Pertanyaan umum tentang Pertahanan Microsoft untuk Database

Dapatkan jawaban atas pertanyaan umum tentang Pertahanan Microsoft untuk Database.

Jika saya mengaktifkan paket Microsoft Defender ini pada langganan saya, apakah semua server SQL pada langganan dilindungi?

Nomor. Untuk mempertahankan server SQL yang berjalan di komputer virtual Azure atau komputer dengan dukungan Azure Arc, Defender untuk Cloud memerlukan:

• Agen Analitik Log di komputer.
• Ruang kerja Analitik Log yang relevan agar Pertahanan Microsoft untuk SQL Server di Komputer diaktifkan.

Status langganan, yang ditampilkan di halaman server SQL di portal Azure, mencerminkan status ruang kerja default dan berlaku untuk semua komputer yang terhubung. Defender untuk Cloud hanya membantu melindungi server SQL pada host yang memiliki agen Analitik Log yang melaporkan ke ruang kerja tersebut.

Apakah ada efek performa dari penyebaran Pertahanan Microsoft untuk SQL Server di Komputer?

Pertahanan Microsoft untuk SQL Server pada Komputer berfokus pada keamanan, tetapi memiliki arsitektur terpisah untuk menyeimbangkan pengunggahan dan kecepatan data dengan performa:

• Beberapa detektor kami, termasuk jejak Extended Events bernama SQLAdvancedThreatProtectionTraffic, berjalan di komputer untuk keuntungan kecepatan real time.
• Detektor lain berjalan di cloud untuk menghindarkan mesin dari beban komputasi berat.

Pengujian lab solusi kami menunjukkan penggunaan CPU rata-rata 3% untuk irisan puncak, dibandingkan dengan beban tolok ukur. Analisis data pengguna saat ini menunjukkan dampak yang dapat diabaikan pada penggunaaan CPU dan memori.

Performa selalu bervariasi antara lingkungan, mesin, dan beban. Pernyataan ini berfungsi sebagai pedoman umum, bukan jaminan untuk setiap penyebaran individu.

Saya mengubah ruang kerja Analitik Log untuk Defender untuk SQL Server di Komputer dan kehilangan semua hasil pemindaian dan pengaturan garis besar saya. Apa yang terjadi?

Hasil pemindaian dan garis besar tidak disimpan di ruang kerja Analitik Log tetapi ditautkan ke ruang kerja tersebut. Mengubah ruang kerja mengatur ulang hasil pemindaian dan pengaturan garis besar. Namun, jika Anda kembali ke ruang kerja asli dalam waktu 90 hari, hasil pemindaian dan pengaturan garis besar akan dipulihkan. Baca selengkapnya.

Apa yang terjadi pada hasil pemindaian lama dan garis besar setelah saya beralih ke konfigurasi ekspres?

Hasil lama dan pengaturan garis besar tetap tersedia di akun penyimpanan Anda, tetapi tidak akan diperbarui atau digunakan oleh sistem. Anda tidak perlu mempertahankan file-file ini agar penilaian kerentanan SQL berfungsi setelah Beralih ke konfigurasi ekspres, tetapi Anda dapat menyimpan definisi garis besar lama untuk referensi di masa mendatang.

Saat konfigurasi ekspres diaktifkan, Anda tidak memiliki akses langsung ke hasil dan data dasar karena disimpan di penyimpanan Internal Microsoft.

Mengapa server Azure SQL saya ditandai sebagai tidak sehat untuk "Server SQL harus memiliki penilaian kerentanan yang dikonfigurasi," meskipun saya menyiapkannya dengan benar dengan menggunakan konfigurasi klasik?

Kebijakan di balik rekomendasi ini memeriksa keberadaan subassessment untuk server. Dengan konfigurasi klasik, database sistem hanya dipindai jika setidaknya ada satu database pengguna. Server tanpa database pengguna tidak memiliki pemindaian atau hasil pemindaian yang dilaporkan, yang menyebabkan kebijakan tetap tidak sehat.

Beralih ke konfigurasi ekspres mengurangi masalah dengan mengaktifkan pemindaian terjadwal dan manual untuk database sistem.

Dapatkah saya menyiapkan pemindaian berulang dengan konfigurasi ekspres?

Konfigurasi ekspres secara otomatis menyiapkan pemindaian berulang untuk semua database di bawah server Anda. Perilaku ini adalah default, dan tidak dapat dikonfigurasi di tingkat server atau database.

Apakah ada cara dengan konfigurasi ekspres untuk mendapatkan laporan email mingguan yang disediakan dalam konfigurasi klasik?

Anda dapat menggunakan otomatisasi alur kerja dan penjadwalan email Logic Apps, dengan mengikuti proses Microsoft Defender untuk Cloud:

• Pemicu berbasis waktu
• Pemicu berbasis pemindaian
• Dukungan untuk aturan yang dinonaktifkan

Mengapa saya tidak bisa mengatur kebijakan database lagi?

Penilaian kerentanan SQL melaporkan semua kerentanan dan kesalahan konfigurasi di lingkungan Anda, jadi termasuk semua database sangat membantu. Defender untuk SQL Server di Komputer ditagih per server, bukan per database.

Dapatkah saya kembali ke konfigurasi klasik?

Ya. Anda dapat kembali ke konfigurasi klasik dengan menggunakan REST API dan cmdlet PowerShell yang ada. Saat Anda kembali ke konfigurasi klasik, pemberitahuan muncul di portal Azure untuk mengubah ke konfigurasi ekspres.

Apakah konfigurasi ekspres akan tersedia untuk jenis SQL lainnya?

Nantikan pembaruannya!

Dapatkah saya memilih pengalaman mana yang merupakan default?

Tidak. Konfigurasi ekspres adalah default untuk setiap database Azure SQL baru yang didukung.

Apakah konfigurasi ekspres mengubah perilaku pemindaian?

Tidak, konfigurasi ekspres menyediakan perilaku dan performa pemindaian yang sama.

Apakah konfigurasi ekspres berpengaruh pada harga?

Konfigurasi ekspres tidak memerlukan akun penyimpanan, jadi Anda tidak perlu membayar biaya penyimpanan tambahan kecuali Anda memilih untuk menyimpan data pemindaian dan garis besar lama.

Apa arti batas 1-MB per aturan?

Setiap aturan individu tidak dapat menghasilkan hasil yang lebih dari 1 MB. Ketika hasil untuk aturan mencapai batas itu, mereka berhenti. Anda tidak dapat mengatur garis besar untuk aturan, aturan tidak disertakan dalam kesehatan rekomendasi keseluruhan, dan hasilnya muncul sebagai Tidak berlaku.

Setelah saya mengaktifkan Pertahanan Microsoft untuk SQL Server di Komputer, berapa lama saya harus menunggu untuk melihat penyebaran yang berhasil?

Dibutuhkan sekitar 30 menit untuk memperbarui status perlindungan melalui Ekstensi Agen IaaS SQL, dengan asumsi bahwa semua prasyarat terpenuhi.

Bagaimana cara memverifikasi bahwa penyebaran Defender untuk SQL Server saya di Komputer berhasil berakhir dan database saya sekarang dilindungi?

1. Di portal Azure, temukan database di bilah pencarian atas.
2. Di bawah Keamanan, pilih Microsoft Defender untuk Cloud.
3. Periksa Status Perlindungan. Jika status dilindungi, penyebaran berhasil.

Apa tujuan identitas terkelola yang dibuat selama proses penginstalan pada komputer virtual Azure SQL?

Identitas terkelola adalah bagian dari kebijakan Azure, yang mendorong keluar Agen Azure Monitor. Agen Azure Monitor menggunakan identitas terkelola untuk mengakses database sehingga dapat mengumpulkan data dan mengirimkannya melalui ruang kerja Analitik Log ke Defender untuk Cloud. Untuk informasi selengkapnya tentang penggunaan identitas terkelola, lihat Sampel templat Resource Manager untuk agen di Azure Monitor.

Dapatkah saya menggunakan DCR atau identitas terkelola saya sendiri alih-alih yang Defender untuk Cloud buat?

Ya. Kami memungkinkan Anda membawa identitas atau aturan pengumpulan data (DCR) Anda sendiri dengan hanya menggunakan skrip yang dijelaskan dalam Mengaktifkan Pertahanan Microsoft untuk SQL Server pada Komputer dalam skala besar.

Berapa banyak grup sumber daya dan ruang kerja Analitik Log yang dibuat proses provisi otomatis?

Secara default, kami membuat grup sumber daya, ruang kerja, dan DCR per wilayah yang memiliki komputer SQL. Jika Anda memilih opsi ruang kerja kustom, hanya satu grup sumber daya atau DCR yang dibuat di lokasi yang sama dengan ruang kerja.

Bagaimana cara mengaktifkan server SQL pada komputer dengan Agen Azure Monitor dalam skala besar?

Untuk proses cara mengaktifkan provisi otomatis di beberapa langganan secara bersamaan, lihat Mengaktifkan Pertahanan Microsoft untuk SQL Server pada Komputer dalam skala besar. Ini berlaku untuk server SQL yang dihosting di komputer virtual Azure, server SQL yang dihosting di lingkungan lokal, dan server SQL dengan dukungan Azure Arc.

Tabel mana yang digunakan di ruang kerja Analitik Log dengan Agen Azure Monitor?

Defender untuk SQL Server di Komputer (untuk komputer virtual SQL dan server SQL dengan dukungan Azure Arc) menggunakan ruang kerja Analitik Log untuk mentransfer data dari database ke portal Defender untuk Cloud. Tidak ada data yang disimpan secara lokal di ruang kerja Analitik Log. Tabel di ruang kerja Analitik Log bernama SQLAtpStatus dan SqlVulnerabilityAssessmentScanStatus akan dihentikan saat Microsoft Monitor Agent tidak digunakan lagi. Anda dapat melihat status perlindungan ancaman dan penilaian kerentanan di portal Defender untuk Cloud.

Bagaimana Defender untuk SQL Server di Komputer mengumpulkan log dari server SQL?

Defender untuk SQL Server di Komputer menggunakan Extended Events, dimulai dengan SQL Server 2017. Pada versi SQL Server sebelumnya, Defender untuk SQL Server di Komputer mengumpulkan log dengan menggunakan log audit SQL Server.

Apakah kehadiran parameter bernama enableCollectionOfSqlQueriesForSecurityResearch dalam inisiatif kebijakan berarti bahwa data saya dikumpulkan untuk analisis?

Parameter enableCollectionOfSqlQueriesForSecurityResearch tidak digunakan hari ini. Nilai defaultnya adalah false. Kecuali Anda secara proaktif mengubah nilai, nilai tersebut tetap false. Parameter ini tidak berpengaruh.

Konten terkait

Melindungi database Anda dengan Defender untuk Database

Dapatkan jawaban atas pertanyaan umum tentang Pertahanan Microsoft untuk Database.

Nomor. Untuk mempertahankan server SQL yang berjalan di komputer virtual Azure atau komputer dengan dukungan Azure Arc, Defender untuk Cloud memerlukan:

• Agen Analitik Log di komputer.
• Ruang kerja Analitik Log yang relevan agar Pertahanan Microsoft untuk SQL Server di Komputer diaktifkan.

Status langganan, yang ditampilkan di halaman server SQL di portal Azure, mencerminkan status ruang kerja default dan berlaku untuk semua komputer yang terhubung. Defender untuk Cloud hanya membantu melindungi server SQL pada host yang memiliki agen Analitik Log yang melaporkan ke ruang kerja tersebut.

Pertahanan Microsoft untuk SQL Server pada Komputer berfokus pada keamanan, tetapi memiliki arsitektur terpisah untuk menyeimbangkan pengunggahan dan kecepatan data dengan performa:

• Beberapa detektor kami, termasuk jejak Extended Events bernama SQLAdvancedThreatProtectionTraffic, berjalan di komputer untuk keuntungan kecepatan real time.
• Detektor lain berjalan di cloud untuk menghindarkan mesin dari beban komputasi berat.

Pengujian lab solusi kami menunjukkan penggunaan CPU rata-rata 3% untuk irisan puncak, dibandingkan dengan beban tolok ukur. Analisis data pengguna saat ini menunjukkan dampak yang dapat diabaikan pada penggunaaan CPU dan memori.

Performa selalu bervariasi antara lingkungan, mesin, dan beban. Pernyataan ini berfungsi sebagai pedoman umum, bukan jaminan untuk setiap penyebaran individu.

Hasil pemindaian dan garis besar tidak disimpan di ruang kerja Analitik Log tetapi ditautkan ke ruang kerja tersebut. Mengubah ruang kerja mengatur ulang hasil pemindaian dan pengaturan garis besar. Namun, jika Anda kembali ke ruang kerja asli dalam waktu 90 hari, hasil pemindaian dan pengaturan garis besar akan dipulihkan. Baca selengkapnya.

Hasil lama dan pengaturan garis besar tetap tersedia di akun penyimpanan Anda, tetapi tidak akan diperbarui atau digunakan oleh sistem. Anda tidak perlu mempertahankan file-file ini agar penilaian kerentanan SQL berfungsi setelah Beralih ke konfigurasi ekspres, tetapi Anda dapat menyimpan definisi garis besar lama untuk referensi di masa mendatang.

Saat konfigurasi ekspres diaktifkan, Anda tidak memiliki akses langsung ke hasil dan data dasar karena disimpan di penyimpanan Internal Microsoft.

Kebijakan di balik rekomendasi ini memeriksa keberadaan subassessment untuk server. Dengan konfigurasi klasik, database sistem hanya dipindai jika setidaknya ada satu database pengguna. Server tanpa database pengguna tidak memiliki pemindaian atau hasil pemindaian yang dilaporkan, yang menyebabkan kebijakan tetap tidak sehat.

Beralih ke konfigurasi ekspres mengurangi masalah dengan mengaktifkan pemindaian terjadwal dan manual untuk database sistem.

Konfigurasi ekspres secara otomatis menyiapkan pemindaian berulang untuk semua database di bawah server Anda. Perilaku ini adalah default, dan tidak dapat dikonfigurasi di tingkat server atau database.

Anda dapat menggunakan otomatisasi alur kerja dan penjadwalan email Logic Apps, dengan mengikuti proses Microsoft Defender untuk Cloud:

• Pemicu berbasis waktu
• Pemicu berbasis pemindaian
• Dukungan untuk aturan yang dinonaktifkan

Penilaian kerentanan SQL melaporkan semua kerentanan dan kesalahan konfigurasi di lingkungan Anda, jadi termasuk semua database sangat membantu. Defender untuk SQL Server di Komputer ditagih per server, bukan per database.

Ya. Anda dapat kembali ke konfigurasi klasik dengan menggunakan REST API dan cmdlet PowerShell yang ada. Saat Anda kembali ke konfigurasi klasik, pemberitahuan muncul di portal Azure untuk mengubah ke konfigurasi ekspres.

Nantikan pembaruannya!

Tidak. Konfigurasi ekspres adalah default untuk setiap database Azure SQL baru yang didukung.

Tidak, konfigurasi ekspres menyediakan perilaku dan performa pemindaian yang sama.

Konfigurasi ekspres tidak memerlukan akun penyimpanan, jadi Anda tidak perlu membayar biaya penyimpanan tambahan kecuali Anda memilih untuk menyimpan data pemindaian dan garis besar lama.

Setiap aturan individu tidak dapat menghasilkan hasil yang lebih dari 1 MB. Ketika hasil untuk aturan mencapai batas itu, mereka berhenti. Anda tidak dapat mengatur garis besar untuk aturan, aturan tidak disertakan dalam kesehatan rekomendasi keseluruhan, dan hasilnya muncul sebagai Tidak berlaku.

Dibutuhkan sekitar 30 menit untuk memperbarui status perlindungan melalui Ekstensi Agen IaaS SQL, dengan asumsi bahwa semua prasyarat terpenuhi.

1. Di portal Azure, temukan database di bilah pencarian atas.
2. Di bawah Keamanan, pilih Microsoft Defender untuk Cloud.
3. Periksa Status Perlindungan. Jika status dilindungi, penyebaran berhasil.

Identitas terkelola adalah bagian dari kebijakan Azure, yang mendorong keluar Agen Azure Monitor. Agen Azure Monitor menggunakan identitas terkelola untuk mengakses database sehingga dapat mengumpulkan data dan mengirimkannya melalui ruang kerja Analitik Log ke Defender untuk Cloud. Untuk informasi selengkapnya tentang penggunaan identitas terkelola, lihat Sampel templat Resource Manager untuk agen di Azure Monitor.

Ya. Kami memungkinkan Anda membawa identitas atau aturan pengumpulan data (DCR) Anda sendiri dengan hanya menggunakan skrip yang dijelaskan dalam Mengaktifkan Pertahanan Microsoft untuk SQL Server pada Komputer dalam skala besar.

Secara default, kami membuat grup sumber daya, ruang kerja, dan DCR per wilayah yang memiliki komputer SQL. Jika Anda memilih opsi ruang kerja kustom, hanya satu grup sumber daya atau DCR yang dibuat di lokasi yang sama dengan ruang kerja.

Untuk proses cara mengaktifkan provisi otomatis di beberapa langganan secara bersamaan, lihat Mengaktifkan Pertahanan Microsoft untuk SQL Server pada Komputer dalam skala besar. Ini berlaku untuk server SQL yang dihosting di komputer virtual Azure, server SQL yang dihosting di lingkungan lokal, dan server SQL dengan dukungan Azure Arc.

Defender untuk SQL Server di Komputer (untuk komputer virtual SQL dan server SQL dengan dukungan Azure Arc) menggunakan ruang kerja Analitik Log untuk mentransfer data dari database ke portal Defender untuk Cloud. Tidak ada data yang disimpan secara lokal di ruang kerja Analitik Log. Tabel di ruang kerja Analitik Log bernama SQLAtpStatus dan SqlVulnerabilityAssessmentScanStatus akan dihentikan saat Microsoft Monitor Agent tidak digunakan lagi. Anda dapat melihat status perlindungan ancaman dan penilaian kerentanan di portal Defender untuk Cloud.

Defender untuk SQL Server di Komputer menggunakan Extended Events, dimulai dengan SQL Server 2017. Pada versi SQL Server sebelumnya, Defender untuk SQL Server di Komputer mengumpulkan log dengan menggunakan log audit SQL Server.

Parameter enableCollectionOfSqlQueriesForSecurityResearch tidak digunakan hari ini. Nilai defaultnya adalah false. Kecuali Anda secara proaktif mengubah nilai, nilai tersebut tetap false. Parameter ini tidak berpengaruh.

Konten terkait

Melindungi database Anda dengan Defender untuk Database