Analizzare i server SQL alla ricerca di vulnerabilità
Microsoft Defender per server SQL nei computer estende le protezioni per i server SQL nativi di Azure in modo da supportare completamente gli ambienti ibridi e proteggere i server SQL (tutte le versioni supportate) ospitati in Azure, in altri ambienti cloud e anche in computer locali:
- SQL Server in macchine virtuali
- SQL Server locali:
Il programma di analisi per la valutazione della vulnerabilità integrato consente di individuare, monitorare e risolvere potenziali vulnerabilità del database. I risultati delle analisi di valutazione forniscono una panoramica dello stato di sicurezza dei computer SQL e i dettagli dei risultati relativi alla sicurezza.
Nota
- L'analisi è leggera e sicura, richiede solo pochi secondi per l'esecuzione del database ed è completamente di sola lettura. Non apporta modifiche al database.
- Per eseguire correttamente alcune delle regole di valutazione della vulnerabilità, è necessario eseguire le autorizzazioni per le stored procedure seguenti: xp_instance_regread, sysmail_help_profile_sp.
Esplorare i report sulla valutazione della vulnerabilità
Il servizio di valutazione della vulnerabilità analizza i database ogni 12 ore.
Il dashboard di valutazione della vulnerabilità offre una panoramica dei risultati della valutazione in tutti i database, insieme a un riepilogo dei database integri e non integri e un riepilogo complessivo dei controlli con errori in base alla distribuzione dei rischi.
È possibile visualizzare i risultati della valutazione della vulnerabilità direttamente da Defender per il cloud.
Dalla barra laterale di Defender for Cloud aprire la pagina Consigli.
Selezionare i server SQL consigliati nei computer in cui devono essere risolti i risultati dell’analisi della vulnerabilità. Per altre informazioni, vedere la pagina di riferimento per i consigli di Defender per il cloud.
Compare la visualizzazione dettagliata relativa a questo consiglio.
Per maggiori dettagli, eseguire il drill-down:
Per una panoramica delle risorse analizzate (database) e l'elenco dei controlli di sicurezza testati, aprire le risorse interessate e selezionare il server di interesse.
Per una panoramica delle vulnerabilità raggruppate in base a un database SQL specifico, selezionare il database di interesse.
In ogni visualizzazione, i controlli di sicurezza vengono ordinati in base alla gravità. Selezionare un controllo di sicurezza specifico per visualizzare il riquadro dei dettagli con una descrizione, il modo in cui correggerlo e altre informazioni correlate, come Impatto oBenchmark.
Impostare una baseline
Quando si esaminano i risultati della valutazione, è possibile contrassegnare i risultati come baseline accettabile nel proprio ambiente. La baseline è essenzialmente una personalizzazione della modalità di visualizzazione dei risultati. I risultati corrispondenti alla baseline non vengono considerati problemi nelle analisi successive. Dopo aver stabilito lo stato di sicurezza di base, il programma di analisi per la valutazione delle vulnerabilità segnala solo le deviazioni da tale stato. In questo modo è possibile concentrarsi sulle questioni importanti.
Esportare i risultati
Usare la funzionalità di esportazione continua di Microsoft Defender per il cloud per esportare i risultati della valutazione delle vulnerabilità in Hub eventi di Azure o nell'area di lavoro Log Analytics.
Visualizzare le vulnerabilità in report grafici e interattivi
La raccolta delle cartelle di lavoro di Monitoraggio di Azure integrata di Defender per il cloud include un report interattivo di tutti i risultati dei programmi di analisi della vulnerabilità per computer, i contenitori nei registri contenitori e i server SQL.
I risultati per ognuno di questi scanner vengono segnalati in raccomandazioni separate:
- I risultati delle vulnerabilità nei computer devono essere risolti
- I risultati della vulnerabilità nelle immagini del contenitore del registro devono essere risolti (basato su Qualys)
- I risultati delle vulnerabilità devono essere risolti nei database SQL
- I risultati delle vulnerabilità devono essere risolti nei server SQL
Il report “Risultati valutazione della vulnerabilità” raccoglie tutti questi risultati e li organizza in base alla gravità, al tipo di risorsa e alla categoria. È possibile trovare il report nella raccolta cartelle di lavoro disponibile nella barra laterale di Defender per il cloud.
Disabilita risultati specifici
Se l'organizzazione deve ignorare un risultato invece di correggerlo, è possibile disabilitarlo facoltativamente. I risultati disabilitati non influiscono sul punteggio di sicurezza e non generano elementi non significativi.
Quando un risultato corrisponde ai criteri definiti nelle regole di disabilitazione, non verrà visualizzato nell'elenco di risultati. Gli scenari tipici includono:
- Disabilita i risultati con gravità inferiore alla media
- Disabilita i risultati a cui non è possibile applicare patch
- Disabilitare i risultati dei benchmark che non sono di interesse per un determinato ambito
Importante
Per disabilitare risultati specifici, sono necessarie le autorizzazioni per modificare un criterio in Criteri di Azure. Per altre informazioni, vedere autorizzazioni di Controllo degli accessi in base al ruolo di Azure in Criteri di Azure.
Per creare una regola:
Nella pagina dei dettagli dei consigli relativi a i server SQL nei computer devono aver risolto i risultati della vulnerabilità, selezionare Disabilita regola.
Selezionare l'ambito pertinente.
Definire i criteri. È possibile utilizzare uno dei criteri seguenti:
- Ricerca dell'ID
- Gravità
- Benchmark
Selezionare Applica regola. L'applicazione delle modifiche potrebbe richiedere fino a 24 ore.
Per visualizzare, eseguire l'override o eliminare una regola:
Selezionare Disabilita regola.
Nell'elenco di ambiti, le sottoscrizioni con regole attive vengono visualizzate come regola applicata.
Per visualizzare o eliminare la regola, selezionare il menu con i puntini di sospensione ("...").
Gestire le valutazioni delle vulnerabilità a livello di codice
Uso di Azure PowerShell
È possibile usare i cmdlet di Azure PowerShell per gestire a livello di codice le valutazioni delle vulnerabilità. I cmdlet supportati sono:
| Nome del cmdlet come collegamento | Descrizione |
|---|---|
| Add-AzSecuritySqlVulnerabilityAssessmentBaseline | Aggiungere baseline valutazione della vulnerabilità SQL. |
| Get-AzSecuritySqlVulnerabilityAssessmentBaseline | Ottenere baseline valutazione della vulnerabilità SQL. |
| Get-AzSecuritySqlVulnerabilityAssessmentScanResult | Ottenere i risultati dell'analisi della valutazione della vulnerabilità SQL. |
| Get-AzSecuritySqlVulnerabilityAssessmentScanRecord | Ottenere i record di analisi della valutazione della vulnerabilità SQL. |
| Remove-AzSecuritySqlVulnerabilityAssessmentBaseline | Rimuovere la baseline di valutazione della vulnerabilità SQL. |
| Set-AzSecuritySqlVulnerabilityAssessmentBaseline | Impostare la nuova baseline di valutazione della vulnerabilità SQL in un database specifico e rimuovere la baseline precedente, se presente. |
Residenza dei dati
La valutazione della vulnerabilità SQL esegue query sul server SQL usando query disponibili pubblicamente in Consigli di Defender per il cloud per la valutazione della vulnerabilità SQL e archivia i risultati della query. I dati di valutazione della vulnerabilità SQL vengono archiviati nel percorso dell'area di lavoro Log Analytics a cui è connesso il computer. Ad esempio, se l'utente connette una macchina virtuale SQL a un'area di lavoro Log Analytics in Europa occidentale, i risultati verranno archiviati in Europa occidentale. Questi dati verranno raccolti solo se la soluzione per la valutazione della vulnerabilità SQL è abilitata nell'area di lavoro Log Analytics.
Vengono raccolte anche informazioni sui metadati relativi alla macchina connessa. In particolare:
- Nome, tipo e versione del sistema operativo
- Nome di dominio completo (FQDN) del computer
- Versione dell'agente Connected Machine
- UUID (ID BIOS)
- Nome del server SQL e nomi dei database sottostanti
È possibile specificare l'area in cui verranno archiviati i dati di valutazione della vulnerabilità SQL scegliendo il percorso dell'area di lavoro Log Analytics. Microsoft potrebbe eseguire repliche in altre aree per motivi di resilienza dei dati, ma non replica i dati all'esterno dell'area geografica.
Nota
La modifica dell'area di lavoro Log Analytics del piano Defender per SQL nei computer reimposta i risultati dell'analisi e le impostazioni della baseline. Se si ripristina l'area di lavoro log Analytics originale entro 90 giorni, i risultati dell'analisi e le impostazioni della baseline verranno nuovamente resi disponibili.