この記事では、Microsoft Defender for Cloud のオープンソース リレーショナル データベースと、有効にしたすべての Microsoft Defender プランに対して発生する可能性があるセキュリティ アラートの一覧を示します。 お使いの環境で示されるアラートは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。
注
Microsoft Defender 脅威インテリジェンスと Microsoft Defender for Endpoint を利用して最近追加されたアラートの一部は、文書化されていない可能性があります。
これらのアラートに対応する方法については、こちらを参照してください。
アラートをエクスポートする方法については、こちらを参照してください。
注
アラートの出力元によって、表示されるまでの時間が変わる場合があります。 たとえば、ネットワーク トラフィックの分析を必要とするアラートは、仮想マシンで実行されている不審なプロセスに関連するアラートよりも、表示されるまでより長い時間がかかる可能性があります。
オープン ソースのリレーショナル データベースのアラート
有効なユーザーを使用したブルート フォース攻撃の可能性
(SQL。sql をPostgreSQL_BruteForceします。sql をMariaDB_BruteForceします。MySQL_BruteForce)
説明: リソースでブルート フォース攻撃の可能性が検出されました。 攻撃者は、ログインするアクセス許可を持つ有効なユーザー (ユーザー名) を使用しています。
MITRE 戦術: プレアタッチ
重大度: 中
ブルート フォース攻撃の成功の疑い
(SQL。sql をPostgreSQL_BruteForceします。sql をMySQL_BruteForceします。MariaDB_BruteForce)
説明: リソースに対する明らかなブルート フォース攻撃の後に、ログインが成功しました。
MITRE 戦術: プレアタッチ
重大度: 高
ブルート フォース攻撃の可能性
(SQL。sql をPostgreSQL_BruteForceします。sql をMySQL_BruteForceします。MariaDB_BruteForce)
説明: リソースでブルート フォース攻撃の可能性が検出されました。
MITRE 戦術: プレアタッチ
重大度: 中
有害な可能性があるアプリケーションによるログオンの試行
(SQL。sql をPostgreSQL_HarmfulApplicationします。sql をMariaDB_HarmfulApplicationします。MySQL_HarmfulApplication)
説明: 潜在的に有害なアプリケーションがリソースにアクセスしようとしました。
MITRE 戦術: プレアタッチ
重大度: 高/中
プリンシパル ユーザーからのログインが 60 日以内に表示されない
(SQL。sql をPostgreSQL_PrincipalAnomalyします。sql をMariaDB_PrincipalAnomalyします。MySQL_PrincipalAnomaly)
説明: 過去 60 日間に表示されないプリンシパル ユーザーがデータベースにログインしました。 このデータベースが新しい場合、またはデータベースにアクセスするユーザーの最近の変更によって引き起こされる動作が予想される場合、Defender for Cloud はアクセス パターンの大幅な変更を特定し、将来の誤検知を防止しようとします。
MITRE の戦術: 悪用
重大度: 低
60 日以内に表示されないドメインからのログイン
(SQL。SQL をMariaDB_DomainAnomalyします。sql をPostgreSQL_DomainAnomalyします。MySQL_DomainAnomaly)
説明: ユーザーが過去 60 日間に他のユーザーが接続していないドメインからリソースにログインしました。 このリソースが新しい場合、またはリソースにアクセスするユーザーの最近の変更によって引き起こされる動作が予想される場合、Defender for Cloud はアクセス パターンの大幅な変更を特定し、将来の誤検知を防止しようとします。
MITRE の戦術: 悪用
重大度: 中
通常とは異なる Azure データ センターからログオンする
(SQL。sql をPostgreSQL_DataCenterAnomalyします。SQL をMariaDB_DataCenterAnomalyします。MySQL_DataCenterAnomaly)
説明: 通常とは異なる Azure データ センターからリソースにログオンしたユーザー。
MITRE の戦術: プローブ
重大度: 低
通常とは異なるクラウド プロバイダーからのログオン
(SQL。SQL をPostgreSQL_CloudProviderAnomalyします。sql をMariaDB_CloudProviderAnomalyします。MySQL_CloudProviderAnomaly)
説明: 過去 60 日以内にクラウド プロバイダーからリソースにログオンしたユーザー。 脅威アクターは、キャンペーンで使用できる破棄可能なコンピューティング能力を迅速かつ簡単に取得できます。 これが新しいクラウド プロバイダーの最近の導入によって引き起こされる動作が予想される場合、Defender for Cloud は時間の経過とともに学習し、将来の誤検知を防ぐことを試みます。
MITRE の戦術: 悪用
重大度: 中
通常とは異なる場所からログオンする
(SQL。sql をMariaDB_GeoAnomalyします。sql をPostgreSQL_GeoAnomalyします。MySQL_GeoAnomaly)
説明: 通常とは異なる Azure データ センターからリソースにログオンしたユーザー。
MITRE の戦術: 悪用
重大度: 中
疑わしい IP からのログイン
(SQL。sql をPostgreSQL_SuspiciousIpAnomalyします。sql をMariaDB_SuspiciousIpAnomalyします。MySQL_SuspiciousIpAnomaly)
説明: Microsoft 脅威インテリジェンスが疑わしいアクティビティに関連付けた IP アドレスから、リソースに正常にアクセスされました。
MITRE 戦術: プレアタッチ
重大度: 中
注
プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。