Włączanie serwerów usługi Microsoft Defender for SQL na maszynach

Usługa Defender dla serwerów SQL na maszynach chroni serwery SQL hostowane w usłudze Azure Virtual Machines, środowiskach lokalnych i serwerach SQL z obsługą usługi Azure Arc. Usługa Defender dla serwerów SQL na maszynach zapewnia ujednolicone środowisko zarządzania zabezpieczeniami dla serwerów SQL.

Wymagania wstępne

Przed wdrożeniem usługi AMA z Defender dla Chmury upewnij się, że masz następujące wymagania wstępne:

• Upewnij się, że na maszynach wielochmurowych i lokalnych zainstalowano usługę Azure Arc.

  • Maszyny AWS i GCP
    • Dołącz łącznik platformy AWS i automatycznie aprowizuj usługę Azure Arc.
    • Dołącz łącznik GCP i automatycznie aprowizuj usługę Azure Arc.
  • Maszyny lokalne
    • Zainstaluj usługę Azure Arc.

• Upewnij się, że plany usługi Defender, które mają być obsługiwane przez agenta usługi Azure Monitor, są włączone:

  • Włączanie usługi Defender dla serwerów SQL na maszynach
  • Włączanie planów usługi Defender dla subskrypcji maszyn wirtualnych platformy AWS
  • Włączanie planów usługi Defender dla maszyn wirtualnych GCP

• W przypadku serwerów SQL z wieloma chmurami:

  • Łączenie kont usługi AWS z usługą Microsoft Defender dla Chmury

  • Łączenie projektu GCP z usługą Microsoft Defender dla Chmury

    Uwaga

    Należy włączyć ochronę bazy danych dla serwerów SQL z wieloma chmurami za pośrednictwem łącznika platformy AWS lub łącznika GCP.

Włączanie usługi Defender for SQL na maszynach spoza platformy Azure przy użyciu agenta AMA

Wymagania wstępne dotyczące włączania usługi Defender for SQL na maszynach spoza platformy Azure

• Aktywna subskrypcja platformy Azure.

• Uprawnienia właściciela subskrypcji w subskrypcji, w której chcesz przypisać zasady.

• Program SQL Server w wymaganiach wstępnych dotyczących maszyn:

  • Uprawnienia: użytkownik systemu Windows obsługujący serwer SQL musi mieć rolę Sysadmin w bazie danych.
  • Rozszerzenia: do listy dozwolonych należy dodać następujące rozszerzenia:
    • Defender for SQL (IaaS i Arc):
      • Wydawca: Microsoft.Azure.AzureDefenderForSQL
      • Typ: AdvancedThreatProtection.Windows
    • Rozszerzenie IaaS sql (IaaS):
      • Wydawca: Microsoft.SqlServer.Management
      • Typ: SqlIaaSAgent
    • Rozszerzenie IaaS SQL (Arc):
      • Wydawca: Microsoft.AzureData
      • Typ: WindowsAgent.SqlServer
    • Rozszerzenie AMA (IaaS i Arc):
      • Wydawca: Microsoft.Azure.Monitor
      • Typ: AzureMonitorWindowsAgent

Konwencje nazewnictwa na liście dozwolonych zasad odmowy

• Usługa Defender for SQL używa następującej konwencji nazewnictwa podczas tworzenia zasobów:

  • Reguła zbierania danych: MicrosoftDefenderForSQL--dcr
  • DCRA: /Microsoft.Insights/MicrosoftDefenderForSQL-RulesAssociation
  • Grupa zasobów: DefaultResourceGroup-
  • Obszar roboczy usługi Log Analytics: D4SQL--

• Usługa Defender for SQL używa atrybutu MicrosoftDefenderForSQL jako tagu utworzonej bazy danych.

Procedura włączania usługi Defender for SQL na maszynach spoza platformy Azure

1. Połącz serwer SQL z usługą Azure Arc. Aby uzyskać więcej informacji na temat obsługiwanych systemów operacyjnych, konfiguracji łączności i wymaganych uprawnień, zobacz następującą dokumentację:

   • Planowanie i wdrażanie serwerów z włączoną obsługą usługi Azure Arc
   • Wymagania wstępne dotyczące agenta Connected Machine
   • Wymagania dotyczące sieci agenta połączonej maszyny
   • Role specyficzne dla programu SQL Server włączone przez usługę Azure Arc

2. Po zainstalowaniu usługi Azure Arc rozszerzenie platformy Azure dla programu SQL Server jest instalowane automatycznie na serwerze bazy danych. Aby uzyskać więcej informacji, zobacz Zarządzanie automatycznym połączeniem dla programu SQL Server włączonego przez usługę Azure Arc.

Włączanie usługi Defender for SQL

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.

3. W menu Defender dla Chmury wybierz pozycję Ustawienia środowiska.

4. Wybierz odpowiednią subskrypcję.

5. Na stronie Plany usługi Defender znajdź plan Bazy danych i wybierz pozycję Wybierz typy.

   

6. W oknie Wyboru Typy zasobów przełącz serwery SQL na maszynach , które mają być włączone.

7. Wybierz Kontynuuj.

8. Wybierz pozycję Zapisz.

9. Po włączeniu użyj jednej z następujących inicjatyw zasad:

   • Skonfiguruj maszyny wirtualne SQL i serwery SQL z obsługą usługi Arc, aby zainstalować usługę Microsoft Defender dla usług SQL i AMA przy użyciu obszaru roboczego usługi Log Analytics dla domyślnego obszaru roboczego usługi Log Analytics. Spowoduje to utworzenie grup zasobów z regułami zbierania danych i domyślnym obszarem roboczym usługi Log Analytics. Aby uzyskać więcej informacji na temat obszaru roboczego usługi Log Analytics, zobacz Omówienie obszaru roboczego usługi Log Analytics.

   

   • Skonfiguruj maszyny wirtualne SQL i serwery SQL z obsługą usługi Arc, aby zainstalować usługę Microsoft Defender dla usług SQL i AMA przy użyciu zdefiniowanego przez użytkownika obszaru roboczego usługi Log Analytics. Spowoduje to utworzenie grupy zasobów z regułami zbierania danych i niestandardowym obszarem roboczym usługi Log Analytics w wstępnie zdefiniowanym regionie. Podczas tego procesu zainstaluj agenta monitorowania platformy Azure. Aby uzyskać więcej informacji na temat opcji instalacji agenta AMA, zobacz Wymagania wstępne agenta usługi Azure Monitor.

   

10. Aby ukończyć proces instalacji, uruchom ponownie program SQL Server (wystąpienie) dla wersji 2017 i starszych.

Włączanie usługi Defender for SQL na maszynach wirtualnych platformy Azure przy użyciu agenta usługi AMA

Wymagania wstępne dotyczące włączania usługi Defender for SQL na maszynach wirtualnych platformy Azure

• Aktywna subskrypcja platformy Azure.
• Uprawnienia właściciela subskrypcji w subskrypcji, w której chcesz przypisać zasady.
• Program SQL Server w wymaganiach wstępnych dotyczących maszyn:
  • Uprawnienia: użytkownik systemu Windows obsługujący serwer SQL musi mieć rolę Sysadmin w bazie danych.
  • Rozszerzenia: do listy dozwolonych należy dodać następujące rozszerzenia:
    • Defender for SQL (IaaS i Arc):
      • Wydawca: Microsoft.Azure.AzureDefenderForSQL
      • Typ: AdvancedThreatProtection.Windows
    • Rozszerzenie IaaS sql (IaaS):
      • Wydawca: Microsoft.SqlServer.Management
      • Typ: SqlIaaSAgent
    • Rozszerzenie IaaS SQL (Arc):
      • Wydawca: Microsoft.AzureData
      • Typ: WindowsAgent.SqlServer
    • Rozszerzenie AMA (IaaS i Arc):
      • Wydawca: Microsoft.Azure.Monitor
      • Typ: AzureMonitorWindowsAgent
• Ponieważ tworzymy grupę zasobów w regionie Wschodnie stany USA, w ramach procesu włączania automatycznego aprowizowania ten region musi być dozwolony lub usługa Defender for SQL nie może pomyślnie ukończyć procesu instalacji.

Procedura włączania usługi Defender for SQL na maszynach wirtualnych platformy Azure

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.

3. W menu Defender dla Chmury wybierz pozycję Ustawienia środowiska.

4. Wybierz odpowiednią subskrypcję.

5. Na stronie Plany usługi Defender znajdź plan Bazy danych i wybierz pozycję Wybierz typy.

   

6. W oknie Wyboru Typy zasobów przełącz serwery SQL na maszynach , które mają być włączone.

7. Wybierz Kontynuuj.

8. Wybierz pozycję Zapisz.

9. Po włączeniu użyj jednej z następujących inicjatyw zasad:

   • Skonfiguruj maszyny wirtualne SQL i serwery SQL z obsługą usługi Arc, aby zainstalować usługę Microsoft Defender dla usług SQL i AMA przy użyciu obszaru roboczego usługi Log Analytics dla domyślnego obszaru roboczego usługi Log Analytics. Spowoduje to utworzenie grupy zasobów w regionie Wschodnie stany USA i tożsamość zarządzana. Aby uzyskać więcej informacji na temat korzystania z tożsamości zarządzanej, zobacz Resource Manager template samples for agents in Azure Monitor (Przykłady szablonów usługi Resource Manager dla agentów w usłudze Azure Monitor). Tworzy również grupę zasobów zawierającą reguły zbierania danych i domyślny obszar roboczy usługi Log Analytics. Wszystkie zasoby są konsolidowane w ramach tej pojedynczej grupy zasobów. Reguła zbierania danych i obszar roboczy usługi Log Analytics są tworzone w celu dopasowania do regionu maszyny wirtualnej.

   

   • Skonfiguruj maszyny wirtualne SQL i serwery SQL z obsługą usługi Arc, aby zainstalować usługę Microsoft Defender dla usług SQL i AMA przy użyciu zdefiniowanego przez użytkownika obszaru roboczego usługi Log Analytics. Spowoduje to utworzenie grupy zasobów w regionie Wschodnie stany USA i tożsamość zarządzana. Aby uzyskać więcej informacji na temat korzystania z tożsamości zarządzanej, zobacz Resource Manager template samples for agents in Azure Monitor (Przykłady szablonów usługi Resource Manager dla agentów w usłudze Azure Monitor). Tworzy również grupę zasobów z kontrolerem domeny i niestandardowym obszarem roboczym usługi Log Analytics w wstępnie zdefiniowanym regionie.

   

10. Aby ukończyć proces instalacji, uruchom ponownie program SQL Server (wystąpienie) dla wersji 2017 i starszych.

Powiązana zawartość

Aby uzyskać powiązane informacje, zobacz następujące zasoby:

• Jak usługa Microsoft Defender dla usługi Azure SQL może chronić serwery SQL w dowolnym miejscu.
• Alerty zabezpieczeń dla usług SQL Database i Azure Synapse Analytics
• Zapoznaj się z typowymi pytaniami dotyczącymi usługi Defender for Databases.