SQL 지능형 위협 방지

적용 대상:Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAzure VM의 SQL ServerAzure Arc 지원 SQL Server

Azure SQL Database, Azure SQL Managed Instance, Azure Synapse Analytics, Azure VM의 SQL Server 및 Azure Arc에서 사용하도록 설정된 SQL Server에 대한 Advanced Threat Protection은 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 검색합니다.

Advanced Threat Protection은 고급 SQL 보안 기능을 위한 통합 패키지인 Microsoft Defender for SQL 제품의 일부입니다. 중앙 Microsoft Defender for SQL 포털을 통해 Advanced Threat Protection에 액세스하고 관리할 수 있습니다.

개요

Advanced Threat Protection은 새로운 보안 계층을 제공합니다. 이를 통해 비정상적인 활동에 대한 보안 경고를 제공하여 잠재적인 위협이 발생할 때 이를 감지하고 대응할 수 있습니다. 의심스러운 데이터베이스 활동, 잠재적 취약성 및 SQL 삽입 공격뿐만 아니라 비정상적인 데이터베이스 액세스 및 쿼리 패턴에 대한 경고가 표시됩니다. Advanced Threat Protection은 의심스러운 활동에 대한 세부 정보와 위협을 조사하고 완화하는 방법에 대한 권장 작업을 포함한 경고를 Microsoft Defender for Cloud와 통합합니다. Advanced Threat Protection은 보안 전문가가 되거나 고급 보안 모니터링 시스템을 관리할 필요 없이 데이터베이스에 대한 잠재적인 위협에 간단하게 대처할 수 있도록 합니다.

전체 조사 환경을 위해 Azure Storage 계정의 감사 로그에 데이터베이스 이벤트를 기록하는 감사를 사용하도록 설정합니다. 감사를 사용하려면 Azure SQL Database 및 Azure Synapse의 감사 또는 Azure SQL Managed Instance의 감사를 참조하세요.

경고

Advanced Threat Protection은 비정상적이며 잠재적으로 유해할 수 있는 데이터베이스 액세스 또는 악용 시도를 나타내는 비정상적인 활동을 탐지합니다. 경고 목록은 Microsoft Defender for Cloud의 SQL Database 및 Azure Synapse Analytics에 대한 경고를 참조하세요.

의심스러운 이벤트 탐지 살펴보기

시스템에서 비정상적인 데이터베이스 활동을 감지하면 이메일 알림을 받습니다. 이메일은 비정상적인 활동, 데이터베이스 이름, 서버 이름, 애플리케이션 이름 및 이벤트 시간의 특성을 포함하여 의심스러운 보안 이벤트에 대한 정보를 제공합니다. 또한 전자 메일에는 가능한 원인에 대한 정보 및 데이터베이스에 대한 잠재적인 위협을 조사하고 완화시키기 위해 권장되는 조치가 제공됩니다.

1. 전자 메일에서 최근 SQL 경고 보기 링크를 선택하여 Azure Portal을 시작하고 클라우드용 Microsoft Defender 경고 페이지를 표시합니다. 이 페이지에서는 데이터베이스에서 감지된 활성 위협에 대한 개요를 제공합니다.

   

2. 특정 경고를 선택하여 추가 세부 정보와 동작을 확인하고 이 위협을 자세히 조사하여 향후 위협을 완화합니다.

   예를 들어 SQL 삽입은 악의적인 행위자가 데이터 기반 애플리케이션을 공격하는 데 사용하는 인터넷에서 가장 일반적인 웹 애플리케이션 보안 문제 중 하나입니다. 애플리케이션 취약성을 활용하여 애플리케이션 항목 필드에 악성 SQL 문을 삽입하고 데이터베이스의 데이터를 위반하거나 수정합니다. SQL 삽입 경고의 경우, 경고 세부 정보에 악용된 취약한 SQL 문이 포함되어 있습니다.

   

Azure Portal에서 경고 살펴보기

Advanced Threat Protection은 경고를 Microsoft Defender for Cloud와 통합합니다. Azure Portal의 데이터베이스와 SQL Microsoft Defender for Cloud 블레이드 내에 있는 라이브 SQL Advanced Threat Protection 타일에서는 활성 위협의 상태를 추적합니다.

Advanced Threat Protection 경고를 선택하여 Microsoft Defender for Cloud 경고 페이지를 시작하고 데이터베이스에서 감지된 활성 SQL 위협에 대해 대략적으로 확인합니다.

관련 콘텐츠

• Azure SQL 데이터베이스 및 Azure Synapse의 Advanced Threat Protection
• Azure SQL Managed Instance의 Advanced Threat Protection
• SQL에 대한 Microsoft Defender
• Azure SQL 데이터베이스 감사
• 클라우드용 Microsoft Defender
• Azure SQL Database 가격 책정 페이지