Krijg antwoorden op veelgestelde vragen over Microsoft Defender for Databases.
Als ik dit Microsoft Defender-abonnement voor mijn abonnement inschakelen, zijn alle SQL-servers in het abonnement beveiligd?
Nee Als u een SQL Server-implementatie wilt verdedigen op een virtuele Azure-machine of een SQL Server die wordt uitgevoerd op een machine met Azure Arc, hebt u Defender voor Cloud het volgende nodig:
- een Log Analytics-agent op de computer
- de relevante Log Analytics-werkruimte voor het inschakelen van de Microsoft Defender voor SQL-oplossing
De abonnementsstatus, die wordt weergegeven op de pagina SQL Server in Azure Portal, weerspiegelt de standaardstatus van de werkruimte en is van toepassing op alle verbonden machines. Alleen de SQL-servers op hosts met een Log Analytics-agent die aan die werkruimte rapporteert, worden beveiligd door Defender voor Cloud. Y
Is er een prestatie-effect van het implementeren van Microsoft Defender voor Azure SQL op computers?
De focus van Microsoft Defender voor SQL op machines is uiteraard beveiliging. Maar we geven ook om uw bedrijf en daarom hebben we prioriteit gegeven aan de prestaties om het minimale effect op uw SQL-servers te garanderen.
De service heeft een gesplitste architectuur om het uploaden van gegevens en snelheid te verdelen met prestaties:
- Sommige van onze detectoren, waaronder een uitgebreide gebeurtenistracering genaamd
SQLAdvancedThreatProtectionTraffic, worden uitgevoerd op de machine voor realtime snelheidsvoordelen. - Andere detectoren worden uitgevoerd in de cloud om de machine te besparen tegen zware rekenbelastingen.
Testtests van onze oplossing toonden het CPU-gebruik gemiddelde van 3% voor pieksegmenten, waarbij het vergeleken wordt met benchmarkbelastingen. Een analyse van onze huidige gebruikersgegevens toont een verwaarloosbaar effect op CPU- en geheugengebruik.
De prestaties variëren altijd tussen omgevingen, machines en belastingen. De instructies worden verstrekt als een algemene richtlijn, geen garantie voor elke afzonderlijke implementatie.
Ik heb de Log Analytics-werkruimte voor Defender voor SQL op Machines gewijzigd en al mijn scanresultaten en basislijninstellingen verloren. Wat is er gebeurd?
De scanresultaten en basislijnen worden niet opgeslagen in de Log Analytics-werkruimte, maar zijn eraan gekoppeld. Als u de werkruimte wijzigt, worden de scanresultaten en basislijninstellingen opnieuw ingesteld. Als u echter binnen 90 dagen teruggaat naar de oorspronkelijke werkruimte, worden de scanresultaten en basislijninstellingen hersteld. Meer informatie
Wat gebeurt er met de oude scanresultaten en basislijnen nadat ik overschakel naar snelle configuratie?
Oude resultaten en basislijninstellingen blijven beschikbaar in uw opslagaccount, maar worden niet bijgewerkt of gebruikt door het systeem. U hoeft deze bestanden niet te onderhouden zodat de evaluatie van SQL-beveiligingsproblemen werkt nadat u overschakelt naar snelle configuratie, maar u kunt uw oude basislijndefinities behouden voor toekomstige naslaginformatie.
Wanneer snelle configuratie is ingeschakeld, hebt u geen directe toegang tot het resultaat en de basislijngegevens, omdat deze zijn opgeslagen in interne Microsoft-opslag.
Waarom is mijn Azure SQL Server gemarkeerd als beschadigd voor SQL-servers moet evaluatie van beveiligingsproblemen zijn geconfigureerd, ook al heb ik deze juist ingesteld met de klassieke configuratie?
Het beleid achter deze aanbeveling controleert op het bestaan van subevaluaties voor de server. Met klassieke configuratie worden systeemdatabases alleen gescand als er ten minste één gebruikersdatabase bestaat. Daarom heeft een server zonder gebruikersdatabases geen scans of gerapporteerde scanresultaten, waardoor het beleid niet in orde blijft. Als u overschakelt naar snelle configuratie, worden geplande en handmatige scans voor systeemdatabases ingeschakeld, waardoor dit probleem wordt beperkt.
Kan ik terugkerende scans instellen met snelle configuratie?
Met snelle configuratie worden automatisch terugkerende scans ingesteld voor alle databases onder uw server. Dit is de standaardinstelling en kan niet worden geconfigureerd op server- of databaseniveau.
Is er een manier met snelle configuratie om het wekelijkse e-mailrapport op te halen dat is opgegeven in de klassieke configuratie?
U kunt werkstroomautomatisering en Logic Apps-e-mailplanning gebruiken volgens de Microsoft Defender voor Cloud processen:
- Triggers op basis van tijd
- Triggers op basis van scannen
- Ondersteuning voor uitgeschakelde regels
Waarom kan ik geen databasebeleid meer instellen?
Evaluatie van SQL-beveiligingsproblemen rapporteert alle beveiligingsproblemen en onjuiste configuraties in uw omgeving, zodat alle databases kunnen worden opgenomen. Defender voor SQL wordt gefactureerd per server, niet per database.
Kan ik terugkeren naar de klassieke configuratie?
Ja. U kunt terugkeren naar de klassieke configuratie met behulp van de bestaande REST API's en PowerShell-cmdlets. Wanneer u terugkeert naar de klassieke configuratie, ziet u een melding in Azure Portal om over te schakelen naar de snelle configuratie.
Zien we een snelle configuratie voor andere typen SQL?
Blijf op de hoogte van updates!
Kan ik kiezen welke ervaring de standaardervaring is?
Nee Express-configuratie is de standaardinstelling voor elke nieuwe ondersteunde Azure SQL-database.
Wijzigt het scangedrag voor snelle configuratie?
Nee, snelle configuratie biedt hetzelfde scangedrag en dezelfde prestaties.
Heeft snelle configuratie gevolgen voor prijzen?
Voor express-configuratie is geen opslagaccount vereist, dus u hoeft geen extra opslagkosten te betalen, tenzij u ervoor kiest oude scan- en basislijngegevens te bewaren.
Wat betekent de limiet van 1 MB per regel?
Elke afzonderlijke regel kan geen resultaten produceren die groter zijn dan 1 MB. Wanneer deze limiet is bereikt, worden de resultaten voor de regel gestopt. U kunt geen basislijn voor de regel instellen, de regel is niet opgenomen in de algehele aanbevelingsstatus en de resultaten worden weergegeven als 'Niet van toepassing'.
Zodra de implementatie van Microsoft Defender voor SQL-servers op computers is voltooid, hoe lang moeten we wachten om een geslaagde implementatie te zien?
Het duurt ongeveer 30 minuten om de beveiligingsstatus van de SQL IaaS-extensie bij te werken, ervan uitgaande dat aan alle vereisten wordt voldaan.
Hoe kan ik controleren of de implementatie van mijn Defender voor SQL-servers op computers is beëindigd en of mijn database nu is beveiligd?
- Zoek de database op de bovenste zoekbalk in Azure Portal.
- Selecteer op het tabblad Beveiliging Defender voor Cloud.
- Controleer de beveiligingsstatus. Als de status Beveiligd is, is de implementatie geslaagd.
Wat is het doel van de beheerde identiteit die is gemaakt tijdens het installatieproces op Azure SQL-VM's?
De beheerde identiteit maakt deel uit van Het Azure Policy, dat de AMA pusht. Deze wordt door de AMA gebruikt om toegang te krijgen tot de database om de gegevens te verzamelen en te verzenden via de Log Analytics Workspace (LAW) naar Defender voor Cloud. Zie Resource Manager-sjabloonvoorbeelden voor agents in Azure Monitor voor meer informatie over het gebruik van de beheerde identiteit.
Kan ik mijn eigen DCR of beheerde identiteit gebruiken in plaats van Defender voor Cloud een nieuwe te maken?
Ja, u kunt uw eigen identiteit of DCR alleen gebruiken met het volgende script. Zie Microsoft Defender voor SQL-servers op schaal inschakelen voor meer informatie.
Hoeveel resourcegroepen en Log Analytics-werkruimten worden gemaakt via het proces voor automatisch inrichten?
Standaard maken we de resourcegroep, werkruimte en DCR per regio met de SQL-machine. Als u de optie voor de aangepaste werkruimte kiest, wordt er slechts één resourcegroep/DCR gemaakt op dezelfde locatie als de werkruimte.
Hoe kan ik SQL-servers op computers met AMA op schaal inschakelen?
Zie Microsoft Defender voor SQL-servers op schaal inschakelen voor het proces voor het inschakelen van automatische inrichting van Microsoft Defender voor SQL voor meerdere abonnementen tegelijk. Deze is van toepassing op SQL-servers die worden gehost op virtuele Azure-machines, on-premises omgevingen en SQL-servers met Azure Arc.
Welke tabellen worden gebruikt in LAW met AMA?
Defender voor SQL op SQL-VM's en SQL-servers met Arc maakt gebruik van de Log Analytics Workspace (LAW) om gegevens van de database over te dragen naar de Defender voor Cloud-portal. Dit betekent dat er geen gegevens lokaal worden opgeslagen bij de WET. De tabellen in de law met de naam SQLAtpStatus en sqlVulnerabilityAssessmentScanStatusworden buiten gebruik gesteld wanneer MMA wordt afgeschaft. ATP- en VA-status kunnen worden weergegeven in de Defender voor Cloud-portal.
Hoe verzamelt Defender voor SQL logboeken van de SQL-server?
Defender voor SQL maakt gebruik van Xevent, te beginnen met SQL Server 2017. In eerdere versies van SQL Server verzamelt Defender voor SQL de logboeken met behulp van de auditlogboeken van SQL Server.
Ik zie een parameter met de naam enableCollectionOfSqlQueriesForSecurityResearch in het beleidsinitiatief. Betekent dit dat mijn gegevens worden verzameld voor analyse?
Deze parameter wordt momenteel niet gebruikt. De standaardwaarde is onwaar, wat betekent dat, tenzij u proactief de waarde wijzigt, deze onwaar blijft. Er is geen effect van deze parameter.