Freigeben über


Aktivieren von Microsoft Defender für SQL Server-Instanzen auf Computern im großen Stil

Die Komponente für SQL Server-Instanzen von Microsoft Defender for Cloud auf Computern des Defender for Databases-Plans schützt Erweiterungen für SQL-IaaS und Defender für SQL. Die Komponente für SQL Server-Instanzen auf Computern identifiziert und entschärft potenzielle Sicherheitsrisiken für Datenbanken und erkennt anomale Aktivitäten, die auf Bedrohungen für Ihre Datenbanken hinweisen können.

Wenn Sie die Komponente für SQL Server auf Computern des Defender for Databases-Plans aktivieren, wird der Prozess für die automatische Bereitstellung automatisch initiiert. Der Prozess zur automatischen Bereitstellung installiert und konfiguriert alle Komponenten, die für den Plan erforderlich sind, einschließlich Azure Monitor-Agent (AMA), SQL-IaaS-Erweiterung und Defender for SQL-Erweiterungen. Der Prozess für die automatische Bereitstellung richtet auch die Arbeitsbereichskonfiguration, Datensammlungsregeln, Identität (falls erforderlich) und die SQL-IaaS-Erweiterung ein.

Auf dieser Seite wird erläutert, wie Sie den Prozess für die automatische Bereitstellung für Defender für SQL mithilfe eines PowerShell-Skripts für mehrere Abonnements gleichzeitig aktivieren können. Dieser Prozess gilt für SQL Server-Instanzen, die auf Azure-VMs gehostet werden, für lokale Umgebungen und SQL Server-Instanzen mit Azure Arc-Unterstützung. In diesem Artikel wird auch erläutert, wie Sie zusätzliche Funktionen nutzen können, die für verschiedene Konfigurationen geeignet sind, z. B:

  • Benutzerdefinierte Datensammlungsregeln

  • Benutzerdefinierte Identitätsverwaltung

  • Standardmäßige Arbeitsbereichsintegration

  • Benutzerdefinierte Arbeitsbereichskonfiguration

Voraussetzungen

PowerShell-Skriptparameter und Beispiele

Das PowerShell-Skript, das Microsoft Defender für SQL auf Computern in einem bestimmten Abonnement aktiviert, verfügt über mehrere Parameter, die Sie an Ihre Anforderungen anpassen können. In der folgenden Tabelle sind die Parameter und ihre Beschreibungen aufgeführt.

Parametername Erforderlich Beschreibung
SubscriptionId: Erforderlich Die Azure-Abonnement-ID, für die Sie Defender für SQL-Server auf Computern aktivieren möchten
RegisterSqlVmAgnet Erforderlich Ein Flag, das angibt, ob der SQL-VM-Agent per Massenvorgang registriert werden soll.

Weitere Informationen finden Sie unter Registrieren mehrerer SQL Server-VMs mit der SQL-IaaS-Agent-Erweiterung in Azure.
WorkspaceResourceId Optional Die Ressourcen-ID des Log Analytics-Arbeitsbereichs, wenn Sie einen benutzerdefinierten Arbeitsbereich anstelle des Standardarbeitsbereichs verwenden möchten
DataCollectionRuleResourceId Optional Die Ressourcen-ID der Datensammlungsregel, wenn Sie eine benutzerdefinierte DCR (Data Collection Rule, Datensammlungsregel) anstelle der Standardregel verwenden möchten
UserAssignedIdentityResourceId Optional Die Ressourcen-ID der benutzerseitig zugewiesenen Identität, wenn Sie anstelle der Standardidentität eine benutzerdefinierte benutzerseitig zugewiesene Identität verwenden möchten

Das folgende Beispielskript gilt, wenn Sie einen standardmäßigen Log Analytics-Arbeitsbereich, eine Datensammlungsregel und eine verwaltete Identität verwenden.

Write-Host "------ Enable Defender for SQL on Machines example ------" 
$SubscriptionId = "<SubscriptionID>"
.\EnableDefenderForSqlOnMachines.ps1 -SubscriptionId $SubscriptionId -RegisterSqlVmAgnet $RegisterSqlVmAgnet 

Das folgende Beispielskript gilt, wenn Sie einen benutzerdefinierten Log Analytics-Arbeitsbereich, eine Datensammlungsregel und eine verwaltete Identität verwenden.

Write-Host "------ Enable Defender for SQL on Machines example ------" 
$SubscriptionId = "<SubscriptionID>" 
$RegisterSqlVmAgnet = "false" 
$WorkspaceResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someResourceGroup/providers/Microsoft.OperationalInsights/workspaces/someWorkspace" 
$DataCollectionRuleResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someOtherResourceGroup/providers/Microsoft.Insights/dataCollectionRules/someDcr" 
$UserAssignedIdentityResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someElseResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/someManagedIdentity" 
.\EnableDefenderForSqlOnMachines.ps1 -SubscriptionId $SubscriptionId -RegisterSqlVmAgnet $RegisterSqlVmAgnet -WorkspaceResourceId $WorkspaceResourceId -DataCollectionRuleResourceId $DataCollectionRuleResourceId -UserAssignedIdentityResourceId $UserAssignedIdentityResourceId

Aktivieren von Defender for SQL-Server auf Computern im großen Stil

Sie können Defender für SQL-Server auf Computern im großen Stil aktivieren, indem Sie die folgenden Schritte ausführen:

  1. Öffnen Sie ein PowerShell-Fenster.

  2. Kopieren Sie das Skript EnableDefenderForSqlOnMachines.ps1.

  3. Fügen Sie das Skript in PowerShell ein.

  4. Geben Sie bei Bedarf Parameterinformationen ein.

  5. Führen Sie das Skript aus.

Nächster Schritt