💽

Defender for SQL server on machines のアラート検証

2024/08/01に公開

はじめに

Defender for SQL server on machines で疑似アラートを使用した動作検証をする必要があったのですが、方法が分からず調べました。

公式情報

以下のブログの [Validate the alert] の欄に記載があるのですが、Log Analytics エージェント (MMA) を使用している場合のみのため、Azure Monitor エージェント (AMA) を利用する場合には使用できませんでした。
https://techcommunity.microsoft.com/t5/microsoft-defender-for-cloud/validating-alerts-on-microsoft-defender-for-sql-on-machines/ba-p/3070714

AMA 用

実は上記のブログのコメントに記載がありました。
以下のパスにある Microsoft.SQL.ADS.DefenderForSQL.exe を利用します。
※ <version> は Defender for SQL 拡張機能のバージョン

C:\Packages\Plugins\Microsoft.Azure.AzureDefenderForSQL.AdvancedThreatProtection.Windows\<version>\bin

以下を実行し、アラートシミュレーションのオプションのリストを確認します。

./Microsoft.SQL.ADS.DefenderForSQL.exe simulate --help

以下で自身に対してブルートフォース攻撃を実行します。

./Microsoft.SQL.ADS.DefenderForSQL.exe simulate -Attack BruteForce

Azure ポータルから

などと色々調べていたのですが、実はポータルから実行できました。
SQL 仮想マシンのページから [Microsoft Defender for Cloud] > [アラートのシミュレート] で各種アラートの動作確認が可能です。

Microsoft (有志)

Discussion