次の方法で共有


Azure SQL データベースで脆弱性評価を有効にする

この記事では、データベースの脆弱性を見つけて修復できるように、脆弱性評価を有効にする方法について説明します。 ストレージ アカウントに依存しないように、高速構成を使用して脆弱性評価を有効にすることをお勧めします。 クラシック構成を使用して脆弱性評価を有効にすることもできます。

前提条件

脆弱性の評価を有効にする

Defender for Cloud で Defender for Azure SQL プランを有効にすると、Defender for Cloud では、選択したサブスクリプション内のすべての Azure SQL データベースに対して高速構成で Advanced Threat Protection と脆弱性評価が自動的に有効にされます。

クラシック構成で脆弱性評価が有効になっている Azure SQL データベースがある場合は、高速構成を有効にして、評価にストレージ アカウントを必要としないようにすることができます。

脆弱性評価が無効になっている Azure SQL データベースがある場合は、高速構成またはクラシック構成で脆弱性評価を有効にすることができます。

脆弱性の評価は、次の 2 つの方法のいずれかで有効にします。

高速構成

高速構成を使用して、ストレージ アカウントなしで脆弱性評価を有効にするには:

  1. Azure portal にサインインします。

  2. 特定の Azure SQL Database リソースを開きます。

  3. [セキュリティ] という見出しの下で [Defender for Cloud] を選択します。

  4. 脆弱性評価の高速構成を有効にします。

    • 脆弱性評価が構成されていない場合は、脆弱性評価の高速構成を有効にするように求める通知で [有効にする] を選択し、変更を確認します。

      SQL サーバーの Defender for Cloud 設定で高速脆弱性評価の構成を有効にする通知のスクリーンショット。

      [構成] を選択し、Microsoft Defender for SQL の設定で [有効にする] を選択することもできます。

      Microsoft Defender for SQL の設定で高速脆弱性評価の構成を有効にする通知のスクリーンショット。

      [有効にする] を選択して、脆弱性評価の高速構成を使用します。

    • 脆弱性評価が既に構成されている場合は、高速構成への切り替えを求める通知で [有効にする] を選択し、変更を確認します。

      重要

      ベースラインとスキャン履歴は移行されません。

      SQL サーバーの Defender for Cloud 設定でクラシックから高速脆弱性評価の構成に移行する通知のスクリーンショット。

      [構成] を選択し、Microsoft Defender for SQL の設定で [有効にする] を選択することもできます。

      Microsoft Defender for SQL の設定でクラシックから高速脆弱性評価の構成に移行する通知のスクリーンショット。

これで、SQL データベースでは、脆弱性の結果が解決されている必要がある の推奨事項に移動して、データベースで見つかった脆弱性を確認できます。 また、オンデマンドの脆弱性評価スキャンを実行して、現在の結果を確認することもできます。

Note

各データベースには、設定した曜日のスキャン時間がランダムに割り当てられます。

大規模な高速脆弱性評価を有効にする

Advanced Threat Protection と脆弱性評価が有効になっていない SQL リソースがある場合は、SQL 脆弱性評価 API を使用して、大規模な高速構成で SQL 脆弱性評価を有効にすることができます。

クラシック構成

ストレージ アカウントで脆弱性評価を有効にするには、クラシック構成を使用します。

  1. Azure portal で、Azure SQL Database、SQL Managed Instance データベース、または Azure Synapse の特定のリソースにアクセスします。

  2. [セキュリティ] という見出しの下で [Defender for Cloud] を選択します。

  3. リンクの [構成] を選択し、サーバー全体またはマネージド インスタンスの Microsoft Defender for SQL 設定ウィンドウを開きます。

    Defender for SQL 構成のスクリーンショット。

  4. [サーバー設定] ページで、Microsoft Defender for SQL の設定を入力します。

    SQL 脆弱性評価スキャンの構成のスクリーンショット。

    1. サーバーまたはマネージド インスタンス上のすべてのデータベースに対するスキャン結果が格納されるストレージ アカウントを構成します。 ストレージ アカウントについて詳しくは、「Azure ストレージ アカウントについて」をご覧ください。

    2. セキュリティの構成の誤りを検出するために週単位のスキャンを自動的に実行するように脆弱性評価を構成するには、 [定期的な反復スキャン][オン] に設定します。 結果は、 [スキャン レポートの送信先] で指定したメール アドレスに送信されます。 また、 [管理者とサブスクリプションの所有者にもメール通知を送信する] を有効にすることで、管理者とサブスクリプションの所有者に電子メール通知を送信することもできます。

      Note

      各データベースには、設定した曜日のスキャン時間がランダムに割り当てられます。 メールの通知は、設定した曜日にサーバーごとにランダムにスケジュールされます。 メール通知のレポートには、前の週に実行されたすべての反復データベース スキャンのデータが含まれます (オンデマンド スキャンは含まれません)。


各項目の詳細情報