Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo lista os alertas de segurança que você pode obter para o Banco de Dados SQL e o Azure Synapse Analytics. O Microsoft Defender para Nuvem e todos os planos habilitados do Microsoft Defender geram esses alertas. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.
Observação
Alguns dos alertas adicionados recentemente com a plataforma Microsoft Defender Threat Intelligence e Microsoft Defender para Ponto de Extremidade podem não estar documentados.
Saiba como responder a esses alertas.
Observação
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para serem exibidos. Por exemplo, alertas que exigem análise de tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Alertas do Banco de Dados SQL e do Azure Synapse Analytics
Uma possível vulnerabilidade à injeção de SQL
(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
Descrição: um aplicativo gera uma instrução SQL com falha no banco de dados. Isso indica uma possível vulnerabilidade aos ataques de injeção de SQL. Há duas razões possíveis para uma instrução com falha. Um defeito no código do aplicativo pode construir a instrução SQL com falha. Ou, o código do aplicativo ou procedimentos armazenados não higienizam a entrada do usuário ao construir a instrução SQL com falha, que pode ser explorada para injeção de SQL.
Táticas do MITRA: Pré-Ataque
Gravidade: Média
Atividade de logon de um aplicativo potencialmente prejudicial
(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
Descrição: um aplicativo potencialmente prejudicial tentou acessar seu recurso.
Táticas do MITRA: Pré-Ataque
Gravidade: Alta
Fazer logon em um Data Center incomum do Azure
(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
Descrição: houve uma alteração no padrão de acesso para um SQL Server, em que alguém entrou no servidor de um Data Center incomum do Azure. Em alguns casos, o alerta detecta uma ação legítima (um novo aplicativo ou serviço do Azure). Em outros casos, o alerta detecta uma ação mal-intencionada (invasor operando de recurso violado no Azure).
Táticas MITRE: Sondagem
Gravidade: Baixa
Fazer logon de um local incomum
(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
Descrição: houve uma alteração no padrão de acesso ao SQL Server, em que alguém entrou no servidor de uma localização geográfica incomum. Em alguns casos, o alerta detecta uma ação legítima (um novo aplicativo ou manutenção do desenvolvedor). Em outros casos, o alerta detecta uma ação mal-intencionada (um ex-funcionário ou invasor externo).
Táticas do MITRA: Exploração
Gravidade: Média
Logon de um usuário principal não visto em 60 dias
(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
Descrição: um usuário principal não visto nos últimos 60 dias fez logon em seu banco de dados. Se esse banco de dados for novo ou esse comportamento esperado causado por alterações recentes nos usuários que acessam o banco de dados, o Defender para Nuvem identificará alterações significativas nos padrões de acesso e tentará evitar falsos positivos futuros.
Táticas do MITRA: Exploração
Gravidade: Média
Logon de um domínio não visto em 60 dias
(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
Descrição: um usuário fez logon no recurso de um domínio do qual nenhum outro usuário se conectou nos últimos 60 dias. Se esse recurso for novo ou esse comportamento esperado causado por alterações recentes nos usuários que acessam o recurso, o Defender para Nuvem identificará alterações significativas nos padrões de acesso e tentará evitar falsos positivos futuros.
Táticas do MITRA: Exploração
Gravidade: Média
Logon de um IP suspeito
(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
Descrição: seu recurso foi acessado com êxito a partir de um endereço IP que a Inteligência contra Ameaças da Microsoft associou a atividades suspeitas.
Táticas do MITRA: Pré-Ataque
Gravidade: Média
Possível injeção de SQL
(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
Descrição: ocorreu uma exploração ativa em um aplicativo identificado vulnerável à injeção de SQL. Isso significa que um invasor está tentando injetar instruções SQL mal-intencionadas usando o código do aplicativo vulnerável ou procedimentos armazenados.
Táticas do MITRA: Pré-Ataque
Gravidade: Alta
Suspeita de ataque de força bruta usando um usuário válido
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Descrição: um possível ataque de força bruta foi detectado em seu recurso. O invasor está usando o usuário válido (nome de usuário), que tem permissões para entrar.
Táticas do MITRA: Pré-Ataque
Gravidade: Alta
Suspeita de ataque de força bruta
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Descrição: um possível ataque de força bruta foi detectado em seu recurso.
Táticas do MITRA: Pré-Ataque
Gravidade: Alta
Suspeita de ataque de força bruta bem-sucedida
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Descrição: uma entrada bem-sucedida ocorreu após um aparente ataque de força bruta ao seu recurso.
Táticas do MITRA: Pré-Ataque
Gravidade: Alta
O SQL Server potencialmente gerou um shell de comando do Windows e acessou uma fonte externa anormal
(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
Descrição: uma instrução SQL suspeita potencialmente gerou um shell de comando do Windows com uma fonte externa que não foi vista antes. Executar um shell que acessa uma fonte externa é um método usado pelos invasores para baixar conteúdo mal-intencionado e, em seguida, executá-lo no computador e comprometê-lo. Isso permite que um invasor execute tarefas mal-intencionadas em direção remota. Como alternativa, o acesso a uma fonte externa pode ser usado para exfiltrar dados em um destino externo.
Táticas do MITRE: Execução
Gravidade: Alta/Média
Conteúdo incomum com partes ofuscadas foi iniciado pelo SQL Server
(SQL. VM_PotentialSqlInjection)
Descrição: alguém iniciou uma nova carga utilizando a camada no SQL Server que se comunica com o sistema operacional ao ocultar o comando na consulta SQL. Os invasores geralmente ocultam comandos impactantes, que são popularmente monitorados como xp_cmdshell, sp_add_job e outros. As técnicas de ofuscação abusam de comandos legítimos, como concatenação de cadeia de caracteres, conversão, alteração de base e outros, para evitar a detecção de regex e prejudicar a legibilidade dos logs.
Táticas do MITRE: Execução
Gravidade: Alta/Média
Observação
Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.