Ce billet de blog a été coédité par Ron Matchoro, Principal Program Manager, Azure SQL Database.
Advanced Threat Protection détecte les activités anormales de bases de données qui indiquent des menaces potentielles pour la sécurité à Azure Database pour PostgreSQL.
Advanced Threat Protection fournit une nouvelle couche de sécurité qui permet aux clients de détecter les menaces potentielles et d’y répondre à mesure qu’elles se présentent en générant des alertes de sécurité sur les activités anormales de bases de données. Advanced Threat Protection permet de réagir facilement à des menaces potentielles visant le serveur Azure Database pour PostgreSQL et intègre ses alertes dans Azure Security Center.
Pour un examen complet, il est recommandé d’utiliser des journaux de serveur dans Azure Database pour PostgreSQL, ce qui des génère journaux de requêtes de base de données et d’erreur.
Advanced Threat Protection offre les avantages suivants :
- Configuration simple de la stratégie d’Advanced Threat Protection via le portail Azure.
- Alertes par e-mail en clair en cas de détection d’activités suspectes de la base de données.
- Possibilité d’examen du journal d’activité au moment de l’événement avec le portail Azure.
- Inutile de modifier les procédures de la base de données ou le code d’application.
Installer Advanced Threat Protection pour votre serveur Azure Database pour PostgreSQL dans le portail Azure
- Lancez le portail Azure.
- Accédez à la page de configuration du serveur Azure Database pour PostgreSQL que vous voulez protéger. Dans les paramètres de sécurité, sélectionnez Advanced Threat Protection.
- Dans le panneau de configuration Advanced Threat Protection :
- Activez la détection des menaces.
- Configurez la liste des adresses électroniques qui recevront les alertes de sécurité en cas de détection d’activités anormales sur la base de données.
- Cliquez sur Enregistrer dans le panneau de configuration Advanced Threat Protection pour enregistrer la stratégie de détection des menaces créée ou mise à jour.
Explorer les activités anormales sur le serveur PostgreSQL en cas de détection d’un événement suspect
Vous recevrez une notification par e-mail en cas de détection d’activités anormales sur la base de données. L’e-mail contiendra des informations sur l’événement de sécurité suspect, notamment la nature des activités anormales, le nom de la base de données, le nom du serveur et l’heure de l’événement. Il fournira également des informations sur les causes possibles et les mesures recommandées afin d’examiner et d’atténuer la menace potentielle pesant sur le serveur Azure Database pour PostgreSQL.
Si vous cliquez sur le lien Afficher les alertes récentes dans l’e-mail, le portail Azure sera lancé et affichera le panneau d’alertes Azure Security Center, qui offre une vue d’ensemble des menaces SQL actives détectées sur le serveur Azure Database pour PostgreSQL.
En cliquant sur une alerte spécifique, vous obtenez des détails supplémentaires et des actions permettant d’examiner cette menace et d’atténuer les menaces futures.
Alertes Advanced Threat Protection pour le serveur Azure Database pour PostgreSQL
Advanced Threat Detection for Azure Database pour serveur Azure Database pour PostgreSQL détecte des activités anormales indiquant des tentatives inhabituelles ou potentiellement dangereuses visant à accéder aux bases de données ou à les exploiter. Il peut déclencher les alertes suivantes :
- Access from unusual location (Accès à partir d’un emplacement inhabituel) : cette alerte est déclenchée en cas de modification du modèle d’accès à un serveur Azure Database pour PostgreSQL, quand un utilisateur s’est connecté au serveur Azure Database pour PostgreSQL à partir d’un emplacement géographique inhabituel. Dans certains cas, l’alerte détecte une action légitime, à savoir une nouvelle application ou opération de maintenance du développeur. Dans d’autres cas, l’alerte détecte une action malveillante (commise par exemple par un ancien employé, par un attaquant externe, etc.).
- Accès à partir du centre de données inhabituel Azure : cette alerte est déclenchée en cas de modification du modèle d’accès au serveur Azure Database pour PostgreSQL. Un utilisateur s’est connecté au serveur Azure Database pour PostgreSQL à partir d’un centre de données Azure qui n’avait pas accédé à cette instance managée ces derniers temps. Dans certains cas, l’alerte détecte une action légitime (votre nouvelle application dans Azure, Power BI, l’éditeur de requête SQL Azure, etc.). Dans d’autres cas, l’alerte détecte une action malveillante provenant d’une ressource ou d’un service Azure (ancien employé, attaquant externe).
- Access from unfamiliar principal (Accès à partir d’un principal inhabituel) : cette alerte est déclenchée en cas de modification du modèle d’accès au serveur Azure Database pour PostgreSQL, quand un utilisateur s’est connecté au serveur Azure Database pour PostgreSQL à l’aide d’un principal inhabituel. Dans certains cas, l’alerte détecte une action légitime (opération de maintenance du développeur d’une nouvelle application). Dans d’autres cas, l’alerte détecte une action malveillante (ancien employé ou attaquant externe).
- Access from a potentially harmful application (Accès à partir d’une application potentiellement dangereuse) : cette alerte est déclenchée lorsqu’une application potentiellement dangereuse est utilisée pour accéder à la base de données. Dans certains cas, l’alerte détecte le test d’intrusion en action. Dans d’autres cas, l’alerte détecte une attaque à l’aide d’outils d’attaque courants.
- Brute force login credentials (Informations d’identification de connexion par force brute) : cette alerte est déclenchée lorsqu’il existe un nombre anormalement élevé d’échecs de connexion avec des informations d’identification différentes. Dans certains cas, l’alerte détecte le test d’intrusion en action. Dans d’autres cas, l’alerte détecte une attaque par force brute.
Étapes suivantes
- En savoir plus sur Advanced Threat Protection for Azure Database pour PostgreSQL.
- Visitez la page sur la tarification pour Advanced Threat Protection for Azure Database pour PostgreSQL