Passer la navigation

Advanced Threat Protection for Azure Database pour MySQL, préversion

Publié le 24 septembre, 2018

Principal Program Manager, Azure Data

Ce billet de blog a été coédité par Ron Matchoro, Principal Program Manager, Azure SQL Database.

Advanced Threat Protection détecte les activités anormales de bases de données qui indiquent des menaces potentielles pour la sécurité à Azure Database pour MySQL.

Advanced Threat Protection fournit une nouvelle couche de sécurité qui permet aux clients de détecter les menaces potentielles et d’y répondre à mesure qu’elles se présentent en générant des alertes de sécurité sur les activités anormales de bases de données. Advanced Threat Protection permet de réagir facilement à des menaces potentielles visant le serveur Azure Database pour MySQL sans être un expert de la sécurité et intègre ses alertes dans Azure Security Center.

Pour un examen complet, il est recommandé d’utiliser des journaux de serveur dans Azure Database for MySQL, ce qui génère des journaux de requêtes de base de données et d’erreur.

image

Advanced Threat Protection offre les avantages suivants :

  • Configuration simple de la stratégie d’Advanced Threat Protection via le portail Azure.
  • Alertes par e-mail en clair en cas de détection d’activités suspectes de la base de données.
  • Possibilité d’examen du journal d’activité au moment de l’événement avec le portail Azure.
  • Inutile de modifier les procédures de la base de données ou le code d’application.

Installer Advanced Threat Protection pour votre base de données Azure Database pour le serveur MySQL dans le portail Azure

  • Lancez le portail Azure.
  • Accédez à la page de configuration du serveur Azure Database pour MySQL que vous voulez protéger. Sur la page Paramètres, sélectionnez Advanced Threat Protection
  • Dans le panneau de configuration Advanced Threat Protection
    • Activez la détection des menaces.
    • Configurez la liste des adresses électroniques qui recevront les alertes de sécurité en cas de détection d’activités anormales sur la base de données.
  • Cliquez sur Enregistrer dans le panneau de configuration Advanced Threat Protection pour enregistrer la stratégie de détection des menaces créée ou mise à jour.

set-up-threat-protection

Explorer les activités anormales sur le serveur MySQL en cas de détection d’un événement suspect

Vous recevrez une notification par e-mail en cas de détection d’activités anormales sur la base de données. L’e-mail contiendra des informations sur l’événement de sécurité suspect, notamment la nature des activités anormales, le nom de la base de données, le nom du serveur et l’heure de l’événement. Il fournira également des informations sur les causes possibles et les mesures recommandées afin d’examiner et d’atténuer la menace potentielle pesant sur le serveur Azure Database pour MySQL.

anomalous-activity-report

Si vous cliquez sur le lien Afficher les alertes récentes dans l’e-mail, le portail Azure sera lancé et affichera le panneau d’alertes Azure Security Center, qui offre une vue d’ensemble des menaces SQL actives détectées sur le serveur Azure Database pour MySQL.

active-threats

En cliquant sur une alerte spécifique, vous obtenez des détails supplémentaires et des actions permettant d’examiner cette menace et d’atténuer les menaces futures.

specific-alert

Alertes Advanced Threat Protection pour le serveur Azure Database pour MySQL

Advanced Threat Detection for Azure Database pour serveur Azure Database pour MySQL détecte des activités anormales indiquant des tentatives inhabituelles ou potentiellement dangereuses visant à accéder aux bases de données ou à les exploiter et peut déclencher les alertes suivantes :

  • Access from unusual location (Accès à partir d’un emplacement inhabituel) : cette alerte est déclenchée en cas de modification du modèle d’accès à un serveur Azure Database pour MySQL, quand un utilisateur s’est connecté au serveur Azure Database pour MySQL à partir d’un emplacement géographique inhabituel. Dans certains cas, l’alerte détecte une action légitime (par exemple, une nouvelle application ou opération de maintenance du développeur). Dans d’autres cas, l’alerte détecte une action malveillante (commise par exemple par un ancien employé, par un attaquant externe, etc.).
  • Access from unusual Azure data center (Accès à partir d’un centre de données Azure inhabituel) : cette alerte est déclenchée en cas de modification du modèle d’accès au serveur Azure Database pour MySQL, quand un utilisateur s’est connecté au serveur Azure Database pour MySQL à partir d’un centre de données Azure qui n’a pas accédé récemment à Managed Instance. Dans certains cas, l’alerte détecte une action légitime (votre nouvelle application dans Azure, Power BI, l’éditeur de requête SQL Azure, etc.). Dans d’autres cas, l’alerte détecte une action malveillante provenant d’une ressource/d’un service Azure (par exemple, ancien employé ou attaquant externe).
  • Access from unfamiliar principal (Accès à partir d’un principal inhabituel) : cette alerte est déclenchée en cas de modification du modèle d’accès au serveur Azure Database pour MySQL, quand un utilisateur s’est connecté au serveur Azure Database pour MySQL à l’aide d’un principal inhabituel. Dans certains cas, l’alerte détecte une action légitime (par exemple, nouvelle application ou opération de maintenance du développeur). Dans d’autres cas, l’alerte détecte une action malveillante (ancien employé ou attaquant externe).
  • Access from a potentially harmful application (Accès à partir d’une application potentiellement dangereuse) : cette alerte est déclenchée lorsqu’une application potentiellement dangereuse est utilisée pour accéder à la base de données. Dans certains cas, l’alerte détecte le test d’intrusion en action. Dans d’autres cas, l’alerte détecte une attaque à l’aide d’outils d’attaque courants.
  • Brute force login credentials (Informations d’identification de connexion par force brute) : cette alerte est déclenchée lorsqu’il existe un nombre anormalement élevé d’échecs de connexion avec des informations d’identification différentes. Dans certains cas, l’alerte détecte le test d’intrusion en action. Dans d’autres cas, l’alerte détecte une attaque par force brute.

Étapes suivantes