Habilitar o Microsoft Defender para servidores SQL em computadores
O Defender para SQL protege seus SQL Servers de IaaS identificando e mitigando possíveis vulnerabilidades de banco de dados e detectando atividades anômalas que podem indicar ameaças aos bancos de dados.
O Microsoft Defender para Nuvem é preenchido com alertas quando detecta atividades suspeitas no banco de dados, tentativas potencialmente prejudiciais de acessar ou explorar computadores SQL, ataques de injeção de SQL, acesso anômalo ao banco de dados e padrões de consulta. Os alertas criados por esses tipos de eventos aparecem na página de referência de alertas.
O Defender para Nuvem usa a avaliação de vulnerabilidade para descobrir, rastrear e ajudar você na correção de possíveis vulnerabilidades de banco de dados. As verificações de avaliação oferecem uma visão geral do estado de segurança de suas máquinas SQL e fornecem detalhes de quaisquer descobertas de segurança.
Saiba mais sobre a avaliação de vulnerabilidades para servidores SQL do Azure em computadores.
Os servidores do Defender para SQL em computadores protegem os servidores SQL hospedados no Azure, em várias nuvens e até mesmo em computadores locais.
Saiba mais sobre SQL Server em Máquinas Virtuais.
Para servidores SQL locais, você pode saber mais sobre o SQL Server habilitado para Azure Arc e como instalar o agente do Log Analytics em computadores Windows sem o Azure Arc.
Para servidores SQL multinuvem:
Conectar seu projeto do GCP ao Microsoft Defender para Nuvem
Observação
Você deve ativar a proteção de banco de dados para seus servidores SQL multinuvem por meio do conector AWS ou do conector GCP.
Disponibilidade
| Aspecto | Detalhes |
|---|---|
| Estado da versão: | Disponibilidade Geral (GA) |
| Preço: | O Microsoft Defender para servidores SQL em computadores é cobrado conforme mostrado na página de preço |
| Versões do SQL protegidas: | Versão do SQL Server: 2012, 2014, 2016, 2017, 2019, 2022 - SQL nas máquinas virtuais do Azure - SQL Server nos servidores habilitados para Azure Arc |
| Nuvens: |  Nuvens comerciaisAzure Governamental Microsoft Azure operado pela 21Vianet |
Habilitar o Defender para SQL em computadores que não são do Azure usando o agente AMA
Pré-requisitos para habilitar o Defender para SQL em computadores não Azure
Uma assinatura ativa do Azure.
Permissões de proprietário da assinatura na assinatura na qual você deseja atribuir a política.
Pré-requisitos do SQL Server em computadores:
- Permissões: o usuário do Windows que opera o SQL Server precisa ter a função Sysadmin no banco de dados.
- Extensões: as seguintes extensões devem ser adicionadas à lista de permitidos:
- Defender para SQL (IaaS e Arc):
- Editor: Microsoft.Azure.AzureDefenderForSQL
- Tipo: AdvancedThreatProtection.Windows
- Extensão IaaS do SQL (IaaS):
- Editor: Microsoft.SqlServer.Management
- Tipo: SqlIaaSAgent
- Extensão IaaS do SQL (Arc):
- Editor: Microsoft.AzureData
- Tipo: WindowsAgent.SqlServer
- Extensão AMA (IaaS e Arc):
- Editor: Microsoft.Azure.Monitor
- Tipo: AzureMonitorWindowsAgent
- Defender para SQL (IaaS e Arc):
Convenções de nomenclatura na lista de permitidos da política de negação
O Defender para SQL usa a seguinte convenção de nomenclatura ao criar nossos recursos:
- DCR:
MicrosoftDefenderForSQL--dcr - DCRA:
/Microsoft.Insights/MicrosoftDefenderForSQL-RulesAssociation - Grupo de recursos:
DefaultResourceGroup- - Workspace do Log Analytics:
D4SQL--
- DCR:
O Defender para SQL usa MicrosoftDefenderForSQL como uma marca de banco de dados createdBy.
Etapas para habilitar o Defender para SQL em computadores não Azure
Conecte o SQL Server ao Azure Arc. Para obter mais informações sobre os sistemas operacionais compatíveis, a configuração de conectividade e as permissões necessárias, consulte a seguinte documentação:
Depois que o Azure Arc é instalado, a extensão do Azure para SQL Server é instalada automaticamente no servidor de banco de dados. Para obter mais informações, confira Gerenciar conexão automática para o SQL Server habilitado pelo Azure Arc.
Habilitar o Defender para SQL
Entre no portal do Azure.
Pesquise pelo Microsoft Defender para Nuvem e selecione-o.
No menu do Defender para Nuvem, selecione Configurações de ambiente.
Selecione a assinatura relevante.
Na página Planos do Defender, localize o plano Bancos de Dados e selecione Selecionar tipos.
Na janela Seleção de tipos de recurso, alterne os servidores SQL nos computadores que planejam para Ativado.
Selecione Continuar.
Selecione Salvar.
Depois de habilitado, usamos uma das seguintes iniciativas de política:
- Configure VMs do SQL e SQL servers habilitados para Arc para instalar o Microsoft Defender para SQL e AMA com um LAW (workspace do Log Analytics) para um LAW padrão. Isso cria grupos de recursos com regras de coleta de dados e um workspace padrão do Log Analytics. Para obter mais informações sobre o workspace do Log Analytics, confira Visão geral do workspace do Log Analytics.
- Configure VMs do SQL e SQL servers habilitados para Arc para instalar o Microsoft Defender para SQL e AMA com uma LAW definida pelo usuário. Isso cria um grupo de recursos com regras de coleta de dados e um workspace personalizado do Log Analytics na região predefinida. Durante esse processo, instalamos o agente de monitoramento do Azure. Para obter mais informações sobre as opções para instalar o agente AMA, consulte os pré-requisitos do agente do Azure Monitor.
Para concluir o processo de instalação, uma reinicialização do SQL Server (instância) é necessária para versões 2017 e anteriores.
Habilitar o Defender para SQL em máquinas virtuais do Azure usando o agente AMA
Pré-requisitos para habilitar o Defender para SQL em máquinas virtuais do Azure
- Uma assinatura ativa do Azure.
- Permissões de proprietário da assinatura na assinatura na qual você deseja atribuir a política.
- Pré-requisitos do SQL Server em computadores:
- Permissões: o usuário do Windows que opera o SQL Server precisa ter a função Sysadmin no banco de dados.
- Extensões: as seguintes extensões devem ser adicionadas à lista de permitidos:
- Defender para SQL (IaaS e Arc):
- Editor: Microsoft.Azure.AzureDefenderForSQL
- Tipo: AdvancedThreatProtection.Windows
- Extensão IaaS do SQL (IaaS):
- Editor: Microsoft.SqlServer.Management
- Tipo: SqlIaaSAgent
- Extensão IaaS do SQL (Arc):
- Editor: Microsoft.AzureData
- Tipo: WindowsAgent.SqlServer
- Extensão AMA (IaaS e Arc):
- Editor: Microsoft.Azure.Monitor
- Tipo: AzureMonitorWindowsAgent
- Defender para SQL (IaaS e Arc):
- Como estamos criando um grupo de recursos no Leste dos EUA, como parte do processo de habilitação de provisionamento automático, essa região precisará ser permitida, ou o Defender para SQL não poderá concluir o processo de instalação com êxito.
Etapas para habilitar o Defender para SQL em máquinas virtuais do Azure
Entre no portal do Azure.
Pesquise pelo Microsoft Defender para Nuvem e selecione-o.
No menu do Defender para Nuvem, selecione Configurações de ambiente.
Selecione a assinatura relevante.
Na página Planos do Defender, localize o plano Bancos de Dados e selecione Selecionar tipos.
Na janela Seleção de tipos de recurso, alterne os servidores SQL nos computadores que planejam para Ativado.
Selecione Continuar.
Selecione Salvar.
Depois de habilitado, usamos uma das seguintes iniciativas de política:
- Configure VMs do SQL e SQL servers habilitados para Arc para instalar o Microsoft Defender para SQL e AMA com um LAW (workspace do Log Analytics) para um LAW padrão. Isso cria um grupo de recursos no Leste dos EUAe uma identidade gerenciada. Para obter mais informações sobre o uso da identidade gerenciada, confira Exemplos de modelo do Resource Manager para agentes no Azure Monitor. Ele também cria um grupo de recursos que inclui uma DCR (Regra de Coleta de Dados) e um LAW padrão. Todos os recursos são consolidados nesse único grupo de recursos. A DCR e o LAW são criados para se alinharem à região da VM (máquina virtual).
- Configure VMs do SQL e SQL servers habilitados para Arc para instalar o Microsoft Defender para SQL e AMA com uma LAW definida pelo usuário. Isso cria um grupo de recursos no Leste dos EUAe uma identidade gerenciada. Para obter mais informações sobre o uso da identidade gerenciada, confira Exemplos de modelo do Resource Manager para agentes no Azure Monitor. Ele também cria um grupo de recursos com uma DCR e um LAW personalizado na região predefinida.
Para concluir o processo de instalação, uma reinicialização do SQL Server (instância) é necessária para versões 2017 e anteriores.
Perguntas comuns
Depois que a implantação for concluída, quanto tempo precisaremos aguardar para vermos uma implantação bem-sucedida?
Leva aproximadamente 30 minutos para atualizar o status de proteção pela Extensão IaaS do SQL, supondo que todos os pré-requisitos sejam atendidos.
Como fazer para verificar se minha implantação terminou com êxito e se meu banco de dados agora está protegido?
- Localize o banco de dados na barra de pesquisa superior no portal do Azure.
- Na guia Segurança, selecione Defender para Nuvem.
- Verifique o Status da proteção. Se o status for Protegido, a implantação será bem-sucedida.
Qual é a finalidade da identidade gerenciada criada durante o processo de instalação em VMs SQL do Azure?
A identidade gerenciada faz parte do Azure Policy, que envia o AMA por push. Ela é usada pela AMA para acessar o banco de dados para coletar os dados e enviá-los por meio do LAW (workspace do Log Analytics) para o Defender para Nuvem. Para obter mais informações sobre o uso da identidade gerenciada, confira Exemplos de modelo do Resource Manager para agentes no Azure Monitor.
Posso usar minha DCR ou identidade gerenciada em vez de usar o Defender para Nuvem para criar um?
Sim, permitimos que você traga sua identidade ou DCR usando apenas o script a seguir. Para obter mais informações, confira Habilitar o Microsoft Defender para SQL servers em computadores em escala.
Quantos grupos de recursos e workspaces do Log Analytics são criados por meio do processo de provisionamento automático?
Por padrão, criamos o grupo de recursos, o workspace e o DCR por região que tem o computador SQL. Se você escolher a opção de workspace personalizado, apenas um grupo de recursos e DCR serão criados no mesmo local que o workspace.
Como posso habilitar SQL servers em computadores com AMA em escala?
Confira Habilitar servidores Microsoft Defender para SQL em computadores em escala para conhecer o processo de como habilitar o provisionamento automático do Microsoft Defender para SQL em várias assinaturas simultaneamente. Ele é aplicável a SQL servers hospedados em Máquinas Virtuais do Azure, ambientes locais e SQL servers habilitados para Azure Arc.
Quais tabelas são usadas em LAW com AMA?
O Defender para SQL em VMs do SQL e servidores SQL habilitados para Arc usa o LAW (workspace do Log Analytics) para transferir dados do banco de dados para o portal do Defender para Nuvem. Isso significa que nenhum dado é salvo localmente no LAW. As tabelas em LAW denominadas SQLAtpStatus e SqlVulnerabilityAssessmentScanStatus serão desativadas quando o MMA for preterido. O status do ATP e da AV pode ser exibido no portal do Defender para Nuvem.
Como o Defender para SQL coleta logs do SQL Server?
O Defender para SQL usa o Xevent, começando com o SQL Server 2017. Nas versões anteriores do SQL Server, o Defender para SQL coleta os logs usando os logs de auditoria do SQL Server.
Vejo um parâmetro chamado enableCollectionOfSqlQueriesForSecurityResearch na iniciativa de política. Isso significa que meus dados são coletados para análise?
Esse parâmetro não está em uso hoje. O valor padrão dele é falso, o que significa que, a menos que você altere proativamente o valor, ele permanece falso. Não há nenhum efeito desse parâmetro.
Conteúdo relacionado
Para obter as informações relacionadas, confira estes recursos:
- Como o Microsoft Defender para SQL do Azure pode proteger os SQL Servers em qualquer lugar.
- Alertas de segurança para o Banco de Dados SQL e o Azure Synapse Analytics
- Confira as perguntas comuns sobre o Defender para Banco de Dados.