Alertes pour SQL Database et Azure Synapse Analytics

Cet article répertorie les alertes de sécurité que vous pouvez obtenir pour SQL Database et Azure Synapse Analytics. Microsoft Defender pour cloud et tous les plans Microsoft Defender activés génèrent ces alertes. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.

Découvrez comment répondre à ces alertes.

Découvrez comment exporter des alertes.

Alertes SQL Database et Azure Synapse Analytics

Informations complémentaires et notes

Vulnérabilité possible à l’injection SQL

(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)

Description : une application génère une instruction SQL défectueuse dans la base de données. Cela indique une vulnérabilité possible aux attaques par injection SQL. Il existe deux raisons possibles pour une instruction erronée. Un défaut dans le code de l’application peut construire l’instruction SQL défectueuse. Ou bien, le code d’application ou les procédures stockées ne nettoient pas l’entrée utilisateur lors de la construction de l’instruction SQL défectueuse, qui peut être exploitée pour l’injection SQL.

Tactiques MITRE : pré-attaque

Gravité : moyenne

Activité d’ouverture de session à partir d’une application potentiellement dangereuse

(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)

Description : une application potentiellement dangereuse a tenté d’accéder à votre ressource.

Tactiques MITRE : pré-attaque

Gravité : élevée

Se connecter à partir d’un Centre de données Azure inhabituel

(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)

Description : Il y a eu une modification du modèle d’accès à un serveur SQL Server, où une personne s’est connectée au serveur à partir d’un Centre de données Azure inhabituel. Dans certains cas, l’alerte détecte une action légitime (une nouvelle application ou un service Azure). Dans d’autres cas, l’alerte détecte une action malveillante (attaquant qui opère à partir d’une ressource violée dans Azure).

Tactiques MITRE : détection

Gravité : faible

Se connecter à partir d’un emplacement inhabituel

(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)

Description : il y a eu un changement dans le modèle d’accès à SQL Server, où une personne s’est connectée au serveur à partir d’un emplacement géographique inhabituel. Dans certains cas, l’alerte détecte une action légitime (une nouvelle application ou une maintenance de développeur). Dans d’autres cas, l’alerte détecte une action malveillante (un ancien employé ou un attaquant externe).

Tactiques MITRE : Exploitation

Gravité : moyenne

Connexion à partir d’un utilisateur principal non visible dans 60 jours

(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)

Description : un utilisateur principal non vu au cours des 60 derniers jours s’est connecté à votre base de données. Si cette base de données est nouvelle ou s’il s’agit d’un comportement attendu provoqué par des modifications récentes apportées aux utilisateurs accédant à la base de données, Defender pour Cloud identifie les modifications significatives apportées aux modèles d’accès et tente d’empêcher les faux positifs futurs.

Tactiques MITRE : Exploitation

Gravité : moyenne

Connexion à partir d’un domaine non visible dans 60 jours

(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)

Description : un utilisateur s’est connecté à votre ressource à partir d’un domaine depuis lequel aucun autre utilisateur n’a connecté au cours des 60 derniers jours. Si cette ressource est nouvelle ou s’il s’agit d’un comportement attendu provoqué par des modifications récentes apportées aux utilisateurs accédant à la ressource, Defender pour Cloud identifie les modifications significatives apportées aux modèles d’accès et tente d’empêcher les faux positifs futurs.

Tactiques MITRE : Exploitation

Gravité : moyenne

Connexion à partir d’une adresse IP suspecte

(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)

Description : Votre ressource a été accessible avec succès à partir d’une adresse IP associée à Microsoft Threat Intelligence.

Tactiques MITRE : pré-attaque

Gravité : moyenne

Injection sql potentielle

(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)

Description : une attaque active s’est produite contre une application identifiée vulnérable à l’injection SQL. Cela signifie qu’un attaquant tente d’injecter des instructions SQL malveillantes à l’aide du code d’application vulnérable ou des procédures stockées.

Tactiques MITRE : pré-attaque

Gravité : élevée

Suspicion d’attaque par force brute à l’aide d’un utilisateur valide

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Description : une attaque par force brute potentielle a été détectée sur votre ressource. L’attaquant utilise l’utilisateur valide (nom d’utilisateur), qui dispose des autorisations de connexion.

Tactiques MITRE : pré-attaque

Gravité : élevée

Suspicion d’attaque par force brute

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Description : une attaque par force brute potentielle a été détectée sur votre ressource.

Tactiques MITRE : pré-attaque

Gravité : élevée

Suspicion d’attaque par force brute réussie

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Description : une connexion réussie s’est produite après une attaque par force brute apparente sur votre ressource.

Tactiques MITRE : pré-attaque

Gravité : élevée

SQL Server a potentiellement généré un interpréteur de commandes Windows et a accédé à une source externe anormale

(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)

Description : Une instruction SQL suspecte a potentiellement généré un interpréteur de commandes Windows avec une source externe qui n’a pas été vue précédemment. L’exécution d’un interpréteur de commandes qui accède à une source externe est une méthode utilisée par les attaquants pour télécharger une charge utile malveillante, puis l’exécuter sur l’ordinateur et la compromettre. Cela permet à un attaquant d’effectuer des tâches malveillantes sous direction distante. Vous pouvez également utiliser l’accès à une source externe pour exfiltrer des données vers une destination externe.

Tactiques MITRE : Exécution

Gravité : haut/moyen

Une charge utile inhabituelle avec des parties obfuscatées a été lancée par SQL Server

(SQL. VM_PotentialSqlInjection)

Description : une personne a lancé une nouvelle charge utile utilisant la couche dans SQL Server qui communique avec le système d’exploitation tout en cachant la commande dans la requête SQL. Les attaquants masquent généralement les commandes impactantes, qui sont couramment surveillées comme xp_cmdshell, sp_add_job et d’autres. Les techniques d’obfuscation abusent des commandes légitimes telles que la concaténation de chaînes, le cast, la modification de base et d’autres, pour éviter la détection de regex et nuire à la lisibilité des journaux.

Tactiques MITRE : Exécution

Gravité : haut/moyen

Contenu connexe

• Alertes de sécurité dans Microsoft Defender pour le cloud
• Gérer les alertes de sécurité et y répondre dans Microsoft Defender pour le cloud
• Exportation continue des données Defender pour le cloud