Włączanie usługi Microsoft Defender dla serwerów SQL na maszynach na dużą skalę
Microsoft Defender dla Chmury serwerów SQL na maszynach składnik planu Defender for Databases chroni rozszerzenia SQL IaaS i Defender for SQL. Serwery SQL na składniku maszyn identyfikują i zmniejszają potencjalne luki w zabezpieczeniach bazy danych podczas wykrywania nietypowych działań, które mogą wskazywać na zagrożenia dla baz danych.
Po włączeniu programu SQL Server na maszynach składnika planu Defender for Databases proces automatycznej aprowizacji jest automatycznie inicjowany. Proces automatycznej aprowizacji instaluje i konfiguruje wszystkie składniki niezbędne do działania planu, w tym agenta usługi Azure Monitor (AMA), rozszerzenia SQL IaaS i rozszerzenia defender for SQL. Proces automatycznej aprowizacji konfiguruje również konfigurację obszaru roboczego, reguły zbierania danych, tożsamość (w razie potrzeby) i rozszerzenie IaaS sql.
Na tej stronie wyjaśniono, jak włączyć proces automatycznej aprowizacji dla usługi Defender for SQL w wielu subskrypcjach jednocześnie przy użyciu skryptu programu PowerShell. Ten proces dotyczy serwerów SQL hostowanych na maszynach wirtualnych platformy Azure, środowiskach lokalnych i serwerach SQL z obsługą usługi Azure Arc. W tym artykule omówiono również sposób korzystania z dodatkowych funkcji, które mogą obsługiwać różne konfiguracje, takie jak:
Niestandardowe reguły zbierania danych
Niestandardowe zarządzanie tożsamościami
Domyślna integracja obszaru roboczego
Niestandardowa konfiguracja obszaru roboczego
Wymagania wstępne
Uzyskaj wiedzę na temat:
Łączenie kont usługi Amazon Web Service (AWS) z Microsoft Defender dla Chmury
Łączenie projektu Google Cloud Project (GCP) z usługą Microsoft Defender dla Chmury
Zainstaluj program PowerShell w systemach Windows, Linux, macOS lub Azure Resource Manager (ARM).
Zainstaluj następujące moduły programu PowerShell:
Az.Resources
Az.OperationalInsights
Az.Accounts
Az
Az.PolicyInsights
Az.Security
Uprawnienia: wymaga reguł współautora, współautora lub właściciela maszyny wirtualnej.
Parametry i przykłady skryptów programu PowerShell
Skrypt programu PowerShell, który umożliwia usługę Microsoft Defender for SQL on Machines w danej subskrypcji, ma kilka parametrów, które można dostosować do własnych potrzeb. W poniższej tabeli wymieniono parametry i ich opisy:
Nazwa parametru | Wymagania | opis |
---|---|---|
SubscriptionId: | Wymagania | Identyfikator subskrypcji platformy Azure, dla którego chcesz włączyć usługę Defender dla serwerów SQL na maszynach. |
RegisterSqlVmAgnet | Wymagania | Flaga wskazująca, czy zbiorczo zarejestrować agenta maszyny wirtualnej SQL. Dowiedz się więcej na temat rejestrowania wielu maszyn wirtualnych SQL na platformie Azure przy użyciu rozszerzenia agenta IaaS sql. |
WorkspaceResourceId | Opcjonalnie | Identyfikator zasobu obszaru roboczego usługi Log Analytics, jeśli chcesz użyć niestandardowego obszaru roboczego zamiast domyślnego. |
DataCollectionRuleResourceId | Opcjonalnie | Identyfikator zasobu reguły zbierania danych, jeśli chcesz użyć niestandardowej reguły zbierania danych (DCR) zamiast domyślnej. |
UserAssignedIdentityResourceId | Opcjonalnie | Identyfikator zasobu tożsamości przypisanej przez użytkownika, jeśli chcesz użyć niestandardowej tożsamości przypisanej przez użytkownika zamiast tożsamości domyślnej. |
Poniższy przykładowy skrypt ma zastosowanie w przypadku używania domyślnego obszaru roboczego usługi Log Analytics, reguły zbierania danych i tożsamości zarządzanej.
Write-Host "------ Enable Defender for SQL on Machines example ------"
$SubscriptionId = "<SubscriptionID>"
.\EnableDefenderForSqlOnMachines.ps1 -SubscriptionId $SubscriptionId -RegisterSqlVmAgnet $RegisterSqlVmAgnet
Poniższy przykładowy skrypt ma zastosowanie w przypadku używania niestandardowego obszaru roboczego usługi Log Analytics, reguły zbierania danych i tożsamości zarządzanej.
Write-Host "------ Enable Defender for SQL on Machines example ------"
$SubscriptionId = "<SubscriptionID>"
$RegisterSqlVmAgnet = "false"
$WorkspaceResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someResourceGroup/providers/Microsoft.OperationalInsights/workspaces/someWorkspace"
$DataCollectionRuleResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someOtherResourceGroup/providers/Microsoft.Insights/dataCollectionRules/someDcr"
$UserAssignedIdentityResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someElseResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/someManagedIdentity"
.\EnableDefenderForSqlOnMachines.ps1 -SubscriptionId $SubscriptionId -RegisterSqlVmAgnet $RegisterSqlVmAgnet -WorkspaceResourceId $WorkspaceResourceId -DataCollectionRuleResourceId $DataCollectionRuleResourceId -UserAssignedIdentityResourceId $UserAssignedIdentityResourceId
Włączanie usługi Defender dla serwerów SQL na maszynach na dużą skalę
Aby włączyć usługę Defender dla serwerów SQL na maszynach na dużą skalę, wykonaj następujące kroki.
Otwórz okno programu PowerShell.
Wklej skrypt do programu PowerShell.
Wprowadź informacje o parametrach zgodnie z potrzebami.
Uruchom skrypt.