Сканирование SQL-серверов на отсутствие уязвимостей

Microsoft Defender для серверов SQL на компьютерах расширяет возможности защиты для собственных серверов SQL Azure, предоставляя полную поддержку гибридных сред, и обеспечивает защиту серверов SQL (все поддерживаемые версии) не только в Azure, но и в других облачных средах и даже на локальных компьютерах:

Встроенный сканер оценки уязвимостей обнаруживает, отслеживает и помогает устранять потенциальные уязвимости баз данных. Результаты оценочных проверок предоставляют общие сведения о состоянии безопасности компьютеров SQL и подробные сведения об обнаруженных проблемах.

Примечание.

Проверка безопасна и не требует большого количества ресурсов. Она занимает несколько секунд на одну базу данных и является исключительно операцией чтения. При проверке никакие изменения в базу данных не вносятся.

Изучение отчета оценки уязвимостей

Служба оценки уязвимостей сканирует базы данных каждые 12 часов.

На панели мониторинга "Оценка уязвимостей" представлены общие сведения о результатах оценки для всех ваших баз данных, а также сводка по работоспособным и неработоспособным базам данных и общая сводка сбоев проверок в соответствии с распределением рисков.

Результаты оценки уязвимостей можно просмотреть непосредственно в Defender для облака.

  1. На боковой панели Defender для облака откройте страницу Рекомендации.

  2. Выберите рекомендацию Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены. Дополнительные сведения см. на странице справки по рекомендациям Defender для облака.

    SQL servers on machines should have vulnerability findings resolved

    Отобразится подробное представление для этой рекомендации.

    Recommendation details page.

  3. Для получения дополнительных сведений выполните детализацию.

    • Чтобы получить обзор проверенных ресурсов (баз данных) и список выполненных проверок безопасности, откройте Затронутые ресурсы и выберите интересующий сервер.

    • Чтобы получить обзор уязвимостей, сгруппированных по определенной базе данных SQL, выберите интересующую базу данных.

    В каждом представлении проверки безопасности упорядочены по степени серьезности. Выберите определенную проверку безопасности, чтобы просмотреть область сведений с описанием, способы устранения этой проблемы и другие сопутствующие сведения, такие как влияние или тест производительности.

Установка базовых показателей

При просмотре результатов оценки можно пометить результаты как допустимые базовые показатели в своем окружении. Базовые показатели — важные параметры, влияющие на содержимое отчета о проверке. При следующих проверках результаты, которые соответствуют базовым показателям, будут рассматриваться как прошедшие проверку. После того как вы зададите базовое состояние безопасности, сканер оценки уязвимостей будет сообщать только об отклонениях от этого состояния. Таким образом вы можете сосредоточиться на важных проблемах.

As you review your assessment results, you can mark results as being an acceptable baseline in your environment.

Экспортируйте результаты

Используйте функцию Непрерывный экспорт в Microsoft Defender для облака, чтобы экспортировать результаты оценки уязвимостей в Центры событий Azure или рабочую область Log Analytics.

Просмотр уязвимостей в графических интерактивных отчетах

Интегрированная коллекция книг Azure Monitor в Defender для облака содержит интерактивный отчет обо всех обнаруженных сканерами уязвимостей проблемах для компьютеров, контейнеров в реестре контейнеров и серверов SQL.

Результаты для каждого из этих сканеров указываются в отдельных рекомендациях.

Отчет "Результаты оценки уязвимостей" собирает все обнаруженные проблемы и упорядочивает их по уровню серьезности, типу ресурса и категории. Этот отчет можно найти в коллекции книг, доступной на боковой панели Defender для облака.

Defender for Cloud's vulnerability assessment findings report

Отключение определенных обнаруженных проблем

Если правила вашей организации требуют игнорировать обнаруженную проблему, а не исправлять ее, вы можете исключить ее из результатов поиска. Отключенные результаты не учитываются в оценке безопасности и не создают нежелательный шум.

Если результат поиска соответствует критерию, заданному в правилах отключения, он не будет отображаться в списке результатов. Распространенные сценарии

  • Отключение обнаруженных проблем с уровнем серьезности ниже среднего
  • Отключение обнаруженных проблем, которые не подлежат исправлению
  • Отключение результатов тестов производительности, которые не интересны для определенной области

Важно!

Чтобы отключить определенные результаты, необходимо иметь разрешения на изменение политики в Политике Azure. Дополнительные сведения см. в разделе Разрешения Azure RBAC в Политике Azure.

Чтобы создать правило, выполните следующие действия.

  1. На странице сведений о рекомендациях для рекомендации Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены выберите Отключить правило.

  2. Выберите соответствующую область.

  3. Определите условие. Вы можете использовать любое из следующих условий:

    • Идентификатор обнаруженной проблемы
    • Важность
    • Тесты производительности

    Create a disable rule for VA findings on SQL servers on machines.

  4. Нажмите Применить правило. Изменения могут занять до 24 часов.

  5. Чтобы просмотреть, переопределить или удалить правило, выполните следующие действия.

    1. Выберите Отключить правило.

    2. В списке области подписки с активными правилами отображаются с пометкой Правило применено.

      Modify or delete an existing rule.

    3. Чтобы просмотреть или удалить правило, выберите меню с многоточием (...).

Программное управление оценкой уязвимостей

Использование Azure PowerShell

Для программного управления оценками уязвимостей можно использовать командлеты Azure PowerShell. Поддерживаемые командлеты:

Имя командлета в виде ссылки Description
Add-AzSecuritySqlVulnerabilityAssessmentBaseline Добавление базового плана оценки уязвимостей SQL.
Get-AzSecuritySqlVulnerabilityAssessmentBaseline Получение базового плана оценки уязвимостей SQL.
Get-AzSecuritySqlVulnerabilityAssessmentScanResult Получение результатов сканирования оценки уязвимостей SQL.
Get-AzSecuritySqlVulnerabilityAssessmentScanRecord Получение записей сканирования оценки уязвимостей SQL.
Remove-AzSecuritySqlVulnerabilityAssessmentBaseline Удаление базового плана оценки уязвимостей SQL.
Set-AzSecuritySqlVulnerabilityAssessmentBaseline Установка нового базового плана оценки уязвимостей SQL для определенной базы данных отменяет старый базовый план, если он существует.
   

Место расположения данных

Оценка уязвимостей SQL отправляет запросы к серверу SQL, используя общедоступные запросы по рекомендациям Defender для облака для оценки уязвимости SQL, и сохраняет результаты запросов. Данные оценки уязвимостей SQL сохраняются в расположении рабочей области Log Analytics, к которой подключен компьютер. Например, если пользователь подключает виртуальную машину SQL к рабочей области Log Analytics в регионе "Западная Европа", результаты будут сохранены в этом регионе. Эти данные будут собраны только в том случае, если решение оценки уязвимостей SQL включено для рабочей области Log Analytics.

Также собираются метаданные о подключенном компьютере. В частности:

  • имя, тип и версия операционной системы;
  • полное доменное имя (FQDN) компьютера;
  • версия агента подключенного компьютера.
  • UUID (идентификатор BIOS);
  • Имя сервера SQL и имена базовых баз данных

Оценка уязвимостей SQL позволяет вам указать регион, в котором будут храниться данные, путем выбора расположения рабочей области Log Analytics. Корпорация Майкрософт может реплика в другие регионы для обеспечения устойчивости данных, но корпорация Майкрософт не реплика te данные за пределами географического региона.

Следующие шаги

Дополнительные сведения о защите Defender для облака для ресурсов SQL см. в разделе Общие сведения о Microsoft Defender для SQL.