAttack
Gravité : moyenne
Tentative d’ouverture de session par une application potentiellement dangereuse
(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)
Description : une application potentiellement dangereuse a tenté d’accéder à votre ressource.
Tactiques MITRE : PreAttack
Gravité : haut/moyen
Connexion à partir d’un utilisateur principal non visible dans 60 jours
(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)
Description : un utilisateur principal non vu au cours des 60 derniers jours s’est connecté à votre base de données. Si cette base de données est nouvelle ou s’il s’agit d’un comportement attendu provoqué par des modifications récentes apportées aux utilisateurs accédant à la base de données, Defender pour Cloud identifie les modifications significatives apportées aux modèles d’accès et tente d’empêcher les faux positifs futurs.
Tactiques MITRE : Exploitation
Gravité : faible
Connexion à partir d’un domaine non visible dans 60 jours
(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)
Description : un utilisateur s’est connecté à votre ressource à partir d’un domaine depuis lequel aucun autre utilisateur n’a connecté au cours des 60 derniers jours. Si cette ressource est nouvelle ou s’il s’agit d’un comportement attendu provoqué par des modifications récentes apportées aux utilisateurs accédant à la ressource, Defender pour Cloud identifie les modifications significatives apportées aux modèles d’accès et tente d’empêcher les faux positifs futurs.
Tactiques MITRE : Exploitation
Gravité : moyenne
Se connecter à partir d’un Centre de données Azure inhabituel
(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)
Description : Une personne connecté à votre ressource à partir d’un Centre de données Azure inhabituel.
Tactiques MITRE : détection
Gravité : faible
Ouverture de session à partir d’un fournisseur de cloud inhabituel
(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly)
Description : une personne connecté à votre ressource à partir d’un fournisseur de cloud n’a pas été vue au cours des 60 derniers jours. Il est rapide et facile pour les acteurs de menace d’obtenir une puissance de calcul disponible pour une utilisation dans leurs campagnes. S’il s’agit d’un comportement attendu provoqué par l’adoption récente d’un nouveau fournisseur de cloud, Defender pour Cloud apprendra au fil du temps et tentera d’empêcher les faux positifs futurs.
Tactiques MITRE : Exploitation
Gravité : moyenne
Se connecter à partir d’un emplacement inhabituel
(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)
Description : Une personne connecté à votre ressource à partir d’un Centre de données Azure inhabituel.
Tactiques MITRE : Exploitation
Gravité : moyenne
Connexion à partir d’une adresse IP suspecte
(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)
Description : Votre ressource a été accessible avec succès à partir d’une adresse IP associée à Microsoft Threat Intelligence.
Tactiques MITRE : PreAttack
Gravité : moyenne
Note
Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.