Ermitteln und Beseitigen von Sicherheitsrisiken in Ihren Azure SQL-Datenbank-Instanzen

Microsoft Defender for Cloud bietet für Ihre Azure SQL-Datenbank-Instanzen eine Sicherheitsrisikobewertung. Die Sicherheitsrisikobewertung überprüft Ihre Datenbanken auf Softwarerisiken und stellt eine Liste der Ergebnisse bereit. Sie können mithilfe der Ergebnisse Sicherheitsrisiken in der Software beheben und Ergebnisse deaktivieren.

Voraussetzungen

Überzeugen Sie sich davon, ob Sie die Express- oder klassische Konfiguration verwenden, ehe Sie fortfahren.

So prüfen Sie die verwendete Konfiguration

1. Öffnen Sie im Azure-Portal die spezifische Ressource in Azure SQL-Datenbank, SQL Managed Instance-Datenbank oder Azure Synapse.
2. Wählen Sie unter der Überschrift Sicherheit die Option Defender für Cloud aus.
3. Wählen Sie im Bereich Aktivierungsstatus den Befehl Konfigurieren aus, um den Einstellungsbereich von Microsoft Defender for SQL für den gesamten Server oder die verwaltete Instanz zu öffnen.

Wenn die Sicherheitsrisikoeinstellungen die Option zum Konfigurieren eines Speicherkontos enthalten, verwenden Sie die klassische Konfiguration. Falls nicht, verwenden Sie die Expresskonfiguration.

Ermitteln von Sicherheitsrisiken in Ihren Azure SQL-Datenbank-Instanzen

Express-Konfiguration

Berechtigungen

Eine der folgenden Berechtigungen ist erforderlich, um Ergebnisse der Sicherheitsrisikobewertung in der Empfehlung von Microsoft Defender for Cloud für SQL-Datenbanken anzuzeigen, deren gefundene Sicherheitslücken behoben werden sollten:

• Sicherheitsadministrator
• Sicherheitsleseberechtigter

Die folgenden Berechtigungen sind erforderlich, um Änderungen an den Einstellungen für die Sicherheitsrisikobewertung vorzunehmen:

• SQL-Sicherheits-Manager

Wenn Sie automatische E-Mails mit Links zu Überprüfungsergebnissen erhalten, sind die folgenden Berechtigungen erforderlich, um auf die Links zu diesen Ergebnissen zugreifen oder sie auf Ressourcenebene anzeigen zu können:

• SQL-Sicherheits-Manager

Datenresidenz

Bei der SQL-Sicherheitsrisikobewertung wird die SQL Server-Instanz mithilfe öffentlich verfügbarer Abfragen gemäß den Defender for Cloud-Empfehlungen für die SQL-Sicherheitsrisikobewertung abgefragt, und die Abfrageergebnisse werden gespeichert. Daten von SQL-Sicherheitsrisikobewertungen werden am Speicherort des logischen Servers gespeichert, der dafür konfiguriert ist. Wenn der Benutzer beispielsweise die Sicherheitsrisikobewertung auf einem logischen Server in „Europa, Westen“ aktiviert hat, werden die Ergebnisse in „Europa, Westen“ gespeichert. Diese Daten werden nur gesammelt, wenn die Lösung zur SQL-Sicherheitsrisikobewertung auf dem logischen Server konfiguriert ist.

Bedarfsgesteuerte Überprüfungen auf Sicherheitsrisiken

Sie können Überprüfungen zur SQL-Sicherheitsrisikobewertung bedarfsgesteuert ausführen:

1. Wählen Sie auf der Seite Defender für Cloud der Ressource die Option Zusätzliche Ergebnisse in der Sicherheitsrisikobewertung anzeigen aus, um auf die Überprüfungsergebnisse früherer Überprüfungen zuzugreifen.

   

2. Um eine bedarfsgesteuerte Überprüfung auszuführen, um Ihre Datenbank auf Sicherheitsrisiken zu überprüfen, wählen Sie Überprüfen auf der Symbolleiste aus:

   

Hinweis

Die Überprüfung belastet die Ressourcen nicht und ist sicher. Die Ausführung dauert nur wenige Sekunden und ist vollständig schreibgeschützt. Es werden keine Änderungen an Ihrer Datenbank vorgenommen.

Sicherheitsrisiken beheben

Nachdem eine Sicherheitsrisikoüberprüfung abgeschlossen wurde, wird der Bericht im Azure-Portal angezeigt. Der Bericht zeigt Folgendes an:

• Eine Übersicht über Ihren Sicherheitsstatus
• Die Anzahl der gefundenen Probleme
• Eine Zusammenfassung nach Schweregrad der Risiken
• Eine Liste der Ergebnisse für weitere Untersuchungen

So beheben Sie die ermittelten Sicherheitsrisiken:

1. Werten Sie Ihre Ergebnisse aus, und bestimmen Sie, welche Ergebnisse im Bericht echte Sicherheitsprobleme für Ihre Umgebung sind.

2. Wählen Sie jedes Fehlerergebnis aus, um seine Auswirkungen und den Grund für den Fehler bei der Sicherheitsüberprüfung zu verstehen.

   Tipp

   Auf der Seite mit den Ergebnisdetails finden Sie Informationen zur Problembehebung.

   

   

3. Bei der Überprüfung Ihrer Bewertungsergebnisse können Sie bestimmte Ergebnisse als akzeptable Baseline für Ihre Umgebung markieren. Eine Baseline ist im Wesentlichen eine Anpassung der Art, in der die Ergebnisse berichtet werden. Wenn Ergebnisse in nachfolgenden Überprüfungen mit der Baseline übereinstimmen, wird dies als Bestehen gewertet. Nach dem Festlegen des Baselinesicherheitsstatus meldet die Sicherheitsrisikobewertung nur noch Abweichungen von der Baseline. Dadurch können Sie sich auf die relevanten Probleme konzentrieren.

   

4. Alle Ergebnisse, die Sie der Baseline hinzugefügt haben, werden jetzt unter Bestanden mit der Angabe angezeigt, dass sie aufgrund der Baselineänderungen bestanden haben. Es ist nicht erforderlich, eine weitere Überprüfung auszuführen, damit die Baseline wirksam wird.

   

Ihre Sicherheitsrisikobewertung kann nun verwendet werden, um sicherzustellen, dass Ihre Datenbank über ein hohes Maß an Sicherheit verfügt und dass die Organisationsrichtlinien erfüllt werden.

Klassische Konfiguration

Berechtigungen

Eine der folgenden Berechtigungen ist erforderlich, um Ergebnisse der Sicherheitsrisikobewertung in der Empfehlung von Microsoft Defender for Cloud für SQL-Datenbanken anzuzeigen, deren gefundene Sicherheitslücken behoben werden sollten:

• Sicherheitsadministrator
• Sicherheitsleseberechtigter

Die folgenden Berechtigungen sind erforderlich, um Änderungen an den Einstellungen für die Sicherheitsrisikobewertung vorzunehmen:

• SQL-Sicherheits-Manager
• Leser von Speicherblobdaten
• Besitzerrolle für das Speicherkonto

Um Links in E-Mail-Benachrichtigungen für Überprüfungsergebnisse zu öffnen oder Überprüfungsergebnisse auf Ressourcenebene anzuzeigen, sind die folgenden Berechtigungen erforderlich:

• SQL-Sicherheits-Manager
• Leser von Speicherblobdaten

Datenresidenz

Bei der SQL-Sicherheitsrisikobewertung wird die SQL Server-Instanz mithilfe öffentlich verfügbarer Abfragen gemäß den Defender for Cloud-Empfehlungen für die SQL-Sicherheitsrisikobewertung abgefragt, und die Abfrageergebnisse werden gespeichert. Die Daten werden im konfigurierten benutzereigenen Speicherkonto gespeichert.

Mit der SQL-Sicherheitsrisikobewertung können Sie die Region angeben, in der Ihre Daten gespeichert werden, indem Sie den Standort des Speicherkontos auswählen. Der Benutzer ist für die Sicherheit und Datenresilienz des Speicherkontos verantwortlich.

Ausführen bedarfsgesteuerter Überprüfungen auf Sicherheitsrisiken

Sie können Überprüfungen zur SQL-Sicherheitsrisikobewertung bedarfsgesteuert ausführen:

1. Wählen Sie auf der Seite Defender für Cloud der Ressource die Option Zusätzliche Ergebnisse in der Sicherheitsrisikobewertung anzeigen aus, um auf die Überprüfungsergebnisse früherer Überprüfungen zuzugreifen.

   

2. Um eine bedarfsgesteuerte Überprüfung auszuführen, um Ihre Datenbank auf Sicherheitsrisiken zu überprüfen, wählen Sie Überprüfen auf der Symbolleiste aus:

   

Hinweis

Die Überprüfung belastet die Ressourcen nicht und ist sicher. Die Ausführung dauert nur wenige Sekunden und ist vollständig schreibgeschützt. Es werden keine Änderungen an Ihrer Datenbank vorgenommen.

Sicherheitsrisiken beheben

Nachdem eine Sicherheitsrisikoüberprüfung abgeschlossen wurde, wird der Bericht im Azure-Portal angezeigt. Der Bericht zeigt Folgendes an:

• Eine Übersicht über Ihren Sicherheitsstatus
• Die Anzahl der gefundenen Probleme
• Eine Zusammenfassung nach Schweregrad der Risiken
• Eine Liste der Ergebnisse für weitere Untersuchungen

So beheben Sie die ermittelten Sicherheitsrisiken:

1. Werten Sie Ihre Ergebnisse aus, und bestimmen Sie, welche Ergebnisse im Bericht echte Sicherheitsprobleme für Ihre Umgebung sind.

2. Wählen Sie jedes Fehlerergebnis aus, um seine Auswirkungen und den Grund für den Fehler bei der Sicherheitsüberprüfung zu verstehen.

   Tipp

   Auf der Seite mit den Ergebnisdetails finden Sie Informationen zur Problembehebung.

   

   

3. Bei der Überprüfung Ihrer Bewertungsergebnisse können Sie bestimmte Ergebnisse als akzeptable Baseline für Ihre Umgebung markieren. Eine Baseline ist im Wesentlichen eine Anpassung der Art, in der die Ergebnisse berichtet werden. Wenn Ergebnisse in nachfolgenden Überprüfungen mit der Baseline übereinstimmen, wird dies als Bestehen gewertet. Nach dem Festlegen des Baselinesicherheitsstatus meldet die Sicherheitsrisikobewertung nur noch Abweichungen von der Baseline. Dadurch können Sie sich auf die relevanten Probleme konzentrieren.

   

4. Wenn Sie die Baselines ändern, verwenden Sie die Schaltfläche Überprüfen, um eine bedarfsgesteuerte Überprüfung auszuführen und den angepassten Bericht anzuzeigen. Alle Ergebnisse, die Sie der Baseline hinzugefügt haben, werden jetzt unter Bestanden mit der Angabe angezeigt, dass sie aufgrund der Baselineänderungen bestanden haben.

   

Ihre Sicherheitsrisikobewertung kann nun verwendet werden, um sicherzustellen, dass Ihre Datenbank über ein hohes Maß an Sicherheit verfügt und dass die Organisationsrichtlinien erfüllt werden.

Nächste Schritte

• Erfahren Sie mehr zu Microsoft Defender for Azure SQL.
• Informieren Sie sich ausführlicher über die Datenermittlung und -klassifizierung.
• Erfahren Sie mehr über das Speichern der Ergebnisse von Überprüfungen zur Sicherheitsrisikobewertung in einem Speicherkonto, auf das hinter Firewalls und VNets zugegriffen werden kann.