Obtenez des réponses aux questions fréquentes à propos de Microsoft Defender pour bases de données.
Si j’active ce plan Microsoft Defender sur mon abonnement, tous les serveurs SQL de l’abonnement sont-ils protégés ?
Non. Pour défendre un SQL Server s’exécutant sur une machine virtuelle Azure ou un ordinateur compatible avec Azure Arc, Defender for Cloud nécessite :
- Un agent Log Analytics sur l’ordinateur.
- L’espace de travail Log Analytics approprié pour que Microsoft Defender pour SQL Server sur les ordinateurs soit activé.
L’état de l’abonnement, indiqué sur la page du SQL Server dans le portail Azure, reflète l’état par défaut de l’espace de travail et s’applique à tous les ordinateurs connectés. Defender for Cloud permet de protéger uniquement les SQL Servers sur les hôtes disposant d’un rapport d’agent Log Analytics à cet espace de travail.
Le déploiement de Microsoft Defender pour SQL Servers sur des ordinateurs a-t-il un impact sur le niveau de performance ?
Microsoft Defender pour SQL Server sur les ordinateurs se concentre sur la sécurité, mais il a une architecture fractionnée pour équilibrer le chargement et la vitesse des données avec les performances :
- Certains de nos détecteurs, notamment une Trace des événements étendus nommée
SQLAdvancedThreatProtectionTraffic
, s’exécutent sur l’ordinateur pour offrir des avantages de vitesse en temps réel. - D’autres détecteurs s’exécutent dans le cloud pour éviter à l’ordinateur des charges de calcul lourdes.
Les tests en laboratoire de notre solution ont montré une utilisation moyenne du processeur de 3 % pour les tranches de pointe comparé aux charges de référence. Une analyse des données de nos utilisateurs actuels indique un impact négligeable sur l’utilisation du processeur et de la mémoire.
Le niveau de performance varie toujours selon les environnements, les machines et les charges. Ces instructions servent à titre de conseils généraux, et non de garantie pour un déploiement individuel.
J’ai changé l’espace de travail Log Analytics pour Defender pour SQL Servers sur des ordinateurs et j’ai perdu tous les résultats d’analyse et les paramètres de base de référence. Que s’est-il passé ?
Les bases de référence et les résultats d’analyse ne sont pas stockés dans l’espace de travail Log Analytics, mais ils y sont liés. Le changement d’espace de travail réinitialise les résultats d’analyse et les paramètres de base de référence. Toutefois, si vous rétablissez l’espace de travail d’origine dans les 90 jours, les résultats d’analyse et les paramètres de base de référence sont de nouveau disponibles. En savoir plus.
Qu’advient-il des anciens résultats d’analyse et des lignes de base après le basculement vers la configuration rapide ?
Les anciens paramètres de résultats et de base de référence restent disponibles sur votre compte de stockage, mais ne seront pas mis à jour ou utilisés par le système. Vous n’avez pas besoin de gérer ces fichiers pour que l’évaluation des vulnérabilités SQL fonctionne après avoir basculé vers la configuration rapide, mais vous pouvez conserver vos anciennes définitions de base de référence pour référence ultérieure.
Lorsque la configuration rapide est activée, vous n’avez pas d’accès direct aux données de résultat et de référence, car elles sont stockées sur un stockage Microsoft interne.
Pourquoi mon Azure SQL Server est-il marqué comme non sain pour « L’évaluation des vulnérabilités doit être configurée pour les SQL Servers », même si je le configure correctement à l’aide de la configuration classique ?
La stratégie de cette recommandation vérifie l’existence de sous-évaluations pour le serveur. Avec une configuration classique, les bases de données système sont analysées uniquement si au moins une base de données utilisateur existe. Un serveur sans aucune base de données utilisateur n’a pas de résultats d’analyse ni de résultats d’analyse signalés, ce qui entraîne la non-intégrité de la stratégie.
Le passage à la configuration rapide atténue le problème en activant des analyses planifiées et manuelles pour les bases de données système.
Puis-je configurer des analyses périodiques avec une configuration express ?
La configuration Express configure automatiquement des analyses récurrentes pour toutes les bases de données sous votre serveur. Ce comportement est la valeur par défaut et n’est pas configurable au niveau du serveur ou de la base de données.
Existe-t-il un moyen avec la configuration rapide d’obtenir le rapport hebdomadaire par e-mail fourni dans la configuration classique ?
Vous pouvez utiliser l’automatisation du workflow et la planification des e-mails Logic Apps, en suivant les processus Microsoft Defender for Cloud :
- Déclencheurs basés sur le temps
- Déclencheurs basés sur l’analyse
- Prise en charge des règles désactivées
Pourquoi ne puis-je plus définir de stratégies de base de données ?
L’évaluation des vulnérabilités SQL signale toutes les vulnérabilités et erreurs de configuration dans votre environnement, de sorte que l’inclusion de toutes les bases de données est utile. Defender pour SQL Servers sur les ordinateurs est facturé par serveur, et non par base de données.
Puis-je revenir à la configuration classique ?
Oui. Vous pouvez revenir à la configuration classique à l’aide des API REST existantes et des cmdlets PowerShell. Lorsque vous revenez à la configuration classique, une notification s’affiche dans le portail Azure pour la modification de la configuration rapide.
La configuration rapide sera-t-elle disponible pour d’autres types de SQL ?
Restez à l’affût des informations à venir !
Puis-je choisir l’expérience par défaut ?
Non. La configuration rapide est utilisée par défaut pour chaque nouvelle base de données Azure SQL prise en charge.
La configuration rapide modifie-t-elle le comportement d’analyse ?
Non, la configuration rapide offre le même comportement d’analyse et les mêmes performances.
La configuration rapide a-t-elle un effet sur la tarification ?
La configuration rapide ne nécessite pas de compte de stockage. Vous n’avez donc pas besoin de payer de frais de stockage supplémentaires, sauf si vous choisissez de conserver les anciennes données d’analyse et de ligne de base.
Que signifie la limite de 1 Mo par règle ?
Une règle individuelle ne peut pas produire de résultats de plus de 1 Mo. Lorsque les résultats de la règle atteignent cette limite, ils s’arrêtent. Vous ne pouvez pas définir une base de référence pour la règle. La règle n’est pas incluse dans l’intégrité globale de la recommandation et les résultats s’affichent comme Non applicable.
Une fois que le déploiement de Microsoft Defender pour les SQL Servers sur les ordinateurs est effectué, combien de temps faut-il attendre pour voir un déploiement réussi ?
La mise à jour de l’état de protection via l’extension SQL Agent IaaS prend environ 30 minutes, en supposant que toutes les conditions préalables sont remplies.
Comment vérifier que mon déploiement de Defender pour SQL Server sur les ordinateurs a bien été effectué et que ma base de données est effectivement protégée ?
- Dans le Portail Azure, recherchez la base de données dans la barre de recherche supérieure.
- Sous Sécurité, sélectionnez Microsoft Defender pour le cloud.
- Consultez la section État de la protection. Si l’état est protégé, le déploiement a réussi.
Quel est l’objectif de l’identité managée créée pendant le processus d’installation sur des machines virtuelles Azure SQL ?
L’identité managée fait partie d’Azure Policy, qui envoie l’agent Azure Monitor. L’agent Azure Monitor utilise l’identité managée pour accéder à la base de données afin qu’elle puisse classer les données et les envoyer via l’espace de travail Log Analytics à Defender for Cloud. Pour plus d’informations sur l’utilisation de l’identité managée, consultez Exemples de modèles Resource Manager pour les agents dans Azure Monitor.
Puis-je utiliser ma propre identité DCR ou managée au lieu de celle que Defender for Cloud crée ?
Oui. Nous vous permettons d’apporter votre propre identité ou règle de collecte de données (DCR) en utilisant uniquement le script décrit dans Activer Microsoft Defender pour SQL Server sur les ordinateurs à grande échelle.
Combien de groupes de ressources et d’espaces de travail Log Analytics le processus de provisionnement automatique crée-t-il ?
Par défaut, nous créons le groupe de ressources, l'espace de travail et le DCR par région qui possède l’ordinateur SQL. Si vous choisissez l’option d’espace de travail personnalisé, un seul groupe de ressources ou une seule DCR sont créés dans le même emplacement que l’espace de travail.
Comment puis-je activer des SQL Servers sur des ordinateurs avec l’agent Azure Monitor à grande échelle ?
Pour savoir comment activer le provisionnement automatique sur plusieurs abonnements simultanément, consultez la section Activer Microsoft Defender pour les SQL Servers sur des ordinateurs à grande échelle. Elle s’applique aux SQL Servers hébergés sur des machines virtuelles Azure, des SQL Servers hébergés dans des environnements locaux et des SQL Servers compatibles avec Azure Arc.
Quelles tables sont utilisées dans un espace de travail Log Analytics avec l’agent Azure Monitor ?
Defender pour SQL sur des machines virtuelles SQL et des SQL Servers avec Arc utilise l’espace de travail Log Analytics (LAW) pour transférer des données de la base de données vers le portail Defender for Cloud. Aucune donnée n’est enregistrée localement dans l’espace de travail Log Analytics. Les tables de l’espace de travail Log Analytics nommées SQLAtpStatus
et SqlVulnerabilityAssessmentScanStatus
seront supprimées lorsque l’agent Microsoft Monitor est déconseillé. Vous pouvez afficher l’état de la protection contre les menaces et des évaluations des vulnérabilités dans le portail Defender for Cloud.
Comment Defender pour SQL Servers sur les ordinateurs collecte-t-il les journaux à partir de SQL Server ?
Defender pour SQL Server sur les ordinateurs utilise des événements étendus, à compter de SQL Server 2017. Sur les versions précédentes de SQL Server, Defender pour SQL Servers sur les ordinateurs classe les journaux à l’aide des journaux d’audit SQL Server.
La présence d’un paramètre nommé enableCollectionOfSqlQueriesForSecurityResearch dans l’initiative de stratégie signifie-t-il que mes données sont collectées à des fins d’analyse ?
Le paramètre enableCollectionOfSqlQueriesForSecurityResearch
n’est pas utilisé aujourd’hui. Sa valeur par défaut est false
. Sauf si vous modifiez de manière proactive la valeur, elle reste false
. Ce paramètre est sans effet.