Activer Microsoft Defender pour les serveurs SQL sur les machines

Defender pour SQL protège vos serveurs SQL IaaS en identifiant et en atténuant les vulnérabilités potentielles des bases de données et en détectant les activités anormales susceptibles d’indiquer des menaces pour vos bases de données.

Defender pour le cloud génère des d’alertes quand il détecte des activités de base de données suspectes, des tentatives potentiellement nuisibles d’accès ou d’exploitation de machines SQL, des attaques par injection de code SQL, ainsi qu’un accès de base de données et des modèles de requête anormaux. Les alertes créées par ces types d’événements s’affichent dans la page de référence des alertes.

Defender pour le cloud utilise l’évaluation des vulnérabilités pour découvrir, suivre et vous aider à corriger les vulnérabilités potentielles liées aux bases de données. Les analyses d’évaluation fournissent une vue d’ensemble de l’état de sécurité de vos machines SQL ainsi que des détails sur les constats de sécurité.

En savoir plus sur l’évaluation des vulnérabilités pour les serveurs Azure SQL sur les ordinateurs.

Defender pour les serveurs SQL sur les machines protège vos serveurs SQL hébergés sur Azure, sur plusieurs clouds et même sur des machines locales.

• Apprenez-en plus sur SQL Server sur les machines virtuelles.

• Pour les serveurs SQL locaux, vous pouvez obtenir plus d’informations sur SQL Server avec Azure Arc et sur l’installation de l’agent Log Analytics sur des ordinateurs Windows sans Azure Arc.

• Pour les serveurs SQL multiclouds :

  • Connecter vos comptes AWS à Microsoft Defender pour le cloud

  • Connexion d’un projet GCP à Microsoft Defender pour le cloud

    Remarque

    Vous devez activer la protection des bases de données pour vos serveurs SQL multiclouds par le biais du connecteur AWS ou du connecteur GCP.

Disponibilité

Aspect	Détails
État de sortie :	Disponibilité générale
Prix :	Microsoft Defender pour les serveurs SQL Server sur les machines est facturé comme indiqué sur la page de tarification
Versions de SQL protégées :	Version de SQL Server : 2012, 2014, 2016, 2017, 2019, 2022 - SQL sur machines virtuelles Azure - SQL Server sur des serveurs avec Azure Arc
Clouds :	Clouds commerciaux Azure Government Microsoft Azure exploité par 21Vianet

Activer Defender pour SQL sur des machines non-Azure à l’aide de l’agent AMA

Conditions préalables à l’activation de Defender pour SQL sur des machines non-Azure

• Un abonnement Azure actif.

• Propriétaire de l’abonnement autorisations sur l’abonnement dans lequel vous souhaitez affecter la stratégie.

• Conditions préalables pour SQL Server sur les machines :

  • Autorisations : l’utilisateur Windows qui exploite le serveur SQL doit avoir le rôle Sysadmin sur la base de données.
  • Extensions : les extensions suivantes doivent être ajoutées à la liste verte :
    • Defender pour SQL (IaaS et Arc) :
      • Éditeur : Microsoft.Azure.AzureDefenderForSQL
      • Type : AdvancedThreatProtection.Windows
    • Extension IaaS SQL (IaaS) :
      • Éditeur : Microsoft.SqlServer.Management
      • Type : SqlIaaSAgent
    • Extension IaaS SQL (Arc) :
      • Éditeur : Microsoft.AzureData
      • Type : WindowsAgent.SqlServer
    • Extension AMA (IaaS et Arc) :
      • Éditeur : Microsoft.Azure.Monitor
      • Type : AzureMonitorWindowsAgent

Conventions d’affectation de noms dans la liste verte de stratégie Refuser

• Defender pour SQL utilise la convention d’affectation de noms suivante lors de la création de nos ressources :

  • DCR : MicrosoftDefenderForSQL--dcr
  • DCRA : /Microsoft.Insights/MicrosoftDefenderForSQL-RulesAssociation
  • Groupe de ressources : DefaultResourceGroup-
  • Espace de travail Log Analytics : D4SQL--

• Defender pour SQL utilise MicrosoftDefenderForSQL en tant que balise de base de données createdBy.

Étapes pour activer Defender for SQL sur des machines non-Azure

1. Connectez SQL Server à Azure Arc. Pour plus d’informations sur les systèmes d’exploitation pris en charge, la configuration de la connectivité et les autorisations requises, consultez la documentation suivante :

   • Planifier et déployer des serveurs avec Azure Arc
   • Prérequis de l’agent Connected Machine
   • Configuration réseau requise de l’agent Connected Machine
   • Rôles spécifiques à une instance SQL Server dotée d’Azure Arc

2. Une fois Azure Arc installé, l’extension Azure pour SQL Server est installée automatiquement sur le serveur de base de données. Pour plus d’informations, consultez Gérer la connexion automatique pour un SQL Server activé par Azure Arc.

Activer Defender pour SQL

1. Connectez-vous au portail Azure.

2. Recherchez et sélectionnez Microsoft Defender pour le cloud.

3. Dans le menu de Defender pour le cloud, sélectionnez Paramètres de l’environnement.

4. Sélectionnez l’abonnement approprié.

5. Dans la page des plans Defender, recherchez le plan Bases de données et sélectionnez Sélectionner les types.

   

6. Dans la fenêtre de sélection des types de ressources, définissez le plan Serveurs SQL Server sur les machines sur Activé.

7. Sélectionnez Continuer.

8. Cliquez sur Enregistrer.

9. Une fois activé, nous utilisons l’une des initiatives de stratégie suivantes :

   • Configurer les machines virtuelles SQL et les serveurs SQL compatibles avec Arc pour installer Microsoft Defender pour SQL et AMA avec un espace de travail Log Analytics (LAW) pour un LAW par défaut. Cela crée des groupes de ressources avec des règles de collecte de données et un espace de travail Log Analytics par défaut. Pour plus d’informations sur l’espace de travail Log Analytics, voir Vue d’ensemble Espace de travail Log Analytics.

   

   • Configurer des machines virtuelles SQL et des serveurs SQL avec Arc pour installer Microsoft Defender pour SQL et AMA avec un LAW défini par l’utilisateur. Cela crée un groupe de ressources avec des règles de collecte de données et un espace de travail Log Analytics personnalisé dans la région prédéfinie. Pendant ce processus, nous installons l’agent de supervision Azure. Pour plus d’informations sur les options d’installation de l’agent AMA, consultez prérequis de l’agent Azure Monitor.

   

10. Pour terminer le processus d’installation, un redémarrage du serveur SQL (instance) est nécessaire pour les versions 2017 et antérieures.

Activer Defender pour SQL sur des machines virtuelles Azure à l’aide de l’agent AMA

Conditions préalables à l’activation de Defender pour SQL sur des machines virtuelles Azure

• Un abonnement Azure actif.
• Propriétaire de l’abonnement autorisations sur l’abonnement dans lequel vous souhaitez affecter la stratégie.
• Conditions préalables pour SQL Server sur les machines :
  • Autorisations : l’utilisateur Windows qui exploite le serveur SQL doit avoir le rôle Sysadmin sur la base de données.
  • Extensions : les extensions suivantes doivent être ajoutées à la liste verte :
    • Defender pour SQL (IaaS et Arc) :
      • Éditeur : Microsoft.Azure.AzureDefenderForSQL
      • Type : AdvancedThreatProtection.Windows
    • Extension IaaS SQL (IaaS) :
      • Éditeur : Microsoft.SqlServer.Management
      • Type : SqlIaaSAgent
    • Extension IaaS SQL (Arc) :
      • Éditeur : Microsoft.AzureData
      • Type : WindowsAgent.SqlServer
    • Extension AMA (IaaS et Arc) :
      • Éditeur : Microsoft.Azure.Monitor
      • Type : AzureMonitorWindowsAgent
• Étant donné que nous créons un groupe de ressources dans USA Est, dans le cadre du processus d’activation de l’approvisionnement automatique, cette région doit être autorisée ou Defender pour SQL ne peut pas terminer le processus d’installation.

Étapes pour activer Defender for SQL sur des machines virtuelles Azure

1. Connectez-vous au portail Azure.

2. Recherchez et sélectionnez Microsoft Defender pour le cloud.

3. Dans le menu de Defender pour le cloud, sélectionnez Paramètres de l’environnement.

4. Sélectionnez l’abonnement approprié.

5. Dans la page des plans Defender, recherchez le plan Bases de données et sélectionnez Sélectionner les types.

   

6. Dans la fenêtre de sélection des types de ressources, définissez le plan Serveurs SQL Server sur les machines sur Activé.

7. Sélectionnez Continuer.

8. Cliquez sur Enregistrer.

9. Une fois activé, nous utilisons l’une des initiatives de stratégie suivantes :

   • Configurer les machines virtuelles SQL et les serveurs SQL compatibles avec Arc pour installer Microsoft Defender pour SQL et AMA avec un espace de travail Log Analytics (LAW) pour un LAW par défaut. Cela crée un groupe de ressources dans USA Est et une identité managée. Pour plus d’informations sur l’utilisation de l’identité managée, consultez Exemples de modèles Resource Manager pour les agents dans Azure Monitor. Il crée également un groupe de ressources qui inclut des règles de collecte de données (DCR) et une loi par défaut. Toutes les ressources sont consolidées sous ce groupe de ressources unique. Le DCR et LAW sont créés pour s’aligner sur la région de la machine virtuelle.

   

   • Configurer des machines virtuelles SQL et des serveurs SQL avec Arc pour installer Microsoft Defender pour SQL et AMA avec un LAW défini par l’utilisateur. Cela crée un groupe de ressources dans USA Est et une identité managée. Pour plus d’informations sur l’utilisation de l’identité managée, consultez Exemples de modèles Resource Manager pour les agents dans Azure Monitor. Il crée également un groupe de ressources avec un DCR et une loi personnalisée dans la région prédéfinie.

   

10. Pour terminer le processus d’installation, un redémarrage du serveur SQL (instance) est nécessaire pour les versions 2017 et antérieures.

Questions courantes

Une fois le déploiement terminé, combien de temps devons-nous attendre pour voir un déploiement réussi ?

La mise à jour de l’état de protection par l’extension IaaS SQL prend environ 30 minutes, en supposant que toutes les conditions préalables sont remplies.

Comment vérifier que mon déploiement s’est terminé correctement et que ma base de données est désormais protégée ?

1. Recherchez la base de données dans la barre de recherche supérieure dans le Portail Azure.
2. Sous l’onglet Sécurité, sélectionnez Defender pour le cloud.
3. Consultez l’État de la protection. Si l’état est protégé, le déploiement a réussi.

Quel est l’objectif de l’identité managée créée pendant le processus d’installation sur des machines virtuelles Azure SQL ?

L’identité managée fait partie d’Azure Policy, qui envoie l’AMA. Il est utilisé par l’AMA pour accéder à la base de données afin de collecter les données et de les envoyer via l’espace de travail Log Analytics (LAW) à Defender pour le cloud. Pour plus d’informations sur l’utilisation de l’identité managée, consultez Exemples de modèles Resource Manager pour les agents dans Azure Monitor.

Puis-je utiliser mon propre DCR ou mon identité managée au lieu de Defender pour le cloud en créant une nouvelle identité ?

Oui, nous vous permettent d’apporter votre propre identité ou DCR à l’aide du script suivant uniquement. Pour plus d’informations, voir Activer Microsoft Defender pour les serveurs SQL sur les machines à l’échelle.

Combien de groupes de ressources et d'espaces de travail Log analytics sont créés par le processus d'auto-provisionnement ?

Par défaut, nous créons le groupe de ressources, l'espace de travail et le DCR par région qui possède la machine SQL. Si vous choisissez l'option d'espace de travail personnalisé, un seul groupe de ressources et un seul DCR sont créés au même endroit que l'espace de travail.

Comment puis-je activer des serveurs SQL sur des machines avec AMA à grande échelle ?

Consultez Activer Microsoft Defender pour les serveurs SQL sur des machines à grande échelle pour le processus d’activation simultanée de Microsoft Defender pour SQL sur plusieurs abonnements. Elle s’applique aux serveurs SQL hébergés sur des machines virtuelles Azure, aux environnements sur site et aux serveurs SQL compatibles avec Azure Arc.

Quelles tables sont utilisées dans LAW avec AMA ?

Defender pour SQL sur des machines virtuelles SQL et des serveurs SQL avec Arc utilise l’espace de travail Log Analytics (LAW) pour transférer des données de la base de données vers le portail Defender pour le cloud. Cela signifie qu’aucune donnée n’est enregistrée localement au niveau du LAW. Les tables du LAW nommé SQLAtpStatus et les SqlVulnerabilityAssessmentScanStatus seront supprimées lorsque MMA est déconseillé. L’état ATP et VA peut être consulté dans le portail Defender pour le cloud.

Comment Defender pour SQL collecte-t-il les journaux à partir du serveur SQL ?

Defender pour SQL utilise Xevent, à compter de SQL Server 2017. Sur les versions précédentes de SQL Server, Defender pour SQL collecte les journaux à l’aide des journaux d’audit SQL Server.

Je vois un paramètre nommé enableCollectionOfSqlQueriesForSecurityResearch dans l’initiative de stratégie. Cela signifie-t-il que mes données sont collectées à des fins d’analyse ?

Ce paramètre n’est pas utilisé aujourd’hui. Sa valeur par défaut est false, ce qui signifie que, sauf si vous modifiez de manière proactive la valeur, elle reste false. Il n’y a aucun effet à partir de ce paramètre.

Contenu connexe

Pour plus d’informations, consultez ces ressources :

• Comment Microsoft Defender pour Azure SQL peut protéger les serveurs SQL partout.
• Alertes de sécurité pour SQL Database et Azure Synapse Analytics
• Consultez les questions courantes sur Defender pour bases de données.