Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Defender per il cloud offre una funzionalità di avviso simulato SQL che consente alle organizzazioni e ai team di sicurezza di convalidare la distribuzione e testare la preparazione dei team di sicurezza rilevamento, risposta e automazione dei flussi di lavoro senza creare rischi effettivi per la sicurezza.
La simulazione inserisce i record di telemetria nelle macchine di destinazione (macchine virtuali di Azure o computer connessi ad Arc) tramite un'estensione di script personalizzata denominata Sql-SimulateAlert. Gli avvisi simulati includono il contesto di runtime completo, ad esempio host, istanza SQL, database e informazioni sul processo, in modo da poter convalidare i flussi di risposta di sicurezza end-to-end. Questo processo è sicuro e non intrusivo, assicurandosi che le risorse rimangano sicure.
È possibile simulare gli scenari di sicurezza seguenti:
- Autenticazione di forza bruta
- Autenticazione da un'applicazione sospetta
- Attacco di tipo SQL injection
- Anomalia principale
- Anomalia della sorgente esterna della shell
- Offuscamento della shell
La simulazione viene eseguita localmente nel computer tramite l'estensione script personalizzata senza eseguire payload dannosi esterni. Tutti gli avvisi generati contengono identificatori completi di computer e risorse, nomi di istanza SQL, informazioni sul database, dettagli del processo e dati di telemetria richiesti dai playbook e dai flussi di lavoro di automazione della sicurezza.
Prerequisiti
Abilitare SQL Server sui computer nel piano Defender per Database.
Deve avere il ruolo e l'autorizzazione seguenti:
- Creare un'implementazione ARM e scrivere le estensioni VM: Amministratore della sicurezza o Collaboratore nella sottoscrizione di destinazione.
- Permessi del contributore e contributore ai criteri delle risorse per la risorsa
Microsoft.Compute/virtualMachines/writeeMicrosoft.Resources/deployments/*.
L'istanza di SQL Server deve essere configurata per consentire l'autenticazione SQL per scenari di simulazione che richiedono un nome utente e una password (alcuni tipi di simulazione accettano credenziali utente).
Note
Usare un nome utente e una password SQL di test appropriati anziché un account di produzione.
Simulare gli avvisi
Estrae SqlAlertSimulationClient i parametri del template dalla risorsa di destinazione, tra cui la sottoscrizione, il gruppo di risorse, il nome della macchina, la posizione e la presenza dell'estensione Defender.
SqlAlertSimulationClient compila un modello di Azure Resource Manager (ARM) che distribuisce o usa nuovamente un'estensione di script personalizzata nel computer. L'estensione esegue un comando di PowerShell che richiama l'helper simulare Defender per SQL con i parametri di attacco richiesti. L'helper genera dati di telemetria degli avvisi che passano a Defender per il cloud, attivando avvisi che possono essere usati dai connettori di automazione e mobilizzazione downstream.
Accedi al portale di Azure.
Cercare e selezionare Azure SQL.
Selezionare SQL Server in macchine virtuali di Azure o istanze di SQL Server (Azure Arc).
Selezionare il database pertinente.
Selezionare Sicurezza>di Microsoft Defender per il cloud.
Selezionare Simula l'avviso.
Selezionare un tipo di avviso.
Immettere le informazioni necessarie per il tipo di avviso selezionato. Ad esempio, nome utente e password per gli attacchi di autenticazione.
Selezionare Simulare avviso.
L'avviso viene visualizzato dopo alcuni minuti ed è possibile usarlo per convalidare la configurazione del monitoraggio della sicurezza.
Verificare che l'avviso venga generato
Dopo aver simulato un avviso, verificare che venga generato l'avviso.
Nel portale di Azure cercare e selezionare Azure SQL.
Selezionare SQL Server in macchine virtuali di Azure o istanze di SQL Server (Azure Arc).
Selezionare il database pertinente.
Selezionare Sicurezza>di Microsoft Defender per il cloud.
Selezionare Verifica la disponibilità di avvisi per questa risorsa in Microsoft Defender per il cloud.
Verificare che l'avviso simulato venga visualizzato nell'elenco degli avvisi per la risorsa e gestire e rispondere all'avviso di sicurezza.