根据2019年发布的基于风险安全研究报告,数据经常会有泄露的风险,每秒有超过44条记录被盗,最主要目标是利用企业数据库,获取其机密资产。一般来讲企业不会察觉到自己的数据库已经被破坏了几个月,一旦敏感数据泄漏,损坏将无法挽回。
通过监视和分析异常活动日志,企业可以在早期阶段提高检测防御的能力,如:尽早识别出未授权访问之类的事件,可以帮助您在数据损坏之前识别并阻止。
在本系列博客中关于SQL Server的第一部分,我们将介绍为什么监视SQL日志很重要。
应该监视哪些日志来保护您的SQL数据库?
事务日志是SQL Server日志的组成部分。这些日志提供在SQL数据库中执行的插入,更新和删除事务等操作记录。除了事务日志,您还应该监视和记录以下操作:
1.SQL Server安装日志
2.SQL Server查看日志
3.SQL Server代理日志
4.SQL Server错误日志
这些日志不仅有助于检测数据泄露,还有助于对操作失败进行故障排除。所以,对数据库操作进行审核跟踪非常重要。
自带的SQL Server工具-扩展事件,SQL跟踪,SQL Profiler,活动监视器,跟踪标志,数据库控制台命令(DBCC)-可帮助监控数据库的运行状况,并分析安全事件和其他异常事件。这似乎足够了,但还远远不够。
您如何改善SQL审核?
为了保护存储在数据库中的敏感数据,实时审核数据库活动并将业务上下文和其他网络活动中的信息关联起来至关重要。诸如安全信息和事件管理(SIEM)解决方案之类的强大工具可以执行这些功能,并提供高级分析框架,以加快事件检测和解决过程。
SIEM解决方案带有用户和实体行为分析(UEBA)以及威胁分析的功能,可以高效地分析数据库日志并以很高的准确度检测出危害指标,例如未经授权表的更新,数据访问和可疑的数据库登录尝试等。此外,SIEM解决方案还可以实时警报任何不良事件,并执行自动化的工作流程以及快速解决或遏制正在进行。
在以下文章,笔者将讨论SQL Server活动用户的身份验证和授权,笔者还将介绍数据库登录审核,及其在SQL Server安全方面所扮演的角色。