Habilitar o Microsoft Defender para servidores SQL em computadores em escala

Os servidores SQL do Microsoft Defender para Nuvem no componente de computadores do plano Defender para Bancos de Dados protegem as extensões IaaS do SQL e Defender para SQL. Os servidores SQL em componentes de computadores identificam e atenuam possíveis vulnerabilidades do banco de dados enquanto detectam atividades anômalas que possam indicar ameaças aos bancos de dados.

Quando você habilita o SQL Server em um computador componente do plano do Defender para Bancos de Dados, o processo de provisionamento automático é iniciado automaticamente. O processo de provisionamento automático instala e configura todos os componentes necessários para o funcionamento do plano, incluindo o Azure Monitor Agent (AMA), a extensão SQL IaaS e as extensões do Defender for SQL. O processo de provisionamento automático também configura a configuração do workspace, as regras de coleta de dados, a identidade (se necessário) e a extensão IaaS do SQL.

Esta página explica como você pode habilitar o processo de provisionamento automático para o Defender para SQL em várias assinaturas simultaneamente usando um script do PowerShell. Este processo aplica-se a servidores SQL hospedados em VMs do Azure, ambientes locais e servidores SQL habilitados para Azure Arc. Este artigo também discute como utilizar funcionalidades extras que podem acomodar várias configurações, como:

• Regras personalizadas de coleta de dados

• Gerenciamento de identidades personalizado

• Integração do workspace padrão

• Configuração do workspace personalizada

Pré-requisitos

• Obtenha conhecimento sobre:

  • SQL Server em VMs
  • SQL Server habilitado pelo Azure Arc
  • Como fazer para migrar para o Agente do Azure Monitor por meio do agente do Log Analytics

• Conectar contas da AWS ao Microsoft Defender para Nuvem

• Conectar seu projeto do GCP ao Microsoft Defender para Nuvem

• Instale o PowerShell no Windows, Linux, macOSou Azure Resource Manager (ARM).

• Instale os seguintes módulos do PowerShell:

  • Az.Resources
  • Az.OperationalInsights
  • Az.Accounts
  • Az
  • Az.PolicyInsights
  • Az.Security

• Permissões: requer colaborador de VM, colaborador ou proprietário das regras.

Parâmetros de script do PowerShell e amostras

O script do PowerShell que habilita o Microsoft Defender para SQL em computadores em uma determinada assinatura tem vários parâmetros que você pode personalizar para atender às suas necessidades. A tabela a seguir lista os parâmetros e suas descrições:

Nome do Parâmetro	Obrigatório	Descrição
SubscriptionId:	Obrigatório	A ID da assinatura do Azure para a qual você deseja habilitar o Defender para SQL Servers em computadores.
RegisterSqlVmAgnet	Obrigatório	Um sinalizador que indica se o Agente de VM do SQL deve ser registrado em massa. Saiba mais sobre registrando várias VMs do SQL no Azure com a extensão do agente IaaS do SQL.
WorkspaceResourceId	Opcional	A ID do recurso do workspace do Log Analytics, se você quiser usar um workspace personalizado em vez do padrão.
DataCollectionRuleResourceId	Opcional	A ID do recurso da regra de coleta de dados, se você quiser usar um DCR personalizado em vez do padrão.
UserAssignedIdentityResourceId	Opcional	A ID do recurso da identidade atribuída pelo usuário, se você quiser usar uma identidade atribuída pelo usuário personalizado em vez da padrão.

O script de exemplo a seguir é aplicável quando você usa um workspace padrão do Log Analytics, uma regra de coleta de dados e uma identidade gerenciada.

Write-Host "------ Enable Defender for SQL on Machines example ------" 
$SubscriptionId = "<SubscriptionID>"
.\EnableDefenderForSqlOnMachines.ps1 -SubscriptionId $SubscriptionId -RegisterSqlVmAgnet $RegisterSqlVmAgnet 

O script de exemplo a seguir é aplicável quando você usa um workspace personalizado do Log Analytics, uma regra de coleta de dados e uma identidade gerenciada.

Write-Host "------ Enable Defender for SQL on Machines example ------" 
$SubscriptionId = "<SubscriptionID>" 
$RegisterSqlVmAgnet = "false" 
$WorkspaceResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someResourceGroup/providers/Microsoft.OperationalInsights/workspaces/someWorkspace" 
$DataCollectionRuleResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someOtherResourceGroup/providers/Microsoft.Insights/dataCollectionRules/someDcr" 
$UserAssignedIdentityResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someElseResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/someManagedIdentity" 
.\EnableDefenderForSqlOnMachines.ps1 -SubscriptionId $SubscriptionId -RegisterSqlVmAgnet $RegisterSqlVmAgnet -WorkspaceResourceId $WorkspaceResourceId -DataCollectionRuleResourceId $DataCollectionRuleResourceId -UserAssignedIdentityResourceId $UserAssignedIdentityResourceId

Habilitar o Defender para servidores SQL em computadores em escala

Você pode habilitar o Defender para servidores SQL em computadores em escala seguindo os seguintes passos.

1. Abra uma janela do PowerShell.

2. Copie o script EnableDefenderForSqlOnMachines.ps1.

3. Cole o script no PowerShell.

4. Inserira informações de parâmetro quando necessário.

5. Execute o script.

Próxima etapa

Verificar se há vulnerabilidades nos SQL Servers