Az SQL Serverekhez készült Microsoft Defender engedélyezése a gépeken

Az SQL Defender védelmet nyújt az IaaS SQL-kiszolgálók számára a lehetséges adatbázis-biztonsági rések azonosításával és enyhítésével, valamint olyan rendellenes tevékenységek észlelésével, amelyek veszélyt jelenthetnek az adatbázisokra.

Felhőhöz készült Defender a gyanús adatbázis-tevékenységek, az SQL-gépek elérésére vagy kihasználására tett potenciálisan káros kísérletek, az SQL-injektálási támadások, a rendellenes adatbázis-hozzáférés és a lekérdezési minták észlelésekor riasztásokkal tölti fel. Az ilyen típusú események által létrehozott riasztások a riasztások referenciaoldalán jelennek meg.

Felhőhöz készült Defender sebezhetőségi felmérést használ a lehetséges adatbázis-biztonsági rések felderítéséhez, nyomon követéséhez és elhárításához. Az értékelési vizsgálatok áttekintést nyújtanak az SQL-gépek biztonsági állapotáról, és részletesen ismertetik a biztonsági megállapításokat.

További információ a gépeken futó Azure SQL-kiszolgálók sebezhetőségi felméréséről.

A gépeken futó SQL-kiszolgálókhoz készült Defender az Azure-ban, többfelhős és akár helyszíni gépeken üzemeltetett SQL-kiszolgálókat is védi.

• További információ a virtuális gépeken futó SQL Serverről.

• A helyszíni SQL-kiszolgálók esetében többet is megtudhat az Azure Arc által engedélyezett SQL Serverről, valamint arról, hogyan telepítheti a Log Analytics-ügynököt az Azure Arc nélküli Windows rendszerű számítógépekre.

• Többfelhős SQL-kiszolgálók esetén:

  • AWS-fiókok csatlakoztatása a Felhőhöz készült Microsoft Defenderhez

  • GCP-projekt csatlakoztatása a Felhőhöz készült Microsoft Defenderhez

    Feljegyzés

    A többfelhős SQL-kiszolgálók adatbázis-védelmét az AWS-összekötőn vagy a GCP-összekötőn keresztül kell engedélyeznie.

Elérhetőség

Szempont	Részletek
Kiadási állapot:	Általános rendelkezésre állás (GA)
Díjszabás:	A gépeken futó SQL-kiszolgálókhoz készült Microsoft Defender számlázása a díjszabási oldalon látható módon történik
Védett SQL-verziók:	SQL Server-verzió: 2012, 2014, 2016, 2017, 2019, 2022 - SQL azure-beli virtuális gépeken - SQL Server az Azure Arc-kompatibilis kiszolgálókon
Felhők:	Kereskedelmi felhők Azure Government A 21Vianet által üzemeltetett Microsoft Azure

A Defender engedélyezése az SQL-hez nem Azure-beli gépeken az AMA-ügynökkel

Előfeltételek a Defender for SQL engedélyezéséhez nem Azure-beli gépeken

• Aktív Azure-előfizetés.

• Az előfizetés tulajdonosi engedélyei arra az előfizetésre, amelyben a szabályzatot ki szeretné osztani.

• A gépeken futó SQL Server előfeltételei:

  • Engedélyek: Az SQL Servert üzemeltető Windows-felhasználónak Sysadmin szerepkörrel kell rendelkeznie az adatbázisban.
  • Bővítmények: Az engedélyezési listához a következő bővítményeket kell hozzáadni:
    • Defender az SQL-hez (IaaS és Arc):
      • Kiadó: Microsoft.Azure.AzureDefenderForSQL
      • Típus: AdvancedThreatProtection.Windows
    • SQL IaaS-bővítmény (IaaS):
      • Közzétevő: Microsoft.SqlServer.Management
      • Típus: SqlIaaSAgent
    • SQL IaaS-bővítmény (Arc):
      • Közzétevő: Microsoft.AzureData
      • Típus: WindowsAgent.SqlServer
    • AMA-bővítmény (IaaS és Arc):
      • Közzétevő: Microsoft.Azure.Monitor
      • Típus: AzureMonitorWindowsAgent

Elnevezési konvenciók a Megtagadási szabályzat engedélyezési listájában

• A Defender for SQL az alábbi elnevezési konvenciót használja az erőforrások létrehozásakor:

  • DCR: MicrosoftDefenderForSQL--dcr
  • DCRA: /Microsoft.Insights/MicrosoftDefenderForSQL-RulesAssociation
  • Erőforráscsoport: DefaultResourceGroup-
  • Log Analytics-munkaterület: D4SQL--

• Az SQL Defender a MicrosoftDefenderForSQL-t használja createdBy adatbáziscímkeként.

A Defender for SQL engedélyezésének lépései nem Azure-beli gépeken

1. Az SQL Server csatlakoztatása az Azure Archoz. A támogatott operációs rendszerekről, a kapcsolat konfigurációjáról és a szükséges engedélyekről az alábbi dokumentációban talál további információt:

   • Azure Arc-kompatibilis kiszolgálók megtervezése és üzembe helyezése
   • Csatlakoztatott gépügynök előfeltételei
   • A Connected Machine Agent hálózati követelményei
   • Az Azure Arc által engedélyezett SQL Server-szerepkörök

2. Az Azure Arc telepítése után az SQL Server Azure-bővítménye automatikusan települ az adatbázis-kiszolgálóra. További információkat Az Azure Arc által engedélyezett SQL Server automatikus csatlakozásának kezelése témakörnél talál.

A Defender engedélyezése AZ SQL-hez

1. Jelentkezzen be az Azure Portalra.

2. Keresse meg és válassza ki a Felhőhöz készült Defender programot.

3. A Felhőhöz készült Defender menüben válassza a Környezeti beállítások lehetőséget.

4. Válassza ki az adott előfizetést.

5. A Defender-csomagok lapon keresse meg az Adatbázisok csomagot, és válassza a Típusok kiválasztása lehetőséget.

   

6. Az Erőforrástípusok kijelölési ablakban állítsa be a gépeken lévő SQL-kiszolgálókat Be állásba.

7. Válassza a Folytatás lehetőséget.

8. Válassza a Mentés lehetőséget.

9. Az engedélyezést követően az alábbi szakpolitikai kezdeményezések egyikét használjuk:

   • Konfigurálja az SQL virtuális gépeket és az Arc-kompatibilis SQL-kiszolgálókat a Microsoft Defender sql-hez és AMA-hoz való telepítéséhez egy Log Analytics-munkaterülettel (LAW) egy alapértelmezett LAW-hoz. Ez adatgyűjtési szabályokkal és alapértelmezett Log Analytics-munkaterülettel rendelkező erőforráscsoportokat hoz létre. A Log Analytics-munkaterületről további információt a Log Analytics-munkaterület áttekintésében talál.

   

   • Konfigurálja az SQL virtuális gépeket és az Arc-kompatibilis SQL-kiszolgálókat a Microsoft Defender sql-hez és AMA-hoz való telepítéséhez egy felhasználó által meghatározott JOG használatával. Ez létrehoz egy erőforráscsoportot adatgyűjtési szabályokkal és egy egyéni Log Analytics-munkaterülettel az előre definiált régióban. A folyamat során telepítjük az Azure monitorozási ügynökét. Az AMA-ügynök telepítésének lehetőségeiről további információt az Azure Monitor Agent előfeltételei című témakörben talál.

   

10. A telepítési folyamat befejezéséhez az SQL Server (példány) újraindítására van szükség a 2017-ben és régebbi verziókban.

Azure-beli virtuális gépeken futó SQL Defender engedélyezése az AMA-ügynökkel

Az SQL-hez készült Defender azure-beli virtuális gépeken való engedélyezésének előfeltételei

• Aktív Azure-előfizetés.
• Az előfizetés tulajdonosi engedélyei arra az előfizetésre, amelyben a szabályzatot ki szeretné osztani.
• A gépeken futó SQL Server előfeltételei:
  • Engedélyek: Az SQL Servert üzemeltető Windows-felhasználónak Sysadmin szerepkörrel kell rendelkeznie az adatbázisban.
  • Bővítmények: Az engedélyezési listához a következő bővítményeket kell hozzáadni:
    • Defender az SQL-hez (IaaS és Arc):
      • Kiadó: Microsoft.Azure.AzureDefenderForSQL
      • Típus: AdvancedThreatProtection.Windows
    • SQL IaaS-bővítmény (IaaS):
      • Közzétevő: Microsoft.SqlServer.Management
      • Típus: SqlIaaSAgent
    • SQL IaaS-bővítmény (Arc):
      • Közzétevő: Microsoft.AzureData
      • Típus: WindowsAgent.SqlServer
    • AMA-bővítmény (IaaS és Arc):
      • Közzétevő: Microsoft.Azure.Monitor
      • Típus: AzureMonitorWindowsAgent
• Mivel az USA keleti régiójában hozunk létre erőforráscsoportot, az automatikus fejlesztési engedélyezési folyamat részeként engedélyezni kell ezt a régiót, vagy az SQL-hez készült Defender nem tudja sikeresen befejezni a telepítési folyamatot.

Az SQL-hez készült Defender azure-beli virtuális gépeken való engedélyezésének lépései

1. Jelentkezzen be az Azure Portalra.

2. Keresse meg és válassza ki a Felhőhöz készült Defender programot.

3. A Felhőhöz készült Defender menüben válassza a Környezeti beállítások lehetőséget.

4. Válassza ki az adott előfizetést.

5. A Defender-csomagok lapon keresse meg az Adatbázisok csomagot, és válassza a Típusok kiválasztása lehetőséget.

   

6. Az Erőforrástípusok kijelölési ablakban állítsa be a gépeken lévő SQL-kiszolgálókat Be állásba.

7. Válassza a Folytatás lehetőséget.

8. Válassza a Mentés lehetőséget.

9. Az engedélyezést követően az alábbi szakpolitikai kezdeményezések egyikét használjuk:

   • Konfigurálja az SQL virtuális gépeket és az Arc-kompatibilis SQL-kiszolgálókat a Microsoft Defender sql-hez és AMA-hoz való telepítéséhez egy Log Analytics-munkaterülettel (LAW) egy alapértelmezett LAW-hoz. Ez létrehoz egy erőforráscsoportot az USA keleti régiójában és a felügyelt identitást. A felügyelt identitás használatával kapcsolatos további információkért tekintse meg az Azure Monitor ügynökeinek Resource Manager-sablonmintáit. Emellett létrehoz egy erőforráscsoportot is, amely tartalmaz egy adatgyűjtési szabályokat (DCR) és egy alapértelmezett TÖRVÉNYT. A rendszer minden erőforrást összevont ebben az egyetlen erőforráscsoportban. A DCR és a LAW a virtuális gép (VM) régiójához igazodva jön létre.

   

   • Konfigurálja az SQL virtuális gépeket és az Arc-kompatibilis SQL-kiszolgálókat a Microsoft Defender sql-hez és AMA-hoz való telepítéséhez egy felhasználó által meghatározott JOG használatával. Ez létrehoz egy erőforráscsoportot az USA keleti régiójában és a felügyelt identitást. A felügyelt identitás használatával kapcsolatos további információkért tekintse meg az Azure Monitor ügynökeinek Resource Manager-sablonmintáit. Emellett létrehoz egy erőforráscsoportot egy DCR és egy egyéni TÖRVÉNY használatával az előre definiált régióban.

   

10. A telepítési folyamat befejezéséhez az SQL Server (példány) újraindítására van szükség a 2017-ben és régebbi verziókban.

Gyakori kérdések

Az üzembe helyezés befejezése után mennyi ideig kell megvárnunk a sikeres üzembe helyezést?

Körülbelül 30 percet vesz igénybe, amíg az SQL IaaS-bővítmény frissíti a védelmi állapotot, feltéve, hogy az összes előfeltétel teljesül.

Hogyan ellenőrizze, hogy az üzembe helyezés sikeresen befejeződött-e, és hogy az adatbázis védett-e?

1. Keresse meg az adatbázist az Azure Portal felső keresősávján.
2. A Biztonság lapon válassza a Felhőhöz készült Defender lehetőséget.
3. Ellenőrizze a védelem állapotát. Ha az állapot védett, az üzembe helyezés sikeres volt.

Mi a felügyelt identitás célja, amelyet a telepítési folyamat során hoztak létre az Azure SQL-beli virtuális gépeken?

A felügyelt identitás az Azure Policy része, amely leküldi az AMA-t. Az AMA arra használja, hogy hozzáférjen az adatbázishoz, hogy összegyűjtse az adatokat, és a Log Analytics-munkaterületen (LAW) keresztül küldje el Felhőhöz készült Defender. A felügyelt identitás használatával kapcsolatos további információkért tekintse meg az Azure Monitor ügynökeinek Resource Manager-sablonmintáit.

Használhatom a saját DCR-emet vagy felügyelt identitásomat ahelyett, hogy Felhőhöz készült Defender újat hoznék létre?

Igen, lehetővé tesszük, hogy csak a következő szkripttel hozzon létre saját identitást vagy DCR-t. További információ: A Microsoft Defender engedélyezése nagy méretű gépeken futó SQL-kiszolgálókhoz.

Hány erőforráscsoport és Log Analytics-munkaterület jön létre az automatikus kiépítési folyamat során?

Alapértelmezés szerint az SQL-gépet tartalmazó régiónként hozzuk létre az erőforráscsoportot, a munkaterületet és a DCR-t. Ha az egyéni munkaterületi beállítást választja, a rendszer csak egy újrahelyezési csoportot és DCR-t hoz létre a munkaterületével megegyező helyen.

Hogyan engedélyezhetem az SQL-kiszolgálókat az AMA-val rendelkező gépeken nagy méretekben?

Az SQL-kiszolgálókhoz készült Microsoft Defender engedélyezése nagy méretű gépeken című témakörből megtudhatja, hogyan engedélyezheti a Microsoft Defendert az SQL több előfizetés közötti automatikus üzembe helyezésének egyidejű engedélyezéséhez. Az Azure-beli virtuális gépeken, a helyszíni környezetekben és az Azure Arc-kompatibilis SQL-kiszolgálókon üzemeltetett SQL-kiszolgálókra alkalmazható.

Mely táblákat használja a LAW az AMA-val?

Az SQL-alapú virtuális gépeken és arc-kompatibilis SQL-kiszolgálókon futó Defender a Log Analytics-munkaterület (LAW) használatával továbbítja az adatokat az adatbázisból a Felhőhöz készült Defender portálra. Ez azt jelenti, hogy a rendszer nem menti az adatokat helyileg a TÖRVÉNY-ben. Az SQLAtpStatus és az SqlVulnerabilityAssessmentScanStatus nevű TÖRVÉNY táblái kivonásra kerülnek az MMA megszűnésekor. Az ATP és a VA állapota megtekinthető a Felhőhöz készült Defender portálon.

Hogyan gyűjti a Defender for SQL a naplókat az SQL Serverről?

Az SQL Defender az SQL Server 2017-től kezdve a Xeventet használja. Az SQL Server korábbi verzióiban a Defender for SQL összegyűjti a naplókat az SQL Server naplózási naplóinak használatával.

Egy enableCollectionOfSqlQueriesForSecurityResearch nevű paramétert látok a szabályzat kezdeményezésében. Ez azt jelenti, hogy az adataim elemzés céljából lesznek összegyűjtve?

Ez a paraméter jelenleg nincs használatban. Az alapértelmezett érték hamis, ami azt jelenti, hogy ha nem módosítja proaktív módon az értéket, az hamis marad. Ennek a paraméternek nincs hatása.

Kapcsolódó tartalom

A kapcsolódó információkért tekintse meg az alábbi erőforrásokat:

• Hogyan védheti meg az SQL-kiszolgálókat bárhol az Azure SQL-hez készült Microsoft Defender?
• Biztonsági riasztások az SQL Database-hez és az Azure Synapse Analyticshez
• Tekintse meg az adatbázisokhoz készült Defender szolgáltatással kapcsolatos gyakori kérdéseket .