Ativar os servidores do Microsoft Defender para SQL em computadores
O Defender for SQL servers on machines protege os servidores SQL hospedados em Máquinas Virtuais do Azure, ambientes locais e servidores SQL habilitados para Azure Arc. O Defender for SQL servers on machines fornece uma experiência unificada de gerenciamento de segurança para servidores SQL.
Pré-requisitos
Antes de implantar o AMA com o Defender for Cloud, verifique se você tem os seguintes pré-requisitos:
Certifique-se de que suas máquinas multicloud e locais tenham o Azure Arc instalado.
- Máquinas AWS e GCP
- Integre seu conector da AWS e provisione automaticamente o Azure Arc.
- Integre seu conector GCP e provisione automaticamente o Azure Arc.
- Máquinas locais
- Máquinas AWS e GCP
Verifique se os planos do Defender que você deseja que o Agente do Azure Monitor ofereça suporte estão habilitados:
Para servidores SQL multicloud:
Habilitar o Defender for SQL em máquinas que não sejam do Azure usando o agente AMA
Pré-requisitos para habilitar o Defender for SQL em máquinas que não são do Azure
Uma subscrição ativa do Azure.
Permissões de proprietário da subscrição na subscrição à qual pretende atribuir a política.
Pré-requisitos do SQL Server em máquinas:
- Permissões: o usuário do Windows que opera o servidor SQL deve ter a função Sysadmin no banco de dados.
-
Extensões: As seguintes extensões devem ser adicionadas à lista de permissões:
- Defender para SQL (IaaS e Arc):
- Editora: Microsoft.Azure.AzureDefenderForSQL
- Tipo: AdvancedThreatProtection.Windows
- Extensão IaaS (IaaS):
- Editora: Microsoft.SqlServer.Management
- Tipo: SqlIaaSAgent
- Extensão IaaS SQL (Arc):
- Editora: Microsoft.AzureData
- Tipo: WindowsAgent.SqlServer
- Extensão AMA (IaaS e Arc):
- Editora: Microsoft.Azure.Monitor
- Tipo: AzureMonitorWindowsAgent
- Defender para SQL (IaaS e Arc):
Convenções de nomenclatura na lista de permissões "Negar política"
O Defender for SQL usa a seguinte convenção de nomenclatura ao criar nossos recursos:
- Regra de Recolha de Dados:
MicrosoftDefenderForSQL--dcr - DCRA:
/Microsoft.Insights/MicrosoftDefenderForSQL-RulesAssociation - Grupo de recursos:
DefaultResourceGroup- - Espaço de trabalho de análise de log:
D4SQL--
- Regra de Recolha de Dados:
O Defender for SQL usa o MicrosoftDefenderForSQL como uma marca de banco de dados createdBy .
Etapas para habilitar o Defender for SQL em máquinas que não sejam do Azure
Conecte o SQL Server ao Azure Arc. Para obter mais informações sobre os sistemas operacionais suportados, configuração de conectividade e permissões necessárias, consulte a seguinte documentação:
Depois que o Azure Arc é instalado, a extensão do Azure para SQL Server é instalada automaticamente no servidor de banco de dados. Para obter mais informações, consulte Gerir a ligação automática para SQL Server ativada pelo Azure Arc.
Habilitar o Defender para SQL
Inicie sessão no portal do Azure.
Procure e selecione Microsoft Defender para a Cloud.
No menu do Defender for Cloud, selecione Configurações do ambiente.
Selecione a subscrição relevante.
Na página Planos do Defender, localize o plano Bancos de dados e selecione Selecionar tipos.
Na janela de seleção Tipos de recursos, alterne o plano de servidores SQL em máquinas para Ativado.
Selecione Continuar.
Selecione Guardar.
Uma vez habilitado, use uma das seguintes iniciativas políticas:
- Configure VMs SQL e servidores SQL habilitados para Arc para instalar o Microsoft Defender for SQL e AMA com um espaço de trabalho do Log Analytics para um espaço de trabalho padrão do Log Analytics. Isso cria grupos de recursos com regras de coleta de dados e um espaço de trabalho padrão do Log Analytics. Para obter mais informações sobre o espaço de trabalho do Log Analytics, consulte Visão geral do espaço de trabalho do Log Analytics.
- Configure VMs SQL e servidores SQL habilitados para Arc para instalar o Microsoft Defender for SQL e AMA com um espaço de trabalho do Log Analytics definido pelo usuário. Isso cria um grupo de recursos com regras de coleta de dados e um espaço de trabalho personalizado do Log Analytics na região predefinida. Durante esse processo, instale o Azure Monitoring Agent. Para obter mais informações sobre as opções para instalar o agente AMA, consulte Pré-requisitos do Azure Monitor Agent.
Para concluir o processo de instalação, reinicie o servidor SQL (instância) para versões 2017 e anteriores.
Habilitar o Defender for SQL em máquinas virtuais do Azure usando o agente AMA
Pré-requisitos para habilitar o Defender for SQL em máquinas virtuais do Azure
- Uma subscrição ativa do Azure.
- Permissões de proprietário da subscrição na subscrição à qual pretende atribuir a política.
- Pré-requisitos do SQL Server em máquinas:
- Permissões: o usuário do Windows que opera o servidor SQL deve ter a função Sysadmin no banco de dados.
-
Extensões: As seguintes extensões devem ser adicionadas à lista de permissões:
- Defender para SQL (IaaS e Arc):
- Editora: Microsoft.Azure.AzureDefenderForSQL
- Tipo: AdvancedThreatProtection.Windows
- Extensão IaaS (IaaS):
- Editora: Microsoft.SqlServer.Management
- Tipo: SqlIaaSAgent
- Extensão IaaS SQL (Arc):
- Editora: Microsoft.AzureData
- Tipo: WindowsAgent.SqlServer
- Extensão AMA (IaaS e Arc):
- Editora: Microsoft.Azure.Monitor
- Tipo: AzureMonitorWindowsAgent
- Defender para SQL (IaaS e Arc):
- Como estamos criando um grupo de recursos no Leste dos EUA, como parte do processo de habilitação de provisionamento automático, essa região precisa ser permitida ou o Defender for SQL não pode concluir o processo de instalação com êxito.
Etapas para habilitar o Defender for SQL em máquinas virtuais do Azure
Inicie sessão no portal do Azure.
Procure e selecione Microsoft Defender para a Cloud.
No menu do Defender for Cloud, selecione Configurações do ambiente.
Selecione a subscrição relevante.
Na página Planos do Defender, localize o plano Bancos de dados e selecione Selecionar tipos.
Na janela de seleção Tipos de recursos, alterne o plano de servidores SQL em máquinas para Ativado.
Selecione Continuar.
Selecione Guardar.
Uma vez habilitado, use uma das seguintes iniciativas políticas:
- Configure VMs SQL e servidores SQL habilitados para Arc para instalar o Microsoft Defender for SQL e AMA com um espaço de trabalho do Log Analytics para um espaço de trabalho padrão do Log Analytics. Isso cria um grupo de recursos no Leste dos EUA e uma identidade gerenciada. Para obter mais informações sobre o uso da identidade gerenciada, consulte Exemplos de modelo do Gerenciador de Recursos para agentes no Azure Monitor. Ele também cria um grupo de recursos que inclui Regras de Coleta de Dados e um Espaço de Trabalho de Análise de Log padrão. Todos os recursos são consolidados sob este único grupo de recursos. A Regra de Coleta de Dados e o Espaço de Trabalho de Análise de Log são criados para alinhar com a região da máquina virtual (VM).
- Configure VMs SQL e servidores SQL habilitados para Arc para instalar o Microsoft Defender for SQL e AMA com um espaço de trabalho do Log Analytics definido pelo usuário. Isso cria um grupo de recursos no Leste dos EUA e uma identidade gerenciada. Para obter mais informações sobre o uso da identidade gerenciada, consulte Exemplos de modelo do Gerenciador de Recursos para agentes no Azure Monitor. Ele também cria um grupo de recursos com DCR e um espaço de trabalho personalizado do Log Analytics na região predefinida.
Para concluir o processo de instalação, reinicie o servidor SQL (instância) para versões 2017 e anteriores.
Conteúdos relacionados
Para obter informações relacionadas, consulte estes recursos:
- Como o Microsoft Defender for Azure SQL pode proteger servidores SQL em qualquer lugar.
- Alertas de segurança para o Banco de Dados SQL e o Azure Synapse Analytics
- Confira perguntas comuns sobre o Defender for Databases.