Waarschuwingen voor SQL Database en Azure Synapse Analytics

Dit artikel bevat de beveiligingswaarschuwingen die u mogelijk krijgt voor SQL Database en Azure Synapse Analytics. Microsoft Defender voor Cloud en alle ingeschakelde Microsoft Defender-abonnementen genereren deze waarschuwingen. De waarschuwingen die in uw omgeving worden weergegeven, zijn afhankelijk van de resources en services die u beveiligt en uw aangepaste configuratie.

Meer informatie over hoe u kunt reageren op deze waarschuwingen.

Meer informatie over het exporteren van waarschuwingen.

Waarschuwingen voor SQL Database en Azure Synapse Analytics

Extra informatie en opmerkingen

Een mogelijk beveiligingsprobleem met SQL-injectie

(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)

Beschrijving: Een toepassing genereert een foutieve SQL-instructie in de database. Dit geeft een mogelijk beveiligingsprobleem aan bij SQL-injectieaanvallen. Er zijn twee mogelijke redenen voor een foutieve verklaring. Een defect in de toepassingscode kan de foutieve SQL-instructie maken. Of toepassingscode of opgeslagen procedures ontsmet gebruikersinvoer niet bij het maken van de foutieve SQL-instructie, die kan worden misbruikt voor SQL-injectie.

MITRE-tactiek: Pre-Attack

Ernst: gemiddeld

Aanmeldingsactiviteit van een mogelijk schadelijke toepassing

(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)

Beschrijving: Een mogelijk schadelijke toepassing heeft geprobeerd toegang te krijgen tot uw resource.

MITRE-tactiek: Pre-Attack

Ernst: Hoog

Aanmelden vanuit een ongebruikelijk Azure-datacentrum

(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)

Beschrijving: Er is een wijziging aangebracht in het toegangspatroon voor een SQL Server, waarbij iemand zich vanuit een ongebruikelijk Azure-datacentrum heeft aangemeld bij de server. In sommige gevallen detecteert de waarschuwing een legitieme actie (een nieuwe toepassing of Azure-service). In andere gevallen detecteert de waarschuwing een schadelijke actie (aanvaller die werkt vanuit een geschonden resource in Azure).

MITRE-tactieken: Testen

Ernst: Laag

Aanmelden vanaf een ongebruikelijke locatie

(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)

Beschrijving: Er is een wijziging aangebracht in het toegangspatroon voor SQL Server, waarbij iemand zich vanaf een ongebruikelijke geografische locatie heeft aangemeld bij de server. In sommige gevallen detecteert de waarschuwing een legitieme actie (een nieuwe toepassing of onderhoud van ontwikkelaars). In andere gevallen detecteert de waarschuwing een schadelijke actie (een voormalige werknemer of externe aanvaller).

MITRE-tactieken: Exploitatie

Ernst: gemiddeld

Aanmelden bij een principal-gebruiker die over 60 dagen niet is gezien

(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)

Beschrijving: Een principal-gebruiker die de afgelopen 60 dagen niet is gezien, is aangemeld bij uw database. Als deze database nieuw is of dit verwacht gedrag wordt veroorzaakt door recente wijzigingen in de gebruikers die toegang hebben tot de database, identificeert Defender for Cloud belangrijke wijzigingen in de toegangspatronen en probeert toekomstige fout-positieven te voorkomen.

MITRE-tactieken: Exploitatie

Ernst: gemiddeld

Aanmelden vanuit een domein niet gezien in 60 dagen

(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)

Beschrijving: Een gebruiker heeft zich in de afgelopen 60 dagen aangemeld bij uw resource vanuit een domein dat geen andere gebruikers heeft verbonden. Als deze resource nieuw is of dit verwacht gedrag wordt veroorzaakt door recente wijzigingen in de gebruikers die toegang hebben tot de resource, identificeert Defender for Cloud belangrijke wijzigingen in de toegangspatronen en probeert toekomstige fout-positieven te voorkomen.

MITRE-tactieken: Exploitatie

Ernst: gemiddeld

Aanmelden vanaf een verdacht IP-adres

(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)

Beschrijving: Uw resource is geopend vanaf een IP-adres dat Microsoft Threat Intelligence heeft gekoppeld aan verdachte activiteiten.

MITRE-tactiek: Pre-Attack

Ernst: gemiddeld

Mogelijke SQL-injectie

(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)

Beschrijving: Er is een actieve aanval opgetreden tegen een geïdentificeerde toepassing die kwetsbaar is voor SQL-injectie. Dit betekent dat een aanvaller schadelijke SQL-instructies probeert te injecteren met behulp van de kwetsbare toepassingscode of opgeslagen procedures.

MITRE-tactiek: Pre-Attack

Ernst: Hoog

Verdachte beveiligingsaanval met behulp van een geldige gebruiker

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Beschrijving: Er is een mogelijke beveiligingsaanval op uw resource gedetecteerd. De aanvaller gebruikt de geldige gebruiker (gebruikersnaam), die machtigingen heeft om zich aan te melden.

MITRE-tactiek: Pre-Attack

Ernst: Hoog

Verdachte beveiligingsaanval

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Beschrijving: Er is een mogelijke beveiligingsaanval op uw resource gedetecteerd.

MITRE-tactiek: Pre-Attack

Ernst: Hoog

Vermoedelijke geslaagde beveiligingsaanval

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Beschrijving: Er is een geslaagde aanmelding opgetreden na een schijnbare beveiligingsaanval op uw resource.

MITRE-tactiek: Pre-Attack

Ernst: Hoog

SQL Server heeft mogelijk een Windows-opdrachtshell gemaakt en een abnormale externe bron geopend

(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)

Beschrijving: Een verdachte SQL-instructie heeft mogelijk een Windows-opdrachtshell met een externe bron die nog niet eerder is gezien. Het uitvoeren van een shell die toegang heeft tot een externe bron is een methode die door aanvallers wordt gebruikt om schadelijke nettoladingen te downloaden en deze vervolgens uit te voeren op de computer en deze te compromitteerd. Hierdoor kan een aanvaller kwaadwillende taken uitvoeren onder externe richting. U kunt ook een externe bron openen om gegevens naar een externe bestemming te exfiltreren.

MITRE-tactiek: uitvoering

Ernst: hoog/gemiddeld

Ongebruikelijke nettolading met verborgen onderdelen is gestart door SQL Server

(SQL. VM_PotentialSqlInjection)

Beschrijving: Iemand heeft een nieuwe nettolading geïnitieerd die gebruikmaakt van de laag in SQL Server die communiceert met het besturingssysteem terwijl de opdracht in de SQL-query wordt verborgen. Aanvallers verbergen meestal impactvolle opdrachten, die populair worden bewaakt, zoals xp_cmdshell, sp_add_job en anderen. Verdoezelingstechnieken misbruiken legitieme opdrachten zoals tekenreekssamenvoeging, casten, basis wijzigen en andere, om regex-detectie te voorkomen en de leesbaarheid van de logboeken te kwetsen.

MITRE-tactiek: uitvoering

Ernst: hoog/gemiddeld

Verwante inhoud

• Beveiligingswaarschuwingen in Microsoft Defender voor Cloud
• Beheer en reageer op beveiligingswaarschuwingen in Microsoft Defender for Cloud
• Exporteer voortdurend gegevens van Defender voor Cloud