Az SQL Serverekhez készült Microsoft Defender engedélyezése a gépeken
Az SQL Defender védelmet nyújt az IaaS SQL-kiszolgálók számára a lehetséges adatbázis-biztonsági rések azonosításával és enyhítésével, valamint olyan rendellenes tevékenységek észlelésével, amelyek veszélyt jelenthetnek az adatbázisokra.
Felhőhöz készült Defender a gyanús adatbázis-tevékenységek, az SQL-gépek elérésére vagy kihasználására tett potenciálisan káros kísérletek, az SQL-injektálási támadások, a rendellenes adatbázis-hozzáférés és a lekérdezési minták észlelésekor riasztásokkal tölti fel. Az ilyen típusú események által létrehozott riasztások a riasztások referenciaoldalán jelennek meg.
Felhőhöz készült Defender sebezhetőségi felmérést használ a lehetséges adatbázis-biztonsági rések felderítéséhez, nyomon követéséhez és elhárításához. Az értékelési vizsgálatok áttekintést nyújtanak az SQL-gépek biztonsági állapotáról, és részletesen ismertetik a biztonsági megállapításokat.
További információ a gépeken futó Azure SQL-kiszolgálók sebezhetőségi felméréséről.
A gépeken futó SQL-kiszolgálókhoz készült Defender az Azure-ban, többfelhős és akár helyszíni gépeken üzemeltetett SQL-kiszolgálókat is védi.
További információ a virtuális gépeken futó SQL Serverről.
A helyszíni SQL-kiszolgálók esetében többet is megtudhat az Azure Arc által engedélyezett SQL Serverről, valamint arról, hogyan telepítheti a Log Analytics-ügynököt az Azure Arc nélküli Windows rendszerű számítógépekre.
Többfelhős SQL-kiszolgálók esetén:
AWS-fiókok csatlakoztatása a Felhőhöz készült Microsoft Defenderhez
GCP-projekt csatlakoztatása a Felhőhöz készült Microsoft Defenderhez
Feljegyzés
A többfelhős SQL-kiszolgálók adatbázis-védelmét az AWS-összekötőn vagy a GCP-összekötőn keresztül kell engedélyeznie.
Elérhetőség
Szempont | Részletek |
---|---|
Kiadási állapot: | Általános rendelkezésre állás (GA) |
Díjszabás: | A gépeken futó SQL-kiszolgálókhoz készült Microsoft Defender számlázása a díjszabási oldalon látható módon történik |
Védett SQL-verziók: | SQL Server-verzió: 2012, 2014, 2016, 2017, 2019, 2022 - SQL azure-beli virtuális gépeken - SQL Server az Azure Arc-kompatibilis kiszolgálókon |
Felhők: | Kereskedelmi felhők Azure Government A 21Vianet által üzemeltetett Microsoft Azure |
A Defender engedélyezése az SQL-hez nem Azure-beli gépeken az AMA-ügynökkel
Előfeltételek a Defender for SQL engedélyezéséhez nem Azure-beli gépeken
Aktív Azure-előfizetés.
Az előfizetés tulajdonosi engedélyei arra az előfizetésre, amelyben a szabályzatot ki szeretné osztani.
A gépeken futó SQL Server előfeltételei:
- Engedélyek: Az SQL Servert üzemeltető Windows-felhasználónak Sysadmin szerepkörrel kell rendelkeznie az adatbázisban.
- Bővítmények: Az engedélyezési listához a következő bővítményeket kell hozzáadni:
- Defender az SQL-hez (IaaS és Arc):
- Kiadó: Microsoft.Azure.AzureDefenderForSQL
- Típus: AdvancedThreatProtection.Windows
- SQL IaaS-bővítmény (IaaS):
- Közzétevő: Microsoft.SqlServer.Management
- Típus: SqlIaaSAgent
- SQL IaaS-bővítmény (Arc):
- Közzétevő: Microsoft.AzureData
- Típus: WindowsAgent.SqlServer
- AMA-bővítmény (IaaS és Arc):
- Közzétevő: Microsoft.Azure.Monitor
- Típus: AzureMonitorWindowsAgent
- Defender az SQL-hez (IaaS és Arc):
Elnevezési konvenciók a Megtagadási szabályzat engedélyezési listájában
A Defender for SQL az alábbi elnevezési konvenciót használja az erőforrások létrehozásakor:
- DCR:
MicrosoftDefenderForSQL--dcr
- DCRA:
/Microsoft.Insights/MicrosoftDefenderForSQL-RulesAssociation
- Erőforráscsoport:
DefaultResourceGroup-
- Log Analytics-munkaterület:
D4SQL--
- DCR:
Az SQL Defender a MicrosoftDefenderForSQL-t használja createdBy adatbáziscímkeként.
A Defender for SQL engedélyezésének lépései nem Azure-beli gépeken
Az SQL Server csatlakoztatása az Azure Archoz. A támogatott operációs rendszerekről, a kapcsolat konfigurációjáról és a szükséges engedélyekről az alábbi dokumentációban talál további információt:
Az Azure Arc telepítése után az SQL Server Azure-bővítménye automatikusan települ az adatbázis-kiszolgálóra. További információkat Az Azure Arc által engedélyezett SQL Server automatikus csatlakozásának kezelése témakörnél talál.
A Defender engedélyezése AZ SQL-hez
Jelentkezzen be az Azure Portalra.
Keresse meg és válassza ki a Felhőhöz készült Defender programot.
A Felhőhöz készült Defender menüben válassza a Környezeti beállítások lehetőséget.
Válassza ki az adott előfizetést.
A Defender-csomagok lapon keresse meg az Adatbázisok csomagot, és válassza a Típusok kiválasztása lehetőséget.
Az Erőforrástípusok kijelölési ablakban állítsa be a gépeken lévő SQL-kiszolgálókat Be állásba.
Válassza a Folytatás lehetőséget.
Válassza a Mentés lehetőséget.
Az engedélyezést követően az alábbi szakpolitikai kezdeményezések egyikét használjuk:
- Konfigurálja az SQL virtuális gépeket és az Arc-kompatibilis SQL-kiszolgálókat a Microsoft Defender sql-hez és AMA-hoz való telepítéséhez egy Log Analytics-munkaterülettel (LAW) egy alapértelmezett LAW-hoz. Ez adatgyűjtési szabályokkal és alapértelmezett Log Analytics-munkaterülettel rendelkező erőforráscsoportokat hoz létre. A Log Analytics-munkaterületről további információt a Log Analytics-munkaterület áttekintésében talál.
- Konfigurálja az SQL virtuális gépeket és az Arc-kompatibilis SQL-kiszolgálókat a Microsoft Defender sql-hez és AMA-hoz való telepítéséhez egy felhasználó által meghatározott JOG használatával. Ez létrehoz egy erőforráscsoportot adatgyűjtési szabályokkal és egy egyéni Log Analytics-munkaterülettel az előre definiált régióban. A folyamat során telepítjük az Azure monitorozási ügynökét. Az AMA-ügynök telepítésének lehetőségeiről további információt az Azure Monitor Agent előfeltételei című témakörben talál.
A telepítési folyamat befejezéséhez az SQL Server (példány) újraindítására van szükség a 2017-ben és régebbi verziókban.
Azure-beli virtuális gépeken futó SQL Defender engedélyezése az AMA-ügynökkel
Az SQL-hez készült Defender azure-beli virtuális gépeken való engedélyezésének előfeltételei
- Aktív Azure-előfizetés.
- Az előfizetés tulajdonosi engedélyei arra az előfizetésre, amelyben a szabályzatot ki szeretné osztani.
- A gépeken futó SQL Server előfeltételei:
- Engedélyek: Az SQL Servert üzemeltető Windows-felhasználónak Sysadmin szerepkörrel kell rendelkeznie az adatbázisban.
- Bővítmények: Az engedélyezési listához a következő bővítményeket kell hozzáadni:
- Defender az SQL-hez (IaaS és Arc):
- Kiadó: Microsoft.Azure.AzureDefenderForSQL
- Típus: AdvancedThreatProtection.Windows
- SQL IaaS-bővítmény (IaaS):
- Közzétevő: Microsoft.SqlServer.Management
- Típus: SqlIaaSAgent
- SQL IaaS-bővítmény (Arc):
- Közzétevő: Microsoft.AzureData
- Típus: WindowsAgent.SqlServer
- AMA-bővítmény (IaaS és Arc):
- Közzétevő: Microsoft.Azure.Monitor
- Típus: AzureMonitorWindowsAgent
- Defender az SQL-hez (IaaS és Arc):
- Mivel az USA keleti régiójában hozunk létre erőforráscsoportot, az automatikus fejlesztési engedélyezési folyamat részeként engedélyezni kell ezt a régiót, vagy az SQL-hez készült Defender nem tudja sikeresen befejezni a telepítési folyamatot.
Az SQL-hez készült Defender azure-beli virtuális gépeken való engedélyezésének lépései
Jelentkezzen be az Azure Portalra.
Keresse meg és válassza ki a Felhőhöz készült Defender programot.
A Felhőhöz készült Defender menüben válassza a Környezeti beállítások lehetőséget.
Válassza ki az adott előfizetést.
A Defender-csomagok lapon keresse meg az Adatbázisok csomagot, és válassza a Típusok kiválasztása lehetőséget.
Az Erőforrástípusok kijelölési ablakban állítsa be a gépeken lévő SQL-kiszolgálókat Be állásba.
Válassza a Folytatás lehetőséget.
Válassza a Mentés lehetőséget.
Az engedélyezést követően az alábbi szakpolitikai kezdeményezések egyikét használjuk:
- Konfigurálja az SQL virtuális gépeket és az Arc-kompatibilis SQL-kiszolgálókat a Microsoft Defender sql-hez és AMA-hoz való telepítéséhez egy Log Analytics-munkaterülettel (LAW) egy alapértelmezett LAW-hoz. Ez létrehoz egy erőforráscsoportot az USA keleti régiójában és a felügyelt identitást. A felügyelt identitás használatával kapcsolatos további információkért tekintse meg az Azure Monitor ügynökeinek Resource Manager-sablonmintáit. Emellett létrehoz egy erőforráscsoportot is, amely tartalmaz egy adatgyűjtési szabályokat (DCR) és egy alapértelmezett TÖRVÉNYT. A rendszer minden erőforrást összevont ebben az egyetlen erőforráscsoportban. A DCR és a LAW a virtuális gép (VM) régiójához igazodva jön létre.
- Konfigurálja az SQL virtuális gépeket és az Arc-kompatibilis SQL-kiszolgálókat a Microsoft Defender sql-hez és AMA-hoz való telepítéséhez egy felhasználó által meghatározott JOG használatával. Ez létrehoz egy erőforráscsoportot az USA keleti régiójában és a felügyelt identitást. A felügyelt identitás használatával kapcsolatos további információkért tekintse meg az Azure Monitor ügynökeinek Resource Manager-sablonmintáit. Emellett létrehoz egy erőforráscsoportot egy DCR és egy egyéni TÖRVÉNY használatával az előre definiált régióban.
A telepítési folyamat befejezéséhez az SQL Server (példány) újraindítására van szükség a 2017-ben és régebbi verziókban.
Gyakori kérdések
Az üzembe helyezés befejezése után mennyi ideig kell megvárnunk a sikeres üzembe helyezést?
Körülbelül 30 percet vesz igénybe, amíg az SQL IaaS-bővítmény frissíti a védelmi állapotot, feltéve, hogy az összes előfeltétel teljesül.
Hogyan ellenőrizze, hogy az üzembe helyezés sikeresen befejeződött-e, és hogy az adatbázis védett-e?
- Keresse meg az adatbázist az Azure Portal felső keresősávján.
- A Biztonság lapon válassza a Felhőhöz készült Defender lehetőséget.
- Ellenőrizze a védelem állapotát. Ha az állapot védett, az üzembe helyezés sikeres volt.
Mi a felügyelt identitás célja, amelyet a telepítési folyamat során hoztak létre az Azure SQL-beli virtuális gépeken?
A felügyelt identitás az Azure Policy része, amely leküldi az AMA-t. Az AMA arra használja, hogy hozzáférjen az adatbázishoz, hogy összegyűjtse az adatokat, és a Log Analytics-munkaterületen (LAW) keresztül küldje el Felhőhöz készült Defender. A felügyelt identitás használatával kapcsolatos további információkért tekintse meg az Azure Monitor ügynökeinek Resource Manager-sablonmintáit.
Használhatom a saját DCR-emet vagy felügyelt identitásomat ahelyett, hogy Felhőhöz készült Defender újat hoznék létre?
Igen, lehetővé tesszük, hogy csak a következő szkripttel hozzon létre saját identitást vagy DCR-t. További információ: A Microsoft Defender engedélyezése nagy méretű gépeken futó SQL-kiszolgálókhoz.
Hány erőforráscsoport és Log Analytics-munkaterület jön létre az automatikus kiépítési folyamat során?
Alapértelmezés szerint az SQL-gépet tartalmazó régiónként hozzuk létre az erőforráscsoportot, a munkaterületet és a DCR-t. Ha az egyéni munkaterületi beállítást választja, a rendszer csak egy újrahelyezési csoportot és DCR-t hoz létre a munkaterületével megegyező helyen.
Hogyan engedélyezhetem az SQL-kiszolgálókat az AMA-val rendelkező gépeken nagy méretekben?
Az SQL-kiszolgálókhoz készült Microsoft Defender engedélyezése nagy méretű gépeken című témakörből megtudhatja, hogyan engedélyezheti a Microsoft Defendert az SQL több előfizetés közötti automatikus üzembe helyezésének egyidejű engedélyezéséhez. Az Azure-beli virtuális gépeken, a helyszíni környezetekben és az Azure Arc-kompatibilis SQL-kiszolgálókon üzemeltetett SQL-kiszolgálókra alkalmazható.
Mely táblákat használja a LAW az AMA-val?
Az SQL-alapú virtuális gépeken és arc-kompatibilis SQL-kiszolgálókon futó Defender a Log Analytics-munkaterület (LAW) használatával továbbítja az adatokat az adatbázisból a Felhőhöz készült Defender portálra. Ez azt jelenti, hogy a rendszer nem menti az adatokat helyileg a TÖRVÉNY-ben. Az SQLAtpStatus és az SqlVulnerabilityAssessmentScanStatus nevű TÖRVÉNY táblái kivonásra kerülnek az MMA megszűnésekor. Az ATP és a VA állapota megtekinthető a Felhőhöz készült Defender portálon.
Hogyan gyűjti a Defender for SQL a naplókat az SQL Serverről?
Az SQL Defender az SQL Server 2017-től kezdve a Xeventet használja. Az SQL Server korábbi verzióiban a Defender for SQL összegyűjti a naplókat az SQL Server naplózási naplóinak használatával.
Egy enableCollectionOfSqlQueriesForSecurityResearch nevű paramétert látok a szabályzat kezdeményezésében. Ez azt jelenti, hogy az adataim elemzés céljából lesznek összegyűjtve?
Ez a paraméter jelenleg nincs használatban. Az alapértelmezett érték hamis, ami azt jelenti, hogy ha nem módosítja proaktív módon az értéket, az hamis marad. Ennek a paraméternek nincs hatása.
Kapcsolódó tartalom
A kapcsolódó információkért tekintse meg az alábbi erőforrásokat:
- Hogyan védheti meg az SQL-kiszolgálókat bárhol az Azure SQL-hez készült Microsoft Defender?
- Biztonsági riasztások az SQL Database-hez és az Azure Synapse Analyticshez
- Tekintse meg az adatbázisokhoz készült Defender szolgáltatással kapcsolatos gyakori kérdéseket .