Habilitar o Microsoft Defender para servidores SQL em computadores em escala

O componente de computadores em servidores SQL do Microsoft Defender para Nuvem do plano Defender para Bancos de Dados protege o SQL IaaS e as extensões do Defender para SQL. Os servidores SQL no componente de computadores identificam e atenuam as possíveis vulnerabilidades do banco de dados e detectam atividades anômalas que podem indicar ameaças aos seus bancos de dados.

Quando você habilita o componente SQL Server em computadores do plano Defender para Bancos de Dados, o processo de provisionamento automático é iniciado automaticamente. O processo de provisionamento automático instala e configura todos os componentes necessários para o funcionamento do plano, incluindo o Azure Monitor Agent (AMA), a extensão SQL IaaS e as extensões do Defender for SQL. O processo de provisionamento automático também configura a configuração do workspace, as regras de coleta de dados, a identidade (se necessário) e a extensão IaaS do SQL.

Esta página explica como você pode habilitar o processo de provisionamento automático para o Defender para SQL em várias assinaturas simultaneamente usando um script do PowerShell. Esse processo se aplica a servidores SQL hospedados em Máquinas Virtuais (VM) do Azure, ambientes locais e SQL Servers habilitados para Azure Arc. Este artigo também discute como utilizar funcionalidades extras que podem acomodar várias configurações, como:

• Regras personalizadas de coleta de dados

• Gerenciamento de identidades personalizado

• Integração do workspace padrão

• Configuração do workspace personalizada

Pré-requisitos

• Obtenha conhecimento sobre:

  • SQL Server em VMs
  • SQL Server habilitado pelo Azure Arc
  • Como fazer para migrar para o Agente do Azure Monitor por meio do agente do Log Analytics

• Conectar contas da Amazon Web Service (AWS) ao Microsoft Defender para Nuvem

• Conectar seu Projeto do Google Cloud (GCP) ao Microsoft Defender para Nuvem

• Instale o PowerShell no Windows, Linux, macOSou Azure Resource Manager (ARM).

• Instale os seguintes módulos do PowerShell:

  • Az.Resources
  • Az.OperationalInsights
  • Az.Accounts
  • Az
  • Az.PolicyInsights
  • Az.Security

• Permissões: requer colaborador de VM, colaborador ou proprietário das regras.

Parâmetros de script do PowerShell e amostras

O script do PowerShell que habilita o Microsoft Defender para SQL em computadores em uma determinada assinatura tem vários parâmetros que você pode personalizar para atender às suas necessidades. A tabela a seguir lista os parâmetros e suas descrições:

Nome do Parâmetro	Obrigatório	Descrição
SubscriptionId:	Obrigatório	A ID da assinatura do Azure para a qual você deseja habilitar o Defender para SQL Servers em computadores.
RegisterSqlVmAgnet	Obrigatório	Um sinalizador que indica se o Agente de VM do SQL deve ser registrado em massa. Saiba mais sobre registrando várias VMs do SQL no Azure com a extensão do agente IaaS do SQL.
WorkspaceResourceId	Opcional	A ID do recurso do workspace do Log Analytics, se você quiser usar um workspace personalizado em vez do padrão.
DataCollectionRuleResourceId	Opcional	A ID do recurso da regra de coleta de dados, se você quiser usar uma Regra de Coleta de Dados (DCR) personalizada em vez da padrão.
UserAssignedIdentityResourceId	Opcional	A ID do recurso da identidade atribuída pelo usuário, se você quiser usar uma identidade atribuída pelo usuário personalizado em vez da padrão.

O script de exemplo a seguir é aplicável quando você usa um workspace padrão do Log Analytics, uma regra de coleta de dados e uma identidade gerenciada.

Write-Host "------ Enable Defender for SQL on Machines example ------" 
$SubscriptionId = "<SubscriptionID>"
.\EnableDefenderForSqlOnMachines.ps1 -SubscriptionId $SubscriptionId -RegisterSqlVmAgnet $RegisterSqlVmAgnet 

O script de exemplo a seguir é aplicável quando você usa um workspace personalizado do Log Analytics, uma regra de coleta de dados e uma identidade gerenciada.

Write-Host "------ Enable Defender for SQL on Machines example ------" 
$SubscriptionId = "<SubscriptionID>" 
$RegisterSqlVmAgnet = "false" 
$WorkspaceResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someResourceGroup/providers/Microsoft.OperationalInsights/workspaces/someWorkspace" 
$DataCollectionRuleResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someOtherResourceGroup/providers/Microsoft.Insights/dataCollectionRules/someDcr" 
$UserAssignedIdentityResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someElseResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/someManagedIdentity" 
.\EnableDefenderForSqlOnMachines.ps1 -SubscriptionId $SubscriptionId -RegisterSqlVmAgnet $RegisterSqlVmAgnet -WorkspaceResourceId $WorkspaceResourceId -DataCollectionRuleResourceId $DataCollectionRuleResourceId -UserAssignedIdentityResourceId $UserAssignedIdentityResourceId

Habilitar o Defender para servidores SQL em computadores em escala

Você pode habilitar o Defender para servidores SQL em computadores em escala seguindo os seguintes passos.

1. Abra uma janela do PowerShell.

2. Copie o script EnableDefenderForSqlOnMachines.ps1.

3. Cole o script no PowerShell.

4. Inserira informações de parâmetro quando necessário.

5. Execute o script.

Próxima etapa

Verificar se há vulnerabilidades nos SQL Servers