Habilitar o Microsoft Defender para servidores SQL em computadores

O Defender para SQL Servers em computadores protege o seu

Pré-requisitos

Antes de implantar o AMA com o Defender para Nuvem, você deve ter os seguintes pré-requisitos:

• Seus computadores locais e multinuvem devem ter o Azure Arc instalado.

  • Computadores AWS e GCP
    • Integre o conector do AWS e provisione automaticamente o Azure Arc.
    • Integre o conector do GCP e provisione automaticamente o Azure Arc.
  • Computadores locais
    • Instale o Azure Arc.

• Verifique se os planos do Defender que você deseja que o Agente do Azure Monitor dê suporte estão habilitados:

  • Habilitar o Defender para servidores do SQL em computadores
  • Habilitar planos do Defender nas assinaturas de suas VMs da AWS
  • Habilitar planos do Defender nas assinaturas de suas VMs do GCP

• Para servidores SQL multinuvem:

  • Conectar sua conta da AWS ao Microsoft Defender para Nuvem

  • Conectar seu projeto do GCP ao Microsoft Defender para Nuvem

    Observação

    Você deve ativar a proteção de banco de dados para seus servidores SQL multinuvem por meio do conector AWS ou do conector GCP.

Disponibilidade

Aspecto	Detalhes
Estado da versão:	Disponibilidade Geral (GA)
Preço:	O Microsoft Defender para servidores SQL em computadores é cobrado conforme mostrado na página de preço
Versões do SQL protegidas:	Versão do SQL Server: 2012, 2014, 2016, 2017, 2019, 2022 - SQL nas máquinas virtuais do Azure - SQL Server nos servidores habilitados para Azure Arc
Nuvens:	Nuvens comerciais Azure Governamental Microsoft Azure operado pela 21Vianet

Habilitar o Defender para SQL em computadores que não são do Azure usando o agente AMA

Pré-requisitos para habilitar o Defender para SQL em computadores não Azure

• Uma assinatura ativa do Azure.

• Permissões de proprietário da assinatura na assinatura na qual você deseja atribuir a política.

• Pré-requisitos do SQL Server em computadores:

  • Permissões: o usuário do Windows que opera o SQL Server precisa ter a função Sysadmin no banco de dados.
  • Extensões: as seguintes extensões devem ser adicionadas à lista de permitidos:
    • Defender para SQL (IaaS e Arc):
      • Editor: Microsoft.Azure.AzureDefenderForSQL
      • Tipo: AdvancedThreatProtection.Windows
    • Extensão IaaS do SQL (IaaS):
      • Editor: Microsoft.SqlServer.Management
      • Tipo: SqlIaaSAgent
    • Extensão IaaS do SQL (Arc):
      • Editor: Microsoft.AzureData
      • Tipo: WindowsAgent.SqlServer
    • Extensão AMA (IaaS e Arc):
      • Editor: Microsoft.Azure.Monitor
      • Tipo: AzureMonitorWindowsAgent

Convenções de nomenclatura na lista de permitidos "Negar política"

• O Defender para SQL usa a seguinte convenção de nomenclatura ao criar nossos recursos:

  • DCR: MicrosoftDefenderForSQL--dcr
  • DCRA: /Microsoft.Insights/MicrosoftDefenderForSQL-RulesAssociation
  • Grupo de recursos: DefaultResourceGroup-
  • Workspace do Log Analytics: D4SQL--

• O Defender para SQL usa MicrosoftDefenderForSQL como uma marca de banco de dados createdBy.

Etapas para habilitar o Defender para SQL em computadores não Azure

1. Conecte o SQL Server ao Azure Arc. Para obter mais informações sobre os sistemas operacionais compatíveis, a configuração de conectividade e as permissões necessárias, consulte a seguinte documentação:

   • Planejar e implantar servidores habilitado para o Azure Arc
   • Pré-requisitos do agente do Computador Conectado
   • Requisitos de rede do agente da máquina conectada
   • Funções específicas do SQL Server habilitadas pelo Azure Arc

2. Depois que o Azure Arc é instalado, a extensão do Azure para SQL Server é instalada automaticamente no servidor de banco de dados. Para obter mais informações, confira Gerenciar conexão automática para o SQL Server habilitado pelo Azure Arc.

Habilitar o Defender para SQL

1. Entre no portal do Azure.

2. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.

3. No menu do Defender para Nuvem, selecione Configurações de ambiente.

4. Selecione a assinatura relevante.

5. Na página Planos do Defender, localize o plano Bancos de Dados e selecione Selecionar tipos.

   

6. Na janela Seleção de tipos de recurso, alterne os servidores SQL nos computadores que planejam para Ativado.

7. Selecione Continuar.

8. Selecione Salvar.

9. Depois de habilitado, usamos uma das seguintes iniciativas de política:

   • Configure VMs do SQL e SQL servers habilitados para Arc para instalar o Microsoft Defender para SQL e AMA com um LAW (workspace do Log Analytics) para um LAW padrão. Isso cria grupos de recursos com regras de coleta de dados e um workspace padrão do Log Analytics. Para obter mais informações sobre o workspace do Log Analytics, confira Visão geral do workspace do Log Analytics.

   

   • Configure VMs do SQL e SQL servers habilitados para Arc para instalar o Microsoft Defender para SQL e AMA com uma LAW definida pelo usuário. Isso cria um grupo de recursos com regras de coleta de dados e um workspace personalizado do Log Analytics na região predefinida. Durante esse processo, instalamos o agente de monitoramento do Azure. Para obter mais informações sobre as opções para instalar o agente AMA, consulte os pré-requisitos do agente do Azure Monitor.

   

10. Para concluir o processo de instalação, uma reinicialização do SQL Server (instância) é necessária para versões 2017 e anteriores.

Habilitar o Defender para SQL em máquinas virtuais do Azure usando o agente AMA

Pré-requisitos para habilitar o Defender para SQL em máquinas virtuais do Azure

• Uma assinatura ativa do Azure.
• Permissões de proprietário da assinatura na assinatura na qual você deseja atribuir a política.
• Pré-requisitos do SQL Server em computadores:
  • Permissões: o usuário do Windows que opera o SQL Server precisa ter a função Sysadmin no banco de dados.
  • Extensões: as seguintes extensões devem ser adicionadas à lista de permitidos:
    • Defender para SQL (IaaS e Arc):
      • Editor: Microsoft.Azure.AzureDefenderForSQL
      • Tipo: AdvancedThreatProtection.Windows
    • Extensão IaaS do SQL (IaaS):
      • Editor: Microsoft.SqlServer.Management
      • Tipo: SqlIaaSAgent
    • Extensão IaaS do SQL (Arc):
      • Editor: Microsoft.AzureData
      • Tipo: WindowsAgent.SqlServer
    • Extensão AMA (IaaS e Arc):
      • Editor: Microsoft.Azure.Monitor
      • Tipo: AzureMonitorWindowsAgent
• Como estamos criando um grupo de recursos no Leste dos EUA, como parte do processo de habilitação de provisionamento automático, essa região precisará ser permitida, ou o Defender para SQL não poderá concluir o processo de instalação com êxito.

Etapas para habilitar o Defender para SQL em máquinas virtuais do Azure

1. Entre no portal do Azure.

2. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.

3. No menu do Defender para Nuvem, selecione Configurações de ambiente.

4. Selecione a assinatura relevante.

5. Na página Planos do Defender, localize o plano Bancos de Dados e selecione Selecionar tipos.

   

6. Na janela Seleção de tipos de recurso, alterne os servidores SQL nos computadores que planejam para Ativado.

7. Selecione Continuar.

8. Selecione Salvar.

9. Depois de habilitado, usamos uma das seguintes iniciativas de política:

   • Configure VMs do SQL e SQL servers habilitados para Arc para instalar o Microsoft Defender para SQL e AMA com um LAW (workspace do Log Analytics) para um LAW padrão. Isso cria um grupo de recursos no Leste dos EUAe uma identidade gerenciada. Para obter mais informações sobre o uso da identidade gerenciada, confira Exemplos de modelo do Resource Manager para agentes no Azure Monitor. Ele também cria um grupo de recursos que inclui uma DCR (Regra de Coleta de Dados) e um LAW padrão. Todos os recursos são consolidados nesse único grupo de recursos. A DCR e o LAW são criados para se alinharem à região da VM (máquina virtual).

   

   • Configure VMs do SQL e SQL servers habilitados para Arc para instalar o Microsoft Defender para SQL e AMA com uma LAW definida pelo usuário. Isso cria um grupo de recursos no Leste dos EUAe uma identidade gerenciada. Para obter mais informações sobre o uso da identidade gerenciada, confira Exemplos de modelo do Resource Manager para agentes no Azure Monitor. Ele também cria um grupo de recursos com uma DCR e um LAW personalizado na região predefinida.

   

10. Para concluir o processo de instalação, uma reinicialização do SQL Server (instância) é necessária para versões 2017 e anteriores.

Perguntas comuns

Depois que a implantação for concluída, quanto tempo precisaremos aguardar para vermos uma implantação bem-sucedida?

Leva aproximadamente 30 minutos para atualizar o status de proteção pela Extensão IaaS do SQL, supondo que todos os pré-requisitos sejam atendidos.

Como fazer para verificar se minha implantação terminou com êxito e se meu banco de dados agora está protegido?

1. Localize o banco de dados na barra de pesquisa superior no portal do Azure.
2. Na guia Segurança, selecione Defender para Nuvem.
3. Verifique o Status da proteção. Se o status for Protegido, a implantação será bem-sucedida.

Qual é a finalidade da identidade gerenciada criada durante o processo de instalação em VMs SQL do Azure?

A identidade gerenciada faz parte do Azure Policy, que envia o AMA por push. Ela é usada pela AMA para acessar o banco de dados para coletar os dados e enviá-los por meio do LAW (workspace do Log Analytics) para o Defender para Nuvem. Para obter mais informações sobre o uso da identidade gerenciada, confira Exemplos de modelo do Resource Manager para agentes no Azure Monitor.

Posso usar minha DCR ou identidade gerenciada em vez de usar o Defender para Nuvem para criar um?

Sim, permitimos que você traga sua identidade ou DCR usando apenas o script a seguir. Para obter mais informações, confira Habilitar o Microsoft Defender para SQL servers em computadores em escala.

Quantos grupos de recursos e workspaces do Log Analytics são criados por meio do processo de provisionamento automático?

Por padrão, criamos o grupo de recursos, o workspace e o DCR por região que tem o computador SQL. Se você escolher a opção de workspace personalizada, apenas um grupo de recursos/DCR será criado no mesmo local que o workspace.

Como posso habilitar SQL servers em computadores com AMA em escala?

Confira Habilitar servidores Microsoft Defender para SQL em computadores em escala para conhecer o processo de como habilitar o provisionamento automático do Microsoft Defender para SQL em várias assinaturas simultaneamente. Ele é aplicável a SQL servers hospedados em Máquinas Virtuais do Azure, ambientes locais e SQL servers habilitados para Azure Arc.

Quais tabelas são usadas em LAW com AMA?

O Defender para SQL em VMs do SQL e servidores SQL habilitados para Arc usa o LAW (workspace do Log Analytics) para transferir dados do banco de dados para o portal do Defender para Nuvem. Isso significa que nenhum dado é salvo localmente no LAW. As tabelas em LAW denominadas SQLAtpStatus e SqlVulnerabilityAssessmentScanStatus serão desativadas quando o MMA for preterido. O status do ATP e da AV pode ser exibido no portal do Defender para Nuvem.

Como o Defender para SQL coleta logs do SQL Server?

O Defender para SQL usa o Xevent, começando com o SQL Server 2017. Nas versões anteriores do SQL Server, o Defender para SQL coleta os logs usando os logs de auditoria do SQL Server.

Vejo um parâmetro chamado enableCollectionOfSqlQueriesForSecurityResearch na iniciativa de política. Isso significa que meus dados são coletados para análise?

Esse parâmetro não está em uso hoje. O valor padrão dele é falso, o que significa que, a menos que você altere proativamente o valor, ele permanece falso. Não há nenhum efeito desse parâmetro.

Conteúdo relacionado

Para obter as informações relacionadas, confira estes recursos:

• Como o Microsoft Defender para SQL do Azure pode proteger os SQL Servers em qualquer lugar.
• Alertas de segurança para o Banco de Dados SQL e o Azure Synapse Analytics
• Confira as perguntas comuns sobre o Defender para Banco de Dados.