你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在计算机上启用适用于 SQL 服务器的 Microsoft Defender
Defender for SQL 通过识别和减少潜在的数据库漏洞以及检测可能表明数据库受到威胁的异常活动来保护 IaaS SQL Server。
当 Defender for Cloud 检测到可疑数据库活动、访问或利用 SQL 计算机的潜在有害尝试、SQL 注入攻击、异常数据库访问和查询模式时,它会填充警报。 按这些事件类型创建的警报将显示在警报参考页上。
Defender for Cloud 使用漏洞评估来发现、跟踪和帮助你修正潜在的数据库漏洞。 评估扫描概述了 SQL 计算机的安全状态并提供了有关任何安全发现结果的详细信息。
计算机上的 Defender for SQL Server 可保护托管在 Azure、多云甚至本地计算机中的 SQL Server。
详细了解虚拟机上的 SQL Server。
对于本地 SQL Server,可以详细了解由 Azure Arc 启用的 SQL Server 以及如何在不带 Azure Arc 的 Windows 计算机上安装 Log Analytics 代理。
对于多云 SQL Server:
可用性
方面 | 详细信息 |
---|---|
发布状态: | 正式发布版 (GA) |
定价: | 定价页上显示了计算机上适用于 SQL 服务器的 Microsoft Defender 的计费方式 |
受保护的 SQL 版本: | SQL Server 版本:2012、2014、2016、2017、2019、2022 - Azure 虚拟机上的 SQL - 已启用 Azure Arc 的服务器上的 SQL Server |
云: | 商用云 Azure 政府 由世纪互联运营的 Microsoft Azure(仅限高级威胁防护) |
在计算机上设置适用于 SQL 服务器的 Microsoft Defender
计算机上的 Defender for SQL Server 计划需要使用 Microsoft Monitoring Agent (MMA) 或 Azure Monitoring Agent (AMA) 来防止攻击和检测错误配置。 该计划的自动预配过程随计划自动启用,并负责配置计划运行所需的所有代理组件。 这包括安装和配置 MMA/AMA、配置工作区以及安装计划的 VM 扩展/解决方案。
Microsoft Monitoring Agent (MMA) 将于 2024 年 8 月停用。 Defender for Cloud 通过发布面向 SQL Server 的 Azure Monitoring Agent (AMA) 自动预配过程以替换设置为弃用的 Microsoft Monitoring Agent (MMA) 过程来更新其策略。 详细了解计算机上的 AMA for SQL Server 自动预配过程以及如何迁移到该版本。
注意
当前使用 Log Analytics 代理/Azure Monitor 代理过程的用户需要迁移到计算机上的 AMA for SQL Server 自动预配过程。
若要在订阅上启用计划:
登录 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
在 Defender for Cloud 菜单中,选择“环境设置”。
选择相关订阅。
在“Defender 计划”页上,找到“数据库”计划并选择“选择类型”。
在“资源类型选择”窗口中,将计划计算机上的 SQL Server 计划切换为“开”。
选择继续。
选择“保存”。
(可选)配置高级自动预配设置:
导航到“环境设置”页面。
选择设置和监视。
- 对于使用新的自动预配过程的客户,请为“计算机上的 Azure Monitoring Agent for SQL Server”组件选择“编辑配置”。
- 对于使用之前的自动预配过程的客户,请为“Log Analytics 代理/Azure Monitor 代理”组件选择“编辑配置”。
若要在已启用 SQL VM/Arc 的 SQL Server 上启用计划:
登录 Azure 门户。
导航到已启用 SQL VM/Arc 的 SQL Server。
在已启用 SQL VM/Arc 的 SQL Server 菜单中的“安全性”下,选择 Microsoft Defender for Cloud。
在“计算机上的 Microsoft Defender for SQL Server”部分中,选择“启用”。
浏览并调查安全警报
可通过多种方式在 Microsoft Defender for Cloud 中查看 Microsoft Defender for SQL 警报:
“警报”页面。
计算机的安全页。
通过警报电子邮件中提供的直接链接。
若要查看警报,请执行以下操作:
登录 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
选择“安全警报”。
选择警报。
警报各自独立,每个警报都包含详细的修正步骤和调查信息。 可以使用其他 Microsoft Defender for Cloud 和 Microsoft Sentinel 功能做进一步的调查,以扩大视角范围:
启用 SQL Server 的审核功能以进一步调查。 如果你是 Microsoft Sentinel 用户,可以将 Windows 安全日志事件中的 SQL 审核日志上传到 Sentinel,并享用丰富的调查体验。 了解有关 SQL Server 审核的详细信息。
为了改善安全态势,请对每个警报中指出的主机使用 Defender for Cloud 的建议,以减少未来攻击风险。
后续步骤
有关详细信息,请参阅以下资源:
- Microsoft Defender for Azure SQL 如何保护任何地方的 SQL 服务器。
- 针对 SQL 数据库和 Azure Synapse Analytics 的安全警报
- 设置安全警报的电子邮件通知
- 详细了解 Microsoft Sentinel
- 查看有关 Defender for Databases 的常见问题 。