一、什么是SQL Server审核?
SQL Server审核包括追踪和审查发生在SQL Server上的所有活动,检测潜在的威胁和漏洞,能够监控和记录对服务器设置的每次更改。此外,可以帮助管理员可以轻松地追踪数据库中特定表中的所有服务器活动,例如谁修改了哪些值,通过分析可疑的日志事件,可以识别出未授权访问网络的行为。
SQL Server审核日志是记录网络中Microsoft SQL Server审核结果的文件,提供有关安全问题或可能的数据泄露的详细信息。监控SQL Server的安全漏洞、不成功的登录、策略变更和IoC对于满足突出的合规性要求至关重要。
通过审核SQL Server活动能够监控、分析、关联和检测网络异常,这些异常通常会被视为单个操作而被忽略。定期的SQL Server审核提供对服务器和数据库活动的深入了解。
二、SQL Server审核与SQL Server日志记录有何不同?
SQL Server日志记录:SQL Server日志记录包括记录SQL Server环境中的各种系统事件、错误和事务活动,帮助进行故障排除、性能分析和灾难恢复。
SQL Server审核:SQL Server审核专门关注于追踪和监控用户操作、与安全相关的事件和与合规性相关的活动,以确保数据安全、合规性和可问责性。
虽然日志记录捕获广泛的系统活动,但审核更针对用户操作和安全事件,提供关于谁访问了数据库、执行了什么操作以及何时发生的详细信息。
三、SQL Server审核类型
有两种类型的SQL Server审核:
服务器级审核
SQL Server中的服务器级审核包括追踪服务器级的事件和操作,这种类型的审核捕获发生在整个SQL Server实例中的活动,包括登录、配置变更和与安全相关的事件。服务器级审核为管理员提供了服务器活动的全面视图,并帮助他们检测潜在的安全威胁和违规行为。
服务器级审核操作组将可审核事件分类到逻辑组中,从而更容易根据特定需求配置审核设置。一些常见的服务器级审核操作组包括:
AUDIT_CHANGE_GROUP
APPLICATION_ROLE_CHANGE_PASSWORD_GROUP
SECURITY_CHANGE_GROUP
通过配置服务器级审核规范,管理员可以定义审核的范围、指定要追踪的审核操作,并确定审核日志的存储位置。
数据库级审核
数据库级审核侧重于监控 SQL Server实例上托管的特定数据库中的活动,这种类型的审核使管理员能够追踪数据访问、修改、架构更改和其他特定于数据库的事件。数据库级审核提供对数据库活动的精细可见性,有助于解决问题、确保数据完整性和满足合规性要求。
数据库级审核操作组对与数据库操作、登录尝试和其他数据库特定活动相关的可审核事件进行分类。常见的数据库级审核操作组包括:
DATABASE_OPERATION_GROUP
DATABASE_LOGON_GROUP
SCHEMA_OBJECT_ACCESS_GROUP
通过配置数据库级审核规范,管理员可以为特定的数据库定制审核设置,从而能够有针对性地监控关键数据资产和敏感操作。
SQL Server审核功能
SQL Server审核提供了一系列功能,以满足不同的审核需求和法规遵从性标准,这些功能使组织能够定义要审核的内容、配置服务器设置和架构更改,以及有效地追踪数据修改。以下是一些关键的SQL Server审核功能的信息:
C2审核
符合通用准则
SQL Server登录审核
SQL追踪
SQL Server扩展事件
变更数据捕获(CDC)
数据操作语言(DML)、数据定义语言(DDL)和登录触发器
C2审核
C2审核用于评估计算机系统的安全特性和功能,侧重于记录SQL Server活动之外的详细信息,包括事件触发者、受影响的数据库、服务器名称、事件类型和事件结果。C2审核为安全分析和合规性目的提供全面的审核追踪。
符合通用准则
通用标准是一套公认的准则,用于评估和认证IT产品和系统的安全功能。SQL Server提供了符合通用准则要求的功能,包括残留信息保护、登录统计信息查看以及确保表级授权优先于列级授权。通用准则合规性可确保遵守严格的安全标准和法规要求。
SQL Server登录审核
SQL Server中的登录审核可监控用户身份验证和登录活动,捕获成功和失败的登录尝试。此功能将与登录相关的事件写入SQL Server错误日志,使管理员能够了解用户访问模式、身份验证失败和潜在的安全威胁。登录审核可帮助组织识别未经授权的访问尝试并有效实施访问控制。
SQL追踪
SQL追踪是SQL Server中的事件驱动型监控工具,用于捕获和记录用户活动和系统事件。使管理员能够定义自定义追踪事件和筛选条件,以捕获特定类型的活动,例如查询执行、数据库修改和错误条件。SQL追踪提供了用于性能分析、故障排除和审核的详细信息。
SQL Server扩展事件
扩展事件是 SQL Server 中引入的轻量级且高度可配置的事件处理框架,它提供了一种灵活的机制来捕获和分析各种事件和性能指标。扩展事件可以通过定义事件会话来捕获感兴趣的特定事件、操作和条件,从而用于审核目的。它提供对事件收集的精细控制,并最大限度地降低性能开销。
变更数据捕获(CDC)
CDC是SQL Server中的一项功能,用于追踪和记录对数据库中表上执行的所有插入、更新和删除活动。CDC在行级别捕获对数据的更改并将其存储在更改表中,使管理员能够准确追踪历史数据修改。CDC对于审核数据更改、数据复制和数据集成方案特别有用。
数据操作语言(DML)、数据定义语言(DDL)和登录触发器
SQL Server支持DML、DDL和登录事件的触发器。触发器是可编程的数据库对象,它自动执行响应指定的事件,例如数据修改(插入、更新、删除)、架构更改(创建、更改、删除)以及登录或注销操作。触发器可用于审核目的,以执行业务规则、捕获审核追踪信息和有效地规范数据库操作。
四、SQL Server审核工具主要功能
EventLog Analyzer日志管理工具能实时监控SQL Server的日志活动,并在网络中检测到可疑活动(如帐户锁定和对表或访问权限的关键更改)时提供即时告警。即时警报使管理员能够快速响应并处理安全事件,从而大大减少事件或攻击的影响。
监控syslog事件
审核SQL Server中的登录活动
监控DDL和DML活动
检测SQL注入攻击
减少数据泄露
审核SQL Server中的登录活动
通过对执行的所有活动进行SQL Server审核追踪,检测SQL Server数据库中的权限滥用和身份盗窃,执行详细审核以识别可疑活动,例如失败或成功的登录尝试以及对用户权限、数据库对象、实例、用户详细信息和操作时间的更改。
监控DDL和DML活动
监控DDL和DML活动,来追踪数据库中的功能和结构级别更改。Microsoft SQL Server和数据库审核追踪对表、视图、过程、触发器、架构和数据更改等操作,还以图形报告的形式直观地呈现数据,帮助管理员在需要时执行快速取证分析。
检测SQL注入攻击
SQL Server审核工具主动保护组织的数据库服务器免受SQL注入攻击,拥有多个预定义的关联规则,可帮助管理员从整个网络收集的一系列日志中发现复杂的模式。
减少数据泄露
通过配置事件工作流来响应警报通知,从而有效地处理事件。实时警报系统以及集成的事件和响应管理控制台将管理员的注意力转移到网络安全事件上,还可以与外部帮助台工具集成,将工单分配给相关团队并加快解决问题的速度。
EventLog Analyzer
EventLog Analyzer有助于SQL Server日志审计,并让管理员充分了解数据库上的各种潜在安全威胁,获取实时告警,以便对Microsoft SQL Server环境中的关键事件(例如SQL注入、拒绝服务攻击和未经授权复制敏感数据)采取快速措施。
