Microsoft Defender for Databases に関する一般的な質問

Microsoft Defender for Databases に関する一般的な質問が掲載されています。

サブスクリプションでこの Microsoft Defender プランを有効にした場合、サブスクリプションのすべての SQL サーバーは保護されますか?

いいえ。 Azure 仮想マシンまたは Azure Arc 対応マシンで実行中の SQL Server を保護するには、Defender for Cloud で次のものが必要になります。

• マシン上の Log Analytics エージェント。
• 関連する Log Analytics ワークスペースで Microsoft Defender for SQL Servers on Machines が有効になっていること。

Azure portal の SQL Server ページに表示されるサブスクリプションの状態は、既定のワークスペースの状態を反映し、接続されているすべてのマシンに適用されます。 Defender for Cloud は、そのワークスペースにレポートする Log Analytics エージェントがあるホスト上の SQL Server のみを保護します。

Microsoft Defender for SQL Servers on Machines をデプロイするとパフォーマンスに影響が出ますか?

Microsoft Defender for SQL Servers on Machines はセキュリティに重点を置いていますが、アーキテクチャは、データのアップロードと速度をパフォーマンスとバランスを取るために分割されています。

• 一部の検出機能 (SQLAdvancedThreatProtectionTraffic という名前の拡張イベント トレースなど) は、リアルタイムの速度に関する利点があるためにマシン上で実行されます。
• クラウドでその他の検出機能を実行することで、重い計算負荷からマシンが解放されます。

ソリューションを研究室でテストして、ベンチマークの負荷に対して比較したところ、ピーク スライスに対して CPU の使用率平均が 3% でした。 現行ユーザー データを分析すると、CPU とメモリの使用率に対する影響は無視できるものです。

パフォーマンスは環境、マシン、負荷によって常に変化します。 これらの記述は一般的なガイドラインとして提供されるものであり、個々のデプロイに対する保証ではありません。

Defender for SQL Servers on Machines の Log Analytics ワークスペースを変更したら、スキャン結果とベースラインの設定がすべて失われました。 何が起きましたか?

スキャン結果とベースラインは Log Analytics ワークスペースには保存されず、それにリンクされます。 ワークスペースを変更すると、スキャン結果とベースライン設定がリセットされます。 ただし、90 日以内に元のワークスペースに戻すと、スキャン結果とベースライン設定は復元されます。 詳細については、こちらを参照してください。

高速構成に切り替えた後、古いスキャン結果とベースラインはどうなりますか?

古い結果とベースラインの設定はストレージ アカウントで引き続き使用できますが、システムによって更新または使用されることはありません。 高速構成に切り替えた後に SQL 脆弱性評価が機能するようにこれらのファイルを維持する必要はありませんが、将来の参照のために古いベースライン定義を保持できます。

高速構成を有効にすると、内部 Microsoft ストレージに格納されるため、結果とベースライン データに直接アクセスすることはできません。

クラシック構成を使用して適切に設定したにもかかわらず、Azure SQL Server が "SQL Server に脆弱性評価を構成する必要がある" という理由で異常としてマークされているのはなぜですか?

この推奨事項の背景にあるポリシーでは、サーバーのサブ評価が存在するかどうかを確認します。 クラシック構成では、システム データベースは、少なくとも 1 つのユーザー データベースが存在する場合にのみスキャンされます。 ユーザー データベースのないサーバーにはスキャンや報告済みのスキャン結果がないため、ポリシーが異常なままになります。

高速構成に切り替えると、システム データベースのスケジュールされたスキャンと手動スキャンが有効になり、この問題が軽減されます。

高速構成で定期的なスキャンを設定できますか?

高速構成を使用すると、サーバー下のすべてのデータベースの再帰スキャンが自動的に設定されます。 この動作は既定であり、サーバー レベルまたはデータベース レベルでは構成できません。

クラシック構成で提供される週次メール レポートを高速構成で取得する方法はありますか?

Microsoft Defender for Cloud プロセスに従って、ワークフローの自動化と Logic Apps のメール スケジュールを使用できます。

• 時間ベースのトリガー
• スキャン ベースのトリガー
• 無効なルールのサポート

データベース ポリシーを設定できないのはなぜですか?

SQL 脆弱性評価では、環境内のすべての脆弱性と構成の誤りが報告されるため、すべてのデータベースを対象とすると便利です。 Defender for SQL Server on Machines は、データベースごとではなく、サーバーごとに課金されます。

クラシック構成に戻すことはできますか?

はい。 既存の REST API と PowerShell コマンドレットを使用して、クラシック構成に戻すことができます。 クラシック構成に戻すと、高速構成に変更するための通知が Azure portal に表示されます。

他の種類の SQL で高速構成を使用できるようになりますか?

今後の更新にご期待ください!

既定のエクスペリエンスを選択できますか?

いいえ。 高速構成は、サポートされているすべての新しい Azure SQL データベースの既定値になります。

高速構成ではスキャン動作が変更されますか?

いいえ。高速構成では、同じスキャン動作とパフォーマンスが提供されます。

高速構成は価格に影響しますか?

高速構成ではストレージ アカウントは必要ないので、古いスキャンとベースライン データを保持することを選択しない限り、追加のストレージ料金を支払う必要はありません。

ルールあたり 1 MB の上限は何を意味しますか?

個々のルールで、1 MB を超える結果を生成することはできません。 ルールの結果がその制限に達すると、それらは停止します。 ルールのベースラインを設定することはできません。ルールは全体的な推奨事項の正常性に含まれず、結果は "該当なし" と表示されます。

Microsoft Defender for SQL Servers on Machines を有効にした後、その展開の成功が確認できるまで、どのくらいの時間待機する必要がありますか?

すべての前提条件が満たされていることを前提として、SQL IaaS Agent 拡張機能による保護状態の更新には約 30 分かかります。

Defender for SQL Servers on Machines の展開が正常に終了し、データベースが保護されたことを確認するにはどうすればよいですか?

1. Azure portal の上部の検索バーでデータベースを見つけます。
2. [セキュリティ] の下にある [Microsoft Defender for Cloud] を選びます。
3. [保護の状態] を確認します。 状態が [保護済み] であれば、デプロイは成功しています。

Azure SQL 仮想マシンでのインストール プロセス中に作成されるマネージド ID の目的は何ですか?

マネージド ID は、Azure Monitor エージェントをプッシュする Azure Policy の一部です。 Azure Monitor エージェントは、マネージド ID を使用してデータベースにアクセスし、データを収集して Log Analytics ワークスペース経由で Defender for Cloud に送信できるようにします。 マネージド ID の使用の詳細については、「Azure Monitor のエージェント用の Resource Manager テンプレートのサンプル」を参照してください。

Defender for Cloud で作成されたものではなく、独自の DCR またはマネージド ID を使用できますか?

はい。 独自の ID またはデータ収集規則 (DCR) の使用は、「Microsoft Defender for SQL Servers on Machines を大規模に有効にする」で説明するスクリプトのみを使用して可能です。

自動プロビジョニング プロセスでは、リソース グループと Log Analytics ワークスペースがいくつ作成されますか?

既定では、SQL マシンがあるリージョンごとにリソース グループ、ワークスペース、DCR が作成されます。 カスタム ワークスペース オプションを選択すると、そのワークスペースと同じ場所に、リソース グループまたは DCR が 1 つのみ作成されます。

Azure Monitor エージェントを使用してマシン上で大規模に SQL Server を有効にするにはどうすればよいですか?

複数のサブスクリプションにわたり、同時に自動プロビジョニングを有効にするプロセスについては、「Microsoft Defender for SQL Servers on Machines を大規模に有効にする」を参照してください。 これは、Azure Virtual Machines でホストされる SQL Server、オンプレミス環境でホストされる SQL Server、Azure Arc 対応 SQL Server に適用されます。

Azure Monitor エージェントを使用する場合、Log Analytics ワークスペースで使用されるテーブルはどれですか?

Defender for SQL Servers on Machines (SQL 仮想マシンと Azure Arc 対応 SQL Server の両方向け) は、Log Analytics ワークスペースを使用して、データベースから Defender for Cloud ポータルにデータを転送します。 データは、Log Analytics ワークスペースのローカルには保存されません。 SQLAtpStatus と SqlVulnerabilityAssessmentScanStatus という名前の Log Analytics ワークスペース内のテーブルは、Microsoft Monitor エージェントが非推奨になると廃止されます。 脅威の保護状態と脆弱性評価は、Defender for Cloud ポータルで確認できます。

Defender for SQL Server on Machines はどのように SQL Server からログを収集しますか?

Defender for SQL Server on Machines では、SQL Server 2017 以降、拡張イベントが使用されます。 以前のバージョンの SQL Server では、Defender for SQL Servers on Machines は SQL Server 監査ログを使用してログを収集します。

ポリシー イニシアチブに enableCollectionOfSqlQueriesForSecurityResearch という名前のパラメーターがありますが、これは私のデータが分析のために収集されるという意味ですか?

enableCollectionOfSqlQueriesForSecurityResearch パラメーターは現在使用されていません。 既定値は false です。 値を事前に変更しない限り、これは false のままです。 このパラメーターは何も作用しません。

関連するコンテンツ

Defender for Databases を使用してデータベースを保護する

Microsoft Defender for Databases に関する一般的な質問が掲載されています。

いいえ。 Azure 仮想マシンまたは Azure Arc 対応マシンで実行中の SQL Server を保護するには、Defender for Cloud で次のものが必要になります。

• マシン上の Log Analytics エージェント。
• 関連する Log Analytics ワークスペースで Microsoft Defender for SQL Servers on Machines が有効になっていること。

Azure portal の SQL Server ページに表示されるサブスクリプションの状態は、既定のワークスペースの状態を反映し、接続されているすべてのマシンに適用されます。 Defender for Cloud は、そのワークスペースにレポートする Log Analytics エージェントがあるホスト上の SQL Server のみを保護します。

Microsoft Defender for SQL Servers on Machines はセキュリティに重点を置いていますが、アーキテクチャは、データのアップロードと速度をパフォーマンスとバランスを取るために分割されています。

• 一部の検出機能 (SQLAdvancedThreatProtectionTraffic という名前の拡張イベント トレースなど) は、リアルタイムの速度に関する利点があるためにマシン上で実行されます。
• クラウドでその他の検出機能を実行することで、重い計算負荷からマシンが解放されます。

ソリューションを研究室でテストして、ベンチマークの負荷に対して比較したところ、ピーク スライスに対して CPU の使用率平均が 3% でした。 現行ユーザー データを分析すると、CPU とメモリの使用率に対する影響は無視できるものです。

パフォーマンスは環境、マシン、負荷によって常に変化します。 これらの記述は一般的なガイドラインとして提供されるものであり、個々のデプロイに対する保証ではありません。

スキャン結果とベースラインは Log Analytics ワークスペースには保存されず、それにリンクされます。 ワークスペースを変更すると、スキャン結果とベースライン設定がリセットされます。 ただし、90 日以内に元のワークスペースに戻すと、スキャン結果とベースライン設定は復元されます。 詳細については、こちらを参照してください。

古い結果とベースラインの設定はストレージ アカウントで引き続き使用できますが、システムによって更新または使用されることはありません。 高速構成に切り替えた後に SQL 脆弱性評価が機能するようにこれらのファイルを維持する必要はありませんが、将来の参照のために古いベースライン定義を保持できます。

高速構成を有効にすると、内部 Microsoft ストレージに格納されるため、結果とベースライン データに直接アクセスすることはできません。

この推奨事項の背景にあるポリシーでは、サーバーのサブ評価が存在するかどうかを確認します。 クラシック構成では、システム データベースは、少なくとも 1 つのユーザー データベースが存在する場合にのみスキャンされます。 ユーザー データベースのないサーバーにはスキャンや報告済みのスキャン結果がないため、ポリシーが異常なままになります。

高速構成に切り替えると、システム データベースのスケジュールされたスキャンと手動スキャンが有効になり、この問題が軽減されます。

高速構成を使用すると、サーバー下のすべてのデータベースの再帰スキャンが自動的に設定されます。 この動作は既定であり、サーバー レベルまたはデータベース レベルでは構成できません。

Microsoft Defender for Cloud プロセスに従って、ワークフローの自動化と Logic Apps のメール スケジュールを使用できます。

• 時間ベースのトリガー
• スキャン ベースのトリガー
• 無効なルールのサポート

SQL 脆弱性評価では、環境内のすべての脆弱性と構成の誤りが報告されるため、すべてのデータベースを対象とすると便利です。 Defender for SQL Server on Machines は、データベースごとではなく、サーバーごとに課金されます。

はい。 既存の REST API と PowerShell コマンドレットを使用して、クラシック構成に戻すことができます。 クラシック構成に戻すと、高速構成に変更するための通知が Azure portal に表示されます。

今後の更新にご期待ください!

いいえ。 高速構成は、サポートされているすべての新しい Azure SQL データベースの既定値になります。

いいえ。高速構成では、同じスキャン動作とパフォーマンスが提供されます。

高速構成ではストレージ アカウントは必要ないので、古いスキャンとベースライン データを保持することを選択しない限り、追加のストレージ料金を支払う必要はありません。

個々のルールで、1 MB を超える結果を生成することはできません。 ルールの結果がその制限に達すると、それらは停止します。 ルールのベースラインを設定することはできません。ルールは全体的な推奨事項の正常性に含まれず、結果は "該当なし" と表示されます。

すべての前提条件が満たされていることを前提として、SQL IaaS Agent 拡張機能による保護状態の更新には約 30 分かかります。

1. Azure portal の上部の検索バーでデータベースを見つけます。
2. [セキュリティ] の下にある [Microsoft Defender for Cloud] を選びます。
3. [保護の状態] を確認します。 状態が [保護済み] であれば、デプロイは成功しています。

マネージド ID は、Azure Monitor エージェントをプッシュする Azure Policy の一部です。 Azure Monitor エージェントは、マネージド ID を使用してデータベースにアクセスし、データを収集して Log Analytics ワークスペース経由で Defender for Cloud に送信できるようにします。 マネージド ID の使用の詳細については、「Azure Monitor のエージェント用の Resource Manager テンプレートのサンプル」を参照してください。

はい。 独自の ID またはデータ収集規則 (DCR) の使用は、「Microsoft Defender for SQL Servers on Machines を大規模に有効にする」で説明するスクリプトのみを使用して可能です。

既定では、SQL マシンがあるリージョンごとにリソース グループ、ワークスペース、DCR が作成されます。 カスタム ワークスペース オプションを選択すると、そのワークスペースと同じ場所に、リソース グループまたは DCR が 1 つのみ作成されます。

複数のサブスクリプションにわたり、同時に自動プロビジョニングを有効にするプロセスについては、「Microsoft Defender for SQL Servers on Machines を大規模に有効にする」を参照してください。 これは、Azure Virtual Machines でホストされる SQL Server、オンプレミス環境でホストされる SQL Server、Azure Arc 対応 SQL Server に適用されます。

Defender for SQL Servers on Machines (SQL 仮想マシンと Azure Arc 対応 SQL Server の両方向け) は、Log Analytics ワークスペースを使用して、データベースから Defender for Cloud ポータルにデータを転送します。 データは、Log Analytics ワークスペースのローカルには保存されません。 SQLAtpStatus と SqlVulnerabilityAssessmentScanStatus という名前の Log Analytics ワークスペース内のテーブルは、Microsoft Monitor エージェントが非推奨になると廃止されます。 脅威の保護状態と脆弱性評価は、Defender for Cloud ポータルで確認できます。

Defender for SQL Server on Machines では、SQL Server 2017 以降、拡張イベントが使用されます。 以前のバージョンの SQL Server では、Defender for SQL Servers on Machines は SQL Server 監査ログを使用してログを収集します。

enableCollectionOfSqlQueriesForSecurityResearch パラメーターは現在使用されていません。 既定値は false です。 値を事前に変更しない限り、これは false のままです。 このパラメーターは何も作用しません。

関連するコンテンツ

Defender for Databases を使用してデータベースを保護する