Questions fréquentes à propos de Microsoft Defender pour bases de données

Non. Pour défendre un SQL Server s’exécutant sur une machine virtuelle Azure ou un ordinateur compatible avec Azure Arc, Defender for Cloud nécessite :

• Un agent Log Analytics sur l’ordinateur.
• L’espace de travail Log Analytics approprié pour que Microsoft Defender pour SQL Server sur les ordinateurs soit activé.

L’état de l’abonnement, indiqué sur la page du SQL Server dans le portail Azure, reflète l’état par défaut de l’espace de travail et s’applique à tous les ordinateurs connectés. Defender for Cloud permet de protéger uniquement les SQL Servers sur les hôtes disposant d’un rapport d’agent Log Analytics à cet espace de travail.

Microsoft Defender pour SQL Server sur les ordinateurs se concentre sur la sécurité, mais il a une architecture fractionnée pour équilibrer le chargement et la vitesse des données avec les performances :

• Certains de nos détecteurs, notamment une Trace des événements étendus nommée SQLAdvancedThreatProtectionTraffic, s’exécutent sur l’ordinateur pour offrir des avantages de vitesse en temps réel.
• D’autres détecteurs s’exécutent dans le cloud pour éviter à l’ordinateur des charges de calcul lourdes.

Les tests en laboratoire de notre solution ont montré une utilisation moyenne du processeur de 3 % pour les tranches de pointe comparé aux charges de référence. Une analyse des données de nos utilisateurs actuels indique un impact négligeable sur l’utilisation du processeur et de la mémoire.

Le niveau de performance varie toujours selon les environnements, les machines et les charges. Ces instructions servent à titre de conseils généraux, et non de garantie pour un déploiement individuel.

Les bases de référence et les résultats d’analyse ne sont pas stockés dans l’espace de travail Log Analytics, mais ils y sont liés. Le changement d’espace de travail réinitialise les résultats d’analyse et les paramètres de base de référence. Toutefois, si vous rétablissez l’espace de travail d’origine dans les 90 jours, les résultats d’analyse et les paramètres de base de référence sont de nouveau disponibles. En savoir plus.

Les anciens paramètres de résultats et de base de référence restent disponibles sur votre compte de stockage, mais ne seront pas mis à jour ou utilisés par le système. Vous n’avez pas besoin de gérer ces fichiers pour que l’évaluation des vulnérabilités SQL fonctionne après avoir basculé vers la configuration rapide, mais vous pouvez conserver vos anciennes définitions de base de référence pour référence ultérieure.

Lorsque la configuration rapide est activée, vous n’avez pas d’accès direct aux données de résultat et de référence, car elles sont stockées sur un stockage Microsoft interne.

La stratégie de cette recommandation vérifie l’existence de sous-évaluations pour le serveur. Avec une configuration classique, les bases de données système sont analysées uniquement si au moins une base de données utilisateur existe. Un serveur sans aucune base de données utilisateur n’a pas de résultats d’analyse ni de résultats d’analyse signalés, ce qui entraîne la non-intégrité de la stratégie.

Le passage à la configuration rapide atténue le problème en activant des analyses planifiées et manuelles pour les bases de données système.

La configuration Express configure automatiquement des analyses récurrentes pour toutes les bases de données sous votre serveur. Ce comportement est la valeur par défaut et n’est pas configurable au niveau du serveur ou de la base de données.

Vous pouvez utiliser l’automatisation du workflow et la planification des e-mails Logic Apps, en suivant les processus Microsoft Defender for Cloud :

• Déclencheurs basés sur le temps
• Déclencheurs basés sur l’analyse
• Prise en charge des règles désactivées

L’évaluation des vulnérabilités SQL signale toutes les vulnérabilités et erreurs de configuration dans votre environnement, de sorte que l’inclusion de toutes les bases de données est utile. Defender pour SQL Servers sur les ordinateurs est facturé par serveur, et non par base de données.

Oui. Vous pouvez revenir à la configuration classique à l’aide des API REST existantes et des cmdlets PowerShell. Lorsque vous revenez à la configuration classique, une notification s’affiche dans le portail Azure pour la modification de la configuration rapide.

Restez à l’affût des informations à venir !

Non. La configuration rapide est utilisée par défaut pour chaque nouvelle base de données Azure SQL prise en charge.

Non, la configuration rapide offre le même comportement d’analyse et les mêmes performances.

La configuration rapide ne nécessite pas de compte de stockage. Vous n’avez donc pas besoin de payer de frais de stockage supplémentaires, sauf si vous choisissez de conserver les anciennes données d’analyse et de ligne de base.

Une règle individuelle ne peut pas produire de résultats de plus de 1 Mo. Lorsque les résultats de la règle atteignent cette limite, ils s’arrêtent. Vous ne pouvez pas définir une base de référence pour la règle. La règle n’est pas incluse dans l’intégrité globale de la recommandation et les résultats s’affichent comme Non applicable.

La mise à jour de l’état de protection via l’extension SQL Agent IaaS prend environ 30 minutes, en supposant que toutes les conditions préalables sont remplies.

1. Dans le Portail Azure, recherchez la base de données dans la barre de recherche supérieure.
2. Sous Sécurité, sélectionnez Microsoft Defender pour le cloud.
3. Consultez la section État de la protection. Si l’état est protégé, le déploiement a réussi.

L’identité managée fait partie d’Azure Policy, qui envoie l’agent Azure Monitor. L’agent Azure Monitor utilise l’identité managée pour accéder à la base de données afin qu’elle puisse classer les données et les envoyer via l’espace de travail Log Analytics à Defender for Cloud. Pour plus d’informations sur l’utilisation de l’identité managée, consultez Exemples de modèles Resource Manager pour les agents dans Azure Monitor.

Oui. Nous vous permettons d’apporter votre propre identité ou règle de collecte de données (DCR) en utilisant uniquement le script décrit dans Activer Microsoft Defender pour SQL Server sur les ordinateurs à grande échelle.

Par défaut, nous créons le groupe de ressources, l'espace de travail et le DCR par région qui possède l’ordinateur SQL. Si vous choisissez l’option d’espace de travail personnalisé, un seul groupe de ressources ou une seule DCR sont créés dans le même emplacement que l’espace de travail.

Pour savoir comment activer le provisionnement automatique sur plusieurs abonnements simultanément, consultez la section Activer Microsoft Defender pour les SQL Servers sur des ordinateurs à grande échelle. Elle s’applique aux SQL Servers hébergés sur des machines virtuelles Azure, des SQL Servers hébergés dans des environnements locaux et des SQL Servers compatibles avec Azure Arc.

Defender pour SQL sur des machines virtuelles SQL et des SQL Servers avec Arc utilise l’espace de travail Log Analytics (LAW) pour transférer des données de la base de données vers le portail Defender for Cloud. Aucune donnée n’est enregistrée localement dans l’espace de travail Log Analytics. Les tables de l’espace de travail Log Analytics nommées SQLAtpStatus et SqlVulnerabilityAssessmentScanStatus seront supprimées lorsque l’agent Microsoft Monitor est déconseillé. Vous pouvez afficher l’état de la protection contre les menaces et des évaluations des vulnérabilités dans le portail Defender for Cloud.

Defender pour SQL Server sur les ordinateurs utilise des événements étendus, à compter de SQL Server 2017. Sur les versions précédentes de SQL Server, Defender pour SQL Servers sur les ordinateurs classe les journaux à l’aide des journaux d’audit SQL Server.

Le paramètre enableCollectionOfSqlQueriesForSecurityResearch n’est pas utilisé aujourd’hui. Sa valeur par défaut est false. Sauf si vous modifiez de manière proactive la valeur, elle reste false. Ce paramètre est sans effet.

Contenu connexe

Protéger vos bases de données avec Defender pour les bases de données