Получите ответы на распространенные вопросы о Microsoft Defender для баз данных.
Если я включу этот план Microsoft Defender в подписку, будут ли защищены все серверы SQL в этой подписке?
№ Чтобы защитить сервер SQL Server, работающий на виртуальной машине Azure или на компьютере с поддержкой Azure Arc, Defender для облака требуется:
- Агент Log Analytics на компьютере.
- Соответствующая рабочая область Log Analytics, включаемая в Microsoft Defender для СЕРВЕРОВ SQL Server на компьютерах.
Состояние подписки, показанное на странице SQL Server в портал Azure, отражает состояние рабочей области по умолчанию и применяется ко всем подключенным компьютерам. Defender для облака помогает защитить только серверы SQL на узлах с отчетами агента Log Analytics в этой рабочей области.
Существует ли влияние на производительность развертывания Microsoft Defender для SQL Server на компьютерах?
Microsoft Defender для SQL Server на компьютерах сосредоточена на безопасности, но она имеет разделенную архитектуру для балансировки передачи и скорости передачи данных с производительностью:
- Некоторые из наших детекторов, включая трассировку расширенных событий с именем
SQLAdvancedThreatProtectionTraffic, запустите на компьютере для преимуществ скорости в режиме реального времени. - Другие детекторы работают в облаке, чтобы не нагружать компьютер сложными вычислительными задачами.
Лабораторные тесты нашего решения показали, что использование ЦП в среднем 3% для пиковых срезов по сравнению с тестовыми нагрузками. Анализ данных наших от текущих пользователей показывает ничтожное влияние на использование ЦП и памяти.
Производительность всегда зависит от сред, компьютеров и загрузки. Эти инструкции служат общим руководством, а не гарантией для любого отдельного развертывания.
Я изменил рабочую область Log Analytics для Defender для SQL Server на компьютерах и потерял все результаты сканирования и параметры базовых показателей. Что произошло?
Результаты проверки и базовые показатели не хранятся в рабочей области Log Analytics, но связаны с ней. Изменение рабочей области сбрасывает результаты сканирования и базовые параметры. Однако если вернуться к исходной рабочей области в течение 90 дней, результаты сканирования и базовые параметры восстанавливаются. Дополнительные сведения
Что происходит со старыми результатами сканирования и базовыми показателями после перехода на экспресс-конфигурацию?
Старые результаты и базовые параметры остаются доступными в вашей учетной записи хранения, но они не будут обновлены или использованы системой. Эти файлы не нужно поддерживать для оценки уязвимостей SQL после перехода на экспресс-конфигурацию, но вы можете сохранить старые определения базовых показателей для будущей ссылки.
Если включена экспресс-конфигурация, у вас нет прямого доступа к результирующих и базовым данным, так как он хранится во внутреннем хранилище Майкрософт.
Почему мой сервер SQL Azure помечен как неработоспособный для "СЕРВЕРы SQL должны иметь настроенную оценку уязвимостей", даже если я правильно настроен с помощью классической конфигурации?
Политика, лежащая в основе этой рекомендации, проверяет наличие подассессментов для сервера. С классической конфигурацией системные базы данных сканируются только в том случае, если существует хотя бы одна пользовательская база данных. Сервер без пользовательских баз данных не имеет результатов сканирования или сообщения о результатах сканирования, что приводит к тому, что политика остается неработоспособной.
Переключение на экспресс-конфигурацию устраняет проблему, включив запланированные и ручные проверки системных баз данных.
Можно ли настроить повторяющиеся проверки с помощью экспресс-конфигурации?
Экспресс-конфигурация автоматически настраивает повторяющиеся проверки для всех баз данных на сервере. Это поведение по умолчанию, и оно не настраивается на уровне сервера или базы данных.
Существует ли способ с экспресс-конфигурацией для получения еженедельного отчета электронной почты, предоставленного в классической конфигурации?
Вы можете использовать автоматизацию рабочих процессов и планирование электронной почты Logic Apps, следуя Microsoft Defender для облака процессам:
- Триггеры на основе времени
- Триггеры на основе сканирования
- Поддержка отключенных правил
Почему больше не удается задать политики базы данных?
Оценка уязвимостей SQL сообщает обо всех уязвимостях и неправильных конфигурациях в вашей среде, поэтому в том числе все базы данных полезны. Плата за защитник sql Server на компьютерах взимается на сервер, а не на каждую базу данных.
Можно ли вернуться к классической конфигурации?
Да. Вы можете вернуться к классической конфигурации с помощью существующих ИНТЕРФЕЙСов REST API и командлетов PowerShell. При возврате к классической конфигурации уведомление отображается в портал Azure для изменения экспресс-конфигурации.
Станет ли экспресс-конфигурация доступной для других типов SQL?
Следите за обновлениями!
Можно ли выбрать, какой интерфейс используется по умолчанию?
№ Экспресс-конфигурация — это значение по умолчанию для каждой новой поддерживаемой базы данных SQL Azure.
Выполняет ли экспресс-сканирование конфигурации?
Нет, экспресс-конфигурация обеспечивает одинаковое поведение сканирования и производительность.
Влияет ли экспресс-конфигурация на цены?
Для экспресс-конфигурации не требуется учетная запись хранения, поэтому вам не нужно платить дополнительную плату за хранение, если вы не решите сохранить старые данные сканирования и базовых данных.
Что означает ограничение 1 МБ для каждого правила?
Любое отдельное правило не может создавать результаты, превышающие 1 МБ. Когда результаты правила достигают этого ограничения, они останавливаются. Вы не можете задать базовый план для правила, правило не включается в общее состояние работоспособности рекомендаций, а результаты отображаются как неприменимые.
После включения Microsoft Defender для SQL Server на компьютерах, сколько времени мне нужно ждать, чтобы увидеть успешное развертывание?
Для обновления состояния защиты через расширение агента IaaS SQL требуется около 30 минут, если все необходимые условия выполнены.
Разделы справки убедитесь, что развертывание Defender для SQL Server на компьютерах завершилось успешно и что моя база данных теперь защищена?
- В портал Azure найдите базу данных в верхней строке поиска.
- В разделе "Безопасность" выберите Microsoft Defender для облака.
- Проверьте состояние защиты. Если состояние " Защищено", развертывание выполнено успешно.
Какова цель управляемого удостоверения, созданного во время установки на виртуальных машинах SQL Azure?
Управляемое удостоверение является частью политики Azure, которая отправляет агент Azure Monitor. Агент Azure Monitor использует управляемое удостоверение для доступа к базе данных, чтобы он смог собирать данные и отправлять их через рабочую область Log Analytics в Defender для облака. Дополнительные сведения об использовании управляемого удостоверения см . в примерах шаблонов Resource Manager для агентов в Azure Monitor.
Можно ли использовать собственный DCR или управляемое удостоверение вместо того, который Defender для облака создает?
Да. Мы разрешаем использовать собственное правило идентификации или сбора данных (DCR), используя только сценарий, описанный в разделе "Включение Microsoft Defender для серверов SQL Server на компьютерах в большом масштабе".
Сколько групп ресурсов и рабочих областей Log Analytics создает процесс автоматической подготовки?
По умолчанию мы создадим группу ресурсов, рабочую область и DCR для каждого региона с компьютером SQL. При выборе параметра настраиваемой рабочей области создается только одна группа ресурсов или DCR в том же расположении, что и рабочая область.
Как включить SQL-серверы на компьютерах с агентом Azure Monitor в масштабе?
Процесс включения автоматической подготовки в нескольких подписках одновременно см. в статье "Включение Microsoft Defender для SQL Server на компьютерах в большом масштабе". Это применимо к серверам SQL, размещенным на виртуальных машинах Azure, серверах SQL, размещенных в локальных средах и серверах SQL с поддержкой Azure Arc.
Какие таблицы используются в рабочей области Log Analytics с агентом Azure Monitor?
Defender для СЕРВЕРОВ SQL Server на компьютерах (для виртуальных машин SQL и серверов SQL с поддержкой Azure Arc) использует рабочую область Log Analytics для передачи данных из базы данных на портал Defender для облака. Данные не сохраняются локально в рабочей области Log Analytics. Таблицы в рабочей области Log Analytics с именем SQLAtpStatus и SqlVulnerabilityAssessmentScanStatus будут прекращены , когда microsoft Monitor Agent не рекомендуется. Состояние оценки угроз и уязвимостей можно просмотреть на портале Defender для облака.
Как Defender для SQL Server на компьютерах собирает журналы с SQL Server?
Defender для SQL Server на компьютерах использует расширенные события, начиная с SQL Server 2017. В предыдущих версиях SQL Server Defender для SQL Server на компьютерах собирает журналы с помощью журналов аудита SQL Server.
Означает ли наличие параметра с именем enableCollectionOfSqlQueriesForSecurityResearch в инициативе политики, что мои данные собираются для анализа?
Этот enableCollectionOfSqlQueriesForSecurityResearch параметр не используется сегодня. Значение по умолчанию — false. Если вы заранее не измените значение, он останется false. Данный параметр не оказывает влияния.