次の方法で共有

SQL 高度な脅威保護

適用対象:Azure SQL データベースAzure SQL Managed InstanceAzure Synapse AnalyticsAzure VM 上の SQL ServerAzure Arc 対応 SQL Server

Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAzure VM 上の SQL Server、および Azure Arc によって有効になっている SQL Server の Advanced Threat Protection は、データベースへのアクセスまたは悪用を試みる異常で有害な可能性のある試みを示す異常なアクティビティを検出します。

Advanced Threat Protection は、高度な SQL セキュリティ機能の統合パッケージである Microsoft Defender for SQL オファリングの一部です。 Advanced Threat Protection にアクセスして管理するには、中央の Microsoft Defender for SQL ポータルを使用します。

概要

Advanced Threat Protection は、新しいセキュリティ レイヤーを提供します。 これにより、異常なアクティビティに対するセキュリティ アラートを提供することで、発生した潜在的な脅威を検出して対応することができます。 疑わしいデータベース アクティビティ、潜在的な脆弱性、SQL インジェクション攻撃、および異常なデータベース アクセスとクエリ パターンに関するアラートを受け取ります。 Advanced Threat Protection では、アラートと Microsoft Defender for Cloud が統合されます。これには、不審なアクティビティの詳細と、脅威の調査や危険性の軽減のために推奨される対処方法が含まれます。 Advanced Threat Protection を使用すると、データベースに対する潜在的な脅威に簡単に対処でき、セキュリティの専門家である必要や、高度なセキュリティ監視システムを管理する必要はありません。

完全な調査エクスペリエンスを実現するには、Azure ストレージ アカウントの監査ログにデータベース イベントを書き込む監査を有効にします。 監査を有効にするには、Azure SQL Database と Azure Synapse の監査、または Azure SQL Managed Instance の監査に関するページを参照してください。

警告

データベースにアクセスしたりそれを悪用したりしようとする、通常とは異なる、害を及ぼす可能性のある試行を示す異常なアクティビティは、Advanced Threat Protection によって検出されます。 アラートの一覧については、Microsoft Defender for Cloud の SQL Database および Azure Synapse Analytics のアラートに関するセクションを参照してください。

疑わしいイベントの検出を試す

システムが異常なデータベース アクティビティを検出すると、電子メール通知を受け取ります。 電子メールは、異常なアクティビティの性質、データベース名、サーバー名、アプリケーション名、イベント時刻など、疑わしいセキュリティ イベントに関する情報を提供します。 さらに、データベースへの潜在的な脅威の考えられる原因と調査や緩和のための推奨されるアクションについての情報も提供されます。

異常なアクティビティ レポートのスクリーンショット。

  1. 電子メールで [最近使用した SQL アラートの表示 ] リンクを選択して Azure portal を起動し、Microsoft Defender for Cloud アラート ページを表示します。 このページでは、データベースで検出されたアクティブな脅威の概要を示します。

    アクティビティの脅威のスクリーンショット。

  2. 特定のアラートを選択すると、この脅威の調査や今後の脅威を修復するための追加の詳細とアクションが表示されます。

    たとえば、SQL インジェクションは、不適切なアクターがデータドリブン アプリケーションを攻撃するために使用する、インターネット上で最も一般的な Web アプリケーションセキュリティの問題の 1 つです。 アプリケーションの脆弱性を利用して、悪意のある SQL ステートメントをアプリケーションエントリフィールドに挿入し、データベース内のデータを侵害または変更します。 SQL インジェクションのアラートの場合、アラートの詳細に、悪用された脆弱性のある SQL ステートメントが含まれています。

    特定のアラートのスクリーンショット。

Azure portal でアラートを調べる

Advanced Threat Protection では、アラートが Microsoft Defender for Cloud と統合されています。 データベース内のライブ SQL Advanced Threat Protection タイルと Azure portal の SQL Microsoft Defender for Cloud ブレードでは、アクティブな脅威の状態を追跡できます。

[Advanced Threat Protection アラート] を選択すると、Microsoft Defender for Cloud のアラート ページが起動され、データベースに対して検出されたアクティブな SQL 脅威の概要が表示されます。

データベースの概要の Advanced Threat Protection アラートのスクリーンショット。

Defender for SQL の Advanced Threat Protection のスクリーンショット。

関連するコンテンツ

  • Last updated on