데이터베이스용 Microsoft Defender에 대한 일반적인 질문

아니요. Azure 가상 머신 또는 Azure Arc 지원 컴퓨터에서 실행되는 SQL 서버를 방어하려면 클라우드용 Defender 다음이 필요합니다.

• 컴퓨터의 Log Analytics 에이전트입니다.
• 컴퓨터의 MICROSOFT Defender for SQL Server를 사용하도록 설정하는 관련 Log Analytics 작업 영역입니다.

Azure Portal의 SQL Server 페이지에 표시된 구독 상태는 기본 작업 영역 상태를 반영하고 연결된 모든 컴퓨터에 적용됩니다. 클라우드용 Defender Log Analytics 에이전트가 해당 작업 영역에 보고하는 호스트의 SQL 서버만 보호하는 데 도움이 됩니다.

컴퓨터의 MICROSOFT Defender for SQL Server는 보안에 중점을 두지만 데이터 업로드 및 속도와 성능의 균형을 맞추는 분할 아키텍처가 있습니다.

• 확장 SQLAdvancedThreatProtectionTraffic이벤트 추적을 포함한 일부 탐지기는 실시간 속도 이점을 위해 컴퓨터에서 실행됩니다.
• 다른 탐지기는 클라우드에서 실행되어 과도한 계산 부하로부터 머신을 절약합니다.

솔루션의 랩 테스트에 따르면 최고 조각의 CPU 사용량은 벤치마크 부하와 비교하여 평균 3%로 나타났습니다. 현재 사용자 데이터 분석에서 CPU 및 메모리 사용량에 미치는 영향은 무시할 수 있는 수준입니다.

성능은 항상 환경, 컴퓨터 및 로드에 따라 다릅니다. 이러한 문은 개별 배포에 대한 보장이 아니라 일반적인 지침으로 제공됩니다.

검사 결과 및 기준은 Log Analytics 작업 영역에 저장되지 않지만 연결됩니다. 작업 영역을 변경하면 검사 결과 및 기준 설정이 다시 설정됩니다. 그러나 90일 이내에 원래 작업 영역으로 되돌리면 검사 결과 및 기준 설정이 복원됩니다. 자세히 알아보세요.

이전 결과 및 기준 설정은 스토리지 계정에서 계속 사용할 수 있지만 시스템에서 업데이트하거나 사용하지 않습니다. 빠른 구성으로 전환한 후 SQL 취약성 평가가 작동하기 위해 이러한 파일을 유지 관리할 필요는 없지만 나중에 참조할 수 있도록 이전 기준 정의를 유지할 수 있습니다.

빠른 구성이 사용하도록 설정되면 내부 Microsoft 스토리지에 저장되기 때문에 결과 및 기준 데이터에 직접 액세스할 수 없습니다.

이 권장 사항의 배경이 되는 정책은 서버에 대한 하위 평가가 있는지 확인합니다. 클래식 구성을 사용하면 사용자 데이터베이스가 하나 이상 있는 경우에만 시스템 데이터베이스를 검사합니다. 사용자 데이터베이스가 없는 서버에는 검사 또는 보고된 검사 결과가 없으므로 정책이 비정상 상태로 유지됩니다.

빠른 구성으로 전환하면 시스템 데이터베이스에 대해 예약 및 수동 검사를 사용하도록 설정하여 문제를 완화합니다.

빠른 구성은 서버 아래의 모든 데이터베이스에 대한 되풀이 검사를 자동으로 설정합니다. 이 동작은 기본값이며 서버 또는 데이터베이스 수준에서 구성할 수 없습니다.

클라우드용 Microsoft Defender 프로세스를 수행하여 워크플로 자동화 및 Logic Apps 전자 메일 예약을 사용할 수 있습니다.

• 시간 기반 트리거
• 검사 기반 트리거
• 사용하지 않도록 설정된 규칙 지원

SQL 취약성 평가는 환경의 모든 취약성 및 잘못된 구성을 보고하므로 모든 데이터베이스를 포함하는 것이 유용합니다. 컴퓨터의 SQL Server용 Defender는 데이터베이스가 아닌 서버당 요금이 청구됩니다.

예. 기존 REST API 및 PowerShell cmdlet을 사용하여 클래식 구성으로 되돌릴 수 있습니다. 클래식 구성으로 되돌리면 빠른 구성으로 변경하기 위한 알림이 Azure Portal에 표시됩니다.

업데이트를 계속 주목해 주세요!

아니요. Express 구성은 지원되는 모든 새 Azure SQL 데이터베이스에 대한 기본값입니다.

아니요. Express 구성은 동일한 검사 동작과 성능을 제공합니다.

Express 구성에는 스토리지 계정이 필요하지 않으므로 이전 검사 및 기준 데이터를 유지하도록 선택하지 않는 한 추가 스토리지 비용을 지불할 필요가 없습니다.

개별 규칙은 1MB를 초과하는 결과를 생성할 수 없습니다. 규칙에 대한 결과가 해당 제한에 도달하면 중지됩니다. 규칙에 대한 기준을 설정할 수 없으며, 규칙은 전체 권장 사항 상태에 포함되지 않으며 결과는 해당되지 않는 것으로 표시됩니다.

모든 필수 구성 요소가 충족되었다고 가정하여 SQL IaaS 에이전트 확장을 통해 보호 상태를 업데이트하는 데 약 30분이 걸립니다.

1. Azure Portal의 위쪽 검색 창에서 데이터베이스를 찾습니다.
2. 보안 아래에서 클라우드용 Microsoft Defender를 선택합니다.
3. 보호 상태를 확인 합니다. 상태가 보호됨인 경우 배포가 성공한 것입니다.

관리 ID는 Azure Monitor 에이전트를 푸시하는 Azure 정책의 일부입니다. Azure Monitor 에이전트는 관리 ID를 사용하여 데이터를 수집하고 Log Analytics 작업 영역을 통해 전송하여 클라우드용 Defender 수 있도록 데이터베이스에 액세스합니다. 관리 ID 사용에 대한 자세한 내용은 Azure Monitor의 에이전트용 Resource Manager 템플릿 샘플을 참조하세요.

예. 머신에서 Microsoft Defender for SQL Server를 대규모로 사용하도록 설정에 설명된 스크립트만 사용하여 사용자 고유의 ID 또는 DCR(데이터 수집 규칙)을 가져올 수 있습니다.

기본적으로 SQL 컴퓨터가 있는 지역당 리소스 그룹, 작업 영역 및 DCR을 만듭니다. 사용자 지정 작업 영역 옵션을 선택하면 작업 영역과 동일한 위치에 하나의 리소스 그룹 또는 DCR만 만들어집니다.

여러 구독에서 동시에 자동 프로비전을 사용하도록 설정하는 방법에 대한 프로세스는 대규모 컴퓨터에서 MICROSOFT Defender for SQL Server 사용을 참조하세요. Azure 가상 머신에서 호스트되는 SQL 서버, 온-프레미스 환경에서 호스트되는 SQL 서버 및 Azure Arc 지원 SQL 서버에 적용할 수 있습니다.

컴퓨터의 Defender for SQL Server(SQL 가상 머신 및 Azure Arc 지원 SQL 서버 모두)는 Log Analytics 작업 영역을 사용하여 데이터베이스에서 클라우드용 Defender 포털로 데이터를 전송합니다. Log Analytics 작업 영역에 데이터가 로컬로 저장되지 않습니다. Log Analytics 작업 영역의 테이블 이름은 Microsoft SQLAtpStatusSqlVulnerabilityAssessmentScanStatusMonitor 에이전트가 더 이상 사용되지 않을 때 사용 중지됩니다. 클라우드용 Defender 포털에서 위협 방지 및 취약성 평가의 상태를 볼 수 있습니다.

컴퓨터의 DEFENDER for SQL Server는 SQL Server 2017부터 확장 이벤트를 사용합니다. 이전 버전의 SQL Server에서 컴퓨터의 Defender for SQL Server는 SQL Server 감사 로그를 사용하여 로그를 수집합니다.

현재 매개 enableCollectionOfSqlQueriesForSecurityResearch 변수가 사용되지 않습니다. 기본값은 .입니다 false. 값을 사전에 변경하지 않는 한 그대로 유지됩니다 false. 이 매개 변수는 아무런 영향을 주지 않습니다.

관련 콘텐츠

Defender for Databases로 데이터베이스 보호