Az Express konfigurációs biztonsági résének megállapításai

Felhőhöz készült Microsoft Defender biztosít sebezhetőségi felmérést az Azure SQL-adatbázisokhoz. A biztonságirés-felmérés szoftveres biztonsági réseket keres az adatbázisokban, és megjeleníti az eredmények listáját. Az eredmények segítségével elháríthatja a szoftveres biztonsági réseket, és letilthatja az eredményeket.

Előfeltételek

• A folytatás előtt győződjön meg arról, hogy az expressz vagy a klasszikus konfigurációt használja-e.

  A használt konfiguráció megtekintése:

  1. A Azure portálon nyissa meg az adott erőforrást Azure SQL Database, Azure SQL Managed Instance vagy Azure Synapse.
  2. A Biztonság fejléc alatt válassza a Felhőhöz készült Defender lehetőséget.
  3. Az Engedélyezési állapot területen válassza a Konfigurálás lehetőséget a Microsoft Defender for SQL beállítási paneljének megnyitásához a teljes kiszolgálóhoz vagy a felügyelt példányhoz.

  Ha a biztonságirés-beállítások a tárfiók konfigurálásának lehetőségét mutatják, akkor a klasszikus konfigurációt használja. Ha nem, akkor az expressz konfigurációt használja.

Express konfiguráció

Fontos

Az Express Configuration előzetes verzióban érhető el Azure SQL Managed Instance és Azure Synapse Analytics munkaterületekhez. Ez a Azure SQL Database (GA) általánosan elérhető Microsoft által kezelt felületét további költségek nélkül bővíti.

Ez a kiadás lehetővé teszi az SQL VA engedélyezését ügyfél által felügyelt tárfiók konfigurálása nélkül. Az Express Configuration az ajánlott engedélyezési mód, és ugyanazzal a biztonsági értékkel rendelkezik, mint a klasszikus konfiguráció egy egyszerűsített beállítással.

Az egységes REST API (v2026-04-01-preview) következetesen kezeli az SQL VA-t az Azure SQL Database-ben, az SQL Managed Instance-ben, a Synapse-munkaterületeken, valamint a számítógépeken futó SQL-ben (Azure-beli virtuális gépeken és Arc-kompatibilis SQL-ben).

Vizsgálati előzmények megtekintése

A biztonságirés-felmérés panelen válassza az Előzmények vizsgálata lehetőséget az adatbázisban korábban futtatott összes vizsgálat előzményeinek megtekintéséhez.

Az expressz konfiguráció nem tárolja a vizsgálati eredményeket, ha megegyeznek a korábbi vizsgálatokkal. A vizsgálati előzményekben látható vizsgálati idő annak az utolsó vizsgálatnak az időpontja, ahol a vizsgálati eredmények megváltoztak.

A Microsoft Defender for Cloud adott megállapításainak letiltása (előzetes verzió)

Ha a cégnek a javítás helyett figyelmen kívül kell hagynia egy találatot, letilthatja a találatot. A letiltott megállapítások nem befolyásolják a biztonsági pontszámot, és nem generálnak felesleges zajt. A vizsgálati eredmények „Nem alkalmazható” szakaszában láthatja a letiltott megállapítást.

Ha egy találat megfelel a letiltó szabályokban meghatározott feltételeknek, az nem jelenik meg a találatok listájában. A tipikus forgatókönyvek a következők lehetnek:

• Közepes vagy alacsonyabb súlyosságú eredmények letiltása
• A nem javítható megállapítások letiltása
• A meghatározott hatókör szempontjából nem érdekes teljesítménytesztek eredményeinek letiltása

Fontos

Adott eredmények letiltásához engedélyekre van szüksége egy szabályzat szerkesztéséhez az Azure Policyban. További információ az Azure RBAC-engedélyekről az Azure Policyban.

Szabály létrehozása:

1. A(z) A gépeken futó SQL-kiszolgálókon található sérülékenységfelmérési megállapításokat javítani kell javaslat részletei oldalán válassza a Szabály letiltása lehetőséget.

2. Válassza ki a megfelelő hatókört.

3. Adja meg a feltételeket. Az alábbi feltételek bármelyikét használhatja:

   • Azonosító keresése
   • Súlyosság
   • Teljesítménytesztek

4. Válassza ki a opciót, majd alkalmazza aszabályt. A módosítások érvénybe lépése akár 24 órát is igénybe vehet.

Szabály megtekintése, felülbírálása vagy törlése:

1. Válassza a Szabály letiltásalehetőséget.
2. A hatókörlistában az aktív szabályokkal rendelkező előfizetések "Szabály alkalmazva" megjelenítéssel jelennek meg.
3. A szabály megtekintéséhez vagy törléséhez válassza a három pont menüt ("...").

E-mail-értesítések konfigurálása Azure Logic Apps használatával

Az adatbázis biztonságirés-felmérési állapotának rendszeres frissítéséhez használhatja a testre szabható Azure Logic Apps-sablont.

A sablon használatával a következőt végezheti el:

• Válassza ki az e-mail-jelentések időzítését.
• Egységes képet kap a sebezhetőség-felmérés állapotáról, amely a letiltott szabályokat is magában foglalja.
• Jelentések küldése Azure SQL-kiszolgálókhoz és SQL-virtuális gépekhez.
• A jelentés struktúrájának és megjelenésének testreszabása a szervezeti szabványoknak megfelelően.

Sebezhetőségi felmérések programozott kezelése

Fontos

Az SQL sebezhetőségi felmérésének új nyilvános előzetes verziójára vonatkozó egységes API-referencia a következő témakörben található:

• SQL sérülékenységértékelés beállításai
• SQL sérülékenységfelmérési alapszintű szabályok
• Sql sebezhetőségi felmérésének eredményei
• Sql biztonságirés-felmérési vizsgálatok Az alábbi példák csak Azure SQL Adatbázisokra (GA) vonatkoznak.

Az Azure SQL-adatbázisok expressz konfigurációját a REST API 2022-05-01-preview verziója támogatja az alábbi funkciókkal:

Leírás	Hatókör	API
Alapszintű tömeges műveletek	Rendszeradatbázis	Az SQL sebezhetőségi felmérésének alapkonfigurációi Az SQL sebezhetőségi felmérésének alapkonfigurációja
Alapszintű tömeges műveletek	Felhasználói adatbázis	Adatbázis SQL sebezhetőségi felmérésének alapkonfigurációi
Egyetlen szabály alapkonfigurációs műveletei	Felhasználói adatbázis	Adatbázis SQL biztonságirés-felmérési szabályának alapkonfigurációi
Egyetlen szabály alapkonfigurációs műveletei	Rendszeradatbázis	Az SQL biztonságirés-felmérési szabály alapkonfigurációi Az SQL biztonságirés-felmérési szabály alapkonfigurációja
Egyetlen vizsgálati eredmény	Felhasználói adatbázis	Adatbázis sql sebezhetőségi felmérésének eredménye
Egyetlen vizsgálati eredmény	Rendszeradatbázis	Az SQL sebezhetőségi felmérésének eredménye
Ellenőrzés részletei (összefoglalás)	Felhasználói adatbázis	Adatbázis sql biztonságirés-felmérésének vizsgálatai
Vizsgálat részletei (összefoglalás)	Rendszeradatbázis	Sql-sebezhetőségi felmérési vizsgálatok
Manuális vizsgálat végrehajtása	Felhasználói adatbázis	Adatbázis SQL-sérülékenységfelmérés – vizsgálat végrehajtása
Manuális vizsgálat végrehajtása	Rendszeradatbázis	SQL-sebezhetőségi értékelés – vizsgálat futtatása
VA-beállítások (a GET csak az Express Configuration esetében támogatott)	Felhasználói adatbázis	Adatbázis SQL-sérülékenységfelmérési beállítások
VA beállítási műveletek	Kiszolgáló	Az SQL sebezhetőségi felméréseinek beállításai Sql-sebezhetőségi felmérések

Azure Resource Manager-sablonok

Az alábbi ARM-sablonnal hozzon létre egy új Azure SQL Logikai kiszolgálót, amely expressz konfigurációval rendelkezik az SQL sebezhetőségi felméréséhez.

Ha Azure Resource Manager-sablonokkal szeretné konfigurálni a sebezhetőségi felmérés alapkonfigurációit, használja a típust Microsoft.Sql/servers/databases/sqlVulnerabilityAssessments/baselines . Győződjön meg arról, hogy vulnerabilityAssessments engedélyezve van, mielőtt hozzáadja az alapkonfigurációkat.

Íme néhány példa arra, hogyan állíthat be alapterveket ARM-sablonok használatával:

• Kötegelt alapérték beállítása a legutóbbi vizsgálati eredmények alapján:

  {
      "type": "Microsoft.Sql/servers/databases/sqlVulnerabilityAssessments/baselines",
      "apiVersion": "2022-02-01-preview",
      "name": "[concat(parameters('serverName'),'/', parameters('databaseName') , '/default/default')]",
      "properties": {
          "latestScan": true
          }
  }
  

• Köteg alapértékének beállítása megadott eredmények alapján:

  {
      "type": "Microsoft.Sql/servers/databases/sqlVulnerabilityAssessments/baselines",
      "apiVersion": "2022-02-01-preview",
      "name": "[concat(parameters('serverName'),'/', parameters('databaseName') , '/default/default')]",
      "properties": {
          "latestScan": false,
          "results": {
          "VA2065": [
              [
                   "FirewallRuleName3",
                       "62.92.15.67",
                       "62.92.15.67"
              ],
              [
                   "FirewallRuleName4",
                       "62.92.15.68",
                       "62.92.15.68"
              ]
          ],
          "VA2130": [
              [
                   "dbo"
              ]
          ]
       }
    }
  }
  

• Alapterv beállítása egy adott szabályhoz:

  {
      "type": "Microsoft.Sql/servers/databases/sqlVulnerabilityAssessments/baselines/rules",
      "apiVersion": "2022-02-01-preview",
      "name": "[concat(parameters('serverName'),'/', parameters('databaseName') , '/default/default/VA1143')]",
      "properties": {
      "latestScan": false,
      "results": [
          [ "True" ]
          ]
      }
  }
  

• Kötegelt alapállapotok beállítása a mesteradatbázison a legutóbbi vizsgálati eredmények alapján:

  {
      "type": "Microsoft.Sql/servers/databases/sqlVulnerabilityAssessments/baselines",
      "apiVersion": "2022-02-01-preview",
      "name": "[concat(parameters('serverName'),'/master/default/default')]",
      "properties": {
          "latestScan": true
          }
  }
  

PowerShell

Az expressz konfiguráció a PowerShell-parancsmagokban nem támogatott, de a PowerShell használatával meghívhatja a legújabb biztonságirés-felmérési képességeket a REST API használatával, például:

• Expressz konfiguráció engedélyezése Azure SQL Serveren
• Alapkonfigurációk beállítása az Azure SQL Server összes adatbázisának legfrissebb vizsgálati eredményei alapján
• Express configuration PowerShell-parancsok referenciája

Azure CLI

Expressz konfiguráció meghívása az Azure CLI használatával.

Kapcsolódó tartalom

• További információ az Azure SQL-hez készült Microsoft Defenderről.
• További információ az adatfelderítésről és -besorolásról.
• További információ a biztonságirés-felmérés eredményeinek tűzfalak és virtuális hálózatok mögött elérhető tárfiókban való tárolásáról.
• Tekintse meg az Azure SQL-adatbázisokkal kapcsolatos gyakori kérdéseket .