Omitir navegación

Protección contra amenazas avanzada para Azure Database for MySQL en versión preliminar

Publicado el 24 septiembre, 2018

Principal Program Manager, Azure Data

Ron Matchoro, jefe de programas principal de Azure SQL Database, es el coautor de esta entrada de blog.

La Protección contra amenazas avanzada detecta actividades anómalas en la base de datos que indican posibles amenazas de seguridad a Azure Database for MySQL.

La Protección contra amenazas avanzada proporciona una nueva capa de seguridad, que permite a los clientes detectar posibles amenazas y responder a ellas cuando se producen, gracias a que proporciona alertas de seguridad sobre actividades anómalas en la base de datos. La Protección contra amenazas avanzada facilita la resolución de posibles amenazas al servidor de Azure Database for MySQL sin necesidad de ser un experto en seguridad e integra sus alertas con Azure Security Center.

Para disfrutar de una experiencia de investigación completa, se recomienda utilizar los registros de servidor en Azure Database for MySQL, que genera registros de errores y consultas de la base de datos.

image

Entre las ventajas de la Protección contra amenazas avanzada destacan:

  • Configuración sencilla de la directiva de Protección contra amenazas avanzada en Azure Portal.
  • Borrado de alertas de correo electrónico tras la detección de actividades sospechosas en la base de datos.
  • Capacidad de explorar el registro de actividad en el momento en que se produce el evento mediante Azure Portal.
  • Ausencia de necesidad de modificar el código de la aplicación o los procedimientos de la base de datos.

Configuración de la Protección contra amenazas avanzada para el servidor de Azure Database for MySQL en Azure Portal

  • Inicie el Azure Portal.
  • Vaya a la página de configuración del servidor de Azure Database for MySQL que quiere proteger. En la configuración de seguridad, seleccione Protección contra amenazas avanzada
  • En la hoja de configuración de Protección contra amenazas avanzada:
    • Active la Detección de amenazas.
    • Configure la lista de correos electrónicos que recibirán alertas de seguridad cuando se detecten actividades anómalas en la base de datos.
  • Haga clic en Guardar en la hoja de configuración de Protección contra amenazas avanzada para guardar la directiva de detección de amenazas nueva o actualizada.

configuración de la protección contra amenazas

Exploración de las actividades anómalas en el servidor MySQL cuando se detecta un evento sospechoso

Recibirá una notificación por correo electrónico tras la detección de actividades anómalas en la base de datos. El correo electrónico proporciona información sobre el evento de seguridad sospechoso, en el que se incluyen la naturaleza de las actividades anómalas, el nombre de la base de datos, el nombre del servidor y la hora del evento. Además, se proporcionará información sobre las posibles causas y las medidas recomendadas para investigar y mitigar la posible amenaza al servidor de Azure Database for MySQL.

informe de actividad anómala

Al hacer clic en el vínculo Ver alertas recientes del correo electrónico, se iniciará Azure Portal y mostrará la hoja de alertas de Azure Security Center, que proporciona información general sobre amenazas activas de SQL detectadas en el servidor de Azure Database for MySQL.

amenazas activas

Al hacer clic en una alerta específica se proporcionan detalles y acciones adicionales para investigar esta amenaza y solucionar amenazas futuras.

alerta específica

Alertas de Protección contra amenazas avanzada en el servidor de Azure Database for MySQL

La detección de amenazas avanzada para el servidor de Azure Database for MySQL detecta actividades anómalas que indican intentos inusuales y potencialmente peligrosos de acceder a bases de datos, o de vulnerar su seguridad, y puede desencadenar las siguientes alertas:

  • Acceso desde una ubicación inusual: esta alerta se desencadena cuando se produce un cambio en el patrón de acceso al servidor de Azure Database for MySQL, donde alguien ha iniciado sesión en el servidor de Azure Database for MySQL desde una ubicación geográfica inusual. En algunos casos, la alerta detecta una acción legítima, como una nueva aplicación o una operación de mantenimiento de un desarrollador. En otros casos, la alerta detecta una acción malintencionada; por ejemplo, un antiguo empleado, un atacante externo, etc.
  • Acceso desde un centro de datos de Azure inusual: esta alerta se desencadena cuando se produce un cambio en el patrón de acceso al servidor de Azure Database for MySQL, en el que alguien ha iniciado sesión en el servidor de Azure Database for MySQL desde un centro de datos de Azure que no había accedido a la instancia administrada recientemente. En algunos casos, la alerta detecta una acción legítima, como una aplicación nueva en Azure, Power BI o Azure SQL Query Editor, entre otros. En otros casos, la alerta detecta una acción malintencionada procedente de un recurso o servicio de Azure, como un antiguo empleado o un atacante externo.
  • Acceso desde una entidad de seguridad desconocida: esta alerta se desencadena cuando se produce un cambio en el patrón de acceso al servidor de Azure Database for MySQL, donde alguien ha iniciado sesión en el servidor de Azure Database for MySQL mediante una entidad de seguridad inusual. En algunos casos, la alerta detecta una acción legítima, como una nueva aplicación o una operación de mantenimiento de un desarrollador. En otros casos, la alerta detecta una acción malintencionada, como un antiguo empleado o un atacante externo.
  • Acceso desde una aplicación potencialmente dañina: esta alerta se desencadena cuando una aplicación potencialmente dañina se utiliza para acceder a la base de datos. En algunos casos, la alerta detecta la realización de pruebas de penetración. En otros casos, la alerta detecta un ataque que se realiza con herramientas de ataque comunes.
  • Credenciales de inicio de sesión por fuerza bruta: esta alerta se desencadena cuando hay un número anormal y elevado de inicios de sesión infructuosos con distintas credenciales. En algunos casos, la alerta detecta la realización de pruebas de penetración. En otros casos, la alerta detecta ataques por fuerza bruta.

Pasos siguientes