Navigation überspringen

Advanced Threat Protection für Azure Database for MySQL in der Vorschauversion

Veröffentlicht am 24 September, 2018

Principal Program Manager, Azure Data

Dieser Blogbeitrag wurde von Ron Matchoro, Principal Program Manager, Azure SQL Database, mitverfasst.

Advanced Threat Protection erkennt anomale Datenbankaktivitäten, die auf potenzielle Sicherheitsbedrohungen für Azure Database for MySQL hindeuten.

Advanced Threat Protection bietet eine neue Sicherheitsebene, die es den Kunden ermöglicht, auf erkannte potenzielle Bedrohungen zu reagieren. Zu diesem Zweck werden Sicherheitswarnungen zu anomalen Datenbankaktivitäten bereitgestellt. Mit Advanced Threat Protection können auf einfache Weise potenzielle Bedrohungen für den Azure Database for MySQL-Server behandelt und die jeweiligen Warnungen in den Azure Security Center integriert werden – ganz ohne spezielle Sicherheitskenntnisse.

Für eine lückenlose Untersuchung wird empfohlen, Serverprotokolle im Azure Database for MySQL-Dienst zu verwenden, der Datenbankabfrage- und Fehlerprotokolle generiert.

Abbildung

Advanced Threat Protection bietet folgende Vorteile:

  • Einfache Konfiguration der Advanced Threat Protection-Richtlinie über das Azure-Portal
  • Behandlung von E-Mail-Warnungen bei der Erkennung verdächtiger Datenbankaktivitäten
  • Möglichkeit, das Aktivitätsprotokoll zum Zeitpunkt des Ereignisses über das Azure-Portal zu erkunden
  • Keine Notwendigkeit, Datenbankvorgänge oder Anwendungscode zu ändern

Einrichten von Advanced Threat Protection für den Azure Database for MySQL-Server im Azure-Portal

  • Starten Sie das Azure-Portal.
  • Navigieren Sie zur Konfigurationsseite des Azure Database for MySQL-Servers, den Sie schützen möchten. Wählen Sie auf der Seite „Einstellungen“ Advanced Threat Protection aus.
  • Gehen Sie auf dem Konfigurationsblatt „Advanced Threat Protection“ folgendermaßen vor:
    • Stellen Sie die Bedrohungserkennung auf EIN um.
    • Konfigurieren Sie die Liste der E-Mail-Empfänger, die bei Erkennung anomaler Datenbankaktivitäten einen Sicherheitshinweis erhalten sollen.
  • Klicken Sie auf dem Blatt für die Konfiguration von Advanced Threat Protection auf Speichern, um die neue oder aktualisierte Richtlinie für die Bedrohungserkennung zu speichern.

Einrichten des Bedrohungsschutzes

Untersuchen anomaler MySQL-Serveraktivitäten bei Erkennung eines verdächtigen Ereignisses

Bei Erkennung anomaler Datenbankaktivitäten erhalten Sie eine E-Mail-Benachrichtigung. Die E-Mail enthält Informationen zum verdächtigen Sicherheitsereignis wie etwa Art der anomalen Aktivitäten, Datenbankname, Servername und Zeitpunkt des Ereignisses. Darüber hinaus enthält sie Angaben zu möglichen Ursachen und empfohlenen Maßnahmen zur Untersuchung und Abwehr der potenziellen Bedrohung für den Azure Database for MySQL-Server.

Bericht zu anomalen Aktivitäten

Klicken Sie in der E-Mail auf den Link Aktuelle Warnungen anzeigen, um das Azure-Portal zu starten und das Azure Security Center-Blatt für Warnungen zu öffnen, auf dem eine Übersicht über die aktiven SQL-Bedrohungen angezeigt wird, die auf dem Azure Database for MySQL-Server erkannt wurden.

Aktive Bedrohungen

Durch Klicken auf eine bestimmte Warnung werden weitere Details und Aktionen zum Untersuchen dieser Bedrohung und Abwehren zukünftiger Bedrohungen bereitgestellt.

Besondere Warnung

Advanced Threat Protection-Warnungen des Azure Database for MySQL-Servers

Advanced Threat Detection für den Azure Database for MySQL-Server erkennt anomale Aktivitäten, die auf ungewöhnliche und möglicherweise schädliche Versuche hinweisen, bei denen auf Datenbanken zugegriffen oder diese missbraucht werden sollen. Hierbei können die folgenden Warnungen ausgelöst werden:

  • Zugriff von einem ungewöhnlichen Ort: Diese Warnung wird ausgelöst, wenn eine Änderung des Zugriffsmusters bei einem Azure Database for MySQL-Server erfolgt, bei der sich eine Person von einem ungewöhnlichen geografischen Standort aus beim Azure Database for MySQL-Server angemeldet hat. In einigen Fällen erkennt die Warnung eine legitime Aktion wie etwa eine neue Anwendung oder Wartungsvorgänge von Entwicklern. In anderen Fällen erkennt die Warnung eine böswillige Aktion wie etwa einen ehemaligen Mitarbeiter oder einen externen Angreifer.
  • Zugriff aus einem ungewöhnlichen Azure-Rechenzentrum: Diese Warnung wird ausgelöst, wenn sich das Zugriffsmuster bei einem Azure Database for MySQL-Server geändert hat, weil sich eine Person über ein Azure-Rechenzentrum beim Azure Database for MySQL-Server angemeldet hat, von dem in letzter Zeit kein Zugriff auf diese verwaltete Instanz stattgefunden hat. In einigen Fällen erkennt die Warnung eine legitime Aktion wie etwa Ihre neue Anwendung in Azure, Power BI oder den Azure SQL-Abfrage-Editor. In anderen Fällen erkennt die Warnung ggf. eine böswillige Aktion einer Azure-Ressource bzw. eines Azure-Diensts wie etwa einen ehemaligen Mitarbeiter oder einen externen Angreifer.
  • Zugriff über einen ungewöhnlichen Prinzipal: Diese Warnung wird ausgelöst, wenn eine Änderung des Zugriffsmusters beim Azure Database for MySQL-Server erfolgt, bei der sich eine Person über einen ungewöhnlichen Prinzipal beim Azure Database for MySQL-Server angemeldet hat. In einigen Fällen erkennt die Warnung eine legitime Aktion wie etwa eine neue Anwendung oder Wartungsvorgänge von Entwicklern. In anderen Fällen erkennt die Warnung eine schädliche Aktion wie etwa einen ehemaligen Mitarbeiter oder einen externen Angreifer.
  • Zugriff über eine potenziell schädliche Anwendung: Diese Warnung wird ausgelöst, wenn zum Zugreifen auf die Datenbank eine potenziell schädliche Anwendung verwendet wird. In einigen Fällen erkennt die Warnung aktive Eindringversuche. In anderen Fällen erkennt die Warnung einen Angriff mit allgemeinen Angriffstools.
  • Brute-Force-Angriff auf Anmeldeinformationen: Diese Warnung wird ausgelöst, wenn eine ungewöhnlich hohe Zahl von Anmeldefehlern mit unterschiedlichen Anmeldeinformationen vorliegt. In einigen Fällen erkennt die Warnung aktive Eindringversuche. In anderen Fällen erkennt die Warnung einen Brute-Force-Angriff.

Nächste Schritte