Implementace Microsoft Defender pro SQL pro ochranu databáze

Implementace Microsoft Defender pro SQL pro ochranu databáze

14.02.2025

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při implementaci a konfiguraci Microsoft Defender pro SQL. Defender for SQL poskytuje pokročilou vrstvu zabezpečení pro databáze Azure SQL, SQL Server na virtuálních počítačích a místní nebo multicloudová prostředí SQL Server (prostřednictvím Azure Arc), která detekuje zranitelnosti a hrozby v reálném čase [1].

Úvod

Databáze jsou neustálým cílem útoků, jako je SQL injection, neoprávněný přístup a exfiltrace dat. Microsoft Defender for SQL, součást Microsoft Defender for Cloud, pomáhá zmírňovat tato rizika prostřednictvím dvou klíčových funkcí: Posouzení zranitelnosti SQL a Pokročilá ochrana před hrozbami (ATP). Vulnerability Assessment identifikuje a pomáhá napravit slabá místa konfigurace, zatímco ATP detekuje anomální aktivitu, která by mohla naznačovat probíhající útok [2].

Tato praktická příručka pokryje aktivaci, konfiguraci, testování a správu Defenderu pro SQL, což vám umožní efektivně chránit vaše databáze.

Proč je Microsoft Defender pro SQL zásadní?

  • Nepřetržité hodnocení zranitelnosti: Proaktivně kontroluje vaše databáze, zda neobsahují nesprávnou konfiguraci a další zranitelnosti.
  • Pokročilá detekce hrozeb: Nepřetržitě monitoruje aktivitu a identifikuje anomální chování, jako je injekce SQL a útoky hrubou silou.
  • Komplexní pokrytí: Chrání databáze SQL v Azure, na virtuálních počítačích a v hybridních/multicloudových prostředích pomocí Azure Arc.
  • Podrobná bezpečnostní upozornění: Poskytuje kontext, kroky pro vyšetřování a doporučení k nápravě pro každou výstrahu.

Předpoklady

  1. Aktivní předplatné Azure.
  2. Administrativní přístup: Má v předplatném roli Vlastník, Spolupracovník nebo Správce zabezpečení.
  3. Stávající databáze SQL.

Krok za krokem: Implementace Microsoft Defender pro SQL

1. Povolení Defender pro SQL

Nejlepším postupem je povolit plán na úrovni předplatného, aby automaticky chránil všechny funkce.

  1. Na portálu Azure přejděte na Microsoft Defender for Cloud.
  2. Přejděte na Nastavení prostředí a vyberte své předplatné.
  3. Na stránce plánů Defender najděte Databáze a přepněte stav na Povoleno.
  4. Klikněte na Uložit. Tím povolíte ochranu pro všechny podporované typy databází.

2. Konfigurace a spuštění hodnocení zranitelnosti

  1. Přejděte na Azure SQL server.
  2. V nabídce pod Zabezpečení vyberte Microsoft Defender for Cloud.
  3. Zobrazí se bezpečnostní doporučení. Hodnocení zranitelnosti je jedním z nich. Kliknutím na doporučení „Zjištění zranitelnosti na vašich serverech SQL musí být vyřešena“ zobrazíte výsledky.
  4. Chcete-li nakonfigurovat opakování, klikněte na Nastavení serveru v horní části stránky Zabezpečení serveru SQL a nakonfigurujte účet úložiště pro výsledky skenování a plánování.

3. Ověřování pokročilé ochrany před hrozbami (ATP)

ATP se automaticky aktivuje s plánem. Abychom ověřili jeho fungování, můžeme simulovat útok. Tento test provádějte pouze v autorizovaném neprodukčním prostředí.

Testovací scénář: SQL Injection Simulation

  1. Pomocí nástroje jako sqlcmd se připojte k testovací databázi a spusťte dotaz, který se podobá SQL injection. bash # Nahraďte hodnoty mezi <> sqlcmd -S tcp:<název_serveru>.database.windows.net,1433 -d <název_databáze> -U <jméno_uživatele> -P "<heslo>" -Q "SELECT * FROM Users WHERE UserId = '1' NEBO '1'='1';"
  2. Očekávaná akce: Během několika minut by měl Defender for SQL detekovat tuto aktivitu jako potenciální SQL injekci a vygenerovat bezpečnostní výstrahu.

Zkoumání výstrah v programu Microsoft Defender pro Cloud

  1. V Azure Portal přejděte na Microsoft Defender for Cloud > Bezpečnostní upozornění.
  2. Filtrujte výstrahy podle závažnosti, typu zdroje nebo taktiky MITER ATT&CK®.
  3. Klikněte na výstrahu vygenerovanou vaším testem (např. Potenciální vložení SQL).
  4. Stránka s podrobnostmi upozornění bude obsahovat:
    • Popis hrozby.
    • Dotčené subjekty (službaidor SQL, databáze atd.).
    • Doporučené kroky opravy.
    • Přesný dotaz, který spustil výstrahu.

Doporučené postupy a bezpečnostní tipy

  • Povolit při předplatném: Vždy povolte Defender pro SQL na úrovni předplatného, abyste zajistili plné a automatické pokrytí.
  • Integrace s Microsoft Sentinel: Forward Security Center upozorňuje na Microsoft Sentinel za účelem hlubšího prošetření, korelace s jinými protokoly a možností vyhledávání hrozeb.
  • Proaktivní náprava: Neignorujte výsledky posouzení zranitelnosti. Vytvořte proces, který bude pravidelně kontrolovat a opravovat nálezy.
  • Konfigurovat upozornění: V nastavení Centra zabezpečení nakonfigurujte e-mailová upozornění na velmi závažná upozornění, abyste zajistili rychlou odezvu.
  • Použití Azure Arc: Pro místní servery SQL nebo v jiných cloudech použijte Azure Arc k rozšíření ochrany Defender na ně.

Závěr

Microsoft Defender pro SQL je nezbytný nástroj pro ochranu jednoho z nejdůležitějších aktiv každé organizace: jejích dat. Tím, že poskytuje dvojí přístup – proaktivní zjišťování a nápravu zranitelností a zjišťování aktivních hrozeb v reálném čase – poskytuje robustní a inteligentní obranu. Správná implementace a průběžné sledování výstrah generovaných Defenderem pro SQL výrazně posiluje vaši bezpečnost a odolnost proti databázovým útokům.

Reference

[1] Microsoft. (2023). Přehled programu Microsoft Defender pro SQL. [2] Microsoft. (2023). Výstrahy zabezpečení pro databáze SQL a Azure Synapse Analytics.