컴퓨터에서 Microsoft Defender for SQL 서버 사용

이 Microsoft Defender는 SQL Server의 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 감지하도록 계획합니다.

의심스러운 데이터베이스 활동, 잠재적 취약성 또는 SQL 삽입 공격, 비정상 데이터베이스 액세스 및 쿼리 패턴이 있으면 경고가 표시됩니다.

머신의 Microsoft Defender for SQL 서버는 하이브리드 환경을 완전히 지원하고 Azure, 다중 클라우드 환경 및 온-프레미스 머신에서 호스팅되는 SQL 서버를 보호하도록 Azure 네이티브 SQL 서버에 대한 보호를 확장합니다.

이 플랜에는 잠재적인 데이터베이스 취약성을 식별하고 완화하며, 데이터베이스에 대한 위협을 나타낼 수 있는 비정상 활동을 탐지하는 기능이 포함됩니다.

취약성 평가 서비스는 잠재적인 데이터베이스 취약성을 검색하고, 추적하고, 수정하는 데 도움이 됩니다. 평가 검사는 SQL 머신의 보안 상태에 대한 개요와 보안 결과에 대한 세부 정보를 제공합니다.

컴퓨터의 Azure SQL 서버 취약성 평가에 대해 자세히 알아봅니다.

가용성

양상 세부 정보
릴리스 상태: GA(일반 공급)
가격 책정: 머신의 Microsoft Defender for SQL 서버가격 책정 페이지에 표시된 대로 요금이 청구됩니다.
보호되는 SQL 버전: SQL Server 버전: 2012, 2014, 2016, 2017, 2019, 2022
- Azure Virtual Machines의 SQL
- Azure Arc 지원 서버의 SQL Server
- Azure Arc를 사용하지 않는 Windows 머신의 온-프레미스 SQL Server
클라우드: 상용 클라우드
Azure Government
Azure 중국 21Vianet

머신의 Microsoft Defender for SQL 서버 설정

이 플랜을 사용하려면 다음의 단계를 따릅니다.

1단계. 에이전트 확장 설치

2단계. SQL server의 호스트에 Log Analytics 에이전트를 프로비전합니다.

3단계. 클라우드용 Defender의 환경 설정 페이지에서 선택적 계획을 사용하도록 설정합니다.

1단계. 에이전트 확장 설치

2단계. SQL server의 호스트에 Log Analytics 에이전트를 프로비전합니다.

  • Azure VM에서 SQL Server - SQL 머신이 Azure VM에서 호스트되는 경우 Log Analytics 에이전트 구성을 사용자 지정할 수 있습니다.

  • Azure Arc 지원 서버의 SQL Server - SQL Server가 Azure Arc 지원 서버를 통해 관리되는 경우 클라우드용 Defender 권장 사항을 사용하여 Log Analytics 에이전트를 배포할 수 있습니다. “Log Analytics 에이전트는 Windows 기반 Azure Arc 컴퓨터(미리 보기)에 설치되어야 합니다”.

  • SQL Server 온-프레미스 - SQL Server가 Azure Arc 없이 온-프레미스 Windows 컴퓨터에서 호스트되는 경우 다음 중 하나를 통해 컴퓨터를 Azure에 연결할 수 있습니다.

    • Azure Arc 배포 - 모든 Windows 컴퓨터를 클라우드용 Defender에 연결할 수 있습니다. 그러나 Azure Arc는 모든 Azure 환경에서 심층 통합을 제공 합니다. Azure Arc를 설정하는 경우 포털에서 SQL Server – Azure arc 페이지가 표시되고 해당 페이지의 전용 보안 탭에 보안 경고가 표시됩니다. 따라서 첫 번째 권장 옵션은 호스트에서 Azure Arc를 설정하고 위의 Azure Arc의 SQL Server지침을 따르는 것입니다.

    • Azure Arc 없이 Windows 컴퓨터 연결 - Azure Arc를 사용하지 않고 Windows 컴퓨터에서 실행되는 SQL Server를 연결하도록 선택하는 경우 Windows 컴퓨터를 Azure Monitor에 연결을 참조하세요.

3단계: 클라우드용 Defender의 환경 설정 페이지에서 선택적 계획을 사용하도록 설정합니다.

  1. 클라우드용 Defender 메뉴에서 환경 설정 페이지를 엽니다.

    • 클라우드용 Microsoft Defender의 기본 작업 영역(이름: "defaultworkspace-<구독 ID>-<지역>")을 사용하는 경우 관련 구독을 선택합니다.

    • 기본값이 아닌 작업 영역을 사용하는 경우 관련 작업 영역을 선택합니다(필요한 경우 필터에 작업 영역 이름을 입력).

  2. 머신의 Microsoft Defender for SQL 서버 플랜에 대한 옵션을 켜기로 설정합니다.

    선택적 플랜이 있는 클라우드용 Microsoft Defender의 'Defender 플랜' 페이지 스크린샷

    이 플랜은 선택한 작업 영역에 연결된 모든 SQL Server에서 사용하도록 설정됩니다. SQL Server 인스턴스를 처음 다시 시작하면 보호가 완전히 활성화됩니다.

    새 작업 영역 만들기에 대한 내용은 Log Analytics 작업 영역 만들기의 지침을 참조하세요.

  3. 필요에 따라 보안 경고에 대한 전자 메일 알림을 구성합니다.

    클라우드용 Defender 경고가 생성될 때 이메일 알림을 수신하도록 받는 사람 목록을 설정할 수 있습니다. 이메일에는 모든 관련 세부 정보가 포함된 클라우드용 Microsoft Defender의 경고에 대한 직접 링크가 포함되어 있습니다. 자세한 정보는 보안 경고에 대한 전자 메일 알림 설정을 참조하세요.

Microsoft Defender for SQL 경고

경고는 SQL 컴퓨터에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도에 의해 생성됩니다. 이러한 이벤트는 경고 참조 페이지에 표시된 경고를 트리거 할 수 있습니다.

보안 경고 탐색 및 조사

Microsoft Defender for SQL 경고는 다음에서 사용할 수 있습니다.

  • 클라우드용 Defender의 보안 경고 페이지
  • 컴퓨터의 보안 페이지
  • 워크로드 보호 대시보드
  • 경고 이메일의 직접 링크를 통해

경고를 보려면

  1. 클라우드용 Defender의 메뉴에서 보안 경고을 선택하고 경고를 선택합니다.

  2. 경고는 각각 자세한 수정 단계 및 조사 정보와 함께 자체적으로 포함되도록 설계되었습니다. 보다 광범위한 보기를 위해 다른 클라우드용 Microsoft Defender 및 Microsoft Sentinel 기능을 사용하여 추가로 조사할 수 있습니다.

    • 추가 조사를 위해 SQL Server의 감사 기능을 사용하도록 설정합니다. Microsoft Sentinel 사용자인 경우 Windows 보안 로그 이벤트에서 Sentinel로 SQL 감사 로그를 업로드하고 풍부한 조사 환경을 즐길 수 있습니다. SQL Server 감사에 대해 자세히 알아보세요.

    • 보안 태세를 향상하려면 각 경고에 표시된 호스트 컴퓨터에 대한 클라우드용 Defender의 권장 사항을 사용하여 향후 공격의 위험을 줄입니다.

    경고 관리 및 대응에 대해 자세히 알아보세요.

FAQ - 머신의 Microsoft Defender for SQL 서버

구독에서 이 Microsoft Defender 플랜을 사용하도록 설정하는 경우 구독에 대한 모든 SQL 서버가 보호되나요?

아니요. Azure 가상 머신 또는 Azure Arc 지원 머신에서 실행되는 SQL Server에서 SQL Server 배포를 보호하려면 클라우드용 Defender에 다음이 필요합니다.

  • 컴퓨터의 Log Analytics 에이전트
  • Microsoft Defender for SQL 솔루션을 사용할 수 있는 관련 Log Analytics 작업 영역

Azure Portal의 SQL Server 페이지에 표시되는 구독 상태는 기본 작업 영역 상태를 반영하여 연결된 모든 컴퓨터에 적용됩니다. 해당 작업 영역에 대한 Log Analytics 에이전트가 보고하는 호스트의 SQL 서버만 클라우드용 Defender에 의해 보호 됩니다.

컴퓨터에 Microsoft Defender for Azure SQL을 배포하면 성능에 영향을 주나요?

머신에 있는 Microsoft Defender for SQL은 분명히 보안에 중점을 둡니다. 그러나 비즈니스에도 관심이 있으므로 SQL 서버에 미치는 영향을 최소화하기 위해 성능에 대한 우선 순위가 지정되었습니다.

이 서비스에는 데이터 업로드 및 속도와 성능 간의 균형을 유지할 수 있는 분할 아키텍처가 있습니다.

  • SQLAdvancedThreatProtectionTraffic이라는 확장 이벤트 추적을 포함한 일부 탐지기는 실시간 속도 이점을 위해 머신에서 실행됩니다.
  • 다른 탐지기는 클라우드에서 실행되어 과도한 계산 부하로부터 머신을 절약합니다.

솔루션에 대한 랩을 벤치마크 부하와 비교하여 테스트한 결과에서 최고 조각의 CPU 사용량이 평균 3%인 것으로 보여 주었습니다. 현재 사용자 데이터 분석에서 CPU 및 메모리 사용량에 미치는 영향은 무시할 수 있는 수준입니다.

물론 성능은 항상 환경, 컴퓨터 및 부하에 따라 달라집니다. 위의 설명과 숫자는 개별 배포를 보장하는 것이 아니라 일반적인 지침으로 제공되는 것입니다.

다음 단계

관련 정보는 다음 리소스를 참조하세요.