Udostępnij za pośrednictwem


Włączanie usługi Microsoft Defender dla serwerów SQL na maszynach na dużą skalę

Microsoft Defender dla Chmury serwerów SQL na maszynach składnik planu Defender for Databases chroni rozszerzenia SQL IaaS i Defender for SQL. Serwery SQL na składniku maszyn identyfikują i zmniejszają potencjalne luki w zabezpieczeniach bazy danych podczas wykrywania nietypowych działań, które mogą wskazywać na zagrożenia dla baz danych.

Po włączeniu programu SQL Server na maszynach składnika planu Defender for Databases proces automatycznej aprowizacji jest automatycznie inicjowany. Proces automatycznej aprowizacji instaluje i konfiguruje wszystkie składniki niezbędne do działania planu, w tym agenta usługi Azure Monitor (AMA), rozszerzenia SQL IaaS i rozszerzenia defender for SQL. Proces automatycznej aprowizacji konfiguruje również konfigurację obszaru roboczego, reguły zbierania danych, tożsamość (w razie potrzeby) i rozszerzenie IaaS sql.

Na tej stronie wyjaśniono, jak włączyć proces automatycznej aprowizacji dla usługi Defender for SQL w wielu subskrypcjach jednocześnie przy użyciu skryptu programu PowerShell. Ten proces dotyczy serwerów SQL hostowanych na maszynach wirtualnych platformy Azure, środowiskach lokalnych i serwerach SQL z obsługą usługi Azure Arc. W tym artykule omówiono również sposób korzystania z dodatkowych funkcji, które mogą obsługiwać różne konfiguracje, takie jak:

  • Niestandardowe reguły zbierania danych

  • Niestandardowe zarządzanie tożsamościami

  • Domyślna integracja obszaru roboczego

  • Niestandardowa konfiguracja obszaru roboczego

Wymagania wstępne

Parametry i przykłady skryptów programu PowerShell

Skrypt programu PowerShell, który umożliwia usługę Microsoft Defender for SQL on Machines w danej subskrypcji, ma kilka parametrów, które można dostosować do własnych potrzeb. W poniższej tabeli wymieniono parametry i ich opisy:

Nazwa parametru Wymagania opis
SubscriptionId: Wymagania Identyfikator subskrypcji platformy Azure, dla którego chcesz włączyć usługę Defender dla serwerów SQL na maszynach.
RegisterSqlVmAgnet Wymagania Flaga wskazująca, czy zbiorczo zarejestrować agenta maszyny wirtualnej SQL.

Dowiedz się więcej na temat rejestrowania wielu maszyn wirtualnych SQL na platformie Azure przy użyciu rozszerzenia agenta IaaS sql.
WorkspaceResourceId Opcjonalnie Identyfikator zasobu obszaru roboczego usługi Log Analytics, jeśli chcesz użyć niestandardowego obszaru roboczego zamiast domyślnego.
DataCollectionRuleResourceId Opcjonalnie Identyfikator zasobu reguły zbierania danych, jeśli chcesz użyć niestandardowej reguły zbierania danych (DCR) zamiast domyślnej.
UserAssignedIdentityResourceId Opcjonalnie Identyfikator zasobu tożsamości przypisanej przez użytkownika, jeśli chcesz użyć niestandardowej tożsamości przypisanej przez użytkownika zamiast tożsamości domyślnej.

Poniższy przykładowy skrypt ma zastosowanie w przypadku używania domyślnego obszaru roboczego usługi Log Analytics, reguły zbierania danych i tożsamości zarządzanej.

Write-Host "------ Enable Defender for SQL on Machines example ------" 
$SubscriptionId = "<SubscriptionID>"
.\EnableDefenderForSqlOnMachines.ps1 -SubscriptionId $SubscriptionId -RegisterSqlVmAgnet $RegisterSqlVmAgnet 

Poniższy przykładowy skrypt ma zastosowanie w przypadku używania niestandardowego obszaru roboczego usługi Log Analytics, reguły zbierania danych i tożsamości zarządzanej.

Write-Host "------ Enable Defender for SQL on Machines example ------" 
$SubscriptionId = "<SubscriptionID>" 
$RegisterSqlVmAgnet = "false" 
$WorkspaceResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someResourceGroup/providers/Microsoft.OperationalInsights/workspaces/someWorkspace" 
$DataCollectionRuleResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someOtherResourceGroup/providers/Microsoft.Insights/dataCollectionRules/someDcr" 
$UserAssignedIdentityResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someElseResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/someManagedIdentity" 
.\EnableDefenderForSqlOnMachines.ps1 -SubscriptionId $SubscriptionId -RegisterSqlVmAgnet $RegisterSqlVmAgnet -WorkspaceResourceId $WorkspaceResourceId -DataCollectionRuleResourceId $DataCollectionRuleResourceId -UserAssignedIdentityResourceId $UserAssignedIdentityResourceId

Włączanie usługi Defender dla serwerów SQL na maszynach na dużą skalę

Aby włączyć usługę Defender dla serwerów SQL na maszynach na dużą skalę, wykonaj następujące kroki.

  1. Otwórz okno programu PowerShell.

  2. Skopiuj skrypt EnableDefenderForSqlOnMachines.ps1.

  3. Wklej skrypt do programu PowerShell.

  4. Wprowadź informacje o parametrach zgodnie z potrzebami.

  5. Uruchom skrypt.

Następny krok