Включение Microsoft Defender для серверов SQL на компьютерах
Этот план Microsoft Defender позволяет выявлять аномальные операции, указывающие на нестандартные и потенциально вредоносные попытки получить доступ к базам данных или воспользоваться их уязвимостями на сервере SQL.
Вы получаете оповещения о подозрительных действиях с базами данных, потенциальных уязвимостях, атаках путем внедрения кода SQL и аномальных закономерностях в доступе к базам данных и шаблонах запросов.
Microsoft Defender для серверов SQL на компьютерах расширяет возможности защиты для собственных серверов SQL Azure, предоставляя полную поддержку гибридных сред, и обеспечивает защиту серверов SQL в Azure, в облачных средах и даже на локальных компьютерах:
Локальные серверы SQL.
Многооблачные серверы SQL:
Примечание
Включите защиту баз данных для мультиоблачных серверов SQL через соединитель AWS или соединитель GCP.
Этот план включает возможности обнаружения и устранения потенциальных уязвимостей базы данных и обнаружения аномальных действий, которые могут указывать на угрозу для вашей базы данных.
Служба оценки уязвимостей обнаруживает, отслеживает и помогает устранять потенциальные уязвимости базы данных. Оценочная проверка предоставит общие сведения о состоянии безопасности для компьютеров SQL и подробные сведения о результатах проверки безопасности.
Дополнительные сведения об оценке уязвимостей для серверов SQL Azure на компьютерах.
Доступность
| Аспект | Сведения |
|---|---|
| Состояние выпуска: | Общедоступная версия |
| Цены | Плата за использование Microsoft Defender для серверов SQL на компьютерах начисляется по тарифам, приведенным на странице цен. |
| Защищаемые версии SQL | SQL Server версия: 2012, 2014, 2016, 2017, 2019, 2022 - SQL на виртуальных машинах Azure - SQL Server на серверах с поддержкой Azure Arc - Локальные серверы SQL на компьютерах Windows без поддержки Azure Arc |
| Облако. |  Коммерческие облака Azure для государственных организаций Azure для Китая (21Vianet) |
Настройка Microsoft Defender для серверов SQL на компьютерах
Чтобы включить этот план, выполните следующие действия.
Шаг 1. Установка расширения агента
Шаг 2. Подготовка агента Log Analytics к работе на узле SQL Server:
Шаг 3. Включите необязательный план на странице параметров среды Defender для облака:
Шаг 1. Установка расширения агента
SQL Server на виртуальной машине Azure. Зарегистрируйте виртуальную машину SQL Server с расширением агента SQL в формате IaaS, как описано в статье Регистрация виртуальной машины SQL Server в Azure с расширением SQL IaaS Agent.
SQL Server на серверах с поддержкой Azure Arc. Установите агент Azure Arc, как описано в документации по Azure Arc.
Шаг 2. Подготовка агента Log Analytics к работе на узле SQL Server:
SQL Server на виртуальной машине Azure. Если компьютер SQL размещен на виртуальной машине Azure, вы можете настроить конфигурацию агента Log Analytics.
SQL Server на серверах с поддержкой Azure Arc. Если SQL Server управляется серверами с поддержкой Azure Arc, вы можете развернуть агент Log Analytics с помощью рекомендации Defender для облака "Log Analytics должен быть установлен на компьютерах с Azure Arc на базе Windows (предварительная версия)".
Локальный SQL Server. Если ваш SQL Server размещен на локальном компьютере Windows без Azure Arc, можно подключить компьютер к Azure при помощи:
Развертывание Azure Arc. Вы можете подключить любой компьютер Windows к Defender для облака. Тем не менее Azure Arc обеспечивает более глубокую интеграцию во всей среде Azure. Если вы настроили Azure Arc, на портале вы увидите страницу SQL Server — Azure Arc и ваши оповещения системы безопасности будут отображаться на выделенной вкладке Безопасность на этой странице. Поэтому первым и рекомендуемым вариантом является Настройка Azure Arc на узле, после чего следуют инструкции для SQL Server в Azure Arc, приведенные выше.
Подключение компьютера Windows без Azure Arc. Если вы решили подключить SQL Server на компьютере Windows без использования Azure Arc, следуйте инструкциям из статьи Подключение компьютеров Windows к Azure Monitor.
Шаг 3. Включите необязательный план на странице параметров среды Defender для облака:
В меню Defender для облака откройте страницу Параметры среды.
Если вы используете рабочую область по умолчанию Microsoft Defender для облака (с именем "default workspace-<ваш идентификатор подписки>-<регион>"), выберите соответствующую подписку.
Если вы используете рабочую область не по умолчанию, выберите соответствующую рабочую область (введите имя рабочей области в фильтре, если это необходимо).
Установите для параметра плана Microsoft Defender для серверов SQL на компьютерах значение Вкл.
Этот план будет включен на всех серверах SQL Server, подключенных к выбранной рабочей области. Защита будет полностью активна после первого перезапуска экземпляра SQL Server.
Совет
Чтобы создать новую рабочую область, следуйте инструкциям в разделе Создание рабочей области Log Analytics.
При необходимости настройте отправку уведомлений по электронной почте для оповещений системы безопасности.
Вы можете задать список получателей уведомлений электронной почты при создании оповещений Defender для облака. Сообщение электронной почты содержит прямую ссылку на оповещение в Microsoft Defender для облака со всеми необходимыми сведениями. Дополнительную информацию см. в разделе Настройка уведомлений электронной почты для оповещений системы безопасности.
Оповещения Microsoft Defender для SQL
Оповещения создаются при нестандартных и потенциально вредоносных попытках получить доступ к компьютерам SQL или использовать их. Эти события могут активировать предупреждения, показанные на странице справки по оповещениям.
Просмотр и исследование оповещений системы безопасности
Оповещения Microsoft Defender для SQL доступны на ресурсах:
- Страница оповещений системы безопасности Defender для облака
- Страница безопасности компьютера
- Панель мониторинга защиты рабочих нагрузок
- По прямой ссылке в сообщениях электронной почты с оповещениями
Чтобы просмотреть оповещения, выполните указанные ниже действия.
В меню Defender для облака выберите Оповещения системы безопасности и выберите оповещение.
Оповещения сделаны полностью самодостаточными, содержащими подробные инструкции по исправлению и анализ информации. Провести более тщательное расследование и получить более широкое представление можно с помощью других возможностей Microsoft Defender для облака и Microsoft Sentinel.
Включите функцию аудита SQL Server для дальнейшего исследования. Если вы являетесь пользователем Microsoft Sentinel, вы можете отправить журналы аудита SQL из событий журнала безопасности Windows в Sentinel и воспользоваться обширными возможностями по расследованию. Подробные сведения об аудите SQL Server
Чтобы повысить уровень безопасности, примените рекомендации Defender для облака к компьютеру виртуальной машины, указанному в каждом оповещении, чтобы снизить риски атак в будущем.
Подробнее об управлении предупреждениями и реагировании на них.
Вопросы и ответы: Microsoft Defender для серверов SQL на компьютерах
Если я включу этот план Microsoft Defender в подписку, будут ли защищены все серверы SQL в этой подписке?
Нет. Для защиты развертывания SQL Server на виртуальной машине Azure или SQL Server на компьютере с поддержкой Azure Arc для Defender для облака необходимо обеспечить наличие:
- агент Log Analytics на компьютере;
- включенное решение "Microsoft Defender для SQL" в соответствующей рабочей области Log Analytics.
Состояние подписки, которое отображается на странице сервера SQL на портале Azure, отражает состояние рабочей области по умолчанию и применяется ко всем подключенным компьютерам. Defender для облака защищает только серверы SQL Server на узлах с агентом Log Analytics, который отправляет отчеты в эту рабочую область.
Влияет ли на производительность развертывание Microsoft Defender для Azure SQL на компьютерах?
Основная задача Microsoft Defender для SQL на компьютерах — обеспечение безопасности. Но мы также принимаем во внимание потребности бизнеса и поэтому придаем первостепенное значение производительности, чтобы обеспечить минимальное влияние на серверы SQL Server.
Служба имеет раздельную архитектуру для обеспечения баланса между скоростью передачи данных и производительностью:
- Некоторые из наших детекторов, включая трассировку расширенных событий с именем
SQLAdvancedThreatProtectionTraffic, запускаются на компьютере для повышения скорости в реальном времени. - Другие детекторы работают в облаке, чтобы не нагружать компьютер сложными вычислительными задачами.
Лабораторные тесты показали, что пиковая загрузка ЦП в среднем находится на уровне 3 % по эталонным нагрузкам. Анализ данных наших от текущих пользователей показывает ничтожное влияние на использование ЦП и памяти.
Разумеется, производительность зависит от среды, компьютеров и нагрузок. Приведенные выше заявления и цифры являются лишь общим ориентиром, а не гарантией для конкретного развертывания.
Дальнейшие действия
Для получения соответствующих сведений см. следующие ресурсы: