Audit SQL Azure pour Azure SQL Database et Azure Synapse Analytics – Azure SQL Database – Serveur d’impression
<! –
L'audit pour Azure SQL Database et Azure Synapse Analytics suit les événements de base de données et les écrit dans un journal d'audit dans votre compte de stockage Azure, votre espace de travail Log Analytics ou Event Hubs.
Audit également:
-
Vous aide à maintenir la conformité réglementaire, à comprendre l'activité de la base de données et à obtenir un aperçu des écarts et des anomalies qui pourraient indiquer des problèmes commerciaux ou des violations de sécurité suspectées.
-
Permet et facilite le respect des normes de conformité, bien qu'il ne garantisse pas la conformité. Pour plus d'informations sur les programmes Azure qui prennent en charge la conformité aux normes, consultez le centre de confiance Azure où vous pouvez trouver la liste la plus récente des certifications de conformité Azure SQL.
Aperçu
Vous pouvez utiliser l'audit de la base de données SQL pour:
- Conserver une piste d'audit des événements sélectionnés. Vous pouvez définir des catégories d'actions de base de données à auditer.
- rapport sur l'activité de la base de données. Vous pouvez utiliser des rapports préconfigurés et un tableau de bord pour démarrer rapidement avec les rapports d'activité et d'événements.
- Analyser rapports. Vous pouvez trouver des événements suspects, une activité inhabituelle et des tendances.
Important
L'audit Azure SQL Database est optimisé pour la disponibilité et les performances. Pendant une activité très élevée, Azure SQL Database ou Azure Synapse permet aux opérations de continuer et peut ne pas enregistrer certains événements audités.
Limites d'audit
- Stockage premium est actuellement non supporté.
- Espace de noms hiérarchique pour Compte de stockage Azure Data Lake Storage Gen2 est actuellement non supporté.
- Activation de l'audit sur une pause Azure Synapse n'est pas pris en charge. Pour activer l'audit, reprenez Azure Synapse.
Définir la stratégie d'audit au niveau du serveur et au niveau de la base de données
Une stratégie d'audit peut être définie pour une base de données spécifique ou en tant que stratégie de serveur par défaut dans Azure (qui héberge SQL Database ou Azure Synapse):
-
Une stratégie de serveur s'applique à toutes les bases de données existantes et nouvellement créées sur le serveur.
-
Si l'audit du serveur est activé, il s'applique toujours à la base de données. La base de données sera auditée, quels que soient les paramètres d'audit de la base de données.
-
L'activation de l'audit sur la base de données, en plus de l'activer sur le serveur, ne ne pas remplacer ou modifier l'un des paramètres de l'audit du serveur. Les deux audits coexisteront. En d'autres termes, la base de données est auditée deux fois en parallèle; une fois par la stratégie de serveur et une fois par la stratégie de base de données.
Remarque
Vous devez éviter d'activer à la fois l'audit de serveur et l'audit de blob de base de données, sauf si:
- Vous souhaitez utiliser un autre compte de stockage, durée de conservation ou Espace de travail Log Analytics pour une base de données spécifique.
- Vous souhaitez auditer des types ou catégories d'événements pour une base de données spécifique qui diffèrent du reste des bases de données sur le serveur. Par exemple, vous pouvez avoir des insertions de table qui doivent être auditées uniquement pour une base de données spécifique.
Sinon, nous vous recommandons d'activer uniquement l'audit au niveau du serveur et de laisser l'audit au niveau de la base de données désactivé pour toutes les bases de données.
Configurer l'audit pour votre serveur
La stratégie d'audit par défaut comprend toutes les actions et l'ensemble de groupes d'actions suivant, qui auditeront toutes les requêtes et procédures stockées exécutées par rapport à la base de données, ainsi que les connexions réussies et ayant échoué:
- BATCH_COMPLETED_GROUP
- SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP
- FAILED_DATABASE_AUTHENTICATION_GROUP
Vous pouvez configurer l'audit pour différents types d'actions et de groupes d'actions à l'aide de PowerShell, comme décrit dans la section Gérer l'audit de la base de données SQL à l'aide d'Azure PowerShell.
Azure SQL Database et Azure Synapse Audit stockent 4 000 caractères de données pour les champs de caractères dans un enregistrement d'audit. Quand le déclaration ou la information_sensibilité_données les valeurs renvoyées par une action vérifiable contiennent plus de 4000 caractères, toutes les données au-delà des 4000 premiers caractères seront tronqué et non audité.
La section suivante décrit la configuration de l'audit à l'aide du portail Azure.
-
Accédez au portail Azure.
-
Aller vers Audit sous la rubrique Sécurité dans votre Base de données SQL ou Serveur SQL vitre.
-
Si vous préférez configurer une stratégie d'audit de serveur, vous pouvez sélectionner Afficher les paramètres du serveur lien sur la page d'audit de la base de données. Vous pouvez ensuite afficher ou modifier les paramètres d'audit du serveur. Les stratégies d'audit du serveur s'appliquent à toutes les bases de données existantes et nouvellement créées sur ce serveur.
-
Si vous préférez activer l'audit au niveau de la base de données, basculez Audit à SUR. Si l'audit du serveur est activé, l'audit configuré par la base de données coexistera avec l'audit du serveur.
-
Vous avez plusieurs options pour configurer où les journaux d'audit seront écrits. Vous pouvez écrire des journaux dans un compte de stockage Azure, dans un espace de travail Log Analytics pour la consommation par les journaux Azure Monitor (préversion) ou dans le concentrateur d'événements pour la consommation à l'aide du concentrateur d'événements (prévisualisation). Vous pouvez configurer n'importe quelle combinaison de ces options et des journaux d'audit seront écrits dans chacune.
Audit vers la destination de stockage
Pour configurer l'écriture des journaux d'audit sur un compte de stockage, sélectionnez Espace de rangement et ouvert Détails de stockage. Sélectionnez le compte de stockage Azure où les journaux seront enregistrés, puis sélectionnez la période de rétention. Puis clique D'accord. Les journaux antérieurs à la période de conservation sont supprimés.
Remarques
- Les journaux d'audit sont écrits dans Ajouter des objets blob dans un stockage Azure Blob sur votre abonnement Azure
- Pour configurer un magasin de journaux immuable pour les événements d'audit au niveau du serveur ou de la base de données, suivez les instructions fournies par Azure Storage. Assurez-vous d'avoir sélectionné Autoriser les ajouts supplémentaires lorsque vous configurez le stockage d'objets blob immuables.
- Vous pouvez écrire des journaux d'audit sur un compte de stockage Azure derrière un réseau virtuel ou un pare-feu. Pour des instructions spécifiques, voir Écrire un audit sur un compte de stockage derrière le réseau virtuel et le pare-feu.
- Après avoir configuré vos paramètres d'audit, vous pouvez activer la nouvelle fonctionnalité de détection des menaces et configurer les e-mails pour recevoir des alertes de sécurité. Lorsque vous utilisez la détection des menaces, vous recevez des alertes proactives sur les activités de base de données anormales qui peuvent indiquer des menaces de sécurité potentielles. Pour plus d'informations, voir Prise en main de la détection des menaces.
- Pour plus de détails sur le format de journal, la hiérarchie du dossier de stockage et les conventions de dénomination, consultez la Référence de format de journal d'audit Blob.
- Lorsque vous utilisez l'authentification AAD, les enregistrements de connexion ayant échoué seront ne pas apparaissent dans le journal d'audit SQL. Pour afficher les enregistrements d'audit de connexion ayant échoué, vous devez visiter le portail Azure Active Directory, qui enregistre les détails de ces événements.
- L'audit des réplicas en lecture seule est automatiquement activé. Pour plus de détails sur la hiérarchie des dossiers de stockage, les conventions de dénomination et le format de journal, consultez le format du journal d'audit de la base de données SQL.
Audit vers la destination Log Analytics
Pour configurer l'écriture des journaux d'audit dans un espace de travail Log Analytics, sélectionnez Log Analytics (préversion) et ouvert Détails de Log Analytics. Sélectionnez ou créez l'espace de travail Log Analytics où les journaux seront écrits, puis cliquez sur D'accord.
Audit vers la destination Event Hub
Attention
Activation de l'audit sur un serveur sur lequel se trouve un pool de bases de données SQL entraîne la reprise et la pause à nouveau du pool de base de données SQL qui peut entraîner des frais de facturation.
L'activation de l'audit sur un pool de bases de données SQL suspendu n'est pas possible. Pour l'activer, annulez la pause du pool de bases de données SQL.
Pour configurer l'écriture des journaux d'audit sur un hub d'événements, sélectionnez Event Hub (Aperçu) et ouvert Détails du Event Hub. Sélectionnez le hub d'événements où les journaux seront écrits, puis cliquez sur D'accord. Assurez-vous que le hub d'événements se trouve dans la même région que votre base de données et votre serveur.
Analyser les journaux d'audit et les rapports
Si vous avez choisi d'écrire des journaux d'audit dans les journaux Azure Monitor:
-
Utilisez le portail Azure. Ouvrez la base de données appropriée. En haut de la base de données Audit page, sélectionnez Afficher les journaux d'audit.
-
Ensuite, vous avez deux façons d'afficher les journaux:
Cliquer sur Log Analytics en haut de la Dossiers d'audit ouvrira la vue Journaux dans l'espace de travail Log Analytics, où vous pourrez personnaliser la plage de temps et la requête de recherche.
En cliquant Afficher le tableau de bord en haut de la Dossiers d'audit La page ouvrira un tableau de bord affichant les informations des journaux d'audit, où vous pourrez explorer les informations de sécurité, l'accès aux données sensibles et plus encore. Ce tableau de bord est conçu pour vous aider à obtenir des informations sur la sécurité de vos données.
Vous pouvez également personnaliser la plage de temps et la requête de recherche.
-
Vous pouvez également accéder aux journaux d'audit à partir du panneau Log Analytics. Ouvrez votre espace de travail Log Analytics et sous Général section, cliquez sur Journaux. Vous pouvez commencer par une simple requête, telle que: rechercher "SQLSecurityAuditEvents" pour afficher les journaux d'audit.
À partir de là, vous pouvez également utiliser les journaux Azure Monitor pour exécuter des recherches avancées sur vos données de journal d'audit. Les journaux Azure Monitor vous fournissent des informations opérationnelles en temps réel à l'aide de la recherche intégrée et de tableaux de bord personnalisés pour analyser facilement des millions d'enregistrements sur toutes vos charges de travail et serveurs. Pour plus d'informations utiles sur le langage et les commandes de recherche des journaux Azure Monitor, consultez Référence de recherche des journaux Azure Monitor.
Si vous avez choisi d'écrire des journaux d'audit dans Event Hub:
- Pour consommer les données des journaux d'audit d'Event Hub, vous devrez configurer un flux pour consommer les événements et les écrire sur une cible. Pour plus d'informations, consultez la documentation Azure Event Hubs.
- Les journaux d'audit dans Event Hub sont capturés dans le corps des événements Apache Avro et stockés à l'aide du formatage JSON avec le codage UTF-8. Pour lire les journaux d'audit, vous pouvez utiliser Avro Tools ou des outils similaires qui traitent ce format.
Si vous avez choisi d'écrire des journaux d'audit sur un compte de stockage Azure, vous pouvez utiliser plusieurs méthodes pour afficher les journaux:
-
Les journaux d'audit sont agrégés dans le compte que vous avez choisi lors de la configuration. Vous pouvez explorer les journaux d'audit à l'aide d'un outil tel qu'Azure Storage Explorer. Dans le stockage Azure, les journaux d'audit sont enregistrés en tant que collection de fichiers blob dans un conteneur nommé sqldbauditlogs. Pour plus de détails sur la hiérarchie des dossiers de stockage, les conventions de dénomination et le format de journal, consultez le format du journal d'audit de la base de données SQL.
-
Utilisez le portail Azure. Ouvrez la base de données appropriée. En haut de la base de données Audit page, cliquez sur Afficher les journaux d'audit.
Dossiers d'audit s'ouvre, à partir duquel vous pourrez consulter les journaux.
-
Vous pouvez afficher des dates spécifiques en cliquant sur Filtre en haut de la Dossiers d'audit page.
-
Vous pouvez basculer entre les enregistrements d'audit créés par le stratégie d'audit du serveur et le stratégie d'audit de base de données en basculant Source d'audit.
-
Vous pouvez afficher uniquement les enregistrements d'audit liés à l'injection SQL en vérifiant Afficher uniquement les enregistrements d'audit pour les injections SQL case à cocher.
-
-
Utiliser la fonction système sys.fn_get_audit_file (T-SQL) pour renvoyer les données du journal d'audit au format tabulaire. Pour plus d'informations sur l'utilisation de cette fonction, voir sys.fn_get_audit_file.
-
Utilisation Fusionner les fichiers d'audit dans SQL Server Management Studio (à partir de SSMS 17):
-
Dans le menu SSMS, sélectionnez Fichier > Ouvert > Fusionner les fichiers d'audit.
-
le Ajouter des fichiers d'audit la boîte de dialogue s'ouvre. Sélectionnez l'un des Ajouter des options pour choisir de fusionner les fichiers d'audit à partir d'un disque local ou de les importer depuis Azure Storage. Vous devez fournir vos détails de stockage Azure et votre clé de compte.
-
Une fois tous les fichiers à fusionner ajoutés, cliquez sur D'accord pour terminer l'opération de fusion.
-
Le fichier fusionné s'ouvre dans SSMS, où vous pouvez le visualiser et l'analyser, ainsi que l'exporter vers un fichier XEL ou CSV, ou vers une table.
-
-
Utilisez Power BI. Vous pouvez afficher et analyser les données du journal d'audit dans Power BI. Pour plus d'informations et pour accéder à un modèle téléchargeable, consultez Analyser les données du journal d'audit dans Power BI.
-
Téléchargez les fichiers journaux à partir de votre conteneur d'objets blob Azure Storage via le portail ou à l'aide d'un outil tel qu'Azure Storage Explorer.
- Après avoir téléchargé un fichier journal localement, double-cliquez sur le fichier pour ouvrir, afficher et analyser les journaux dans SSMS.
- Vous pouvez également télécharger plusieurs fichiers simultanément via Azure Storage Explorer. Pour ce faire, cliquez avec le bouton droit sur un sous-dossier spécifique et sélectionnez Enregistrer sous pour enregistrer dans un dossier local.
-
Méthodes supplémentaires:
-
Après avoir téléchargé plusieurs fichiers ou un sous-dossier contenant des fichiers journaux, vous pouvez les fusionner localement comme décrit dans les instructions SSMS Merge Audit Files décrites précédemment.
-
Afficher les journaux d'audit des objets blob par programmation:
-
Pratiques de production
Audit des bases de données géorépliquées
Avec les bases de données géorépliquées, lorsque vous activez l'audit sur la base de données principale, la base de données secondaire aura une stratégie d'audit identique. Il est également possible de configurer l'audit sur la base de données secondaire en activant l'audit sur serveur secondaire, indépendamment de la base de données primaire.
- Au niveau du serveur (conseillé): Activez l'audit sur les deux serveur principal aussi bien que serveur secondaire – les bases de données primaire et secondaire seront chacune auditées indépendamment en fonction de leur politique respective au niveau du serveur.
- Au niveau de la base de données: l'audit au niveau de la base de données pour les bases de données secondaires ne peut être configuré qu'à partir des paramètres d'audit de la base de données principale.
-
L'audit doit être activé sur le base de données primaire elle-même, pas le serveur.
-
Une fois l'audit activé sur la base de données principale, il sera également activé sur la base de données secondaire.
Important
Avec l'audit au niveau de la base de données, les paramètres de stockage de la base de données secondaire seront identiques à ceux de la base de données principale, provoquant un trafic interrégional. Nous vous recommandons d'activer uniquement l'audit au niveau du serveur et de laisser l'audit au niveau de la base de données désactivé pour toutes les bases de données.
-
Régénération des clés de stockage
En production, vous êtes susceptible de rafraîchir périodiquement vos clés de stockage. Lorsque vous écrivez des journaux d'audit dans le stockage Azure, vous devez réenregistrer votre stratégie d'audit lors de l'actualisation de vos clés. Le processus est le suivant:
-
Ouvert Détails de stockage. dans le Clé d'accès au stockage , sélectionnez Secondaireet cliquez sur D'accord. Puis clique sauver en haut de la page de configuration d'audit.
-
Accédez à la page de configuration du stockage et régénérez la clé d'accès principale.
-
Revenez à la page de configuration d'audit, basculez la clé d'accès au stockage du secondaire au principal, puis cliquez sur D'accord. Puis clique sauver en haut de la page de configuration d'audit.
-
Revenez à la page de configuration du stockage et régénérez la clé d'accès secondaire (en préparation du cycle de rafraîchissement de la clé suivante).
Gérer l'audit Azure SQL Database
Utilisation d'Azure PowerShell
Applets de commande PowerShell (y compris la prise en charge de la clause WHERE pour un filtrage supplémentaire):
Pour un exemple de script, voir Configurer l'audit et la détection des menaces à l'aide de PowerShell.
Utilisation de l'API REST
API REST:
Politique étendue avec prise en charge de la clause WHERE pour un filtrage supplémentaire:
Utilisation de modèles Azure Resource Manager
Vous pouvez gérer l'audit de la base de données Azure SQL à l'aide de modèles Azure Resource Manager, comme indiqué dans ces exemples:
Remarque
Les exemples liés se trouvent sur un référentiel public externe et sont fournis «tels quels», sans garantie, et ne sont pris en charge par aucun programme / service de support Microsoft.
<! – ->
Commentaires
Laisser un commentaire