ナビゲーションをスキップする

プレビューでの Azure Database for PostgreSQL 向け Advanced Threat Protection

9月 24, 2018 に投稿済み

Principal Program Manager, Azure Data

このブログ投稿の共著者: Ron Matchoro、プリンシパル プログラム マネージャー、Azure SQL Database。

Advanced Threat Protection は、Azure Database for PostgreSQL に対する潜在的なセキュリティ脅威を示す異常なデータベース アクティビティを検出します。

Advanced Threat Protection で提供される新しいセキュリティ レイヤーは、異常なデータベース アクティビティに対するセキュリティ アラートを提供することによって、発生した潜在的な脅威を検出して対応できるようにします。Advanced Threat Protection を使用すると、Azure Database for PostgreSQL サーバーに対する潜在的な脅威に簡単に対処して、アラートを Azure Security Center と統合することができ、セキュリティの専門家である必要はありません。

完全な調査エクスペリエンスを実現するために、データベース クエリとエラー ログを生成するサーバー ログを Azure Database for PostgreSQL で有効にすることをお勧めします。

advanced-threat-protection-concept

Advanced Threat Protection には次のような利点があります。

  • Azure portal による Advanced Threat Protection ポリシーの簡単な構成。
  • 疑わしいデータベース アクティビティが検出されたときの明確なメール アラート。
  • Azure portal でイベントの時刻前後のアクティビティ ログを調査できること。
  • データベース プロシージャまたはアプリケーション コードを変更する必要がないこと。

Azure portal で Azure Database for PostgreSQL サーバー用に Advanced Threat Protection をセットアップする

  • Azure portal を開きます。
  • 保護する Azure Database for PostgreSQL サーバーの構成ページに移動します。[設定] ページで、[Advanced Threat Protection] を選びます。
  • [Advanced Threat Protection] 構成ブレードで次のようにします。
    • 脅威の検出を [ON] にします。
    • 異常なデータベース アクティビティが検出されたときにセキュリティ アラートを受け取るメールのリストを構成します。
  • [Advanced Threat Protection] 構成ブレードの [保存] をクリックして、新規または更新済みの脅威検出ポリシーを保存します。

set-up-threat-protection

疑わしいイベントが検出されたときの異常な PostgreSQL サーバーのアクティビティの調査

異常なデータベース アクティビティが検出されると、電子メールで通知を受け取ります。電子メールでは、異常なアクティビティの特徴、データベース名、サーバー名、イベントの時刻など、疑わしいセキュリティ イベントについての情報が提供されます。さらに、Azure Database for PostgreSQL サーバーへの潜在的な脅威の考えられる原因および調査や緩和のための推奨されるアクションについての情報も提供されます。

anomalous-activity-report

メールの [View recent SQL alerts] (最新のアラートの表示) リンクをクリックして Azure portal を起動し、Azure Security Center のアラート ブレードを表示します。このページには、Azure Database for PostgreSQL サーバーで検出されたアクティブな SQL の脅威の概要が示されます。

active-threats

特定のアラートをクリックすると、より詳細な情報と、この脅威を調査し、今後の脅威に対処するためのアクションが表示されます。

specific-alert

Azure Database for PostgreSQL サーバーの Advanced Threat Protection のアラート

Azure Database for PostgreSQL サーバー用の Advanced Threat Detection では、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なる、害を及ぼす可能性のある試行を示す異常なアクティビティが検出されます。以下のアラートをトリガーできます。

  • Access from unusual location (通常とは異なる場所からのアクセス): このアラートは、だれかが通常とは異なる地理的な場所から Azure Database for PostgreSQL サーバーにログオンしたことで Azure Database for PostgreSQL サーバーへのアクセス パターンに変化が生じたときにトリガーされます。このアラートによって、新しいアプリケーションや開発者によるメンテナンス操作などの正当なアクションが検出されることがあります。このアラートによって、悪意のあるアクション (元従業員、外部の攻撃者など) が検出されることもあります。
  • Access from unusual Azure data center (通常とは異なる Azure データ センターからのアクセス): このアラートは、Azure Database for PostgreSQL サーバーへのアクセス パターンが変化するとトリガーされます。最近この Managed Instance へのアクセスが確認されていない Azure データ センターから、だれかが Azure Database for PostgreSQL サーバーにログオンしたときです。このアラートによって、Azure、Power BI、Azure SQL クエリ エディターの新しいアプリケーションなどの正当なアクションが検出されることがあります。別のケースでは、このアラートによって Azure リソース/サービス (元従業員、外部の攻撃者) からの悪意のあるアクションが検出されます。
  • Access from unfamiliar principal (通常とは異なるプリンシパルからのアクセス): このアラートは、だれかが通常とは異なるプリンシパルを使用して Azure Database for PostgreSQL サーバーにログオンしたことで Azure Database for PostgreSQL サーバーへのアクセス パターンに変化が生じたときにトリガーされます。このアラートによって、新しいアプリケーションや開発者によるメンテナンス操作などの正当なアクションが検出されることがあります。別のケースでは、このアラートによって元従業員や外部の攻撃者などによる悪意のあるアクションが検出されます。
  • Access from a potentially harmful application (潜在的に有害なアプリケーションからのアクセス): このアラートは、データベースにアクセスするために潜在的に有害なアプリケーションが使用されたときにトリガーされます。このアラートで実行中の侵入テストが検出されることがあります。別のケースでは、このアラートで一般的な攻撃ツールを使用した攻撃が検出されます。
  • Brute force login credentials (ログイン資格情報に対するブルート フォース攻撃): このアラートは、異なる資格情報でログインに失敗した回数が異常に多いときにトリガーされます。このアラートで実行中の侵入テストが検出されることがあります。このアラートでブルート フォース攻撃が検出されることもあります。

次の手順