Partilhar via

Auditoria para o Banco de Dados SQL do Azure e o Azure Synapse Analytics

  • Artigo

Aplica-se a:Banco de Dados SQL do Azure do Azure Synapse Analytics

Auditoria para O que é o Azure SQL Database? e Azure Synapse Analytics rastreia eventos de base de dados e grava-os num registo de auditoria na conta de armazenamento do Azure, no Log Analytics Workspace ou nos Event Hubs.

Auditoria também:

  • Ajuda a manter a conformidade regulamentar, entender a atividade do banco de dados e obter informações sobre discrepâncias e anomalias que podem indicar preocupações comerciais ou suspeitas de violações de segurança.

  • Permite e facilita a adesão aos padrões de conformidade, embora não garanta a conformidade. Para obter mais informações, consulte a Central de Confiabilidade do Microsoft Azure onde você pode encontrar a lista mais atual de certificações de conformidade do Banco de Dados SQL.

Observação

Para obter informações sobre a auditoria da Instância Gerenciada SQL do Azure, consulte Introdução à auditoria da Instância Gerenciada SQL do Azure.

Visão geral

Você pode usar a auditoria do Banco de dados SQL para:

  • Manter um registo de auditoria de eventos selecionados. Você pode definir categorias de ações de banco de dados a serem auditadas.
  • Relatório sobre a atividade do banco de dados. Você pode usar relatórios pré-configurados e um painel para começar rapidamente com relatórios de atividades e eventos.
  • Analise relatórios. Você pode encontrar eventos suspeitos, atividades incomuns e tendências.

Importante

As auditorias para a Base de Dados SQL do Azure, pools SQL do Azure Synapse Analytics e Instância Gerenciada SQL do Azure são otimizadas para a disponibilidade e o desempenho da base de dados ou instância a ser auditada. Durante períodos de atividade muito alta ou alta carga de rede, o recurso de auditoria pode permitir que as transações prossigam sem registrar todos os eventos marcados para auditoria.

Limitações da auditoria

  • Não é suportada a habilitação da auditoria em um pool SQL pausado do Azure Synapse no. Para habilitar a auditoria, retome o pool Synapse SQL.
  • Não há suporte para habilitar a auditoria usando a UAMI (Identidade Gerenciada Atribuída pelo Usuário) no Azure Synapse.
  • Atualmente, não há suporte para identidades gerenciadas para o Azure Synapse, a menos que a conta de armazenamento esteja atrás de uma rede virtual ou firewall.
  • Devido a restrições de desempenho, não auditamos o tempdb , e as tabelas temporárias . Embora o grupo de ações em lote concluído capture instruções em tabelas temporárias, ele pode não preencher corretamente os nomes dos objetos. No entanto, a tabela de origem é sempre auditada, garantindo que todas as inserções da tabela de origem para tabelas temporárias sejam registradas.
  • A auditoria para pools SQL do Azure Synapse dá suporte a grupos de ações de auditoria padrão apenas.
  • Quando você configura a auditoria para um servidor lógico no Azure ou no Banco de Dados SQL do Azure com o destino do log como uma conta de armazenamento, o modo de autenticação deve corresponder à configuração dessa conta de armazenamento. Se estiver usando chaves de acesso de armazenamento como o tipo de autenticação, a conta de armazenamento de destino deverá ser habilitada com acesso às chaves da conta de armazenamento. Se a conta de armazenamento estiver configurada para usar apenas a autenticação com o Microsoft Entra ID (anteriormente Azure Ative Directory), a auditoria poderá ser configurada para usar identidades gerenciadas para autenticação.

Comentários

  • Armazenamento Premium com BlockBlobStorage é suportado. O armazenamento padrão é suportado. No entanto, para que a auditoria escreva numa conta de armazenamento atrás de uma rede virtual ou firewall, deve ter uma conta de armazenamento de uso geral v2 . Se tiveres uma conta de armazenamento de uso geral v1 ou Blob, atualiza para uma conta de armazenamento de uso geral v2. Para obter instruções específicas, consulte Gravar auditoria numa conta de armazenamento atrás da VNet e do firewall. Para obter mais informações, consulte Tipos de contas de armazenamento.
  • de namespace hierárquico para todos os tipos de de conta de armazenamento padrão e conta de armazenamento premium com BlockBlobStorage é suportada.
  • Os registos de auditoria são gravados em Append Blobs num Armazenamento de Blobs do Azure na sua subscrição do Azure
  • Os logs de auditoria estão no formato .xel e podem ser abertos com SQL Server Management Studio (SSMS).
  • Para configurar um armazenamento de log imutável para o servidor ou eventos de auditoria no nível de banco de dados, siga as instruções de fornecidas pelo Armazenamento do Azure. Certifique-se de ter selecionado Permitir acréscimos adicionais ao configurar o armazenamento de blob imutável.
  • Você pode gravar logs de auditoria em uma conta de Armazenamento do Azure atrás de uma rede virtual ou firewall.
  • Para obter detalhes sobre o formato de log, hierarquia da pasta de armazenamento e convenções de nomenclatura, consulte o artigo Formato de Log de Auditoria do Banco de Dados SQL.
  • A auditoria em Usar réplicas de leitura apenas para descarregar o processamento de consultas de leitura é automaticamente habilitado. Para obter mais informações sobre a hierarquia das pastas de armazenamento, convenções de nomenclatura e formato de log, consulte o artigo formato de log de auditoria do Banco de Dados SQL.
  • Ao utilizar a autenticação do Microsoft Entra, os registos de logins falhados não aparecem no log de auditoria do SQL. Para exibir registos de auditoria de login com falha, você precisa visitar o centro de administração do Microsoft Entra, que registra os detalhes desses eventos.
  • Os logons são roteados pelo gateway para a instância específica onde o banco de dados está localizado. Com os logins do Microsoft Entra, as credenciais são verificadas antes de tentar usar esse usuário para entrar no banco de dados solicitado. Em caso de falha, o banco de dados solicitado nunca é acessado, portanto, nenhuma auditoria ocorre. Com logins SQL, as credenciais são verificadas nos dados solicitados, portanto, neste caso, eles podem ser auditados. Os logins bem-sucedidos, que obviamente chegam ao banco de dados, são auditados em ambos os casos.
  • Depois de definir as configurações de auditoria, você pode ativar o novo recurso de deteção de ameaças e configurar e-mails para receber alertas de segurança. Ao usar a deteção de ameaças, você recebe alertas proativos sobre atividades anômalas do banco de dados que podem indicar possíveis ameaças à segurança. Para obter mais informações, consulte SQL Advanced Threat Protection.
  • Depois que um banco de dados com auditoria habilitada for copiado para outro servidor lógico , você poderá receber um e-mail notificando que a auditoria falhou. Esse é um problema conhecido e a auditoria deve funcionar conforme o esperado no banco de dados recém-copiado.

Conteúdo relacionado