Obtenga respuestas a preguntas comunes sobre Microsoft Defender para bases de datos.
Si habilito este plan de Microsoft Defender en mi suscripción, ¿están protegidos todos los servidores SQL Server de la suscripción?
No. Para defender una instancia de SQL Server que se ejecuta en una máquina virtual de Azure o en una máquina habilitada para Azure Arc, Defender for Cloud requiere lo siguiente:
- Un agente de Log Analytics en la máquina.
- El área de trabajo de Log Analytics pertinente para tener habilitado Microsoft Defender for SQL Servers on Machines.
El estado de la suscripción, que se muestra en la página del servidor SQL Server de Azure Portal, refleja el estado predeterminado del área de trabajo y se aplica a todas las máquinas conectadas. Defender for Cloud ayuda a proteger solo los servidores SQL Server en hosts con un agente de Log Analytics que informa a esa área de trabajo.
La implementación de Microsoft Defender for SQL Servers on Machines, ¿tiene un efecto en el rendimiento?
Microsoft Defender for SQL Servers on Machines se centra en la seguridad, pero tiene una arquitectura dividida para equilibrar la carga y velocidad de los datos con el rendimiento:
- Algunos de nuestros detectores, incluido un seguimiento de eventos extendidos denominado
SQLAdvancedThreatProtectionTraffic, se ejecutan en la máquina para ganar velocidad en tiempo real. - Otros se ejecutan en la nube para evitar cargas de cálculo pesadas en la máquina.
Las pruebas de laboratorio de nuestra solución mostraron un promedio de uso de CPU del 3 % para los segmentos máximos al compararlas con las cargas de referencia. Un análisis de nuestros datos de usuario actuales muestra un efecto insignificante en el uso de CPU y memoria.
El rendimiento siempre varía en función de los entornos, máquinas y cargas. Estas declaraciones sirven como guía general, no como garantía para ninguna implementación individual.
He cambiado el área de trabajo de Log Analytics para Defender for SQL Servers on Machines y he perdido todos los resultados del examen y la configuración de líneas base. ¿Qué sucedió?
Los resultados del examen y las líneas base no se almacenan en el área de trabajo de Log Analytics, sino que están vinculados a él. Al cambiar el área de trabajo, se restablecerán los resultados del examen y la configuración de línea base. Sin embargo, si vuelve al área de trabajo original en un plazo de 90 días, se restaurarán los resultados del examen y la configuración de línea de base. Más información.
¿Qué ocurre con los resultados y las líneas de base de examen antiguos después de cambiar a la configuración rápida?
La configuración anterior de los resultados y las líneas de base sigue estando disponible en la cuenta de almacenamiento, pero el sistema no la actualizará ni usará. No es necesario mantener estos archivos para que la evaluación de vulnerabilidades de SQL funcione después de cambiar a la configuración rápida, pero puede mantener las definiciones de las líneas de base anteriores para futuras referencias.
Cuando la configuración rápida está habilitada, no tiene acceso directo a los datos de los resultados ni de las líneas de base porque se almacenan en el almacenamiento interno de Microsoft.
¿Por qué mi instancia de Azure SQL Server está marcada como incorrecta para "Los servidores SQL Server deben tener configurada la evaluación de vulnerabilidades", aunque la he configurado correctamente mediante la configuración clásica?
La directiva detrás de esta recomendación comprueba la existencia de subasessesments para el servidor. Con la configuración clásica, las bases de datos del sistema solo se examinan si existe al menos una base de datos de usuario. Un servidor sin ninguna base de datos de usuario no tendrá exámenes ni resultados de examen notificados, lo que hace que la directiva permanezca en mal estado.
El cambio a una configuración rápida mitiga el problema habilitando exámenes programados y manuales para las bases de datos del sistema.
¿Puedo configurar exámenes periódicos con la configuración rápida?
La configuración rápida configura automáticamente los exámenes periódicos de todas las bases de datos del servidor. Este comportamiento es el predeterminado y no se puede configurar en el nivel de servidor o base de datos.
¿La configuración rápida permite obtener el informe de correo electrónico semanal que se proporciona en la configuración clásica?
Puede usar la automatización del flujo de trabajo y la programación de correo electrónico de Logic Apps; para ello, siga los procesos de Microsoft Defender for Cloud:
- Desencadenadores basados en el tiempo
- Desencadenadores basados en exámenes
- Compatibilidad con las reglas deshabilitadas
¿Por qué ya no puedo establecer directivas de base de datos?
La evaluación de vulnerabilidades de SQL notifica todas las vulnerabilidades y configuraciones incorrectas del entorno, por lo la inclusión de todas las bases de datos resulta de ayuda. Defender for SQL Servers on Machines se factura por servidor, no por base de datos.
¿Puedo volver a la configuración clásica?
Sí. Puede volver a la configuración clásica mediante las API de REST existentes y los cmdlets de PowerShell. Cuando se vuelve a la configuración clásica, aparece una notificación en Azure Portal para cambiar a la configuración rápida.
¿La configuración rápida estará disponible para otros tipos de SQL?
Permanezca atento para obtener actualizaciones sobre el tema.
¿Puedo elegir qué experiencia es la predeterminada?
No. La configuración rápida es la predeterminada para cada nueva base de datos de Azure SQL compatible.
¿Cambia el comportamiento del examen al cambiar a la configuración rápida?
No, la configuración rápida proporciona el mismo comportamiento y rendimiento de examen.
¿La configuración rápida influye en los precios?
La configuración rápida no requiere una cuenta de almacenamiento, por lo que no es necesario pagar cargos de almacenamiento adicionales a menos que decida conservar los datos antiguos de exámenes y líneas de base.
¿Qué significa el límite de 1 MB por regla?
Ninguna regla individual puede generar resultados de más de 1 MB. Cuando los resultados de la regla alcanzan ese límite, se detienen. No se puede establecer una línea de base para la regla, la regla no se incluye en el estado general de la recomendación y los resultados se muestran como No aplicable.
Después de habilitar Microsoft Defender for SQL Servers on Machines, ¿cuánto tiempo tengo que esperar para ver una implementación correcta?
Se tarda aproximadamente 30 minutos en actualizar el estado de protección a través de la extensión del agente de IaaS de SQL, suponiendo que se cumplan todos los requisitos previos.
¿Cómo puedo comprobar que mi implementación de Defender for SQL Servers on Machines finalizó correctamente y que mi base de datos está ahora protegida?
- En Azure Portal, busque la base de datos en la barra de búsqueda superior.
- En Seguridad, seleccione Microsoft Defender for Cloud.
- Compruebe el Estado de protección. Si el estado es Protegido, la implementación se realizó correctamente.
¿Cuál es el propósito de la identidad administrada creada durante el proceso de instalación en máquinas virtuales de Azure SQL?
La identidad administrada forma parte de Azure Policy, que inserta el agente de Azure Monitor. El agente de Azure Monitor usa la identidad administrada para acceder a la base de datos, para poder recopilar los datos y enviarlos a través del área de trabajo de Log Analytics a Defender for Cloud. Para más información sobre el uso de la identidad administrada, consulte Ejemplos de plantillas de Resource Manager para agentes en Azure Monitor.
¿Puedo usar mi propia DCR o identidad administrada en lugar de la que crea Defender for Cloud?
Sí. Le permitimos traer su propia regla de recopilación de datos o identidad (DCR) mediante solo el script descrito en Habilitar Microsoft Defender for SQL Servers on Machines.
¿Cuántos grupos de recursos y áreas de trabajo de Log Analytics crea el proceso de aprovisionamiento automático?
De forma predeterminada, creamos el grupo de recursos, el área de trabajo y DCR por región que tiene la máquina SQL. Si elige la opción área de trabajo personalizada, solo se crea un grupo de recursos o DCR en la misma ubicación que el área de trabajo.
¿Cómo se pueden habilitar servidores SQL Server en máquinas con el agente de Azure Monitor a escala?
Para ver cómo habilitar el aprovisionamiento automático de Microsoft Defender for SQL Servers on Machines en varias suscripciones simultáneamente, consulte Habilitar Microsoft Defender for SQL Servers on Machines a escala. Se aplica a servidores SQL Server hospedados en máquinas virtuales de Azure, servidores SQL Server hospedados en entornos locales y servidores SQL Server habilitados para Azure Arc.
¿Qué tablas se usan en un área de trabajo de Log Analytics con el agente de Azure Monitor?
Defender for SQL Servers on Machines (para máquinas virtuales SQL y servidores SQL Server habilitados para Azure Arc) usa el área de trabajo de Log Analytics para transferir datos de la base de datos al portal de Defender for Cloud. No se guarda ningún dato localmente en el área de trabajo de Log Analytics. Las tablas del área de trabajo de Log Analytics denominadas SQLAtpStatus y SqlVulnerabilityAssessmentScanStatus se retirarán cuando Microsoft Monitor Agent esté en desuso. Puede ver el estado de la protección contra amenazas y las evaluaciones de vulnerabilidades en el portal de Defender for Cloud.
¿Cómo recopila Defender for SQL Servers on Machines los registros de SQL Server?
Defender for SQL Servers on Machines usa eventos extendidos, a partir de SQL Server 2017. En versiones anteriores de SQL Server, Defender for SQL Servers on Machines recopila los registros mediante los registros de auditoría de SQL Server.
¿La presencia de un parámetro denominado enableCollectionOfSqlQueriesForSecurityResearch en la iniciativa de directiva significa que mis datos se recopilan para su análisis?
El parámetro enableCollectionOfSqlQueriesForSecurityResearch no está en uso actualmente. Su valor predeterminado es false. A menos que usted cambie de forma proactiva el valor, permanece como false. Este parámetro no produce resultado alguno.