A segurança de dados é mais importante do que nunca. Algumas de suas informações mais importantes residem em bancos de dados, portanto é necessário criar uma estratégia sólida de segurança e auditoria de banco de dados. A CSO publicou um artigo no início deste ano listando as 16 principais violações de segurança do século com base em quanto risco ou dano a violação causou. Desses 16 ataques, os bancos de dados estavam no centro de pelo menos quatro, incluindo a violação da Heartland Payment Systems em março de 2008, resultado de um ataque de injeção de SQL.
A Microsoft fornece ótimos recursos nativamente para monitorar a atividade em seu ambiente do SQL Server, mas você precisará saber como usá-los para realmente ser eficaz. Neste post, vamos dar uma olhada em 5 eventos críticos que são parte integrante de uma estratégia adequada de auditoria do SQL Server.
Entendendo a Auditoria do SQL Server
As auditorias do SQL Server podem ser usadas para rastrear eventos relacionados à segurança em sua Instância do SQL Server. Para detalhes sobre como configurar as auditorias do SQL Server, você pode consultar este artigo da Microsoft. Para o propósito deste post, o processo de configuração pode ser simplificado para as três etapas a seguir, cada uma das quais pode ser feita por meio do SMS, do SQL Management Studio e do T-SQL:
- Criar um objeto de auditoria do SQL Server
- Criar um SQL Server ou uma especificação de auditoria de banco de dados
- Ativar a auditoria do SQL Server
As auditorias SQL oferecem uma extensa lista de eventos em nível de banco de dados e de servidor que podem ser auditados. Isso inclui qualquer coisa, desde um login com falha até uma alteração na configuração do banco de dados.
Um dos maiores desafios que as organizações enfrentam é a criação de uma estratégia de auditoria apropriada que atenda à conformidade e, ao mesmo tempo, não adicione nenhuma sobrecarga significativa de desempenho à sua infraestrutura do SQL Server. Pode parecer tentador simplesmente auditar tudo – dessa forma você não pode perder nada, certo? Bem, as organizações devem escolher sabiamente o que vão auditar, porque quanto mais eventos forem auditados, mais dados serão armazenados, mais lento será o desempenho do SQL Server. Quais especificações são as mais importantes? Vamos dar uma olhada nos 5 que devem fazer parte de qualquer estratégia de auditoria do SQL.
5 Especificações de Auditoria SQL
Logons com falha
Esse evento indica que tentou efetuar logon no SQL Server e falhou e normalmente é um requisito MÍNIMO para qualquer auditoria. Ter essa informação não é importante apenas para identificar quem está se conectando ativamente com seus bancos de dados, mas também para aumentar o alarme no caso de uma tentativa ou ataque bem-sucedido.
Mudanças de Membro de Função
Esses eventos são gerados sempre que um logon é adicionado ou removido de uma função de servidor ou banco de dados, respectivamente, fornecendo um entendimento preciso e atualizado dos usuários privilegiados em toda a Instância do SQL Server.
Mudanças de objetos
Esses eventos são gerados sempre que qualquer objeto de banco de dados é criado, alterado ou descartado. Embora isso possa resultar em um grande número de registros de auditoria, isso geralmente é exigido pela maioria das auditorias.
Alterações no Banco de Dados Principal
Esse evento é gerado quando os principais, como usuários, são criados, alterados ou eliminados de um banco de dados. Semelhante ao ROLE_MEMBER_CHANGE_GROUP, esse evento fornece uma compreensão precisa de quem tem acesso e onde está sua Instância do SQL Server
Além de escolher cuidadosamente os eventos a serem auditados, é importante auditar eventos bem-sucedidos e malsucedidos. Isso não apenas ajudará a determinar quem está usando e / ou abusando de seus privilégios, mas também permitirá que você rastreie possíveis ataques com falha.
Audite suas auditorias!
Pode-se argumentar que a especificação de auditoria mais importante a ser ativada em sua organização é o AUDIT_CHANGE_GROUP , que é gerado sempre que qualquer auditoria é criada, modificada ou excluída. Isso é importante porque garante que ninguém tenha adulterado o que está sendo auditado, o que geralmente é um requisito necessário dos auditores. Não é incomum que um DBA desative a auditoria se perceber que o desempenho do SQL Server está diminuindo e, muitas vezes, esses administradores se esquecerão de reativar essas auditorias. As organizações precisam certificar-se de auditar suas implementações de auditoria para não apenas garantir que os erros de cálculo do administrador não levem a uma vulnerabilidade aumentada, mas também destacar atividades realizadas por usuários privilegiados que sabiam desativar a auditoria antes de fazer o que eles queriam fazer.
StealthAUDIT está aqui para ajudar
Como parte do conjunto abrangente de Data Access Governance da STEALTHbits para dados estruturados e não estruturados, o StealthAUDIT for SQL automatiza o processo de entendimento onde existem bancos de dados SQL, quem tem acesso a eles, como eles obtiveram acesso, quem ou o que está alavancando seus privilégios de acesso. informações confidenciais residem e como cada banco de dados foi configurado.
Com o StealthAUDIT for SQL, as organizações podem:
- Identificar onde e que tipo de dados confidenciais são armazenados em sua infraestrutura do SQL Server
- Entenda quem tem acesso aos dados através de permissão detalhada e análise de papéis
- Monitore a atividade que ocorre em suas instâncias do SQL Server por meio da coleção de eventos de auditoria do SQL Server
- Relatar e alertar sobre acesso e atividade de dados confidenciais
Com a visibilidade de todos os cantos do Microsoft SQL Server e do sistema operacional Windows, as organizações podem destacar e priorizar proativamente os riscos para dados confidenciais. Além disso, as organizações podem automatizar processos manuais, demorados e caros associados à conformidade, segurança e operações para aderir facilmente às práticas recomendadas que mantêm o SQL Server seguro e operacional.
Texto Original: https://blog.stealthbits.com/5-critical-events-to-audit-with-microsoft-sql-server
Eu tenho o prazer em indicar uma excelente solução para auditoria de eventos o EventLog Analyzer, uma solução completa de auditoria! Venha realizar agora mesmo os teste totalmente grátis, contando com o apoio de equipe ACSoftware.