Editar

Partilhar via


Perguntas comuns sobre o Defender for Databases

Obtenha respostas a perguntas comuns sobre o Microsoft Defender for Databases.

Se eu habilitar este plano do Microsoft Defender na minha assinatura, todos os servidores SQL na assinatura estarão protegidos?

N.º Para defender uma implantação do SQL Server em uma máquina virtual do Azure ou um SQL Server em execução em uma máquina habilitada para Azure Arc, o Defender for Cloud exige:

  • um agente do Log Analytics na máquina
  • o espaço de trabalho relevante do Log Analytics para ter a solução Microsoft Defender for SQL habilitada

O status da assinatura, mostrado na página do SQL Server no portal do Azure, reflete o status padrão do espaço de trabalho e se aplica a todas as máquinas conectadas. Somente os servidores SQL em hosts com um agente do Log Analytics relatando para esse espaço de trabalho são protegidos pelo Defender for Cloud.Y

Existe um efeito de desempenho da implantação do Microsoft Defender for Azure SQL em máquinas?

O foco do Microsoft Defender for SQL em máquinas é, obviamente, a segurança. Mas também nos preocupamos com o seu negócio e, por isso, priorizamos o desempenho para garantir o efeito mínimo em seus servidores SQL.

O serviço tem uma arquitetura dividida para equilibrar o carregamento de dados e a velocidade com o desempenho:

  • Alguns de nossos detetores, incluindo um rastreamento de eventos estendido chamado SQLAdvancedThreatProtectionTraffic, são executados na máquina para obter vantagens de velocidade em tempo real.
  • Outros detetores são executados na nuvem para poupar a máquina de cargas computacionais pesadas.

Testes de laboratório de nossa solução mostraram uso médio de CPU de 3% para fatias de pico, comparando-o com cargas de benchmark. Uma análise dos nossos dados de usuário atuais mostra um efeito insignificante no uso da CPU e da memória.

O desempenho sempre varia entre ambientes, máquinas e cargas. As declarações são fornecidas como uma diretriz geral, não como uma garantia para qualquer implantação individual.

Mudei o espaço de trabalho do Log Analytics para o Defender for SQL on Machines e perdi todos os resultados da verificação e as configurações de linhas de base. O que aconteceu?

Os resultados da verificação e as linhas de base não são armazenados no espaço de trabalho do Log Analytics, mas estão vinculados a ele. Alterar o espaço de trabalho redefinirá os resultados da verificação e as configurações da linha de base. No entanto, se você reverter para o espaço de trabalho original dentro de 90 dias, os resultados da verificação e as configurações da linha de base serão restaurados. Saiba mais

O que acontece com os resultados da verificação antiga e as linhas de base depois que eu mudo para a configuração expressa?

As configurações antigas de resultados e linhas de base permanecem disponíveis na sua conta de armazenamento, mas não serão atualizadas ou usadas pelo sistema. Você não precisa manter esses arquivos para que a avaliação de vulnerabilidade do SQL funcione depois de alternar para a configuração expressa, mas pode manter suas definições de linha de base antigas para referência futura.

Quando a configuração expressa está habilitada, você não tem acesso direto aos dados de resultado e linha de base porque eles são armazenados no armazenamento interno da Microsoft.

Por que meu SQL Server do Azure está marcado como não íntegro para "SQL servers should have vulnerability assessment configured", mesmo que eu o tenha configurado corretamente usando a configuração clássica?

A política por trás dessa recomendação verifica a existência de subavaliações para o servidor. Com a configuração clássica, os bancos de dados do sistema são verificados somente se pelo menos um banco de dados de usuário existir. Portanto, um servidor sem bancos de dados de usuários não terá verificações ou resultados de verificação relatados, fazendo com que a política permaneça não íntegra. Mudar para a configuração expressa permitirá verificações agendadas e manuais para bancos de dados do sistema, mitigando assim esse problema.

Posso configurar verificações recorrentes com configuração expressa?

A configuração Express configura automaticamente verificações recorrentes para todos os bancos de dados em seu servidor. Este é o padrão e não é configurável no nível do servidor ou do banco de dados.

Existe uma maneira com a configuração expressa para obter o relatório de e-mail semanal que é fornecido na configuração clássica?

Você pode usar a automação do fluxo de trabalho e o agendamento de email dos Aplicativos Lógicos, seguindo os processos do Microsoft Defender for Cloud:

  • Gatilhos baseados no tempo
  • Gatilhos baseados em varredura
  • Suporte para regras de deficientes

Por que não posso mais definir políticas de banco de dados?

A avaliação de vulnerabilidades do SQL relata todas as vulnerabilidades e configurações incorretas em seu ambiente, portanto, ajuda a incluir todos os bancos de dados. O Defender for SQL é cobrado por servidor, não por banco de dados.

Posso voltar à configuração clássica?

Sim. Você pode reverter para a configuração clássica usando as APIs REST existentes e cmdlets do PowerShell. Quando você reverte para a configuração clássica, você vê uma notificação no portal do Azure para alterar para a configuração expressa.

Veremos configuração expressa para outros tipos de SQL?

Fique atento às atualizações!

Posso escolher qual experiência é o padrão?

N.º A configuração expressa é o padrão para cada novo banco de dados SQL do Azure com suporte.

A configuração expressa altera o comportamento da verificação?

Não, a configuração expressa fornece o mesmo comportamento e desempenho de varredura.

A configuração expressa tem algum efeito sobre os preços?

A configuração expressa não requer uma conta de armazenamento, portanto, você não precisa pagar taxas de armazenamento extras, a menos que opte por manter dados antigos de verificação e linha de base.

O que significa o limite de 1 MB por regra?

Qualquer regra individual não pode produzir resultados superiores a 1 MB. Quando esse limite é atingido, os resultados para a regra são interrompidos. Não é possível definir uma linha de base para a regra, a regra não está incluída na integridade geral da recomendação e os resultados são mostrados como "Não aplicável".