你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for SQL
适用于: Azure SQL 数据库 Azure SQL 托管实例 Azure Synapse Analytics
Microsoft Defender for SQL 是 Microsoft Defender for Cloud 中的 Defender 计划。 Microsoft Defender for SQL 包括特定的功能,该功能用于呈现和减少潜在数据库漏洞以及检测可能表明存在对数据库的威胁的异常活动。 它提供用于启用和管理这些功能的一个转到位置。
Microsoft Defender for SQL 有哪些优点?
Microsoft Defender for SQL 提供一组高级 SQL 安全功能,其中包括 SQL 漏洞评估和高级威胁防护。
- 漏洞评估是一项易于配置的服务,可以发现、跟踪并帮助修正潜在的数据库漏洞。 它可用于直观查看安全状态,包括解决安全问题的可操作步骤,并可加强数据库的防御工事。
- 高级威胁防护检测异常活动,指出尝试访问或利用数据库的行为异常且可能有害。 它连续监视数据库中的可疑活动,并针对潜在漏洞、Azure SQL 注入攻击和异常数据库访问模式提供即时安全警报。 高级威胁防护警报提供可疑活动的详细信息,并建议如何调查和缓解威胁。
启用 Microsoft Defender for SQL 一次即可启用所有包含的功能。 只需选中,便可以为 Azure 或 SQL 托管实例中的服务器上的所有数据库启用 Microsoft Defender。 需要属于 SQL 安全管理员角色,或者数据库或服务器管理员角色之一,才能启用或管理 Microsoft Defender for SQL 设置。
有关 Microsoft Defender for SQL 定价的详细信息,请参阅 Microsoft Defender for Cloud 定价页。
启用 Microsoft Defender for SQL
可通过多种方式启用 Microsoft Defender 计划。 可通过以下方式之一在订阅级别启用(建议):
- 在 Azure 门户的 Microsoft Defender for Cloud 中启用
- 使用 REST API、Azure CLI、PowerShell 或 Azure Policy 以编程方式启用
也可根据在资源级别启用 Microsoft Defender for Azure SQL Database 中所述在资源级别启用它。
在订阅级别启用时,Azure SQL 数据库和 Azure SQL 托管实例中的所有数据库都受保护。 然后可以单独禁用它们(如果选择这样做)。 如果要对哪些数据库受保护进行手动管理,请先在订阅级别禁用,然后再启用要受保护的每个数据库。
在 Microsoft Defender for Cloud 中的订阅级别启用 Microsoft Defender for Azure SQL Database
若要在 Microsoft Defender for Cloud 的订阅级别为 Azure SQL 数据库启用 Azure Defender,请执行以下操作:
在 Azure 门户中打开“Defender for Cloud”。
在 Defender for Cloud 的菜单中,选择“环境设置”。
选择相关订阅。
将计划设置更改为“打开”。
选择“保存”。
以编程方式启用 Microsoft Defender 计划
Azure 的灵活性允许使用多种编程方法来启用 Microsoft Defender 计划。
可使用以下任一方法来为订阅启用 Microsoft Defender:
方法 | 说明 |
---|---|
REST API | 定价 API |
Azure CLI | az security 定价 |
PowerShell | Set-AzSecurityPricing |
Azure Policy | 捆绑定价 |
在资源级别为 Azure SQL 数据库启用 Microsoft Defender
建议在订阅级别启用 Microsoft Defender 计划,以便自动保护新资源。 但是,如果你的组织有理由要在服务器级别启用 Microsoft Defender,请使用以下步骤:
在 Azure 门户中打开你的服务器或托管实例。
在“安全性”标题下,选择 Defender for Cloud 。
选择“启用 Microsoft Defender for SQL”。
注意
系统会自动创建一个存储帐户用于存储漏洞评估的扫描结果。 如果已为同一资源组和区域中的另一台服务器启用 Microsoft Defender,则使用现有存储帐户。
Microsoft Defender for SQL 的成本遵循每个节点的 Microsoft Defender for SQL“标准”层级定价,其中节点是整个 SQL 数据库服务器或托管实例。 因此,仅需支付一次,即可使用 Microsoft Defender for SQL 保护服务器或托管实例上的所有数据库。 可以通过免费试用版来评估 Microsoft Defender for Cloud。
管理 Microsoft Defender for SQL 设置
若要查看和管理 Microsoft Defender for SQL 设置,请执行以下操作:
从服务器或托管实例的“安全性”区域,选择“Defender for Cloud” 。
在此页面上,你会看到 Microsoft Defender for SQL 的状态(已禁用或已启用):
如果启用了 Microsoft Defender for SQL,你会看到一个配置链接,如上图所示。 若要编辑 Microsoft Defender for SQL 的设置,请选择“配置”。
进行必要的更改并选择“保存”。
后续步骤
- 详细了解漏洞评估
- 详细了解高级威胁防护
- 详细了解 Microsoft Defender for Cloud