Udostępnij za pośrednictwem

Włączanie serwerów usługi Microsoft Defender for SQL na maszynach

  • Artykuł

Usługa Defender for SQL chroni serwery SQL IaaS, identyfikując i zmniejszając potencjalne luki w zabezpieczeniach bazy danych oraz wykrywając nietypowe działania, które mogą wskazywać zagrożenia dla baz danych.

Defender dla Chmury wypełnia się alertami, gdy wykrywa podejrzane działania bazy danych, potencjalnie szkodliwe próby uzyskania dostępu do maszyn SQL lub wykorzystania ich, ataków polegających na wstrzyknięciu kodu SQL, nietypowym dostępie do bazy danych i wzorcach zapytań. Alerty utworzone przez te typy zdarzeń są wyświetlane na stronie referencyjnej alertów.

Defender dla Chmury używa oceny luk w zabezpieczeniach do odnajdywania, śledzenia i pomagania w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. Skany ocen zawierają omówienie stanu zabezpieczeń maszyn SQL i podaj szczegóły wszelkich ustaleń dotyczących zabezpieczeń.

Dowiedz się więcej o ocenie luk w zabezpieczeniach dla serwerów Azure SQL na maszynach.

Usługa Defender dla serwerów SQL na maszynach chroni serwery SQL hostowane na platformie Azure, w wielu chmurach, a nawet na maszynach lokalnych.

Dostępność

Aspekt Szczegóły
Stan wydania: Ogólna dostępność
Cennik: Usługa Microsoft Defender dla serwerów SQL na maszynach jest rozliczana, jak pokazano na stronie cennika
Chronione wersje SQL: Wersja programu SQL Server: 2012, 2014, 2016, 2017, 2019, 2022
- Sql na maszynach wirtualnych platformy Azure
- Program SQL Server na serwerach z obsługą usługi Azure Arc
Chmury: Chmury komercyjne
Azure Government
Platforma Microsoft Azure obsługiwana przez firmę 21Vianet

Włączanie usługi Defender for SQL na maszynach spoza platformy Azure przy użyciu agenta AMA

Wymagania wstępne dotyczące włączania usługi Defender for SQL na maszynach spoza platformy Azure

  • Aktywna subskrypcja platformy Azure.

  • Uprawnienia właściciela subskrypcji w subskrypcji, w której chcesz przypisać zasady.

  • Program SQL Server w wymaganiach wstępnych dotyczących maszyn:

    • Uprawnienia: użytkownik systemu Windows obsługujący serwer SQL musi mieć rolę Sysadmin w bazie danych.
    • Rozszerzenia: do listy dozwolonych należy dodać następujące rozszerzenia:
      • Defender for SQL (IaaS i Arc):
        • Wydawca: Microsoft.Azure.AzureDefenderForSQL
        • Typ: AdvancedThreatProtection.Windows
      • Rozszerzenie IaaS sql (IaaS):
        • Wydawca: Microsoft.SqlServer.Management
        • Typ: SqlIaaSAgent
      • Rozszerzenie IaaS SQL (Arc):
        • Wydawca: Microsoft.AzureData
        • Typ: WindowsAgent.SqlServer
      • Rozszerzenie AMA (IaaS i Arc):
        • Wydawca: Microsoft.Azure.Monitor
        • Typ: AzureMonitorWindowsAgent

Konwencje nazewnictwa na liście dozwolonych zasad odmowy

  • Usługa Defender for SQL używa następującej konwencji nazewnictwa podczas tworzenia zasobów:

    • DCR: MicrosoftDefenderForSQL--dcr
    • DCRA: /Microsoft.Insights/MicrosoftDefenderForSQL-RulesAssociation
    • Grupa zasobów: DefaultResourceGroup-
    • Obszar roboczy usługi Log Analytics: D4SQL--

  • Usługa Defender for SQL używa atrybutu MicrosoftDefenderForSQL jako tagu utworzonej bazy danych.

Procedura włączania usługi Defender for SQL na maszynach spoza platformy Azure

  1. Połącz serwer SQL z usługą Azure Arc. Aby uzyskać więcej informacji na temat obsługiwanych systemów operacyjnych, konfiguracji łączności i wymaganych uprawnień, zobacz następującą dokumentację:

  2. Po zainstalowaniu usługi Azure Arc rozszerzenie platformy Azure dla programu SQL Server jest instalowane automatycznie na serwerze bazy danych. Aby uzyskać więcej informacji, zobacz Zarządzanie automatycznym połączeniem dla programu SQL Server włączonego przez usługę Azure Arc.

Włączanie usługi Defender for SQL

  1. Zaloguj się w witrynie Azure Portal.

  2. Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.

  3. W menu Defender dla Chmury wybierz pozycję Ustawienia środowiska.

  4. Wybierz odpowiednią subskrypcję.

  5. Na stronie Plany usługi Defender znajdź plan Bazy danych i wybierz pozycję Wybierz typy.

    Zrzut ekranu pokazujący, gdzie wybrać, wybierz typy na stronie Plany usługi Defender.

  6. W oknie Wyboru Typy zasobów przełącz serwery SQL na maszynach , które mają być włączone.

  7. Wybierz Kontynuuj.

  8. Wybierz pozycję Zapisz.

  9. Po włączeniu użyjemy jednej z następujących inicjatyw zasad:

    • Skonfiguruj maszyny wirtualne SQL i serwery SQL z obsługą usługi Arc, aby zainstalować usługę Microsoft Defender dla usług SQL i AMA przy użyciu obszaru roboczego usługi Log Analytics (LAW) dla domyślnego prawa. Spowoduje to utworzenie grup zasobów z regułami zbierania danych i domyślnym obszarem roboczym usługi Log Analytics. Aby uzyskać więcej informacji na temat obszaru roboczego usługi Log Analytics, zobacz Omówienie obszaru roboczego usługi Log Analytics.

    Zrzut ekranu przedstawiający sposób konfigurowania domyślnego obszaru roboczego usługi Log Analytics.

    • Skonfiguruj maszyny wirtualne SQL i serwery SQL z obsługą usługi Arc, aby zainstalować usługę Microsoft Defender dla usług SQL i AMA przy użyciu zdefiniowanego przez użytkownika prawa. Spowoduje to utworzenie grupy zasobów z regułami zbierania danych i niestandardowym obszarem roboczym usługi Log Analytics w wstępnie zdefiniowanym regionie. Podczas tego procesu instalujemy agenta monitorowania platformy Azure. Aby uzyskać więcej informacji na temat opcji instalacji agenta AMA, zobacz Wymagania wstępne agenta usługi Azure Monitor.

    Zrzut ekranu przedstawiający sposób konfigurowania obszaru roboczego analizy dzienników zdefiniowanej przez użytkownika.

  10. Aby ukończyć proces instalacji, konieczne jest ponowne uruchomienie programu SQL Server (wystąpienie) w wersjach 2017 i starszych.

Włączanie usługi Defender for SQL na maszynach wirtualnych platformy Azure przy użyciu agenta usługi AMA

Wymagania wstępne dotyczące włączania usługi Defender for SQL na maszynach wirtualnych platformy Azure

  • Aktywna subskrypcja platformy Azure.
  • Uprawnienia właściciela subskrypcji w subskrypcji, w której chcesz przypisać zasady.
  • Program SQL Server w wymaganiach wstępnych dotyczących maszyn:
    • Uprawnienia: użytkownik systemu Windows obsługujący serwer SQL musi mieć rolę Sysadmin w bazie danych.
    • Rozszerzenia: do listy dozwolonych należy dodać następujące rozszerzenia:
      • Defender for SQL (IaaS i Arc):
        • Wydawca: Microsoft.Azure.AzureDefenderForSQL
        • Typ: AdvancedThreatProtection.Windows
      • Rozszerzenie IaaS sql (IaaS):
        • Wydawca: Microsoft.SqlServer.Management
        • Typ: SqlIaaSAgent
      • Rozszerzenie IaaS SQL (Arc):
        • Wydawca: Microsoft.AzureData
        • Typ: WindowsAgent.SqlServer
      • Rozszerzenie AMA (IaaS i Arc):
        • Wydawca: Microsoft.Azure.Monitor
        • Typ: AzureMonitorWindowsAgent
  • Ponieważ tworzymy grupę zasobów w regionie Wschodnie stany USA, w ramach procesu włączania automatycznego aprowizowania ten region musi być dozwolony lub usługa Defender for SQL nie może pomyślnie ukończyć procesu instalacji.

Procedura włączania usługi Defender for SQL na maszynach wirtualnych platformy Azure

  1. Zaloguj się w witrynie Azure Portal.

  2. Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.

  3. W menu Defender dla Chmury wybierz pozycję Ustawienia środowiska.

  4. Wybierz odpowiednią subskrypcję.

  5. Na stronie Plany usługi Defender znajdź plan Bazy danych i wybierz pozycję Wybierz typy.

    Zrzut ekranu pokazujący, gdzie wybrać typy na stronie Plany usługi Defender.

  6. W oknie Wyboru Typy zasobów przełącz serwery SQL na maszynach , które mają być włączone.

  7. Wybierz Kontynuuj.

  8. Wybierz pozycję Zapisz.

  9. Po włączeniu użyjemy jednej z następujących inicjatyw zasad:

    • Skonfiguruj maszyny wirtualne SQL i serwery SQL z obsługą usługi Arc, aby zainstalować usługę Microsoft Defender dla usług SQL i AMA przy użyciu obszaru roboczego usługi Log Analytics (LAW) dla domyślnego prawa. Spowoduje to utworzenie grupy zasobów w regionie Wschodnie stany USA i tożsamość zarządzana. Aby uzyskać więcej informacji na temat korzystania z tożsamości zarządzanej, zobacz Resource Manager template samples for agents in Azure Monitor (Przykłady szablonów usługi Resource Manager dla agentów w usłudze Azure Monitor). Tworzy również grupę zasobów zawierającą reguły zbierania danych (DCR) i domyślne prawo. Wszystkie zasoby są konsolidowane w ramach tej pojedynczej grupy zasobów. DcR i LAW są tworzone w celu dopasowania do regionu maszyny wirtualnej.

    Zrzut ekranu przedstawiający sposób konfigurowania domyślnego obszaru roboczego usługi Log Analytics.

    Zrzut ekranu przedstawiający sposób konfigurowania obszaru roboczego analizy dzienników zdefiniowanej przez użytkownika.

  10. Aby ukończyć proces instalacji, konieczne jest ponowne uruchomienie programu SQL Server (wystąpienie) w wersjach 2017 i starszych.

Często zadawane pytania

Jak długo musimy poczekać na pomyślne wdrożenie po zakończeniu wdrażania?

Zaktualizowanie stanu ochrony przez rozszerzenie IaaS sql trwa około 30 minut, przy założeniu, że zostały spełnione wszystkie wymagania wstępne.

Jak mogę sprawdzić, czy moje wdrożenie zakończyło się pomyślnie i czy moja baza danych jest teraz chroniona?

  1. Znajdź bazę danych na górnym pasku wyszukiwania w witrynie Azure Portal.
  2. Na karcie Zabezpieczenia wybierz pozycję Defender dla Chmury.
  3. Sprawdź stan Ochrony. Jeśli stan to Chronione, wdrożenie zakończyło się pomyślnie.

Zrzut ekranu przedstawiający stan ochrony jako chroniony.

Jaki jest cel tożsamości zarządzanej utworzonej podczas procesu instalacji na maszynach wirtualnych usługi Azure SQL?

Tożsamość zarządzana jest częścią usługi Azure Policy, która wypycha usługę AMA. Usługa AMA używa jej do uzyskiwania dostępu do bazy danych w celu zbierania danych i wysyłania ich za pośrednictwem obszaru roboczego usługi Log Analytics (LAW) do Defender dla Chmury. Aby uzyskać więcej informacji na temat korzystania z tożsamości zarządzanej, zobacz Resource Manager template samples for agents in Azure Monitor (Przykłady szablonów usługi Resource Manager dla agentów w usłudze Azure Monitor).

Czy mogę użyć własnej tożsamości DCR lub tożsamości zarządzanej zamiast Defender dla Chmury utworzenia nowego?

Tak, umożliwiamy korzystanie z własnej tożsamości lub kontrolera domeny tylko przy użyciu następującego skryptu. Aby uzyskać więcej informacji, zobacz Włączanie usługi Microsoft Defender dla serwerów SQL na maszynach na dużą skalę.

Ile grup zasobów i obszarów roboczych usługi Log Analytics jest tworzonych za pośrednictwem procesu automatycznej aprowizacji?

Domyślnie tworzymy grupę zasobów, obszar roboczy i kontroler domeny na region z maszyną SQL. Jeśli wybierzesz opcję niestandardowego obszaru roboczego, tylko jedna grupa zasobów i usługa DCR zostanie utworzona w tej samej lokalizacji co obszar roboczy.

Jak włączyć serwery SQL na maszynach z usługą AMA na dużą skalę?

Zobacz Włączanie usługi Microsoft Defender dla serwerów SQL na maszynach na dużą skalę , aby zapoznać się z procesem włączania automatycznej aprowizacji usługi Microsoft Defender dla usługi SQL w wielu subskrypcjach jednocześnie. Dotyczy to serwerów SQL hostowanych na maszynach wirtualnych platformy Azure, środowiskach lokalnych i serwerach SQL z obsługą usługi Azure Arc.

Które tabele są używane w usłudze LAW z usługą AMA?

Usługa Defender for SQL na maszynach wirtualnych SQL i serwerach SQL z obsługą usługi Arc używa obszaru roboczego usługi Log Analytics (LAW) do transferu danych z bazy danych do portalu Defender dla Chmury. Oznacza to, że żadne dane nie są zapisywane lokalnie w PRAWIE. Tabele w ustawie LAW o nazwie SQLAtpStatus i SqlVulnerabilityAssessmentScanStatus zostaną wycofane po wycofaniu programu MMA. Stan atp i va można wyświetlić w portalu Defender dla Chmury.

W jaki sposób usługa Defender for SQL zbiera dzienniki z serwera SQL?

Usługa Defender for SQL używa programu Xevent, począwszy od programu SQL Server 2017. W poprzednich wersjach programu SQL Server usługa Defender for SQL zbiera dzienniki przy użyciu dzienników inspekcji programu SQL Server.

Widzę parametr o nazwie enableCollectionOfSqlQueriesForSecurityResearch w inicjatywie zasad. Czy oznacza to, że moje dane są zbierane do analizy?

Ten parametr nie jest obecnie używany. Jego wartość domyślna to false, co oznacza, że jeśli nie zmienisz aktywnie wartości, pozostanie ona fałszem. Ten parametr nie ma żadnego wpływu.

Powiązana zawartość

Aby uzyskać powiązane informacje, zobacz następujące zasoby: