Защита SQL Server с помощью Microsoft Defender для облака

Область применения: SQL Server

Экземпляр SQL Server, включенный Azure Arc, можно настроить с помощью Microsoft Defender для облака, выполнив следующие действия.

Необходимые компоненты

• Экземпляр SQL Server под управлением Windows должен быть подключен к Azure. Следуйте инструкциям по подключению SQL Server к Azure Arc.

  Примечание.

  Microsoft Defender для облака поддерживается только для экземпляров SQL Server на компьютерах Windows. Он не будет работать для SQL Server на компьютерах Linux.

• Вашей учетной записи должна быть назначена одна из ролей Центра безопасности (RBAC)

Создание рабочей области Log Analytics

1. Найдите тип ресурса Рабочие области Log Analytics и добавьте новый такой ресурс с помощью панели создания.

   Примечание.

   Вы можете использовать рабочую область Log Analytics в любом регионе, в том числе уже имеющуюся у вас область. Но мы рекомендуем создать его в том же регионе, где создается сервер SQL Server, включенный ресурсом Azure Arc.

2. Перейдите в раздел Управление агентами > Инструкции агента Log Analytics и скопируйте идентификатор рабочей области и первичный ключ для последующего использования.

Установка агента Log Analytics

Следующий шаг необходим, только если вы еще не настроили MMA на удаленном компьютере.

1. Перейдите в раздел Azure Arc > Серверы и откройте ресурс сервера с поддержкой Azure Arc для компьютера, на котором установлен экземпляр SQL Server.

2. Откройте панель расширений и нажмите кнопку +Добавить.

3. Выберите Агент Log Analytics — Azure Arc и нажмите кнопку Далее.

4. Укажите идентификатор и ключ рабочей области, используя значения, сохраненные на предыдущем шаге.

5. После успешной проверки выберите Создать, чтобы установить агент. После завершения развертывания состояние изменится на Выполнено.

Дополнительные сведения см. в документе Управление расширениями с помощью Azure Arc.

Включение Microsoft Defender для облака

1. Перейдите на серверы SQL Server с поддержкой Azure Arc и откройте ресурс SQL Server с поддержкой Azure Arc > для экземпляра, который требуется защитить.

2. Щелкните плитку Microsoft Defender для облака. Если состояние включения отображается "Отключено" на уровне подписки, выполните действия, описанные в разделе "Включить Microsoft Defender для серверов SQL" на компьютерах.

Примечание.

Первое сканирование для создания оценки уязвимостей выполняется в течение 24 часов после включения Microsoft Defender для облака. После этого автоматическое сканирование происходит каждую неделю по воскресеньям.

Анализ

Анализируйте аномалии и угрозы безопасности в Центре безопасности Azure.

1. Откройте sql Server — ресурс Azure Arc и выберите Microsoft Defender для облака в разделе параметров меню слева. чтобы просмотреть рекомендации и оповещения для этого экземпляра SQL Server.

   

2. Выберите любую из рекомендаций, чтобы просмотреть сведения об уязвимости.

   

3. Выберите любое оповещение системы безопасности для получения полных сведений и изучите атаку. На следующей схеме представлен пример потенциального оповещения об внедрении SQL.

   

4. Выберите Принять меры для устранения указанной в оповещении проблемы.

   

Следующие шаги

• Автоматическое подключение SQL Server к Azure Arc
• Вы можете подробнее анализировать оповещения системы безопасности и атаки с помощью Azure Sentinel. Дополнительные сведения см. в статье о подключении Azure Sentinel.