Activer Microsoft Defender pour les serveurs SQL sur les machines

Defender pour les serveurs SQL sur les machines protège les serveurs SQL hébergés sur des machines virtuelles Azure, des environnements locaux et des serveurs SQL avec Azure Arc. Defender pour les serveurs SQL sur les machines offre une expérience de gestion de sécurité unifiée pour les serveurs SQL.

Prérequis

Avant de déployer AMA avec Defender pour le cloud, assurez-vous de réunir les conditions préalables suivantes :

• Vérifiez qu’Azure Arc est installé sur vos machines multiclouds et locales.

  • Machines AWS et GCP
    • Intégrez votre connecteur AWS et approvisionnez automatiquement Azure Arc.
    • Intégrez votre connecteur GCP et approvisionnez automatiquement Azure Arc.
  • Machines locales
    • Installez Azure Arc.

• Vérifiez que les plans Defender que l’agent Azure Monitor doit prendre en charge sont bien activés :

  • Activer Defender pour serveurs SQL sur les machines
  • Activez les plans Defender sur les abonnements pour vos machines virtuelles AWS
  • Activez les plans Defender sur les abonnements pour vos machines virtuelles GCP

• Pour les serveurs SQL multiclouds :

  • Connecter vos comptes AWS à Microsoft Defender pour le cloud

  • Connexion d’un projet GCP à Microsoft Defender pour le cloud

    Remarque

    Vous devez activer la protection des bases de données pour vos serveurs SQL multiclouds par le biais du connecteur AWS ou du connecteur GCP.

Activer Defender pour SQL sur des machines non-Azure à l’aide de l’agent AMA

Conditions préalables à l’activation de Defender pour SQL sur des machines non-Azure

• Un abonnement Azure actif.

• Propriétaire de l’abonnement autorisations sur l’abonnement dans lequel vous souhaitez affecter la stratégie.

• Conditions préalables pour SQL Server sur les machines :

  • Autorisations : l’utilisateur Windows qui exploite le serveur SQL doit avoir le rôle Sysadmin sur la base de données.
  • Extensions : les extensions suivantes doivent être ajoutées à la liste verte :
    • Defender pour SQL (IaaS et Arc) :
      • Éditeur : Microsoft.Azure.AzureDefenderForSQL
      • Type : AdvancedThreatProtection.Windows
    • Extension IaaS SQL (IaaS) :
      • Éditeur : Microsoft.SqlServer.Management
      • Type : SqlIaaSAgent
    • Extension IaaS SQL (Arc) :
      • Éditeur : Microsoft.AzureData
      • Type : WindowsAgent.SqlServer
    • Extension AMA (IaaS et Arc) :
      • Éditeur : Microsoft.Azure.Monitor
      • Type : AzureMonitorWindowsAgent

Conventions d’affectation de noms dans la liste verte «Refuser la stratégie »

• Defender pour SQL utilise la convention d’affectation de noms suivante lors de la création de nos ressources :

  • Règle de collecte de données : MicrosoftDefenderForSQL--dcr
  • DCRA : /Microsoft.Insights/MicrosoftDefenderForSQL-RulesAssociation
  • Groupe de ressources : DefaultResourceGroup-
  • Espace de travail Log Analytics : D4SQL--

• Defender pour SQL utilise MicrosoftDefenderForSQL en tant que balise de base de données createdBy.

Étapes pour activer Defender for SQL sur des machines non-Azure

1. Connectez SQL Server à Azure Arc. Pour plus d’informations sur les systèmes d’exploitation pris en charge, la configuration de la connectivité et les autorisations requises, consultez la documentation suivante :

   • Planifier et déployer des serveurs avec Azure Arc
   • Prérequis de l’agent Connected Machine
   • Configuration réseau requise de l’agent Connected Machine
   • Rôles spécifiques à une instance SQL Server dotée d’Azure Arc

2. Une fois Azure Arc installé, l’extension Azure pour SQL Server est installée automatiquement sur le serveur de base de données. Pour plus d’informations, consultez Gérer la connexion automatique pour un SQL Server activé par Azure Arc.

Activer Defender pour SQL

1. Connectez-vous au portail Azure.

2. Recherchez et sélectionnez Microsoft Defender pour le cloud.

3. Dans le menu de Defender pour le cloud, sélectionnez Paramètres de l’environnement.

4. Sélectionnez l’abonnement approprié.

5. Dans la page des plans Defender, recherchez le plan Bases de données et sélectionnez Sélectionner les types.

   

6. Dans la fenêtre de sélection des types de ressources, définissez le plan Serveurs SQL Server sur les machines sur Activé.

7. Sélectionnez Continuer.

8. Cliquez sur Enregistrer.

9. Une fois activé, utilisez l’une des initiatives de stratégie suivantes :

   • Configurer les machines virtuelles SQL et les serveurs SQL compatibles avec Arc pour installer Microsoft Defender pour SQL et AMA avec un espace de travail Log Analytics pour un espace de travail Log Analytics par défaut. Cela crée des groupes de ressource avec des règles de collecte de données et un espace de travail Log Analytics par défaut. Pour plus d’informations sur l’espace de travail Log Analytics, consultez Vue d’ensemble d’Espace de travail Log Analytics.

   

   • Configurez des machines virtuelles SQL et des serveurs SQL avec Arc pour installer Microsoft Defender pour SQL et AMA avec un espace de travail Log Analytics défini par l’utilisateur. Cela crée un groupe de ressources avec des règles de collecte de données et un espace de travail Log Analytics personnalisé dans la région prédéfinie. Pendant ce processus, installez l’agent de supervision Azure. Pour plus d’informations sur les options d’installation de l’agent AMA, consultez prérequis de l’agent Azure Monitor.

   

10. Pour terminer le processus d’installation, redémarrez le serveur SQL (instance) pour les versions 2017 et antérieures.

Activer Defender pour SQL sur des machines virtuelles Azure à l’aide de l’agent AMA

Conditions préalables à l’activation de Defender pour SQL sur des machines virtuelles Azure

• Un abonnement Azure actif.
• Propriétaire de l’abonnement autorisations sur l’abonnement dans lequel vous souhaitez affecter la stratégie.
• Conditions préalables pour SQL Server sur les machines :
  • Autorisations : l’utilisateur Windows qui exploite le serveur SQL doit avoir le rôle Sysadmin sur la base de données.
  • Extensions : les extensions suivantes doivent être ajoutées à la liste verte :
    • Defender pour SQL (IaaS et Arc) :
      • Éditeur : Microsoft.Azure.AzureDefenderForSQL
      • Type : AdvancedThreatProtection.Windows
    • Extension IaaS SQL (IaaS) :
      • Éditeur : Microsoft.SqlServer.Management
      • Type : SqlIaaSAgent
    • Extension IaaS SQL (Arc) :
      • Éditeur : Microsoft.AzureData
      • Type : WindowsAgent.SqlServer
    • Extension AMA (IaaS et Arc) :
      • Éditeur : Microsoft.Azure.Monitor
      • Type : AzureMonitorWindowsAgent
• Étant donné que nous créons un groupe de ressources dans USA Est, dans le cadre du processus d’activation de l’approvisionnement automatique, cette région doit être autorisée ou Defender pour SQL ne peut pas terminer le processus d’installation.

Étapes pour activer Defender for SQL sur des machines virtuelles Azure

1. Connectez-vous au portail Azure.

2. Recherchez et sélectionnez Microsoft Defender pour le cloud.

3. Dans le menu de Defender pour le cloud, sélectionnez Paramètres de l’environnement.

4. Sélectionnez l’abonnement approprié.

5. Dans la page des plans Defender, recherchez le plan Bases de données et sélectionnez Sélectionner les types.

   

6. Dans la fenêtre de sélection des types de ressources, définissez le plan Serveurs SQL Server sur les machines sur Activé.

7. Sélectionnez Continuer.

8. Cliquez sur Enregistrer.

9. Une fois activé, utilisez l’une des initiatives de stratégie suivantes :

   • Configurer les machines virtuelles SQL et les serveurs SQL compatibles avec Arc pour installer Microsoft Defender pour SQL et AMA avec un espace de travail Log Analytics pour un espace de travail Log Analytics par défaut. Cela crée un groupe de ressources dans USA Est et une identité managée. Pour plus d’informations sur l’utilisation de l’identité managée, consultez Exemples de modèles Resource Manager pour les agents dans Azure Monitor. Cela crée également un groupe de ressources qui inclut des règles de collecte de données (DCR) et un espace de travail Log Analytics par défaut. Toutes les ressources sont consolidées sous ce groupe de ressources unique. La règle de collecte de données et l’espace de travail Log Analytics sont créés pour correspondre à la région de la machine virtuelle.

   

   • Configurez des machines virtuelles SQL et des serveurs SQL avec Arc pour installer Microsoft Defender pour SQL et AMA avec un espace de travail Log Analytics défini par l’utilisateur. Cela crée un groupe de ressources dans USA Est et une identité managée. Pour plus d’informations sur l’utilisation de l’identité managée, consultez Exemples de modèles Resource Manager pour les agents dans Azure Monitor. Cela crée également un groupe de ressources avec des DCR et un espace de travail Log Analytics personnalisé dans la région prédéfinie.

   

10. Pour terminer le processus d’installation, redémarrez le serveur SQL (instance) pour les versions 2017 et antérieures.

Contenu connexe

Pour plus d’informations, consultez ces ressources :

• Comment Microsoft Defender pour Azure SQL peut protéger les serveurs SQL partout.
• Alertes de sécurité pour SQL Database et Azure Synapse Analytics
• Consultez les questions courantes sur Defender pour bases de données.