Navigation überspringen

Advanced Threat Protection für Azure Database for PostgreSQL in der Vorschauversion

Veröffentlicht am 24 September, 2018

Principal Program Manager, Azure Data

Dieser Blogbeitrag wurde von Ron Matchoro, Principal Program Manager, Azure SQL Database, mitverfasst.

Advanced Threat Protection erkennt anomale Datenbankaktivitäten, die auf potenzielle Sicherheitsbedrohungen für Azure Database for PostgreSQL hindeuten.

Advanced Threat Protection bietet eine neue Sicherheitsebene, die es den Kunden ermöglicht, auf erkannte potenzielle Bedrohungen zu reagieren. Zu diesem Zweck werden Sicherheitswarnungen zu anomalen Datenbankaktivitäten bereitgestellt. Mit Advanced Threat Protection können auf einfache Weise potenzielle Bedrohungen für den Azure Database for PostgreSQL-Server behandelt und die jeweiligen Warnungen in den Azure Security Center integriert werden – ganz ohne spezielle Sicherheitskenntnisse.

Für eine lückenlose Untersuchung wird empfohlen, Serverprotokolle im Azure Database for PostgreSQL-Dienst zu verwenden, der Datenbankabfrage- und Fehlerprotokolle generiert.

Advanced Threat Protection-Konzept

Advanced Threat Protection bietet folgende Vorteile:

  • Einfache Konfiguration der Advanced Threat Protection-Richtlinie über das Azure-Portal
  • Behandlung von E-Mail-Warnungen bei der Erkennung verdächtiger Datenbankaktivitäten
  • Möglichkeit, das Aktivitätsprotokoll zum Zeitpunkt des Ereignisses über das Azure-Portal zu erkunden
  • Keine Notwendigkeit, Datenbankvorgänge oder Anwendungscode zu ändern

Einrichten von Advanced Threat Protection für den Azure Database for PostgreSQL-Server im Azure-Portal

  • Starten Sie das Azure-Portal.
  • Navigieren Sie zur Konfigurationsseite des Azure Database for PostgreSQL-Servers, den Sie schützen möchten. Wählen Sie auf der Seite „Einstellungen“ Advanced Threat Protection aus.
  • Gehen Sie auf dem Konfigurationsblatt „Advanced Threat Protection“ folgendermaßen vor:
    • Stellen Sie die Bedrohungserkennung auf EIN um.
    • Konfigurieren Sie die Liste der E-Mail-Empfänger, die bei Erkennung anomaler Datenbankaktivitäten einen Sicherheitshinweis erhalten sollen.
  • Klicken Sie auf dem Blatt für die Konfiguration von Advanced Threat Protection auf Speichern, um die neue oder aktualisierte Richtlinie für die Bedrohungserkennung zu speichern.

Einrichten des Bedrohungsschutzes

Untersuchen anomaler Aktivitäten im PostgreSQL-Server bei Erkennung eines verdächtigen Ereignisses

Bei Erkennung anomaler Datenbankaktivitäten erhalten Sie eine E-Mail-Benachrichtigung. Die E-Mail enthält Informationen zum verdächtigen Sicherheitsereignis wie etwa Art der anomalen Aktivitäten, Datenbankname, Servername und Zeitpunkt des Ereignisses. Darüber hinaus enthält sie Angaben zu möglichen Ursachen und empfohlenen Maßnahmen zur Untersuchung und Abwehr der potenziellen Bedrohung für den Azure Database for PostgreSQL-Server.

Bericht zu anomalen Aktivitäten

Durch Klicken auf den Link Aktuelle Warnungen anzeigen in der E-Mail wird das Azure-Portal gestartet und das Azure Security Center-Blatt für Warnungen geöffnet, auf dem eine Übersicht über die aktiven SQL-Bedrohungen angezeigt wird, die auf dem Azure Database for PostgreSQL-Server erkannt wurden.

Aktive Bedrohungen

Durch Klicken auf eine bestimmte Warnung werden weitere Details und Aktionen zum Untersuchen dieser Bedrohung und Abwehren zukünftiger Bedrohungen bereitgestellt.

Besondere Warnung

Advanced Threat Protection-Warnungen des Azure Database for PostgreSQL-Servers

Advanced Threat Protection für den Azure Database for PostgreSQL-Server erkennt Anomalien bei Aktivitäten, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf Datenbanken zuzugreifen oder diese zu nutzen. Es kann folgende Warnungen auslösen:

  • Zugriff von einem ungewöhnlichen Ort: Diese Warnung wird ausgelöst, wenn eine Änderung des Zugriffsmusters für den Azure Database for PostgreSQL-Server erfolgt, bei der sich eine Person von einem ungewöhnlichen geografischen Standort aus beim Azure Database for PostgreSQL-Server angemeldet hat. In einigen Fällen erkennt die Warnung eine legitime Aktion, d.h. eine neue Anwendung oder Wartungsvorgänge von Entwicklern. In anderen Fällen erkennt die Warnung eine böswillige Aktion, z.B. ehemaliger Mitarbeiter oder externer Angreifer.
  • Zugriff von einem ungewöhnlichen Azure-Rechenzentrum: Diese Warnung wird ausgelöst, wenn sich das Zugriffsmuster beim Azure Database for PostgreSQL-Server ändert. Als Beispiel kann das Szenario angeführt werden, bei dem sich jemand von einem Azure-Rechenzentrum aus beim Azure Database for PostgreSQL-Server angemeldet hat, von dem in letzter Zeit kein Zugriff auf diese verwaltete Instanz stattgefunden hat. In einigen Fällen erkennt die Warnung eine legitime Aktion wie etwa Ihre neue Anwendung in Azure, Power BI oder den Azure SQL-Abfrage-Editor. In anderen Fällen erkennt die Warnung ggf. eine böswillige Aktion einer Azure-Ressource bzw. eines Azure-Diensts wie ein ehemaliger Mitarbeiter oder ein externer Angreifer.
  • Zugriff über einen unbekannten Prinzipal: Diese Warnung wird ausgelöst, wenn eine Änderung des Zugriffsmusters für den Azure Database for PostgreSQL-Server erfolgt, bei der sich eine Person über einen ungewöhnlichen Prinzipal beim Azure Database for PostgreSQL-Server angemeldet hat. In einigen Fällen erkennt die Warnung eine legitime Aktion wie etwa eine neue Anwendung oder Wartungsvorgänge von Entwicklern. In anderen Fällen erkennt die Warnung eine schädliche Aktion wie einen ehemaligen Mitarbeiter oder einen externen Angreifer.
  • Zugriff über eine potenziell schädliche Anwendung: Diese Warnung wird ausgelöst, wenn zum Zugreifen auf die Datenbank eine potenziell schädliche Anwendung verwendet wird. In einigen Fällen erkennt die Warnung aktive Eindringversuche. In anderen Fällen erkennt die Warnung einen Angriff mit allgemeinen Angriffstools.
  • Brute-Force-Angriff auf Anmeldeinformationen: Diese Warnung wird ausgelöst, wenn eine ungewöhnlich hohe Zahl von Anmeldefehlern mit unterschiedlichen Anmeldeinformationen vorliegt. In einigen Fällen erkennt die Warnung aktive Eindringversuche. In anderen Fällen erkennt die Warnung einen Brute-Force-Angriff.

Nächste Schritte