Dapatkan jawaban atas pertanyaan umum tentang Pertahanan Microsoft untuk Database.
Jika saya mengaktifkan paket Microsoft Defender ini pada langganan saya, apakah semua server SQL pada langganan dilindungi?
Nomor. Untuk mempertahankan penyebaran SQL Server di mesin virtual Azure, atau SQL Server yang berjalan di mesin yang diaktifkan Azure Arc, Defender untuk Cloud memerlukan:
- agen Analitik Log di mesin
- ruang kerja Log Analytics yang relevan untuk mengaktifkan solusi Microsoft Defender for SQL
Status langganan, yang diperlihatkan di halaman server SQL di portal Azure, mencerminkan status ruang kerja default dan berlaku untuk semua mesin yang tersambung. Hanya server SQL di host dengan agen Analitik Log yang melaporkan ke ruang kerja tersebut yang dilindungi oleh Defender untuk Cloud. Y
Apakah ada dampak performa dari penyebaran Microsoft Defender untuk Azure SQL pada komputer?
Fokus Microsoft Defender untuk SQL pada komputer jelas merupakan keamanan. Namun, kami juga peduli dengan bisnis Anda. Jadi, kami telah memprioritaskan kinerja untuk memastikan dampak yang minimal pada server SQL Anda.
Layanan ini memiliki arsitektur terpisah untuk menyeimbangkan pengunggahan dan kecepatan data dengan performa:
- Beberapa detektor kami, termasuk jejak peristiwa diperpanjang bernama
SQLAdvancedThreatProtectionTraffic, berjalan pada mesin untuk keuntungan kecepatan real time. - Detektor lain berjalan di cloud untuk menghindarkan mesin dari beban komputasi berat.
Uji lab atas solusi kami menunjukkan penggunaan CPU rata-rata 3% saat puncak dibandingkan dengan beban tolok ukur. Analisis data pengguna saat ini menunjukkan dampak yang dapat diabaikan pada penggunaaan CPU dan memori.
Performa selalu bervariasi antara lingkungan, mesin, dan beban. Pernyataan disediakan sebagai pedoman umum, bukan jaminan untuk setiap penyebaran individu.
Saya mengubah ruang kerja Analitik Log untuk Defender untuk SQL di Mesin dan kehilangan semua hasil pemindaian dan pengaturan garis besar saya. Apa yang terjadi?
Hasil pemindaian dan garis besar tidak disimpan di ruang kerja Analitik Log tetapi ditautkan ke ruang kerja tersebut. Mengubah ruang kerja akan mengatur ulang hasil pemindaian dan pengaturan garis besar. Namun, jika Anda kembali ke ruang kerja asli dalam waktu 90 hari, hasil pemindaian dan pengaturan garis besar akan dipulihkan. Baca selengkapnya
Apa yang terjadi pada hasil pemindaian lama dan garis besar setelah saya beralih ke konfigurasi ekspres?
Hasil lama dan pengaturan garis besar tetap tersedia di akun penyimpanan Anda, tetapi tidak akan diperbarui atau digunakan oleh sistem. Anda tidak perlu mempertahankan file-file ini agar penilaian kerentanan SQL berfungsi setelah Beralih ke konfigurasi ekspres, tetapi Anda dapat menyimpan definisi garis besar lama untuk referensi di masa mendatang.
Saat konfigurasi ekspres diaktifkan, Anda tidak memiliki akses langsung ke hasil dan data dasar karena disimpan di penyimpanan Internal Microsoft.
Mengapa Azure SQL Server saya ditandai sebagai tidak sehat untuk "Server SQL harus memiliki penilaian kerentanan yang dikonfigurasi", meskipun saya telah menyiapkannya dengan benar menggunakan konfigurasi klasik?
Kebijakan di balik rekomendasi ini memeriksa keberadaan subassessment untuk server. Dengan konfigurasi klasik, database sistem hanya dipindai jika setidaknya ada satu database pengguna. Oleh karena itu, server tanpa database pengguna tidak akan memiliki pemindaian atau hasil pemindaian yang dilaporkan, menyebabkan kebijakan tetap tidak sehat. Beralih ke konfigurasi ekspres akan mengaktifkan pemindaian terjadwal dan manual untuk database sistem, sehingga mengurangi masalah ini.
Dapatkah saya menyiapkan pemindaian berulang dengan konfigurasi ekspres?
Konfigurasi ekspres secara otomatis menyiapkan pemindaian berulang untuk semua database di bawah server Anda. Ini adalah default dan tidak dapat dikonfigurasi di tingkat server atau database.
Apakah ada cara dengan konfigurasi ekspres untuk mendapatkan laporan email mingguan yang disediakan dalam konfigurasi klasik?
Anda dapat menggunakan otomatisasi alur kerja dan penjadwalan email Logic Apps, mengikuti proses Microsoft Defender untuk Cloud:
- Pemicu berbasis waktu
- Pemicu berbasis pemindaian
- Dukungan untuk aturan yang dinonaktifkan
Mengapa saya tidak bisa mengatur kebijakan database lagi?
Penilaian kerentanan SQL melaporkan semua kerentanan dan kesalahan konfigurasi di lingkungan Anda, sehingga membantu menyertakan semua database. Defender untuk SQL ditagih per server, bukan per database.
Dapatkah saya kembali ke konfigurasi klasik?
Ya. Anda dapat kembali ke konfigurasi klasik menggunakan REST API dan cmdlet PowerShell yang ada. Saat kembali ke konfigurasi klasik, Anda akan melihat pemberitahuan di portal Azure untuk mengubah ke konfigurasi ekspres.
Apakah kita akan melihat konfigurasi ekspres untuk jenis SQL lainnya?
Nantikan pembaruannya!
Dapatkah saya memilih pengalaman mana yang merupakan default?
Tidak. Konfigurasi ekspres adalah default untuk setiap database Azure SQL baru yang didukung.
Apakah konfigurasi ekspres mengubah perilaku pemindaian?
Tidak, konfigurasi ekspres menyediakan perilaku dan performa pemindaian yang sama.
Apakah konfigurasi ekspres berpengaruh pada harga?
Konfigurasi ekspres tidak memerlukan akun penyimpanan, jadi Anda tidak perlu membayar biaya penyimpanan tambahan kecuali Anda memilih untuk menyimpan data pemindaian dan garis besar lama.
Apa arti batas 1-MB per aturan?
Setiap aturan individu tidak dapat menghasilkan hasil yang lebih dari 1 MB. Ketika batas tersebut tercapai, hasil untuk aturan dihentikan. Anda tidak dapat mengatur garis besar untuk aturan, aturan tidak disertakan dalam kesehatan rekomendasi keseluruhan, dan hasilnya ditampilkan sebagai "Tidak berlaku".
Setelah penyebaran Pertahanan Microsoft untuk SQL pada komputer selesai, berapa lama kita perlu menunggu untuk melihat penyebaran yang berhasil?
Dibutuhkan sekitar 30 menit untuk memperbarui status perlindungan oleh Ekstensi IaaS SQL, dengan asumsi semua prasyarat terpenuhi.
Bagaimana cara memverifikasi bahwa server Defender untuk SQL saya pada penyebaran komputer berhasil berakhir dan database saya sekarang dilindungi?
- Temukan database di bilah pencarian atas di portal Azure.
- Di bawah tab Keamanan, pilih Defender untuk Cloud.
- Periksa status Perlindungan. Jika status dilindungi, penyebaran berhasil.
Apa tujuan identitas terkelola yang dibuat selama proses penginstalan pada VM Azure SQL?
Identitas terkelola adalah bagian dari Azure Policy, yang mendorong keluar AMA. Ini digunakan oleh AMA untuk mengakses database untuk mengumpulkan data dan mengirimkannya melalui Ruang Kerja Analitik Log (LAW) ke Defender untuk Cloud. Untuk informasi selengkapnya tentang penggunaan identitas terkelola, lihat Sampel templat Resource Manager untuk agen di Azure Monitor.
Dapatkah saya menggunakan DCR atau identitas terkelola saya sendiri alih-alih Defender untuk Cloud membuat yang baru?
Ya, kami mengizinkan Anda membawa identitas atau DCR Anda sendiri hanya menggunakan skrip berikut. Untuk informasi selengkapnya, lihat Mengaktifkan Microsoft Defender untuk server SQL pada komputer dalam skala besar.
Berapa banyak grup sumber daya dan ruang kerja analitik log yang dibuat melalui proses provisi otomatis?
Secara default, kami membuat grup sumber daya, ruang kerja, dan DCR per wilayah yang memiliki komputer SQL. Jika Anda memilih opsi ruang kerja kustom, hanya satu grup sumber daya/DCR yang dibuat di lokasi yang sama dengan ruang kerja.
Bagaimana cara mengaktifkan server SQL pada komputer dengan AMA dalam skala besar?
Lihat Mengaktifkan Microsoft Defender untuk server SQL pada komputer dalam skala besar untuk proses cara mengaktifkan provisi otomatis Pertahanan Microsoft untuk SQL di beberapa langganan secara bersamaan. Ini berlaku untuk server SQL yang dihosting di Azure Virtual Machines, lingkungan lokal, dan server SQL dengan dukungan Azure Arc.
Tabel mana yang digunakan dalam LAW dengan AMA?
Defender untuk SQL pada komputer virtual SQL dan server SQL dengan dukungan Arc menggunakan Ruang Kerja Analitik Log (LAW) untuk mentransfer data dari database ke portal Defender untuk Cloud. Ini berarti bahwa tidak ada data yang disimpan secara lokal di UNDANG-UNDANG. Tabel dalam HUKUM bernama SQLAtpStatus dan SqlVulnerabilityAssessmentScanStatus akan dihentikan ketika MMA tidak digunakan lagi. Status ATP dan VA dapat dilihat di portal Defender untuk Cloud.
Bagaimana Defender untuk SQL mengumpulkan log dari server SQL?
Defender untuk SQL menggunakan Xevent, dimulai dengan SQL Server 2017. Pada versi SQL Server sebelumnya, Defender untuk SQL mengumpulkan log menggunakan log audit server SQL.
Saya melihat parameter bernama enableCollectionOfSqlQueriesForSecurityResearch dalam inisiatif kebijakan. Apakah ini berarti bahwa data saya dikumpulkan untuk analisis?
Parameter ini tidak digunakan hari ini. Nilai defaultnya adalah false, yang berarti bahwa kecuali Anda secara proaktif mengubah nilai, nilai tersebut tetap false. Tidak ada efek dari parameter ini.