Включение Microsoft Defender для серверов SQL на компьютерах
Defender для серверов SQL на компьютерах защищает серверы SQL, размещенные на Виртуальные машины Azure, локальных средах и серверах SQL с поддержкой Azure Arc. Defender для серверов SQL на компьютерах предоставляет единый интерфейс управления безопасностью для серверов SQL.
Необходимые компоненты
Перед развертыванием AMA с Defender для облака убедитесь, что у вас есть следующие предварительные требования:
Убедитесь, что на нескольких компьютерах и локальных компьютерах установлен Azure Arc.
- Компьютеры AWS и GCP
- Подключение соединителя AWS и автоматическая подготовка Azure Arc.
- Подключение соединителя GCP и автоматическая подготовка Azure Arc.
- Локальные компьютеры
- Компьютеры AWS и GCP
Убедитесь, что планы Defender, которые должны поддерживать агент Azure Monitor, включены:
Для серверов SQL с несколькими облаками:
Подключение учетных записей AWS к Microsoft Defender для облака
Подключение проекта GCP к Microsoft Defender для облака
Примечание.
Необходимо включить защиту базы данных для серверов SQL с несколькими облаками через соединитель AWS или соединитель GCP.
Включение Defender для SQL на компьютерах, отличных от Azure, с помощью агента AMA
Предварительные требования для включения Defender для SQL на компьютерах, отличных от Azure
Активная подписка Azure.
Разрешения владельца подписки на подписку, в которой вы хотите назначить политику.
Необходимые компоненты SQL Server на компьютерах:
- Разрешения: пользователь Windows, работающий на сервере SQL Server, должен иметь роль Sysadmin в базе данных.
-
Расширения: в список разрешений следует добавить следующие расширения:
- Defender для SQL (IaaS и Arc):
- Издатель: Microsoft.Azure.AzureDefenderForSQL
- Тип: AdvancedThreatProtection.Windows
- Расширение IaaS SQL (IaaS):
- Издатель: Microsoft.SqlServer.Management
- Тип: SqlIaaSAgent
- Расширение IaaS SQL (Arc):
- Издатель: Microsoft.AzureData
- Тип: WindowsAgent.SqlServer
- Расширение AMA (IaaS и Arc):
- Издатель: Microsoft.Azure.Monitor
- Тип: AzureMonitorWindowsAgent
- Defender для SQL (IaaS и Arc):
Соглашения об именовании в списке разрешений "Запретить политику"
Defender для SQL использует следующее соглашение об именовании при создании наших ресурсов:
- Правило сбора данных:
MicrosoftDefenderForSQL--dcr
- DCRA:
/Microsoft.Insights/MicrosoftDefenderForSQL-RulesAssociation
- группу ресурсов
DefaultResourceGroup-
; - Рабочая область Log Analytics:
D4SQL--
- Правило сбора данных:
Defender для SQL использует MicrosoftDefenderForSQL в качестве тега базы данных createdBy .
Действия по включению Defender для SQL на компьютерах, отличных от Azure
Подключите SQL Server к Azure Arc. Дополнительные сведения о поддерживаемых операционных системах, конфигурации подключения и необходимых разрешениях см. в следующей документации:
После установки Azure Arc расширение Azure для SQL Server устанавливается автоматически на сервере базы данных. Дополнительные сведения см. в разделе Управление автоматическим подключением для SQL Server с поддержкой Azure Arc.
Включение Defender для SQL
Войдите на портал Azure.
Найдите и выберите Microsoft Defender для облака.
В меню Defender для облака выберите параметры среды.
Выберите соответствующую подписку.
На странице планов Defender найдите план "Базы данных" и выберите "Выбрать типы".
В окне выбора типов ресурсов переключите серверы SQL на компьютерах, которые планируют включить.
Выберите Продолжить.
Выберите Сохранить.
После включения используйте одну из следующих инициатив политики:
- Настройте виртуальные машины SQL и серверы SQL с поддержкой Arc, чтобы установить Microsoft Defender для SQL и AMA с рабочей областью Log Analytics для рабочей области Log Analytics по умолчанию. Это создает группы ресурсов с правилами сбора данных и рабочей областью Log Analytics по умолчанию. Дополнительные сведения о рабочей области Log Analytics см. в обзоре рабочей области Log Analytics.
- Настройте виртуальные машины SQL и серверы SQL с поддержкой Arc, чтобы установить Microsoft Defender для SQL и AMA с определяемой пользователем рабочей областью Log Analytics. Это создает группу ресурсов с правилами сбора данных и настраиваемой рабочей областью Log Analytics в предопределенном регионе. В ходе этого процесса установите агент мониторинга Azure. Дополнительные сведения о параметрах установки агента AMA см. в предварительных требованиях агента Azure Monitor.
Чтобы завершить процесс установки, перезапустите SQL Server (экземпляр) для версий 2017 и более ранних версий.
Включение Defender для SQL на виртуальных машинах Azure с помощью агента AMA
Предварительные требования для включения Defender для SQL на виртуальных машинах Azure
- Активная подписка Azure.
- Разрешения владельца подписки на подписку, в которой вы хотите назначить политику.
- Необходимые компоненты SQL Server на компьютерах:
- Разрешения: пользователь Windows, работающий на сервере SQL Server, должен иметь роль Sysadmin в базе данных.
-
Расширения: в список разрешений следует добавить следующие расширения:
- Defender для SQL (IaaS и Arc):
- Издатель: Microsoft.Azure.AzureDefenderForSQL
- Тип: AdvancedThreatProtection.Windows
- Расширение IaaS SQL (IaaS):
- Издатель: Microsoft.SqlServer.Management
- Тип: SqlIaaSAgent
- Расширение IaaS SQL (Arc):
- Издатель: Microsoft.AzureData
- Тип: WindowsAgent.SqlServer
- Расширение AMA (IaaS и Arc):
- Издатель: Microsoft.Azure.Monitor
- Тип: AzureMonitorWindowsAgent
- Defender для SQL (IaaS и Arc):
- Так как мы создадим группу ресурсов в Восточной части США в рамках процесса включения автоматической подготовки, этот регион должен быть разрешен или Защитник sql не может успешно завершить процесс установки.
Действия по включению Defender для SQL на виртуальных машинах Azure
Войдите на портал Azure.
Найдите и выберите Microsoft Defender для облака.
В меню Defender для облака выберите параметры среды.
Выберите соответствующую подписку.
На странице планов Defender найдите план "Базы данных" и выберите "Выбрать типы".
В окне выбора типов ресурсов переключите серверы SQL на компьютерах, которые планируют включить.
Выберите Продолжить.
Выберите Сохранить.
После включения используйте одну из следующих инициатив политики:
- Настройте виртуальные машины SQL и серверы SQL с поддержкой Arc, чтобы установить Microsoft Defender для SQL и AMA с рабочей областью Log Analytics для рабочей области Log Analytics по умолчанию. При этом создается группа ресурсов в восточной части США и управляемое удостоверение. Дополнительные сведения об использовании управляемого удостоверения см . в примерах шаблонов Resource Manager для агентов в Azure Monitor. Она также создает группу ресурсов, включающую правила сбора данных и рабочую область Log Analytics по умолчанию. Все ресурсы объединяются в этой одной группе ресурсов. Правило сбора данных и рабочая область Log Analytics создаются для выравнивания области виртуальной машины.
- Настройте виртуальные машины SQL и серверы SQL с поддержкой Arc, чтобы установить Microsoft Defender для SQL и AMA с определяемой пользователем рабочей областью Log Analytics. При этом создается группа ресурсов в восточной части США и управляемое удостоверение. Дополнительные сведения об использовании управляемого удостоверения см . в примерах шаблонов Resource Manager для агентов в Azure Monitor. Она также создает группу ресурсов с DCR и настраиваемую рабочую область Log Analytics в предопределенном регионе.
Чтобы завершить процесс установки, перезапустите SQL Server (экземпляр) для версий 2017 и более ранних версий.
Связанный контент
Для получения соответствующих сведений см. следующие ресурсы:
- Как Microsoft Defender для Azure SQL может защищать серверы SQL в любом месте.
- Оповещения безопасности для Базы данных SQL Azure и Azure Synapse Analytics
- Ознакомьтесь с общими вопросами о Defender для баз данных.