コンピューターの SQL サーバーに対して Microsoft Defender を有効にする

Defender for SQL servers on machines は、Azure Virtual Machines、オンプレミス環境、Azure Arc 対応 SQL サーバーでホストされている SQL サーバーを保護します。 Defender for SQL servers on machines は、SQL サーバーのための統合セキュリティ管理エクスペリエンスを提供します。

前提条件

Defender for Cloud で AMA をデプロイする前に、次の前提条件を満たしていることを確認してください。

• マルチクラウドとオンプレミスのマシンに Azure Arc がインストールされていることを確認します。

  • AWS と GCP のマシン
    • AWS コネクタをオンボードし、Azure Arc を自動プロビジョニングします。
    • GCP コネクタをオンボードし、Azure Arc を自動プロビジョニングします。
  • オンプレミスのマシン
    • Azure Arc をインストールします。

• Azure Monitor エージェントでサポートする Defender プランが有効になっていることを確認します。

  • マシン上で Defender for SQL Server を有効にする
  • AWS VM のサブスクリプションで Defender プランを有効にする
  • GCP VM のサブスクリプションで Defender プランを有効にする

• マルチクラウドの SQL サーバーについては、以下の情報を参照してください。

  • AWS アカウントを Microsoft Defender for Cloud に接続する

  • GCP プロジェクトを Microsoft Defender for Cloud に接続する

    Note

    マルチクラウドの SQL サーバーに対しては、AWS コネクタまたは GCP コネクタを介してデータベース保護を有効にする必要があります。

AMA エージェントを使用して Azure 以外のマシンで Defender for SQL を有効にする

Azure 以外のマシンで Defender for SQL を有効にするための前提条件

• 有効な Azure サブスクリプション

• その中でポリシーを割り当てたいサブスクリプションに対するサブスクリプション所有者アクセス許可。

• マシン上の SQL Server の前提条件:

  • アクセス許可: SQL サーバーを操作する Windows ユーザーには、データベースの Sysadmin ロールが必要です。
  • 拡張機能: 以下の拡張機能を許可リストに載せる必要があります。
    • Defender for SQL (IaaS および Arc):
      • パブリッシャー: Microsoft.Azure.AzureDefenderForSQL
      • 種類: AdvancedThreatProtection.Windows
    • SQL IaaS 拡張機能 (IaaS):
      • パブリッシャー: Microsoft.SqlServer.Management
      • 種類: SqlIaaSAgent
    • SQL IaaS 拡張機能 (Arc):
      • パブリッシャー: Microsoft.AzureData
      • 種類: WindowsAgent.SqlServer
    • AMA 拡張機能 (IaaS および Arc):
      • パブリッシャー: Microsoft.Azure.Monitor
      • 種類: AzureMonitorWindowsAgent

"拒否ポリシー" 許可リストの名前付け規則

• Defender for SQL は、リソースの作成時に以下の名前付け規則を使用します。

  • データ収集ルール: MicrosoftDefenderForSQL--dcr
  • DCRA: /Microsoft.Insights/MicrosoftDefenderForSQL-RulesAssociation
  • リソース グループ: DefaultResourceGroup-
  • Log Analytics ワークスペース: D4SQL--

• Defender for SQL は、MicrosoftDefenderForSQL を createdBy データベース タグとして使用します。

Azure 以外のマシンで Defender for SQL を有効にする手順

1. SQL サーバーを Azure Arc に接続します。サポートされているオペレーティング システム、接続の構成、必要なアクセス許可の詳細については、以下のドキュメントを参照してください。

   • Azure Arc 対応サーバーを計画およびデプロイする
   • Connected Machine エージェントの前提条件
   • Connected Machine エージェントのネットワーク要件
   • Azure Arc によって有効化された SQL Server に固有のロール

2. Azure Arc がインストールされると、SQL Server 用 Azure 拡張機能がデータベース サーバーに自動的にインストールされます。 詳細については、「Azure Arc によって有効化された SQL Server の自動接続を管理する」を参照してください。

Defender for SQL を有効にする

1. Azure portal にサインインします。

2. 「Microsoft Defender for Cloud」を検索して選択します。

3. Defender for Cloud のメニューで、[環境設定] を選択します。

4. 関連するサブスクリプションを選択します。

5. [Defender プラン] Databases プランを見つけて、[種類の選択] を選択します。

   

6. [リソースの種類] 選択ウィンドウで、SQL servers on machines プランを [オン] に切り替えます。

7. 続行を選択します。

8. [保存] を選択します。

9. 有効になったら、以下のいずれかのポリシー イニシアチブを使用します。

   • 既定の Log Analytics ワークスペース用の Log Analytics ワークスペースを使用して Microsoft Defender for SQL と AMA をインストールするように SQL VM と Arc 対応 SQL サーバーを構成する。 これにより、既定の Log Analytics ワークスペースとデータ収集ルールを持つリソース グループが作成されます。 Log Analytics ワークスペースの詳細については、「Log Analytics ワークスペースの概要」を参照してください。

   

   • ユーザー定義の Log Analytics ワークスペースを使用して Microsoft Defender for SQL と AMA をインストールするように SQL VM と Arc 対応 SQL サーバーを構成する。 これにより、定義済みのリージョンにカスタム Log Analytics ワークスペースとデータ収集ルールを持つリソース グループが作成されます。 このプロセス中に、Azure Monitoring Agent をインストールします。 AMA エージェントをインストールするオプションの詳細については、「Azure Monitor エージェントの前提条件」を参照してください。

   

10. インストール プロセスを完了するために、バージョン 2017 以前の SQL サーバー (インスタンス) を再起動します。

AMA エージェントを使用して Azure 仮想マシンで Defender for SQL を有効にする

Azure 仮想マシンで Defender for SQL を有効にするための前提条件

• 有効な Azure サブスクリプション
• その中でポリシーを割り当てたいサブスクリプションに対するサブスクリプション所有者アクセス許可。
• マシン上の SQL Server の前提条件:
  • アクセス許可: SQL サーバーを操作する Windows ユーザーには、データベースの Sysadmin ロールが必要です。
  • 拡張機能: 以下の拡張機能を許可リストに載せる必要があります。
    • Defender for SQL (IaaS および Arc):
      • パブリッシャー: Microsoft.Azure.AzureDefenderForSQL
      • 種類: AdvancedThreatProtection.Windows
    • SQL IaaS 拡張機能 (IaaS):
      • パブリッシャー: Microsoft.SqlServer.Management
      • 種類: SqlIaaSAgent
    • SQL IaaS 拡張機能 (Arc):
      • パブリッシャー: Microsoft.AzureData
      • 種類: WindowsAgent.SqlServer
    • AMA 拡張機能 (IaaS および Arc):
      • パブリッシャー: Microsoft.Azure.Monitor
      • 種類: AzureMonitorWindowsAgent
• ここでは自動プロビジョニング有効化プロセスの一環として "米国東部" にリソース グループを作成しているため、このリージョンを許可する必要があります。そうしないと、Defender for SQL はインストール プロセスを正常に完了できません。

Azure 仮想マシンで Defender for SQL を有効にする手順

1. Azure portal にサインインします。

2. 「Microsoft Defender for Cloud」を検索して選択します。

3. Defender for Cloud のメニューで、[環境設定] を選択します。

4. 関連するサブスクリプションを選択します。

5. [Defender プラン] Databases プランを見つけて、[種類の選択] を選択します。

   

6. [リソースの種類] 選択ウィンドウで、SQL servers on machines プランを [オン] に切り替えます。

7. 続行を選択します。

8. [保存] を選択します。

9. 有効になったら、以下のいずれかのポリシー イニシアチブを使用します。

   • 既定の Log Analytics ワークスペース用の Log Analytics ワークスペースを使用して Microsoft Defender for SQL と AMA をインストールするように SQL VM と Arc 対応 SQL サーバーを構成する。 これにより、米国東部のリソース グループとマネージド ID が作成されます。 マネージド ID の使用の詳細については、「Azure Monitor のエージェント用の Resource Manager テンプレートのサンプル」を参照してください。 また、既定の Log Analytics ワークスペースとデータ収集ルールを含むリソース グループが作成されます。 すべてのリソースは、この単一のリソース グループの下に統合されます。 データ収集ルールと Log Analytics ワークスペースは、仮想マシン (VM) のリージョンに合わせて作成されます。

   

   • ユーザー定義の Log Analytics ワークスペースを使用して Microsoft Defender for SQL と AMA をインストールするように SQL VM と Arc 対応 SQL サーバーを構成する。 これにより、米国東部のリソース グループとマネージド ID が作成されます。 マネージド ID の使用の詳細については、「Azure Monitor のエージェント用の Resource Manager テンプレートのサンプル」を参照してください。 また、定義済みのリージョンにカスタム Log Analytics ワークスペースと DCR を持つリソース グループが作成されます。

   

10. インストール プロセスを完了するために、バージョン 2017 以前の SQL サーバー (インスタンス) を再起動します。

関連するコンテンツ

関連情報については、次のリソースを参照してください。

• Microsoft Defender for Azure SQL はどのようにして SQL サーバーをどこでも保護できるか。
• SQL Database と Azure Synapse Analytics のセキュリティ アラート
• Defender for Databases に関する一般的な質問をご確認ください。