Analizzare i server SQL alla ricerca di vulnerabilità
Microsoft Defender per i server SQL nei computer estende le protezioni per i server SQL nativi di Azure per supportare completamente gli ambienti ibridi e proteggere i server SQL (tutte le versioni supportate) ospitati in Azure, in altri ambienti cloud e persino nei computer locali:
- SQL Server in macchine virtuali
- SQL Server locali:
Il programma di analisi per la valutazione della vulnerabilità integrato consente di individuare, monitorare e risolvere potenziali vulnerabilità del database. I risultati dell'analisi della valutazione offrono una panoramica dello stato di sicurezza dei computer SQL e dei dettagli dei risultati della sicurezza.
Nota
- L'analisi è leggera e sicura, richiede solo pochi secondi per l'esecuzione del database ed è completamente di sola lettura. Non apporta modifiche al database.
- Per l'esecuzione corretta di alcune delle regole di valutazione della vulnerabilità sono necessarie autorizzazioni per le stored procedure seguenti: xp_instance_regread, sysmail_help_profile_sp.
Esplorare i report sulla valutazione della vulnerabilità
Il servizio di valutazione della vulnerabilità analizza i database ogni 12 ore.
Il dashboard di valutazione della vulnerabilità offre una panoramica dei risultati della valutazione in tutti i database, insieme a un riepilogo dei database integri e non integri e un riepilogo generale dei controlli con errori in base alla distribuzione dei rischi.
È possibile visualizzare i risultati della valutazione della vulnerabilità direttamente da Defender per il cloud.
Dalla barra laterale di Defender for Cloud aprire la pagina Consigli.
Selezionare i server SQL consigliati nei computer in cui devono essere risolti i risultati dell’analisi della vulnerabilità. Per altre informazioni, vedere la pagina di riferimento per i consigli di Defender per il cloud.
Compare la visualizzazione dettagliata relativa a questo consiglio.
Vedere altre informazioni sulla raccomandazione:
Per una panoramica delle risorse analizzate (database) e l'elenco dei controlli di sicurezza testati, aprire le risorse interessate e selezionare il server di interesse.
Per una panoramica delle vulnerabilità raggruppate in base a un database SQL specifico, selezionare il database di interesse.
In ogni visualizzazione, i controlli di sicurezza vengono ordinati in base alla gravità. Selezionare un controllo di sicurezza specifico per visualizzare il riquadro dei dettagli con una descrizione, il modo in cui correggerlo e altre informazioni correlate, come Impatto oBenchmark.
Impostare una baseline
Quando si esaminano i risultati della valutazione, è possibile contrassegnare i risultati come baseline accettabile nell'ambiente in uso. La baseline è essenzialmente una personalizzazione della modalità di visualizzazione dei risultati. I risultati che corrispondono alla linea di base vengono considerati passati nelle analisi successive. Dopo aver stabilito lo stato di sicurezza di base, lo scanner di valutazione della vulnerabilità segnala solo le deviazioni dalla baseline. In questo modo è possibile concentrarsi sulle questioni importanti.
Esportare i risultati
Usare la funzionalità di esportazione continua di Microsoft Defender per il cloud per esportare i risultati della valutazione della vulnerabilità in Hub eventi di Azure o nell'area di lavoro Log Analytics.
Visualizzare le vulnerabilità in report grafici e interattivi
La raccolta delle cartelle di lavoro di Monitoraggio di Azure integrata di Defender per il cloud include un report interattivo di tutti i risultati dei programmi di analisi della vulnerabilità per computer, i contenitori nei registri contenitori e i server SQL.
I risultati per ognuno di questi scanner vengono segnalati in raccomandazioni separate:
- I risultati delle vulnerabilità nei computer devono essere risolti
- I risultati della vulnerabilità nelle immagini del contenitore del registro devono essere risolti (basato su Qualys)
- I risultati delle vulnerabilità devono essere risolti nei database SQL
- I risultati delle vulnerabilità devono essere risolti nei server SQL
Il report “Risultati valutazione della vulnerabilità” raccoglie tutti questi risultati e li organizza in base alla gravità, al tipo di risorsa e alla categoria. È possibile trovare il report nella raccolta cartelle di lavoro disponibile nella barra laterale di Defender per il cloud.
Disabilita risultati specifici
Se è necessario ignorare una ricerca anziché correggerla, è possibile disabilitarla facoltativamente. I risultati disabilitati non influiscono sul punteggio di sicurezza e non generano elementi non significativi.
Quando un risultato corrisponde ai criteri definiti nelle regole di disabilitazione, non verrà visualizzato nell'elenco di risultati. Gli scenari tipici includono:
- Disabilita i risultati con gravità inferiore alla media
- Disabilita i risultati a cui non è possibile applicare patch
- Disabilitare i risultati dei benchmark che non sono di interesse per un determinato ambito
Importante
Per disabilitare risultati specifici, è necessario disporre dell'autorizzazione per modificare un criterio in Criteri di Azure. Per altre informazioni, vedere autorizzazioni di Controllo degli accessi in base al ruolo di Azure in Criteri di Azure.
Per creare una regola:
Nella pagina dei dettagli dei consigli relativi a i server SQL nei computer devono aver risolto i risultati della vulnerabilità, selezionare Disabilita regola.
Selezionare l'ambito pertinente.
Definire i criteri. È possibile utilizzare uno dei criteri seguenti:
- Ricerca dell'ID
- Gravità
- Benchmark
Selezionare Applica regola. L'applicazione delle modifiche potrebbe richiedere fino a 24 ore.
Per visualizzare, eseguire l'override o eliminare una regola:
Selezionare Disabilita regola.
Nell'elenco di ambiti, le sottoscrizioni con regole attive vengono visualizzate come regola applicata.
Per visualizzare o eliminare la regola, selezionare il menu con i puntini di sospensione ("...").
Gestire le valutazioni delle vulnerabilità a livello di codice
Usare Azure PowerShell
È possibile usare i cmdlet di Azure PowerShell per gestire a livello di codice le valutazioni delle vulnerabilità. I cmdlet supportati sono:
| Nome del cmdlet come collegamento | Descrizione |
|---|---|
| Add-AzSecuritySqlVulnerabilityAssessmentBaseline | Aggiungere baseline valutazione della vulnerabilità SQL. |
| Get-AzSecuritySqlVulnerabilityAssessmentBaseline | Ottenere baseline valutazione della vulnerabilità SQL. |
| Get-AzSecuritySqlVulnerabilityAssessmentScanResult | Ottenere i risultati dell'analisi della valutazione della vulnerabilità SQL. |
| Get-AzSecuritySqlVulnerabilityAssessmentScanRecord | Ottenere i record di analisi della valutazione della vulnerabilità SQL. |
| Remove-AzSecuritySqlVulnerabilityAssessmentBaseline | Rimuovere la baseline di valutazione della vulnerabilità SQL. |
| Set-AzSecuritySqlVulnerabilityAssessmentBaseline | Impostare la nuova baseline di valutazione della vulnerabilità SQL in un database specifico e rimuovere la baseline precedente, se presente. |
Residenza dei dati
Valutazione della vulnerabilità SQL esegue query su SQL Server usando query disponibili pubblicamente in Defender per il cloud raccomandazioni per la valutazione della vulnerabilità SQL e archivia i risultati della query. I dati di Valutazione della vulnerabilità SQL vengono archiviati nella posizione dell'area di lavoro Log Analytics a cui è connesso il computer. Ad esempio, se si connette una macchina virtuale SQL a un'area di lavoro Log Analytics in Europa occidentale, i risultati verranno archiviati in Europa occidentale. Questi dati vengono raccolti solo se la soluzione valutazione della vulnerabilità SQL è abilitata nell'area di lavoro Log Analytics.
Vengono raccolte anche informazioni sui metadati relative alla macchina connessa, in particolare:
- Nome, tipo e versione del sistema operativo
- Nome di dominio completo (FQDN) del computer
- Versione dell'agente Connected Machine
- UUID (ID BIOS)
- Nome del server SQL e nomi dei database sottostanti
È possibile specificare l'area in cui vengono archiviati i dati di Valutazione della vulnerabilità SQL scegliendo il percorso dell'area di lavoro Log Analytics. Microsoft potrebbe replicare in altre aree per la resilienza dei dati, ma non replica i dati all'esterno dell'area geografica.
Nota
La modifica dell'area di lavoro Log Analytics del piano Defender per SQL nei computer reimposta i risultati dell'analisi e le impostazioni della baseline. Se si ripristina l'area di lavoro Log Analytics originale entro 90 giorni, i risultati dell'analisi e le impostazioni di base saranno nuovamente disponibili.