Omitir navegación

Protección contra amenazas avanzada para Azure Database for PostgreSQL en versión preliminar

Publicado el 24 septiembre, 2018

Principal Program Manager, Azure Data

Ron Matchoro, jefe de programas principal de Azure SQL Database, es el coautor de esta entrada de blog.

La Protección contra amenazas avanzada detecta actividades anómalas en la base de datos que indican posibles amenazas de seguridad a Azure Database for PostgreSQL.

La Protección contra amenazas avanzada proporciona una nueva capa de seguridad, que permite a los clientes detectar posibles amenazas y responder a ellas cuando se producen, gracias a las alertas de seguridad sobre actividades anómalas en la base de datos que se proporcionan. La Protección contra amenazas avanzada facilita la resolución de posibles amenazas al servidor de Azure Database for PostgreSQL e integra sus alertas con Azure Security Center sin tener que ser para ello un experto en seguridad.

Para disfrutar de una experiencia de investigación completa, se recomienda utilizar los registros de servidor en Azure Database for PostgreSQL, que genera registros de errores y consultas de la base de datos.

advanced-threat-protection-concept

Entre las ventajas de la Protección contra amenazas avanzada destacan:

  • Configuración sencilla de la directiva de Protección contra amenazas avanzada en Azure Portal.
  • Borrar alertas de correo electrónico tras la detección de actividades sospechosas en la base de datos.
  • Capacidad de explorar el registro de actividad en el momento en que se produce el evento mediante Azure Portal.
  • Ausencia de necesidad de modificar el código de la aplicación o los procedimientos de la base de datos.

Configuración de la Protección contra amenazas avanzada para el servidor de Azure Database for PostgreSQL en Azure Portal

  • Inicie Azure Portal.
  • Vaya a la página de configuración del servidor de Azure Database for PostgreSQL que quiere proteger. En la página de configuración, seleccione Protección contra amenazas avanzada.
  • En la hoja de configuración de Protección contra amenazas avanzada:
    • Active Detección de amenazas.
    • Configure la lista de correos electrónicos que recibirán alertas de seguridad cuando se detecten actividades anómalas en la base de datos.
  • Haga clic en Guardar en la hoja de configuración de Protección contra amenazas avanzada para guardar la directiva de detección de amenazas nueva o actualizada.

set-up-threat-protection

Exploración de las actividades anómalas en el servidor PostgreSQL cuando se detecta un evento sospechoso

Recibirá una notificación por correo electrónico tras la detección de actividades anómalas en la base de datos. El correo electrónico proporciona información sobre el evento de seguridad sospechoso, en la que se incluyen la naturaleza de las actividades anómalas, el nombre de la base de datos, el nombre del servidor y la hora del evento. Además, se proporcionará información sobre las posibles causas y las medidas recomendadas para investigar y mitigar la posible amenaza al servidor de Azure Database for PostgreSQL.

anomalous-activity-report

Haga clic en el vínculo Ver alertas recientes del correo electrónico para iniciar Azure Portal y mostrar la hoja de alertas de Azure Security Center, que proporciona información general sobre amenazas activas de SQL detectadas en el servidor de Azure Database for PostgreSQL.

active-threats

Al hacer clic en una alerta específica se proporcionan detalles y acciones adicionales para investigar esta amenaza y solucionar amenazas futuras.

specific-alert

Alertas de Protección contra amenazas avanzada en el servidor de Azure Database for PostgreSQL

La Protección contra amenazas avanzada para el servidor de Azure Database for PostgreSQL detecta actividad anómala que indique intentos inusuales y potencialmente dañinos de acceder a las bases de datos o vulnerarlas. Puede desencadenar las siguientes alertas:

  • Acceso desde una ubicación inusual: esta alerta se desencadena cuando se produce un cambio en el patrón de acceso al servidor de Azure Database for PostgreSQL, donde alguien ha iniciado sesión en el servidor de Azure Database for PostgreSQL desde una ubicación geográfica inusual. En algunos casos, la alerta detecta una acción legítima, es decir, una nueva aplicación o una operación de mantenimiento de un desarrollador. En otros casos, la alerta detecta una acción malintencionada, como un antiguo empleado, un atacante externo, etc.
  • Acceso desde un centro de datos de Azure inusual: esta alerta se desencadena cuando se produce un cambio en el patrón de acceso al servidor de Azure Database for PostgreSQL. Cuando alguien ha iniciado sesión en el servidor de Azure Database for PostgreSQL desde un centro de datos de Azure que no había accedido a esta instancia administrada recientemente. En algunos casos, la alerta detecta una acción legítima, como una aplicación nueva en Azure, Power BI, Azure SQL Query Editor, etc. En otros casos, la alerta detecta una acción malintencionada procedente de un recurso o servicio de Azure, como un antiguo empleado o un atacante externo.
  • Acceso desde una entidad de seguridad desconocida: esta alerta se desencadena cuando se produce un cambio en el patrón de acceso al servidor de Azure Database for PostgreSQL, donde alguien ha iniciado sesión en el servidor de Azure Database for PostgreSQL mediante una entidad de seguridad inusual. En algunos casos, la alerta detecta una acción legítima, como una nueva aplicación o una operación de mantenimiento de un desarrollador. En otros casos, la alerta detecta una acción malintencionada, como un antiguo empleado o un atacante externo.
  • Acceso desde una aplicación potencialmente dañina: esta alerta se desencadena cuando una aplicación potencialmente dañina se utiliza para acceder a la base de datos. En algunos casos, la alerta detecta la realización de pruebas de penetración. En otros casos, la alerta detecta un ataque que se realiza con herramientas de ataque comunes.
  • Credenciales de inicio de sesión por fuerza bruta: esta alerta se desencadena cuando hay un número anormalmente elevado de inicios de sesión infructuosos con distintas credenciales. En algunos casos, la alerta detecta la realización de pruebas de penetración. En otros casos, la alerta detecta ataques por fuerza bruta.

Pasos siguientes