Włączanie serwerów usługi Microsoft Defender for SQL na maszynach
Usługa Defender dla serwerów SQL na maszynach chroni
Wymagania wstępne
Przed wdrożeniem usługi AMA z Defender dla Chmury należy spełnić następujące wymagania wstępne:
Upewnij się, że na maszynach wielochmurowych i lokalnych zainstalowano usługę Azure Arc.
- Maszyny AWS i GCP
- Dołącz łącznik platformy AWS i automatycznie aprowizuj usługę Azure Arc.
- Dołącz łącznik GCP i automatycznie aprowizuj usługę Azure Arc.
- Maszyny lokalne
- Maszyny AWS i GCP
Upewnij się, że plany usługi Defender, które mają być obsługiwane przez agenta usługi Azure Monitor, są włączone:
W przypadku serwerów SQL z wieloma chmurami:
Łączenie kont usługi AWS z usługą Microsoft Defender dla Chmury
Łączenie projektu GCP z usługą Microsoft Defender dla Chmury
Uwaga
Należy włączyć ochronę bazy danych dla serwerów SQL z wieloma chmurami za pośrednictwem łącznika platformy AWS lub łącznika GCP.
Dostępność
Aspekt | Szczegóły |
---|---|
Stan wydania: | Ogólna dostępność |
Cennik: | Usługa Microsoft Defender dla serwerów SQL na maszynach jest rozliczana, jak pokazano na stronie cennika |
Chronione wersje SQL: | Wersja programu SQL Server: 2012, 2014, 2016, 2017, 2019, 2022 - Sql na maszynach wirtualnych platformy Azure - Program SQL Server na serwerach z obsługą usługi Azure Arc |
Chmury: | Chmury komercyjne Azure Government Platforma Microsoft Azure obsługiwana przez firmę 21Vianet |
Włączanie usługi Defender for SQL na maszynach spoza platformy Azure przy użyciu agenta AMA
Wymagania wstępne dotyczące włączania usługi Defender for SQL na maszynach spoza platformy Azure
Aktywna subskrypcja platformy Azure.
Uprawnienia właściciela subskrypcji w subskrypcji, w której chcesz przypisać zasady.
Program SQL Server w wymaganiach wstępnych dotyczących maszyn:
- Uprawnienia: użytkownik systemu Windows obsługujący serwer SQL musi mieć rolę Sysadmin w bazie danych.
- Rozszerzenia: do listy dozwolonych należy dodać następujące rozszerzenia:
- Defender for SQL (IaaS i Arc):
- Wydawca: Microsoft.Azure.AzureDefenderForSQL
- Typ: AdvancedThreatProtection.Windows
- Rozszerzenie IaaS sql (IaaS):
- Wydawca: Microsoft.SqlServer.Management
- Typ: SqlIaaSAgent
- Rozszerzenie IaaS SQL (Arc):
- Wydawca: Microsoft.AzureData
- Typ: WindowsAgent.SqlServer
- Rozszerzenie AMA (IaaS i Arc):
- Wydawca: Microsoft.Azure.Monitor
- Typ: AzureMonitorWindowsAgent
- Defender for SQL (IaaS i Arc):
Konwencje nazewnictwa na liście dozwolonych zasad odmowy
Usługa Defender for SQL używa następującej konwencji nazewnictwa podczas tworzenia zasobów:
- DCR:
MicrosoftDefenderForSQL--dcr
- DCRA:
/Microsoft.Insights/MicrosoftDefenderForSQL-RulesAssociation
- Grupa zasobów:
DefaultResourceGroup-
- Obszar roboczy usługi Log Analytics:
D4SQL--
- DCR:
Usługa Defender for SQL używa atrybutu MicrosoftDefenderForSQL jako tagu utworzonej bazy danych.
Procedura włączania usługi Defender for SQL na maszynach spoza platformy Azure
Połącz serwer SQL z usługą Azure Arc. Aby uzyskać więcej informacji na temat obsługiwanych systemów operacyjnych, konfiguracji łączności i wymaganych uprawnień, zobacz następującą dokumentację:
Po zainstalowaniu usługi Azure Arc rozszerzenie platformy Azure dla programu SQL Server jest instalowane automatycznie na serwerze bazy danych. Aby uzyskać więcej informacji, zobacz Zarządzanie automatycznym połączeniem dla programu SQL Server włączonego przez usługę Azure Arc.
Włączanie usługi Defender for SQL
Zaloguj się w witrynie Azure Portal.
Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.
W menu Defender dla Chmury wybierz pozycję Ustawienia środowiska.
Wybierz odpowiednią subskrypcję.
Na stronie Plany usługi Defender znajdź plan Bazy danych i wybierz pozycję Wybierz typy.
W oknie Wyboru Typy zasobów przełącz serwery SQL na maszynach , które mają być włączone.
Wybierz Kontynuuj.
Wybierz pozycję Zapisz.
Po włączeniu użyjemy jednej z następujących inicjatyw zasad:
- Skonfiguruj maszyny wirtualne SQL i serwery SQL z obsługą usługi Arc, aby zainstalować usługę Microsoft Defender dla usług SQL i AMA przy użyciu obszaru roboczego usługi Log Analytics (LAW) dla domyślnego prawa. Spowoduje to utworzenie grup zasobów z regułami zbierania danych i domyślnym obszarem roboczym usługi Log Analytics. Aby uzyskać więcej informacji na temat obszaru roboczego usługi Log Analytics, zobacz Omówienie obszaru roboczego usługi Log Analytics.
- Skonfiguruj maszyny wirtualne SQL i serwery SQL z obsługą usługi Arc, aby zainstalować usługę Microsoft Defender dla usług SQL i AMA przy użyciu zdefiniowanego przez użytkownika prawa. Spowoduje to utworzenie grupy zasobów z regułami zbierania danych i niestandardowym obszarem roboczym usługi Log Analytics w wstępnie zdefiniowanym regionie. Podczas tego procesu instalujemy agenta monitorowania platformy Azure. Aby uzyskać więcej informacji na temat opcji instalacji agenta AMA, zobacz Wymagania wstępne agenta usługi Azure Monitor.
Aby ukończyć proces instalacji, konieczne jest ponowne uruchomienie programu SQL Server (wystąpienie) w wersjach 2017 i starszych.
Włączanie usługi Defender for SQL na maszynach wirtualnych platformy Azure przy użyciu agenta usługi AMA
Wymagania wstępne dotyczące włączania usługi Defender for SQL na maszynach wirtualnych platformy Azure
- Aktywna subskrypcja platformy Azure.
- Uprawnienia właściciela subskrypcji w subskrypcji, w której chcesz przypisać zasady.
- Program SQL Server w wymaganiach wstępnych dotyczących maszyn:
- Uprawnienia: użytkownik systemu Windows obsługujący serwer SQL musi mieć rolę Sysadmin w bazie danych.
- Rozszerzenia: do listy dozwolonych należy dodać następujące rozszerzenia:
- Defender for SQL (IaaS i Arc):
- Wydawca: Microsoft.Azure.AzureDefenderForSQL
- Typ: AdvancedThreatProtection.Windows
- Rozszerzenie IaaS sql (IaaS):
- Wydawca: Microsoft.SqlServer.Management
- Typ: SqlIaaSAgent
- Rozszerzenie IaaS SQL (Arc):
- Wydawca: Microsoft.AzureData
- Typ: WindowsAgent.SqlServer
- Rozszerzenie AMA (IaaS i Arc):
- Wydawca: Microsoft.Azure.Monitor
- Typ: AzureMonitorWindowsAgent
- Defender for SQL (IaaS i Arc):
- Ponieważ tworzymy grupę zasobów w regionie Wschodnie stany USA, w ramach procesu włączania automatycznego aprowizowania ten region musi być dozwolony lub usługa Defender for SQL nie może pomyślnie ukończyć procesu instalacji.
Procedura włączania usługi Defender for SQL na maszynach wirtualnych platformy Azure
Zaloguj się w witrynie Azure Portal.
Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.
W menu Defender dla Chmury wybierz pozycję Ustawienia środowiska.
Wybierz odpowiednią subskrypcję.
Na stronie Plany usługi Defender znajdź plan Bazy danych i wybierz pozycję Wybierz typy.
W oknie Wyboru Typy zasobów przełącz serwery SQL na maszynach , które mają być włączone.
Wybierz Kontynuuj.
Wybierz pozycję Zapisz.
Po włączeniu użyjemy jednej z następujących inicjatyw zasad:
- Skonfiguruj maszyny wirtualne SQL i serwery SQL z obsługą usługi Arc, aby zainstalować usługę Microsoft Defender dla usług SQL i AMA przy użyciu obszaru roboczego usługi Log Analytics (LAW) dla domyślnego prawa. Spowoduje to utworzenie grupy zasobów w regionie Wschodnie stany USA i tożsamość zarządzana. Aby uzyskać więcej informacji na temat korzystania z tożsamości zarządzanej, zobacz Resource Manager template samples for agents in Azure Monitor (Przykłady szablonów usługi Resource Manager dla agentów w usłudze Azure Monitor). Tworzy również grupę zasobów zawierającą reguły zbierania danych (DCR) i domyślne prawo. Wszystkie zasoby są konsolidowane w ramach tej pojedynczej grupy zasobów. DcR i LAW są tworzone w celu dopasowania do regionu maszyny wirtualnej.
- Skonfiguruj maszyny wirtualne SQL i serwery SQL z obsługą usługi Arc, aby zainstalować usługę Microsoft Defender dla usług SQL i AMA przy użyciu zdefiniowanego przez użytkownika prawa. Spowoduje to utworzenie grupy zasobów w regionie Wschodnie stany USA i tożsamość zarządzana. Aby uzyskać więcej informacji na temat korzystania z tożsamości zarządzanej, zobacz Resource Manager template samples for agents in Azure Monitor (Przykłady szablonów usługi Resource Manager dla agentów w usłudze Azure Monitor). Tworzy również grupę zasobów z dcR i niestandardowym prawem w wstępnie zdefiniowanym regionie.
Aby ukończyć proces instalacji, konieczne jest ponowne uruchomienie programu SQL Server (wystąpienie) w wersjach 2017 i starszych.
Często zadawane pytania
Jak długo musimy poczekać na pomyślne wdrożenie po zakończeniu wdrażania?
Zaktualizowanie stanu ochrony przez rozszerzenie IaaS sql trwa około 30 minut, przy założeniu, że zostały spełnione wszystkie wymagania wstępne.
Jak mogę sprawdzić, czy moje wdrożenie zakończyło się pomyślnie i czy moja baza danych jest teraz chroniona?
- Znajdź bazę danych na górnym pasku wyszukiwania w witrynie Azure Portal.
- Na karcie Zabezpieczenia wybierz pozycję Defender dla Chmury.
- Sprawdź stan Ochrony. Jeśli stan to Chronione, wdrożenie zakończyło się pomyślnie.
Jaki jest cel tożsamości zarządzanej utworzonej podczas procesu instalacji na maszynach wirtualnych usługi Azure SQL?
Tożsamość zarządzana jest częścią usługi Azure Policy, która wypycha usługę AMA. Usługa AMA używa jej do uzyskiwania dostępu do bazy danych w celu zbierania danych i wysyłania ich za pośrednictwem obszaru roboczego usługi Log Analytics (LAW) do Defender dla Chmury. Aby uzyskać więcej informacji na temat korzystania z tożsamości zarządzanej, zobacz Resource Manager template samples for agents in Azure Monitor (Przykłady szablonów usługi Resource Manager dla agentów w usłudze Azure Monitor).
Czy mogę użyć własnej tożsamości DCR lub tożsamości zarządzanej zamiast Defender dla Chmury utworzenia nowego?
Tak, umożliwiamy korzystanie z własnej tożsamości lub kontrolera domeny tylko przy użyciu następującego skryptu. Aby uzyskać więcej informacji, zobacz Włączanie usługi Microsoft Defender dla serwerów SQL na maszynach na dużą skalę.
Ile grup zasobów i obszarów roboczych usługi Log Analytics jest tworzonych za pośrednictwem procesu automatycznej aprowizacji?
Domyślnie tworzymy grupę zasobów, obszar roboczy i kontroler domeny na region z maszyną SQL. Jeśli wybierzesz opcję niestandardowego obszaru roboczego, tylko jedna grupa zasobów/dcR zostanie utworzona w tej samej lokalizacji co obszar roboczy.
Jak włączyć serwery SQL na maszynach z usługą AMA na dużą skalę?
Zobacz Włączanie usługi Microsoft Defender dla serwerów SQL na maszynach na dużą skalę , aby zapoznać się z procesem włączania automatycznej aprowizacji usługi Microsoft Defender dla usługi SQL w wielu subskrypcjach jednocześnie. Dotyczy to serwerów SQL hostowanych na maszynach wirtualnych platformy Azure, środowiskach lokalnych i serwerach SQL z obsługą usługi Azure Arc.
Które tabele są używane w usłudze LAW z usługą AMA?
Usługa Defender for SQL na maszynach wirtualnych SQL i serwerach SQL z obsługą usługi Arc używa obszaru roboczego usługi Log Analytics (LAW) do transferu danych z bazy danych do portalu Defender dla Chmury. Oznacza to, że żadne dane nie są zapisywane lokalnie w PRAWIE. Tabele w ustawie LAW o nazwie SQLAtpStatus i SqlVulnerabilityAssessmentScanStatus zostaną wycofane po wycofaniu programu MMA. Stan atp i va można wyświetlić w portalu Defender dla Chmury.
W jaki sposób usługa Defender for SQL zbiera dzienniki z serwera SQL?
Usługa Defender for SQL używa programu Xevent, począwszy od programu SQL Server 2017. W poprzednich wersjach programu SQL Server usługa Defender for SQL zbiera dzienniki przy użyciu dzienników inspekcji programu SQL Server.
Widzę parametr o nazwie enableCollectionOfSqlQueriesForSecurityResearch w inicjatywie zasad. Czy oznacza to, że moje dane są zbierane do analizy?
Ten parametr nie jest obecnie używany. Jego wartość domyślna to false, co oznacza, że jeśli nie zmienisz aktywnie wartości, pozostanie ona fałszem. Ten parametr nie ma żadnego wpływu.
Powiązana zawartość
Aby uzyskać powiązane informacje, zobacz następujące zasoby:
- Jak usługa Microsoft Defender dla usługi Azure SQL może chronić serwery SQL w dowolnym miejscu.
- Alerty zabezpieczeń dla usług SQL Database i Azure Synapse Analytics
- Zapoznaj się z typowymi pytaniami dotyczącymi usługi Defender for Databases.