Uzyskaj odpowiedzi na często zadawane pytania dotyczące usługi Microsoft Defender for Databases.
Jeśli włączę ten plan usługi Microsoft Defender w mojej subskrypcji, czy wszystkie serwery SQL są chronione w ramach subskrypcji?
L.p. Aby bronić wdrożenia programu SQL Server na maszynie wirtualnej platformy Azure lub programu SQL Server uruchomionego na maszynie z obsługą usługi Azure Arc, Defender dla Chmury wymaga:
- agent usługi Log Analytics na maszynie
- odpowiedni obszar roboczy usługi Log Analytics z włączoną usługą Microsoft Defender for SQL
Stan subskrypcji widoczny na stronie serwera SQL w witrynie Azure Portal odzwierciedla domyślny stan obszaru roboczego i dotyczy wszystkich połączonych maszyn. Tylko serwery SQL na hostach z agentem usługi Log Analytics raportowania do tego obszaru roboczego są chronione przez Defender dla Chmury. Y
Czy istnieje wpływ na wydajność wdrażania usługi Microsoft Defender dla usługi Azure SQL na maszynach?
Celem usługi Microsoft Defender for SQL na maszynach jest oczywiście bezpieczeństwo. Ale zależy nam również na Twojej firmie i dlatego ustaliliśmy priorytet wydajności, aby zapewnić minimalny wpływ na serwery SQL.
Usługa ma podzieloną architekturę, aby równoważyć przekazywanie danych i szybkość z wydajnością:
- Niektóre z naszych detektorów, w tym rozszerzony ślad zdarzeń o nazwie
SQLAdvancedThreatProtectionTraffic, działają na maszynie, aby uzyskać korzyści z szybkości w czasie rzeczywistym. - Inne detektory działają w chmurze, aby oszczędzić maszynę przed dużymi obciążeniami obliczeniowymi.
Testy laboratoryjne naszego rozwiązania wykazały, że użycie procesora CPU wynosi średnio 3% dla wycinków szczytowych, porównując je z obciążeniami porównawczymi. Analiza naszych bieżących danych użytkownika pokazuje niewielki wpływ na użycie procesora CPU i pamięci.
Wydajność zawsze różni się między środowiskami, maszynami i obciążeniami. Instrukcje są dostarczane jako ogólne wytyczne, a nie gwarancja dla każdego indywidualnego wdrożenia.
Zmieniono obszar roboczy usługi Log Analytics dla usługi Defender for SQL on Machines i utracono wszystkie ustawienia wyników skanowania i punktów odniesienia. Co się stało?
Wyniki skanowania i punkty odniesienia nie są przechowywane w obszarze roboczym usługi Log Analytics, ale są z nim połączone. Zmiana obszaru roboczego spowoduje zresetowanie wyników skanowania i ustawień punktu odniesienia. Jeśli jednak powrócisz do oryginalnego obszaru roboczego w ciągu 90 dni, wyniki skanowania i ustawienia punktu odniesienia zostaną przywrócone. Dowiedz się więcej
Co się stanie ze starymi wynikami skanowania i punktami odniesienia po przełączeniu się na konfigurację ekspresową?
Stare wyniki i ustawienia punktów odniesienia pozostają dostępne na koncie magazynu, ale nie zostaną zaktualizowane ani użyte przez system. Nie musisz utrzymywać tych plików do oceny luk w zabezpieczeniach SQL, aby działały po przełączeniu się do konfiguracji ekspresowej, ale możesz zachować stare definicje punktów odniesienia na potrzeby przyszłych odwołań.
Po włączeniu konfiguracji ekspresowej nie masz bezpośredniego dostępu do danych wynikowych i bazowych, ponieważ są one przechowywane w wewnętrznym magazynie firmy Microsoft.
Dlaczego mój program Azure SQL Server jest oznaczony jako "Serwery SQL powinny mieć skonfigurowaną ocenę luk w zabezpieczeniach", mimo że prawidłowo skonfigurowano go przy użyciu konfiguracji klasycznej?
Zasady za tym zaleceniem sprawdzają istnienie podseksmentów dla serwera. W przypadku konfiguracji klasycznej systemowe bazy danych są skanowane tylko wtedy, gdy istnieje co najmniej jedna baza danych użytkownika. W związku z tym serwer bez żadnych baz danych użytkowników nie będzie miał skanowań ani raportowanych wyników skanowania, co powoduje, że zasady pozostaną w złej kondycji. Przełączenie na konfigurację ekspresową spowoduje włączenie zaplanowanych i ręcznych skanów dla systemowych baz danych, co spowoduje ograniczenie tego problemu.
Czy mogę skonfigurować cykliczne skanowania przy użyciu konfiguracji ekspresowej?
Konfiguracja ekspresowa automatycznie konfiguruje cykliczne skanowania dla wszystkich baz danych na serwerze. Jest to ustawienie domyślne i nie można go konfigurować na poziomie serwera ani bazy danych.
Czy istnieje sposób z konfiguracją ekspresową w celu pobrania cotygodniowego raportu e-mail dostępnego w konfiguracji klasycznej?
Automatyzacja przepływu pracy i planowanie wiadomości e-mail w usłudze Logic Apps można wykonywać zgodnie z procesami Microsoft Defender dla Chmury:
- Wyzwalacze oparte na czasie
- Wyzwalacze oparte na skanowaniu
- Obsługa wyłączonych reguł
Dlaczego nie mogę już ustawić zasad bazy danych?
Ocena luk w zabezpieczeniach SQL zgłasza wszystkie luki w zabezpieczeniach i błędy konfiguracji w danym środowisku, dzięki czemu pomaga uwzględnić wszystkie bazy danych. Opłata za usługę Defender for SQL jest naliczana za serwer, a nie na bazę danych.
Czy mogę przywrócić konfigurację klasyczną?
Tak. Możesz wrócić do konfiguracji klasycznej przy użyciu istniejących interfejsów API REST i poleceń cmdlet programu PowerShell. Po powrocie do konfiguracji klasycznej w witrynie Azure Portal zostanie wyświetlone powiadomienie o zmianie konfiguracji ekspresowej.
Czy zobaczymy ekspresową konfigurację dla innych typów sql?
Bądź na bieżąco z aktualizacjami!
Czy mogę wybrać, które środowisko jest domyślne?
L.p. Konfiguracja ekspresowa jest domyślna dla każdej nowej obsługiwanej bazy danych Azure SQL Database.
Czy konfiguracja ekspresowa zmienia zachowanie skanowania?
Nie, konfiguracja ekspresowa zapewnia takie samo zachowanie skanowania i wydajność.
Czy konfiguracja ekspresowa ma jakikolwiek wpływ na ceny?
Konfiguracja ekspresowa nie wymaga konta magazynu, więc nie musisz płacić dodatkowych opłat za magazyn, chyba że zdecydujesz się zachować stare dane skanowania i punktu odniesienia.
Co oznacza limit 1 MB na regułę?
Każda pojedyncza reguła nie może wygenerować wyników przekraczających 1 MB. Po osiągnięciu tego limitu wyniki dla reguły zostaną zatrzymane. Nie można ustawić punktu odniesienia dla reguły, reguła nie jest uwzględniona w ogólnej kondycji rekomendacji, a wyniki są wyświetlane jako "Nie dotyczy".
Jak długo musimy poczekać na pomyślne wdrożenie serwerów Microsoft Defender for SQL na maszynach?
Zaktualizowanie stanu ochrony przez rozszerzenie IaaS sql trwa około 30 minut, przy założeniu, że zostały spełnione wszystkie wymagania wstępne.
Jak mogę sprawdzić, czy moje serwery usługi Defender for SQL na maszynach zakończyły się pomyślnie i czy moja baza danych jest teraz chroniona?
- Znajdź bazę danych na górnym pasku wyszukiwania w witrynie Azure Portal.
- Na karcie Zabezpieczenia wybierz pozycję Defender dla Chmury.
- Sprawdź stan Ochrony. Jeśli stan to Chronione, wdrożenie zakończyło się pomyślnie.
Jaki jest cel tożsamości zarządzanej utworzonej podczas procesu instalacji na maszynach wirtualnych usługi Azure SQL?
Tożsamość zarządzana jest częścią usługi Azure Policy, która wypycha usługę AMA. Usługa AMA używa jej do uzyskiwania dostępu do bazy danych w celu zbierania danych i wysyłania ich za pośrednictwem obszaru roboczego usługi Log Analytics (LAW) do Defender dla Chmury. Aby uzyskać więcej informacji na temat korzystania z tożsamości zarządzanej, zobacz Resource Manager template samples for agents in Azure Monitor (Przykłady szablonów usługi Resource Manager dla agentów w usłudze Azure Monitor).
Czy mogę użyć własnej tożsamości DCR lub tożsamości zarządzanej zamiast Defender dla Chmury utworzenia nowego?
Tak, umożliwiamy korzystanie z własnej tożsamości lub kontrolera domeny tylko przy użyciu następującego skryptu. Aby uzyskać więcej informacji, zobacz Włączanie usługi Microsoft Defender dla serwerów SQL na maszynach na dużą skalę.
Ile grup zasobów i obszarów roboczych usługi Log Analytics jest tworzonych za pośrednictwem procesu automatycznej aprowizacji?
Domyślnie tworzymy grupę zasobów, obszar roboczy i kontroler domeny na region z maszyną SQL. Jeśli wybierzesz opcję niestandardowego obszaru roboczego, tylko jedna grupa zasobów/dcR zostanie utworzona w tej samej lokalizacji co obszar roboczy.
Jak włączyć serwery SQL na maszynach z usługą AMA na dużą skalę?
Zobacz Włączanie usługi Microsoft Defender dla serwerów SQL na maszynach na dużą skalę , aby zapoznać się z procesem włączania automatycznej aprowizacji usługi Microsoft Defender dla usługi SQL w wielu subskrypcjach jednocześnie. Dotyczy to serwerów SQL hostowanych na maszynach wirtualnych platformy Azure, środowiskach lokalnych i serwerach SQL z obsługą usługi Azure Arc.
Które tabele są używane w usłudze LAW z usługą AMA?
Usługa Defender for SQL na maszynach wirtualnych SQL i serwerach SQL z obsługą usługi Arc używa obszaru roboczego usługi Log Analytics (LAW) do transferu danych z bazy danych do portalu Defender dla Chmury. Oznacza to, że żadne dane nie są zapisywane lokalnie w PRAWIE. Tabele w ustawie LAW o nazwie SQLAtpStatus i SqlVulnerabilityAssessmentScanStatus zostaną wycofane po wycofaniu programu MMA. Stan atp i va można wyświetlić w portalu Defender dla Chmury.
W jaki sposób usługa Defender for SQL zbiera dzienniki z serwera SQL?
Usługa Defender for SQL używa programu Xevent, począwszy od programu SQL Server 2017. W poprzednich wersjach programu SQL Server usługa Defender for SQL zbiera dzienniki przy użyciu dzienników inspekcji programu SQL Server.
Widzę parametr o nazwie enableCollectionOfSqlQueriesForSecurityResearch w inicjatywie zasad. Czy oznacza to, że moje dane są zbierane do analizy?
Ten parametr nie jest obecnie używany. Jego wartość domyślna to false, co oznacza, że jeśli nie zmienisz aktywnie wartości, pozostanie ona fałszem. Ten parametr nie ma żadnego wpływu.