Povolení Microsoft Defenderu pro servery SQL na počítačích

Defender for SQL chrání vaše SQL servery IaaS tím, že identifikuje a zmírní potenciální ohrožení zabezpečení databáze a detekuje neobvyklé aktivity, které by mohly značit hrozby pro vaše databáze.

Defender for Cloud naplní výstrahami, když detekuje podezřelé databázové aktivity, potenciálně škodlivé pokusy o přístup k počítačům SQL nebo jejich zneužití, útoky prostřednictvím injektáže SQL, neobvyklý přístup k databázi a vzory dotazů. Výstrahy vytvořené těmito typy událostí se zobrazí na stránce s odkazem na výstrahy.

Defender for Cloud používá posouzení ohrožení zabezpečení ke zjišťování, sledování a pomoci vám při nápravě potenciálních ohrožení zabezpečení databáze. Kontroly posouzení poskytují přehled o stavu zabezpečení vašich počítačů SQL a poskytují podrobnosti o všech zjištěních zabezpečení.

Přečtěte si další informace o posouzení ohrožení zabezpečení pro servery Azure SQL na počítačích.

Defender pro SQL servery na počítačích chrání vaše SQL servery hostované v Azure, ve více cloudech a dokonce i na místních počítačích.

• Přečtěte si další informace o SQL Serveru na virtuálních počítačích.

• U místních SQL serverů se můžete dozvědět více o SQL Serveru povoleném službou Azure Arc a o tom, jak nainstalovat agenta Log Analytics na počítače s Windows bez Azure Arc.

• Pro servery SQL s více cloudy:

  • Připojení účtů AWS ke službě Microsoft Defender for Cloud

  • Připojení projektu GCP ke službě Microsoft Defender for Cloud

    Poznámka:

    Ochranu databáze pro multicloudové SQL servery musíte povolit prostřednictvím konektoru AWS nebo konektoru GCP.

Dostupnost

Aspekt	Detaily
Stav vydání:	Všeobecná dostupnost (GA)
Ceny:	Microsoft Defender pro SQL servery na počítačích se účtuje, jak je znázorněno na stránce s cenami.
Chráněné verze SQL:	SQL Server verze: 2012, 2014, 2016, 2017, 2019, 2022 - SQL na virtuálních počítačích Azure - SQL Server na serverech s podporou Azure Arc
Mraky:	Komerční cloudy Azure Government Microsoft Azure provozovaný společností 21Vianet

Povolení Defenderu pro SQL na počítačích mimo Azure pomocí agenta AMA

Předpoklady pro povolení Defenderu pro SQL na počítačích mimo Azure

• Aktivní předplatné Azure.

• Oprávnění vlastníka předplatného k předplatnému, ve kterém chcete zásadu přiřadit.

• Požadavky na SQL Server na počítačích:

  • Oprávnění: Uživatel Systému Windows, který používá SQL Server, musí mít v databázi roli Správce systému .
  • Rozšíření: Do seznamu povolených by se měla přidat následující rozšíření:
    • Defender pro SQL (IaaS a Arc):
      • Vydavatel: Microsoft.Azure.AzureDefenderForSQL
      • Typ: AdvancedThreatProtection.Windows
    • Rozšíření SQL IaaS (IaaS):
      • Vydavatel: Microsoft.SqlServer.Management
      • Typ: SqlIaaSAgent
    • Rozšíření SQL IaaS (Arc):
      • Vydavatel: Microsoft.AzureData
      • Typ: WindowsAgent.SqlServer
    • Rozšíření AMA (IaaS a Arc):
      • Vydavatel: Microsoft.Azure.Monitor
      • Typ: AzureMonitorWindowsAgent

Konvence vytváření názvů v seznamu povolených zásad odepření

• Defender for SQL používá při vytváření našich prostředků následující zásady vytváření názvů:

  • DCR: MicrosoftDefenderForSQL--dcr
  • DCRA: /Microsoft.Insights/MicrosoftDefenderForSQL-RulesAssociation
  • Skupina prostředků: DefaultResourceGroup-
  • Pracovní prostor služby Log Analytics: D4SQL--

• Defender pro SQL používá MicrosoftDefenderForSQL jako vytvořenou značku databáze.

Postup povolení Defenderu pro SQL na počítačích mimo Azure

1. Připojte SQL Server k Azure Arc. Další informace o podporovaných operačních systémech, konfiguraci připojení a požadovaných oprávněních najdete v následující dokumentaci:

   • Plánování a nasazení serverů s podporou Azure Arc
   • Požadavky na agenta Connected Machine
   • Požadavky na síť agenta Connected Machine
   • Role specifické pro SQL Server povolené službou Azure Arc

2. Po instalaci Azure Arc se rozšíření Azure pro SQL Server nainstaluje automaticky na databázový server. Další informace se nachází v tématu Správa automatického připojení pro SQL Server, který povoluje Azure Arc.

Povolení Defenderu pro SQL

1. Přihlaste se k portálu Azure.

2. Vyhledejte a vyberte možnost Microsoft Defender for Cloud.

3. V nabídce Defender for Cloud vyberte Nastavení prostředí.

4. Vyberte příslušné předplatné.

5. Na stránce Plány Defenderu vyhledejte plán Databáze a vyberte Vybrat typy.

   

6. V okně pro výběr typů prostředků přepněte servery SQL na počítačích na zapnuto.

7. Zvolte Pokračovat.

8. Zvolte Uložit.

9. Po povolení použijeme jednu z následujících iniciativ zásad:

   • Nakonfigurujte virtuální počítače SQL a sql servery s podporou arc pro instalaci Microsoft Defenderu pro SQL a AMA s pracovním prostorem Log Analytics (LAW) pro výchozí zákon. Tím se vytvoří skupiny prostředků s pravidly shromažďování dat a výchozím pracovním prostorem služby Log Analytics. Další informace o pracovním prostoru Služby Log Analytics najdete v přehledu pracovního prostoru služby Log Analytics.

   

   • Nakonfigurujte virtuální počítače SQL a sql servery s podporou arc pro instalaci Microsoft Defenderu pro SQL a AMA s uživatelsky definovaným zákonem. Tím se vytvoří skupina prostředků s pravidly shromažďování dat a vlastním pracovním prostorem služby Log Analytics v předdefinované oblasti. Během tohoto procesu nainstalujeme agenta monitorování Azure. Další informace o možnostech instalace agenta AMA najdete v tématu Požadavky agenta služby Azure Monitor.

   

10. K dokončení procesu instalace je nutné restartovat SQL Server (instanci) pro verze 2017 a starší.

Povolení Defenderu pro SQL na virtuálních počítačích Azure pomocí agenta AMA

Předpoklady pro povolení Defenderu pro SQL na virtuálních počítačích Azure

• Aktivní předplatné Azure.
• Oprávnění vlastníka předplatného k předplatnému, ve kterém chcete zásadu přiřadit.
• Požadavky na SQL Server na počítačích:
  • Oprávnění: Uživatel Systému Windows, který používá SQL Server, musí mít v databázi roli Správce systému .
  • Rozšíření: Do seznamu povolených by se měla přidat následující rozšíření:
    • Defender pro SQL (IaaS a Arc):
      • Vydavatel: Microsoft.Azure.AzureDefenderForSQL
      • Typ: AdvancedThreatProtection.Windows
    • Rozšíření SQL IaaS (IaaS):
      • Vydavatel: Microsoft.SqlServer.Management
      • Typ: SqlIaaSAgent
    • Rozšíření SQL IaaS (Arc):
      • Vydavatel: Microsoft.AzureData
      • Typ: WindowsAgent.SqlServer
    • Rozšíření AMA (IaaS a Arc):
      • Vydavatel: Microsoft.Azure.Monitor
      • Typ: AzureMonitorWindowsAgent
• Vzhledem k tomu, že v rámci procesu povolení automatického zřizování vytváříme skupinu prostředků v oblasti USA – východ, musí být tato oblast povolená nebo program Defender pro SQL nemůže úspěšně dokončit proces instalace.

Postup povolení Defenderu pro SQL na virtuálních počítačích Azure

1. Přihlaste se k portálu Azure.

2. Vyhledejte a vyberte možnost Microsoft Defender for Cloud.

3. V nabídce Defender for Cloud vyberte Nastavení prostředí.

4. Vyberte příslušné předplatné.

5. Na stránce Plány Defenderu vyhledejte plán Databáze a vyberte Vybrat typy.

   

6. V okně pro výběr typů prostředků přepněte servery SQL na počítačích na zapnuto.

7. Zvolte Pokračovat.

8. Zvolte Uložit.

9. Po povolení použijeme jednu z následujících iniciativ zásad:

   • Nakonfigurujte virtuální počítače SQL a sql servery s podporou arc pro instalaci Microsoft Defenderu pro SQL a AMA s pracovním prostorem Log Analytics (LAW) pro výchozí zákon. Tím se vytvoří skupina prostředků v oblasti USA – východ a spravovaná identita. Další informace o použití spravované identity najdete v ukázkách šablon Resource Manageru pro agenty ve službě Azure Monitor. Vytvoří také skupinu prostředků, která obsahuje pravidla shromažďování dat (DCR) a výchozí zákon. Všechny prostředky jsou sloučeny v rámci této jedné skupiny prostředků. DcR a LAW jsou vytvořeny tak, aby odpovídaly oblasti virtuálního počítače.

   

   • Nakonfigurujte virtuální počítače SQL a sql servery s podporou arc pro instalaci Microsoft Defenderu pro SQL a AMA s uživatelsky definovaným zákonem. Tím se vytvoří skupina prostředků v oblasti USA – východ a spravovaná identita. Další informace o použití spravované identity najdete v ukázkách šablon Resource Manageru pro agenty ve službě Azure Monitor. Vytvoří také skupinu prostředků s DCR a vlastním zákonem v předdefinované oblasti.

   

10. K dokončení procesu instalace je nutné restartovat SQL Server (instanci) pro verze 2017 a starší.

Časté dotazy

Po dokončení nasazení musíme počkat, než se zobrazí úspěšné nasazení?

Aktualizace stavu ochrany rozšířením SQL IaaS trvá přibližně 30 minut, za předpokladu, že jsou splněny všechny požadavky.

Návody ověření úspěšného ukončení nasazení a ochrany databáze?

1. Na horním panelu hledání na webu Azure Portal vyhledejte databázi.
2. Na kartě Zabezpečení vyberte Defender for Cloud.
3. Zkontrolujte stav ochrany. Pokud je stav Chráněný, nasazení proběhlo úspěšně.

Jaký je účel spravované identity vytvořené během procesu instalace na virtuálních počítačích Azure SQL?

Spravovaná identita je součástí služby Azure Policy, která vysune AMA. AMA ho používá pro přístup k databázi ke shromažďování dat a jejich odesílání prostřednictvím pracovního prostoru Log Analytics (LAW) do Defenderu for Cloud. Další informace o použití spravované identity najdete v ukázkách šablon Resource Manageru pro agenty ve službě Azure Monitor.

Můžu místo defenderu pro cloud použít vlastní DCR nebo spravovanou identitu?

Ano, umožňujeme vám použít pouze následující skript k používání vlastní identity nebo DCR. Další informace najdete v tématu Povolení Microsoft Defenderu pro SERVERY SQL na počítačích ve velkém měřítku.

Kolik skupin prostředků a pracovních prostorů služby Log Analytics se vytváří prostřednictvím procesu automatického zřizování?

Ve výchozím nastavení vytvoříme skupinu prostředků, pracovní prostor a řadič domény pro každou oblast, ve které je počítač SQL. Pokud zvolíte možnost vlastního pracovního prostoru, vytvoří se ve stejném umístění jako pracovní prostor jenom jedna skupina prostředků a dcR.

Jak můžu povolit SQL servery na počítačích s AMA ve velkém?

Informace o tom, jak povolit automatické zřizování Microsoft Defenderu pro SQL napříč několika předplatnými najednou, najdete v tématu Povolení Microsoft Defenderu pro sql servery na počítačích ve velkém měřítku . Platí pro SQL servery hostované na virtuálních počítačích Azure, místních prostředích a sql serverech s podporou Služby Azure Arc.

Které tabulky se používají v aplikaci LAW s AMA?

Defender for SQL na virtuálních počítačích SQL a sql serverech s podporou arc používá k přenosu dat z databáze do portálu Defender for Cloud pracovní prostor služby Log Analytics (LAW). To znamená, že v zákoně nejsou uložena žádná data místně. Tabulky v zákoně s názvem SQLAtpStatus a SqlVulnerabilityAssessmentScanStatus budou vyřazeny, když je MMA zastaralé. Stav ATP a VA se dají zobrazit na portálu Defender for Cloud.

Jak Defender for SQL shromažďuje protokoly ze serveru SQL?

Defender pro SQL používá Xevent počínaje SQL Serverem 2017. V předchozích verzích SQL Serveru shromažďuje Defender for SQL protokoly pomocí protokolů auditu SQL Serveru.

V iniciativě zásad vidím parametr enableCollectionOfSqlQueriesForSecurityResearch. Znamená to, že se data shromažďují k analýze?

Tento parametr se dnes nepoužívá. Výchozí hodnota je false, což znamená, že pokud hodnotu aktivně nezměníte, zůstane nepravda. Tento parametr nemá žádný vliv.

Související obsah

Související informace najdete v těchto zdrojích informací:

• Jak Může Microsoft Defender pro Azure SQL chránit SQL servery kdekoli.
• Výstrahy zabezpečení pro SLUŽBU SQL Database a Azure Synapse Analytics
• Podívejte se na běžné dotazy týkající se Defenderu pro databáze.