啟用機器上適用於 SQL 伺服器的 Microsoft Defender

此 Microsoft Defender 方案會偵測異常活動,並指出 SQL 伺服器上不尋常或可能有害的存取嘗試,或惡意探索資料庫。

有可疑的資料庫活動、潛在弱點或 SQL 插入式攻擊,以及異常的資料庫存取和查詢模式時,您將會看到警示。

機器上適用於 SQL 的 Microsoft Defender 伺服器會延伸 Azure 原生 SQL 伺服器的保護,完整支援混合式環境,並保護裝載於 Azure、多重雲端環境,乃至內部部署機器的 SQL 伺服器:

此方案包含下列功能:識別並減輕潛在資料庫弱點,及偵測可能表示資料庫面臨威脅的異常活動。

弱點評量服務會探索、追蹤和協助您補救潛在的資料庫弱點。 評量掃描可讓您概略了解 SQL 機器的安全性狀態,並提供任何安全性結果的詳細資料。

深入了解機器上 Azure SQL 伺服器的弱點評量

可用性

層面 詳細資料
版本狀態: 公開上市 (GA)
定價: 適用於電腦上 SQL Server 的 Microsoft Defender 計費方式如定價頁面上所示
受保護的 SQL 版本: Microsoft 目前支援的 SQL Server 版本
- Azure 虛擬機器上的 SQL
- 已啟用 Azure Arc 的伺服器上的 SQL Server
- 不使用 Azure Arc 的 Windows 機器內部部署 SQL Server
雲端: 商業雲端
Azure Government
Azure China 21Vianet

設定適用於電腦上 SQL Server 的 Microsoft Defender

若要啟用此方案:

步驟 1: 安裝代理程式延伸模組

步驟 2: 在您的 SQL Server 主機上佈建 Log Analytics 代理程式:

步驟 3: 在適用於雲端的 Defender 環境設定頁面中啟用選擇性方案:

步驟 1: 安裝代理程式延伸模組

步驟 2: 在您的 SQL Server 主機上佈建 Log Analytics 代理程式:

  • azure VM 上的SQL Server - 如果您的 SQL 機器裝載于 Azure VM 上,您可以自訂 Log Analytics 代理程式設定

  • 已啟用 Azure Arc 之伺服器上的 SQL Server - 如果您的 SQL Server 是由已啟用 Azure Arc 的伺服器管理,您可以使用適用於雲端的 Defender 建議「Log Analytics 代理程式應該安裝在您的 Windows 型 Azure Arc 電腦上 (預覽)」來部署 Log Analytics 代理程式。

  • 內部部署 SQL Server - 如果您的 SQL Server 裝載於不使用 Azure Arc 的內部部署 Windows 電腦,您可以透過下列其中一個方式,連線機器與 Azure:

    • 部署 Azure Arc - 您可以將任何 Windows 電腦連線到適用於雲端的 Defender。 不過,Azure Arc 可讓您在「所有」Azure 環境中進行更深入的整合。 如果您設定 Azure Arc,您將在入口網站中看到 [SQL Server – Azure Arc] 頁面,而且您的安全性警示會顯示在該頁面的專用 [安全性] 索引標籤上。 因此,第一個建議選項是在主機上設定 Azure Arc,並遵循上述 Azure Arc 上的 SQL Server 指示。

    • 連線到沒有 Azure Arc 的 Windows 電腦 - 如果您選擇連線到不使用 Azure Arc 之 Windows 電腦上執行的 SQL Server,請遵循將 Windows 電腦連線到 Azure 監視器中的指示。

步驟 3: 在適用於雲端的 Defender 環境設定頁面中啟用選擇性方案:

  1. 從適用於雲端的 Defender 功能表,開啟 [環境設定] 頁面。

    • 如果您使用適用於雲端的 Microsoft Defender 預設工作區 (名為「預設工作區-<您的訂閱識別碼>-<區域>」),請選取相關的訂閱

    • 如果您使用 非預設工作區,請選取相關的工作區 (視需要在篩選中輸入工作區的名稱)。

  2. 將 [適用於電腦上 SQL Server 的 Microsoft Defender] 方案選項設定為 [開啟]。

    適用於雲端的 Microsoft Defender 中 [Defender 方案] 頁面的螢幕擷取畫面,其中包含選擇性方案。

    此方將會在連線到所選工作區的所有 SQL Server 上啟用。 第一次重新啟動 SQL Server 執行個體之後,保護就會處於完全作用中。

    秘訣

    若要建立新的工作區,請遵循建立 Log Analytics 工作區中的指示。

  3. 選擇性地設定安全性警示的電子郵件通知。

    您可以設定收件者清單,以在產生適用於雲端的 Defender 警示時收到電子郵件通知。 電子郵件包含適用於雲端的 Microsoft Defender 中警示的直接連結,其中包含所有相關詳細資料。 如需詳細資訊,請參閱設定安全性警示的電子郵件通知

適用於 SQL 的 Microsoft Defender 警示

當有人以不尋常且可能有害的方式嘗試存取或惡意探索 SQL 電腦時,就會產生警示。 這些事件可能會觸發警示參考頁面中顯示的警示。

探索和調查安全性警示

以下提供使用適用於 SQL 的 Microsoft Defender 警示:

  • 適用于雲端的 Defender 安全性警示頁面
  • 機器的安全性頁面
  • 工作負載保護儀表板
  • 透過警示電子郵件中的直接連結

檢視警示:

  1. 從適用於雲端的 Defender 功能表選取 [安全性警示],然後選取警示。

  2. 警示設計成獨立式,每個警示都有詳細的補救步驟和調查資訊。 您可以使用其他適用於雲端的 Microsoft Defender 和 Microsoft Sentinel 功能取得更廣泛的檢視,以進一步調查:

    • 啟用 SQL Server 的稽核功能以進一步調查。 如果您是 Microsoft Sentinel 使用者,您可以將 SQL 稽核記錄從 Windows 安全性記錄檔事件上傳至 Sentinel,並享受豐富的調查體驗。 深入了解 SQL Server 稽核

    • 若要改善安全性態勢,請針對每個警示中指出的主機電腦,使用適用於雲端的 Defender 建議,降低日後攻擊的風險。

    深入了解如何管理和回應警示

常見問題集 - 適用於電腦上 SQL Server 的 Microsoft Defender

如果我在訂閱上啟用此 Microsoft Defender 方案,訂閱上的所有 SQL Server 是否都會受到保護?

不會。 若要保護 Azure 虛擬機器上的 SQL Server 部署,或已啟用 Azure Arc 的機器上執行的 SQL Server,適用於雲端的 Defender 需要下列項目:

  • 電腦上的 Log Analytics 代理程式
  • 要啟用適用於 SQL 之 Microsoft Defender 解決方案的相關 Log Analytics 工作區

Azure 入口網站 SQL Server 頁面中顯示的訂閱「狀態」會反映預設工作區狀態,並套用至所有已連線的電腦。 只有主機上具有該工作區 Log Analytics 代理程式報告功能的 SQL Server 會受到適用於雲端的 Defender 保護。

在機器上部署適用於 Azure SQL 的 Microsoft Defender 會影響效能嗎?

機器上適用於 SQL 的 Microsoft Defender 的重點顯然是安全性。 但我們也關心您的企業,所以我們已提高效能的優先順序,確保將 SQL Server 的影響降到最低。

此服務使用分割結構,可平衡資料上傳和效能速度:

  • 我們部分的偵測器 (包括名為 SQLAdvancedThreatProtectionTraffic延伸事件追蹤) 會在機器上執行,享有即時速度的優點。
  • 其他偵測器則在雲端執行,免除機器大量的計算負載。

我們的解決方案實驗室測試顯示尖峰配量的 CPU 使用量平均為 3% (相較於基準負載)。 我們目前的使用者資料分析顯示服務對 CPU 和記憶體使用量的影響微乎其微。

但不消說,效能一律因環境、機器和負載而異。 前文的說明和數字提供作為一般指南,不為任何個別部署背書。

下一步

如需相關資訊,請參閱以下資源: