Habilitación de Microsoft Defender para servidores SQL Server en máquinas a gran escala
Los servidores SQL Server de Microsoft Defender for Cloud en el componente de máquinas del plan defender para bases de datos protegen las extensiones IaaS de SQL y Defender for SQL. Los servidores SQL Server en equipos identifican y mitigan posibles vulnerabilidades de base de datos al detectar actividades anómalas que podrían indicar amenazas a las bases de datos.
Cuando habilita SQL Server en un equipo componente del plan de Defender for Databases, el proceso de aprovisionamiento automático se inicia automáticamente. El proceso de aprovisionamiento automático instala y configura todos los componentes necesarios para que funcione el plan, incluido el agente de Azure Monitor (AMA), la extensión IaaS de SQL y las extensiones de Defender para SQL. El proceso de aprovisionamiento automático también configura la configuración del área de trabajo, las reglas de recopilación de datos, la identidad (si es necesario) y la extensión IaaS de SQL.
En esta página se explica cómo habilitar el proceso de aprovisionamiento automático para Defender para SQL en varias suscripciones simultáneamente mediante un script de PowerShell. Este proceso se aplica a los servidores SQL server hospedados en máquinas virtuales (VM) de Azure, entornos locales y servidores SQL server habilitados para Azure Arc. En este artículo también se describe cómo usar funcionalidades adicionales que pueden dar cabida a varias configuraciones, como:
Reglas de recopilación de datos personalizadas
Administración de identidades personalizada
Integración de área de trabajo predeterminada
Configuración del área de trabajo personalizada
Requisitos previos
Obtenga conocimientos sobre:
Conexión de cuentas de Amazon Web Service (AWS) a Microsoft Defender for Cloud
Conexión de su proyecto de Google Cloud (GCP) a Microsoft Defender for Cloud
Instale PowerShell en Windows, Linux, macOSo Azure Resource Manager (ARM).
Instale los siguientes módulos de PowerShell:
Az.ResourcesAz.OperationalInsightsAz.AccountsAzAz.PolicyInsightsAz.Security
Permisos: requiere reglas de colaborador, colaborador o propietario de la máquina virtual.
Ejemplos y parámetros de script de PowerShell
El script de PowerShell que habilita Microsoft Defender para SQL en máquinas en una suscripción determinada tiene varios parámetros que puede personalizar para adaptarse a sus necesidades. En la tabla siguiente se enumeran los parámetros y sus descripciones:
| Nombre de parámetro | Obligatorio | Descripción |
|---|---|---|
| SubscriptionId: | Obligatorio | Identificador de suscripción de Azure para el que desea habilitar Defender para servidores SQL Server. |
| RegisterSqlVmAgnet | Obligatorio | Marca que indica si se va a registrar el Agente de máquina virtual con SQL de forma masiva. Obtenga más información sobre registrar varias máquinas virtuales SQL en Azure con la extensión agente de IaaS de SQL. |
| WorkspaceResourceId | Opcionales | Identificador de recurso del área de trabajo de Log Analytics, si desea usar un área de trabajo personalizada en lugar de la predeterminada. |
| DataCollectionRuleResourceId | Opcionales | El id. del recurso de la regla de recopilación de datos, si quiere usar una regla de recopilación de datos (DCR) personalizada en lugar de la predeterminada. |
| UserAssignedIdentityResourceId | Opcionales | Identificador de recurso de la identidad asignada por el usuario, si desea usar una identidad asignada por el usuario personalizado en lugar de la predeterminada. |
El siguiente script de ejemplo es aplicable cuando se usa un área de trabajo predeterminada de Log Analytics, una regla de recopilación de datos y una identidad administrada.
Write-Host "------ Enable Defender for SQL on Machines example ------"
$SubscriptionId = "<SubscriptionID>"
.\EnableDefenderForSqlOnMachines.ps1 -SubscriptionId $SubscriptionId -RegisterSqlVmAgnet $RegisterSqlVmAgnet
El siguiente script de ejemplo es aplicable cuando se usa un área de trabajo personalizada de Log Analytics, una regla de recopilación de datos y una identidad administrada.
Write-Host "------ Enable Defender for SQL on Machines example ------"
$SubscriptionId = "<SubscriptionID>"
$RegisterSqlVmAgnet = "false"
$WorkspaceResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someResourceGroup/providers/Microsoft.OperationalInsights/workspaces/someWorkspace"
$DataCollectionRuleResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someOtherResourceGroup/providers/Microsoft.Insights/dataCollectionRules/someDcr"
$UserAssignedIdentityResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someElseResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/someManagedIdentity"
.\EnableDefenderForSqlOnMachines.ps1 -SubscriptionId $SubscriptionId -RegisterSqlVmAgnet $RegisterSqlVmAgnet -WorkspaceResourceId $WorkspaceResourceId -DataCollectionRuleResourceId $DataCollectionRuleResourceId -UserAssignedIdentityResourceId $UserAssignedIdentityResourceId
Habilitar Defender para servidores SQL en máquinas a escala
Puede habilitar Defender para servidores SQL Server en máquinas a escala siguiendo estos pasos.
Abra una ventana de PowerShell.
Copie el script EnableDefenderForSqlOnMachines.ps1.
Pegue el script en PowerShell.
Escriba la información de los parámetros según sea necesario.
Ejecute el script.