公司新闻

SQL Server第1部分:为什么要监视SQL日志

 

由于数据有泄露的风险,每天每秒有超过44条记录被盗,根据2019年发布的基于风险的安全研究报告,恶意行为者最主要目标是企业数据库,利用其机密数据获取资产。一般来讲企业不会意识到自己的数据库已经被破坏了几个月,一旦敏感数据泄漏,损坏将无法挽回。

 

通过监视和分析异常活动日志,企业可以大大提高其在早期阶段检测攻击的能力,如:未授权访问尝试之类的事件,可以帮助您在损坏发生之前识别并防止威胁。

 

在本系列有关SQL Server的博客系列的第一部分中,我们将介绍为什么监视SQL日志很重要。

 

应该监视哪些日志以保护您的SQL数据库?

 

事务日志是SQL Server日志的组成部分。这些日志提供有关在SQL数据库中执行的插入,更新和删除事务的信息。除了事务日志,您还应该记录和监视:

 

 1.SQL Server安装日志

 2.SQL Server查看日志

 3.SQL Server代理日志

 4.SQL Server错误日志

 

这些日志不仅有助于检测数据泄露,还有助于对操作失败进行故障排除。在调查安全事件时,维护数据库操作的审核跟踪非常方便。

 

有本机SQL Server工具-扩展事件,SQL跟踪,SQL Profiler,活动监视器,跟踪标志,数据库控制台命令(DBCC)-可帮助监视数据库的运行状况,并分析安全事件和其他异常事件。这似乎足够,但还不足够。仅当数据库中发生恶意事件时通知IT安全团队,而这些工具无法做到时,记录的信息才有用。

 

您如何改善SQL审核?

 

为了保护存储在数据库中的敏感数据,实时审核数据库活动并将业务上下文和其他网络活动中的信息关联起来至关重要。诸如安全信息和事件管理(SIEM)解决方案之类的强大工具可以执行这些功能,并提供高级分析框架,以加快事件检测和解决过程。

 

SIEM解决方案通常带有用户和实体行为分析(UEBA)以及威胁分析功能,可以高效地分析数据库日志并以很高的准确度检测出危害指标,例如未经授权的表更新,数据访问和可疑的数据库登录尝试。此外,SIEM解决方案还具有向管理员实时警报任何不良事件的能力,并执行自动化的工作流程以快速解决事件或遏制正在进行的攻击。

 

在下文章,笔者将讨论SQL Server中用户和活动的身份验证和授权,笔者还将介绍数据库登录审核及其在确保SQL Server安全方面所扮演的角色。

 

点击链接,了解SIEM的强大功能

https://www.manageengine.cn/products/eventlog/