Häufig gestellte Fragen zu Microsoft Defender for Databases

Antworten auf häufig gestellte Fragen zu Microsoft Defender for Databases.

Sind alle SQL Server-Instanzen im Abonnement geschützt, wenn ich diesen Microsoft Defender-Plan für mein Abonnement aktiviere?

Nein Zum Schützen eines SQL-Servers, der auf einer Azure-VM oder einem Azure Arc-fähigen Computer ausgeführt wird, erfordert Defender for Cloud Folgendes:

• Log Analytics-Agent auf dem Computer
• Relevanter Log Analytics-Arbeitsbereich, in dem Microsoft Defender for SQL Servers on Machines aktiviert ist

Der Abonnementstatus, der im Azure-Portal auf der Seite „SQL Server“ angezeigt wird, gibt den Standardarbeitsbereichsstatus wieder und gilt für alle verbundenen Computer. Defender for Cloud schützt nur die SQL-Server auf Hosts, die über die Berichterstellung des Log Analytics-Agents für diesen Arbeitsbereich verfügen.

Wirkt sich die Bereitstellung von Microsoft Defender for SQL Servers on Machines aus?

Microsoft Defender for SQL Servers on Machines verfügt über eine zweigeteilte Architektur, um ein ausgewogenes Leistungsverhältnis zwischen Datenupload und Geschwindigkeit zu erreichen:

• Einige Erkennungsmodule, einschließlich einer Ablaufverfolgung für erweiterte Ereignisse mit dem Namen SQLAdvancedThreatProtectionTraffic, werden auf dem Computer ausgeführt, um Geschwindigkeitsvorteile in Echtzeit zu erreichen.
• Andere Erkennungsmodule werden in der Cloud ausgeführt, um den Computer vor hohen Rechenlasten zu schützen.

Labortests unserer Lösung, bei denen sie mit Benchmarklasten verglichen wurde, ergaben eine CPU-Auslastung von durchschnittlich 3 % für Spitzenslices. Eine Analyse unserer aktuellen Benutzerdaten weist auf eine vernachlässigbare Auswirkung auf die CPU- und Arbeitsspeicherauslastung hin.

Die Leistung verschiedener Umgebungen, Computer und Lasten kann immer variieren. Diese Aussagen dienen als allgemeine Richtlinie, nicht als Garantie für einzelne Bereitstellungen.

Ich habe den Log Analytics-Arbeitsbereich für Defender for SQL Servers on Machines geändert und meine Scanergebnisse und Baselineeinstellungen verloren. Was ist passiert?

Die Scanergebnisse und Baselines werden nicht im Log Analytics-Arbeitsbereich gespeichert, sondern mit ihm verknüpft. Wenn Sie den Arbeitsbereich ändern, werden die Scanergebnisse und Baselineeinstellungen zurückgesetzt. Wenn Sie jedoch innerhalb von 90 Tagen zum ursprünglichen Arbeitsbereich zurückkehren, werden die Scanergebnisse und Baselineeinstellungen wiederhergestellt. Weitere Informationen.

Was geschieht mit den alten Überprüfungsergebnissen und Baselines, nachdem ich auf die Expresskonfiguration umgestellt habe?

Alte Ergebnisse und Baselineeinstellungen sind weiterhin in Ihrem Speicherkonto verfügbar, werden jedoch vom System weder aktualisiert noch verwendet. Sie müssen diese Dateien nicht pflegen, damit die SQL-Sicherheitsrisikobewertung nach dem Umstieg auf die Expresskonfiguration funktioniert, aber Sie können Ihre alten Baselinedefinitionen zur künftigen Bezugnahme aufbewahren.

Wenn die Expresskonfiguration aktiviert ist, haben Sie keinen direkten Zugriff auf die Ergebnis- und Baselinedaten, da diese im internen Microsoft-Speicher gespeichert sind.

Warum ist meine Azure SQL Server-Instanz in Bezug auf „Für SQL Server-Instanzen sollte die Sicherheitsrisikobeurteilung konfiguriert sein.“ als fehlerhaft gekennzeichnet, obwohl ich sie gemäß der klassischen Konfiguration ordnungsgemäß eingerichtet habe?

Die Richtlinie hinter dieser Empfehlung prüft, ob Unterbewertungen für den Server vorhanden sind. Bei der klassischen Konfiguration werden Systemdatenbanken nur überprüft, wenn mindestens eine Benutzerdatenbank vorhanden ist. Ein Server ohne Benutzerdatenbanken verfügt nicht über Scans oder gemeldete Scanergebnisse. Dadurch bleibt die Richtlinie fehlerhaft.

Der Wechsel zur Expresskonfiguration minimiert das Problem, indem geplante und manuelle Scans für Systemdatenbanken aktiviert werden.

Kann ich regelmäßige Überprüfungen mit der Expresskonfiguration einrichten?

Mit der Expresskonfiguration werden automatisch regelmäßige Überprüfungen für alle Datenbanken unter Ihrem Server eingerichtet. Dabei handelt es sich um ein Standardverhalten, das nicht auf Server- oder Datenbankebene konfiguriert werden kann.

Besteht bei der Expresskonfiguration die Möglichkeit, den wöchentlichen E-Mail-Bericht zu erhalten, der bei der klassischen Konfiguration vorgesehen ist?

Sie können die Automatisierung von Workflows und die E-Mail-Planung mit Logic Apps nutzen, indem Sie die Prozesse von Microsoft Defender for Cloud befolgen:

• Zeitbasierte Trigger
• Scanbasierte Trigger
• Unterstützung für deaktivierte Regeln

Warum kann ich keine Datenbankrichtlinien mehr festlegen?

Die SQL-Sicherheitsrisikobewertung meldet alle Sicherheitsrisiken und Fehlkonfigurationen in Ihrer Umgebung. Dabei erweist es sich als hilfreich, alle Datenbanken einzubeziehen. Defender for SQL Servers on Machines wird pro Server und nicht pro Datenbank in Rechnung gestellt.

Kann ich zur klassischen Konfiguration zurückkehren?

Ja. Sie können mithilfe der vorhandenen REST-APIs und PowerShell-Cmdlets zur klassischen Konfiguration zurückkehren. Wenn Sie zur klassischen Konfiguration zurückkehren, wird im Azure-Portal eine Benachrichtigung zum Ändern der Expresskonfiguration angezeigt.

Wird die Expresskonfiguration für weitere SQL-Typen verfügbar sein?

Achten Sie auf weitere Updates!

Kann ich entscheiden, welche Konfiguration die Standardeinstellung ist?

Nein. Bei der Expresskonfiguration handelt es sich um die Standardeinstellung für jede neue unterstützte Azure SQL-Datenbank-Instanz.

Wird das Scanverhalten durch die Expresskonfiguration geändert?

Nein, die Expresskonfiguration bietet das gleiche Überprüfungsverhalten und die gleiche Leistung.

Hat die Expresskonfiguration Auswirkungen auf die Kosten?

Für die Expresskonfiguration ist kein Speicherkonto erforderlich, sodass Sie keine zusätzlichen Speichergebühren zahlen müssen, es sei denn, Sie möchten alte Überprüfungs- und Baselinedaten behalten.

Was bedeutet die Obergrenze von 1 MB pro Regel?

Eine einzelne Regel darf nur Ergebnisse mit einer maximalen Größe von 1 MB liefern. Wenn die Ergebnisse für die Regel diesen Grenzwert erreichen, werden sie beendet. Sie können für die Regel keine Baseline festlegen. Die Regel wird nicht in die allgemeine Empfehlung zur Integrität einbezogen, und die Ergebnisse werden als Nicht verfügbar angezeigt.

Wie lang muss ich warten, bis eine erfolgreiche Bereitstellung angezeigt wird, nachdem ich Microsoft Defender for SQL Servers on Machines aktiviert habe?

Es dauert ungefähr 30 Minuten, bis der Schutzstatus über die Erweiterung für den SQL-IaaS-Agent aktualisiert wird, sofern alle Voraussetzungen erfüllt sind.

Wie kann ich überprüfen, ob meine Bereitstellung von Defender for SQL Servers on Machines erfolgreich beendet wurde und meine Datenbank jetzt geschützt ist?

1. Suchen Sie im Azure-Portal in der oberen Suchleiste die Datenbank.
2. Wählen Sie unter Sicherheit die Option Microsoft Defender für Cloud aus.
3. Überprüfen Sie den Schutzstatus. Wenn der Status Geschützt lautet, war die Bereitstellung erfolgreich.

Wozu dient die verwaltete Identität, die auf Azure SQL-VMs während des Installationsprozesses erstellt wird?

Die verwaltete Identität ist Teil der Azure-Richtlinie, die durch den Azure Monitor-Agent gepusht wird. Der Azure Monitor-Agent verwendet für den Zugriff auf die Datenbank die verwaltete Identität, damit diese die Daten erfassen und über den Log Analytics-Arbeitsbereich an Defender for Cloud senden kann. Weitere Informationen zur Verwendung der verwalteten Identität finden Sie unter Beispiele für Resource Manager-Vorlagen für Agents in Azure Monitor.

Kann ich eine eigene Datensammlungsregel (Data Collection Rule, DCR) oder verwaltete Identität anstelle der Identität verwenden, die von Defender for Cloud erstellt wird?

Ja. Wir ermöglichen es Ihnen, Ihre eigene Identitäts- oder Datensammlungsregel (Data Collection Rule, DCR) zu verwenden, indem ausschließlich die im Artikel Aktivieren von Microsoft Defender for SQL Servers on Machines im großen Stil beschriebenen Skripts verwendet werden.

Wie viele Ressourcengruppen und Log Analytics-Arbeitsbereiche werden durch den Prozess für die automatische Bereitstellung erstellt?

Standardmäßig werden Ressourcengruppe, Arbeitsbereich und DCR pro Region mit dem SQL-Computer erstellt. Wenn Sie die Option für den benutzerdefinierten Arbeitsbereich auswählen, wird lediglich eine Ressourcengruppe oder DCR am selben Ort wie der Arbeitsbereich erstellt.

Wie kann ich mit dem Azure Monitor-Agent SQL-Server auf Computern im großen Stil aktivieren?

Informationen zum Prozess für das Aktivieren der automatischen Bereitstellung in mehreren Abonnements finden Sie unter Aktivieren von Microsoft Defender for SQL Servers on Machines im großen Stil. Dieser gilt für SQL-Server, die auf Azure-VMs oder in lokalen Umgebungen gehostet werden, und Azure Arc-fähigen SQL-Server.

Welche Tabellen werden in einem Log Analytics-Arbeitsbereich mit dem Azure Monitor Agent verwendet?

Defender for SQL Server on Machines verwendet für SQL-VMs und Azure Arc-fähige SQL-Server den Log Analytics-Arbeitsbereich, um Daten aus der Datenbank in das Defender for Cloud-Portal zu übertragen. Im Log Analytics-Arbeitsbereich werden keine Daten lokal gespeichert. Die Tabellen im Log Analytics-Arbeitsbereich mit dem Namen SQLAtpStatus und SqlVulnerabilityAssessmentScanStatus werden eingestellt, wenn der Microsoft Monitor-Agent veraltet ist. Sie können im Defender for Cloud-Portal den Status der Bedrohungsschutz- und Sicherheitsrisikobewertungen anzeigen.

Wie erfasst Defender for SQL Servers on Machines Protokolle vom SQL-Server?

Defender for SQL Servers on Machines verwendet ab SQL Server 2017 erweiterte Ereignisse. In früheren SQL Server-Versionen erfasst Defender for SQL Servers on Machines die Protokolle mithilfe der SQL Server-Überwachungsprotokolle.

Bedeutet das Vorhandensein eines Parameters mit dem Namen enableCollectionOfSqlQueriesForSecurityResearch in der Richtlinieninitiative, dass meine Daten zur Analyse erfasst werden?

Der Parameter enableCollectionOfSqlQueriesForSecurityResearch wird aktuell nicht verwendet. Der Standardwert lautet false. Sofern Sie den Wert nicht proaktiv ändern, bleibt er false. Dieser Parameter hat keine Auswirkungen.

Zugehöriger Inhalt

Schützen von Datenbanken mit Defender for Databases

Antworten auf häufig gestellte Fragen zu Microsoft Defender for Databases.

Nein Zum Schützen eines SQL-Servers, der auf einer Azure-VM oder einem Azure Arc-fähigen Computer ausgeführt wird, erfordert Defender for Cloud Folgendes:

• Log Analytics-Agent auf dem Computer
• Relevanter Log Analytics-Arbeitsbereich, in dem Microsoft Defender for SQL Servers on Machines aktiviert ist

Der Abonnementstatus, der im Azure-Portal auf der Seite „SQL Server“ angezeigt wird, gibt den Standardarbeitsbereichsstatus wieder und gilt für alle verbundenen Computer. Defender for Cloud schützt nur die SQL-Server auf Hosts, die über die Berichterstellung des Log Analytics-Agents für diesen Arbeitsbereich verfügen.

Microsoft Defender for SQL Servers on Machines verfügt über eine zweigeteilte Architektur, um ein ausgewogenes Leistungsverhältnis zwischen Datenupload und Geschwindigkeit zu erreichen:

• Einige Erkennungsmodule, einschließlich einer Ablaufverfolgung für erweiterte Ereignisse mit dem Namen SQLAdvancedThreatProtectionTraffic, werden auf dem Computer ausgeführt, um Geschwindigkeitsvorteile in Echtzeit zu erreichen.
• Andere Erkennungsmodule werden in der Cloud ausgeführt, um den Computer vor hohen Rechenlasten zu schützen.

Labortests unserer Lösung, bei denen sie mit Benchmarklasten verglichen wurde, ergaben eine CPU-Auslastung von durchschnittlich 3 % für Spitzenslices. Eine Analyse unserer aktuellen Benutzerdaten weist auf eine vernachlässigbare Auswirkung auf die CPU- und Arbeitsspeicherauslastung hin.

Die Leistung verschiedener Umgebungen, Computer und Lasten kann immer variieren. Diese Aussagen dienen als allgemeine Richtlinie, nicht als Garantie für einzelne Bereitstellungen.

Die Scanergebnisse und Baselines werden nicht im Log Analytics-Arbeitsbereich gespeichert, sondern mit ihm verknüpft. Wenn Sie den Arbeitsbereich ändern, werden die Scanergebnisse und Baselineeinstellungen zurückgesetzt. Wenn Sie jedoch innerhalb von 90 Tagen zum ursprünglichen Arbeitsbereich zurückkehren, werden die Scanergebnisse und Baselineeinstellungen wiederhergestellt. Weitere Informationen.

Alte Ergebnisse und Baselineeinstellungen sind weiterhin in Ihrem Speicherkonto verfügbar, werden jedoch vom System weder aktualisiert noch verwendet. Sie müssen diese Dateien nicht pflegen, damit die SQL-Sicherheitsrisikobewertung nach dem Umstieg auf die Expresskonfiguration funktioniert, aber Sie können Ihre alten Baselinedefinitionen zur künftigen Bezugnahme aufbewahren.

Wenn die Expresskonfiguration aktiviert ist, haben Sie keinen direkten Zugriff auf die Ergebnis- und Baselinedaten, da diese im internen Microsoft-Speicher gespeichert sind.

Die Richtlinie hinter dieser Empfehlung prüft, ob Unterbewertungen für den Server vorhanden sind. Bei der klassischen Konfiguration werden Systemdatenbanken nur überprüft, wenn mindestens eine Benutzerdatenbank vorhanden ist. Ein Server ohne Benutzerdatenbanken verfügt nicht über Scans oder gemeldete Scanergebnisse. Dadurch bleibt die Richtlinie fehlerhaft.

Der Wechsel zur Expresskonfiguration minimiert das Problem, indem geplante und manuelle Scans für Systemdatenbanken aktiviert werden.

Mit der Expresskonfiguration werden automatisch regelmäßige Überprüfungen für alle Datenbanken unter Ihrem Server eingerichtet. Dabei handelt es sich um ein Standardverhalten, das nicht auf Server- oder Datenbankebene konfiguriert werden kann.

Sie können die Automatisierung von Workflows und die E-Mail-Planung mit Logic Apps nutzen, indem Sie die Prozesse von Microsoft Defender for Cloud befolgen:

• Zeitbasierte Trigger
• Scanbasierte Trigger
• Unterstützung für deaktivierte Regeln

Die SQL-Sicherheitsrisikobewertung meldet alle Sicherheitsrisiken und Fehlkonfigurationen in Ihrer Umgebung. Dabei erweist es sich als hilfreich, alle Datenbanken einzubeziehen. Defender for SQL Servers on Machines wird pro Server und nicht pro Datenbank in Rechnung gestellt.

Ja. Sie können mithilfe der vorhandenen REST-APIs und PowerShell-Cmdlets zur klassischen Konfiguration zurückkehren. Wenn Sie zur klassischen Konfiguration zurückkehren, wird im Azure-Portal eine Benachrichtigung zum Ändern der Expresskonfiguration angezeigt.

Achten Sie auf weitere Updates!

Nein. Bei der Expresskonfiguration handelt es sich um die Standardeinstellung für jede neue unterstützte Azure SQL-Datenbank-Instanz.

Nein, die Expresskonfiguration bietet das gleiche Überprüfungsverhalten und die gleiche Leistung.

Für die Expresskonfiguration ist kein Speicherkonto erforderlich, sodass Sie keine zusätzlichen Speichergebühren zahlen müssen, es sei denn, Sie möchten alte Überprüfungs- und Baselinedaten behalten.

Eine einzelne Regel darf nur Ergebnisse mit einer maximalen Größe von 1 MB liefern. Wenn die Ergebnisse für die Regel diesen Grenzwert erreichen, werden sie beendet. Sie können für die Regel keine Baseline festlegen. Die Regel wird nicht in die allgemeine Empfehlung zur Integrität einbezogen, und die Ergebnisse werden als Nicht verfügbar angezeigt.

Es dauert ungefähr 30 Minuten, bis der Schutzstatus über die Erweiterung für den SQL-IaaS-Agent aktualisiert wird, sofern alle Voraussetzungen erfüllt sind.

1. Suchen Sie im Azure-Portal in der oberen Suchleiste die Datenbank.
2. Wählen Sie unter Sicherheit die Option Microsoft Defender für Cloud aus.
3. Überprüfen Sie den Schutzstatus. Wenn der Status Geschützt lautet, war die Bereitstellung erfolgreich.

Die verwaltete Identität ist Teil der Azure-Richtlinie, die durch den Azure Monitor-Agent gepusht wird. Der Azure Monitor-Agent verwendet für den Zugriff auf die Datenbank die verwaltete Identität, damit diese die Daten erfassen und über den Log Analytics-Arbeitsbereich an Defender for Cloud senden kann. Weitere Informationen zur Verwendung der verwalteten Identität finden Sie unter Beispiele für Resource Manager-Vorlagen für Agents in Azure Monitor.

Ja. Wir ermöglichen es Ihnen, Ihre eigene Identitäts- oder Datensammlungsregel (Data Collection Rule, DCR) zu verwenden, indem ausschließlich die im Artikel Aktivieren von Microsoft Defender for SQL Servers on Machines im großen Stil beschriebenen Skripts verwendet werden.

Standardmäßig werden Ressourcengruppe, Arbeitsbereich und DCR pro Region mit dem SQL-Computer erstellt. Wenn Sie die Option für den benutzerdefinierten Arbeitsbereich auswählen, wird lediglich eine Ressourcengruppe oder DCR am selben Ort wie der Arbeitsbereich erstellt.

Informationen zum Prozess für das Aktivieren der automatischen Bereitstellung in mehreren Abonnements finden Sie unter Aktivieren von Microsoft Defender for SQL Servers on Machines im großen Stil. Dieser gilt für SQL-Server, die auf Azure-VMs oder in lokalen Umgebungen gehostet werden, und Azure Arc-fähigen SQL-Server.

Defender for SQL Server on Machines verwendet für SQL-VMs und Azure Arc-fähige SQL-Server den Log Analytics-Arbeitsbereich, um Daten aus der Datenbank in das Defender for Cloud-Portal zu übertragen. Im Log Analytics-Arbeitsbereich werden keine Daten lokal gespeichert. Die Tabellen im Log Analytics-Arbeitsbereich mit dem Namen SQLAtpStatus und SqlVulnerabilityAssessmentScanStatus werden eingestellt, wenn der Microsoft Monitor-Agent veraltet ist. Sie können im Defender for Cloud-Portal den Status der Bedrohungsschutz- und Sicherheitsrisikobewertungen anzeigen.

Defender for SQL Servers on Machines verwendet ab SQL Server 2017 erweiterte Ereignisse. In früheren SQL Server-Versionen erfasst Defender for SQL Servers on Machines die Protokolle mithilfe der SQL Server-Überwachungsprotokolle.

Der Parameter enableCollectionOfSqlQueriesForSecurityResearch wird aktuell nicht verwendet. Der Standardwert lautet false. Sofern Sie den Wert nicht proaktiv ändern, bleibt er false. Dieser Parameter hat keine Auswirkungen.

Zugehöriger Inhalt

Schützen von Datenbanken mit Defender for Databases