Получите ответы на распространенные вопросы о Microsoft Defender для баз данных.
Если я включу этот план Microsoft Defender в подписку, будут ли защищены все серверы SQL в этой подписке?
№ Для защиты развертывания SQL Server на виртуальной машине Azure или SQL Server на компьютере с поддержкой Azure Arc для Defender для облака необходимо обеспечить наличие:
- агент Log Analytics на компьютере;
- включенное решение "Microsoft Defender для SQL" в соответствующей рабочей области Log Analytics.
Состояние подписки, которое отображается на странице сервера SQL на портале Azure, отражает состояние рабочей области по умолчанию и применяется ко всем подключенным компьютерам. Только серверы SQL на узлах с отчетами агента Log Analytics в этой рабочей области защищены Defender для облака. Y
Влияет ли на производительность развертывание Microsoft Defender для Azure SQL на компьютерах?
Основная задача Microsoft Defender для SQL на компьютерах — обеспечение безопасности. Но мы также принимаем во внимание потребности бизнеса и поэтому придаем первостепенное значение производительности, чтобы обеспечить минимальное влияние на серверы SQL Server.
Служба имеет раздельную архитектуру для обеспечения баланса между скоростью передачи данных и производительностью:
- Некоторые из наших детекторов, включая трассировку расширенных событий с именем
SQLAdvancedThreatProtectionTraffic, запускаются на компьютере для повышения скорости в реальном времени. - Другие детекторы работают в облаке, чтобы не нагружать компьютер сложными вычислительными задачами.
Лабораторные тесты показали, что пиковая загрузка ЦП в среднем находится на уровне 3 % по эталонным нагрузкам. Анализ данных наших от текущих пользователей показывает ничтожное влияние на использование ЦП и памяти.
Производительность всегда зависит от сред, компьютеров и загрузки. Инструкции предоставляются в качестве общего руководства, а не гарантии для любого отдельного развертывания.
Я изменил рабочую область Log Analytics для Defender для SQL на компьютерах и потерял все результаты сканирования и параметры базовых показателей. Что произошло?
Результаты проверки и базовые показатели не хранятся в рабочей области Log Analytics, но связаны с ней. Изменение рабочей области приведет к сбросу результатов сканирования и базовых параметров. Однако если вернуться к исходной рабочей области в течение 90 дней, результаты сканирования и базовые параметры будут восстановлены. Дополнительные сведения
Что происходит со старыми результатами сканирования и базовыми показателями после перехода на экспресс-конфигурацию?
Старые параметры результатов и базовых показателей остаются доступными в учетной записи хранения, но не будут обновлены или использованы системой. Эти файлы не нужно поддерживать для оценки уязвимостей SQL после перехода на экспресс-конфигурацию, но вы можете сохранить старые определения базовых показателей для будущей ссылки.
Если включена экспресс-конфигурация, у вас нет прямого доступа к результирующих и базовым данным, так как он хранится во внутреннем хранилище Майкрософт.
Почему мой SQL Server Azure помечен как неработоспособный для "СЕРВЕРА SQL Server должен иметь настроенную оценку уязвимостей", даже если я правильно настроил его с помощью классической конфигурации?
Политика, лежащая в основе этой рекомендации, проверяет наличие подассессментов для сервера. С классической конфигурацией системные базы данных сканируются только в том случае, если существует хотя бы одна пользовательская база данных. Таким образом, сервер без каких-либо пользовательских баз данных не будет проверять или сообщать результаты сканирования, что приводит к неработоспособности политики. Переключение на экспресс-конфигурацию позволит включить запланированное и ручное сканирование системных баз данных, что позволяет устранить эту проблему.
Можно ли настроить повторяющиеся проверки с помощью экспресс-конфигурации?
Экспресс-конфигурация автоматически настраивает повторяющиеся проверки для всех баз данных на сервере. Это значение по умолчанию и не настраивается на уровне сервера или базы данных.
Существует ли способ с экспресс-конфигурацией для получения еженедельного отчета электронной почты, предоставленного в классической конфигурации?
Вы можете использовать автоматизацию рабочих процессов и планирование электронной почты Logic Apps, следуя Microsoft Defender для облака процессам:
- Триггеры на основе времени
- Триггеры на основе сканирования
- Поддержка отключенных правил
Почему больше не удается задать политики базы данных?
Оценка уязвимостей SQL сообщает обо всех уязвимостях и неправильно настроенных конфигурациях в вашей среде, поэтому она помогает включить все базы данных. Плата за Защитник для SQL взимается на сервер, а не на базу данных.
Можно ли вернуться к классической конфигурации?
Да. Вы можете вернуться к классической конфигурации с помощью существующих ИНТЕРФЕЙСов REST API и командлетов PowerShell. При возврате к классической конфигурации вы увидите уведомление в портал Azure для изменения в экспресс-конфигурации.
Будет ли отображаться экспресс-конфигурация для других типов SQL?
Следите за обновлениями!
Можно ли выбрать, какой интерфейс используется по умолчанию?
№ Экспресс-конфигурация — это значение по умолчанию для каждой новой поддерживаемой базы данных SQL Azure.
Выполняет ли экспресс-сканирование изменений конфигурации?
Нет, экспресс-конфигурация обеспечивает одинаковое поведение сканирования и производительность.
Влияет ли экспресс-конфигурация на цены?
Для экспресс-конфигурации не требуется учетная запись хранения, поэтому вам не нужно платить дополнительную плату за хранение, если вы не решите сохранить старые данные сканирования и базовых данных.
Что означает ограничение 1 МБ для каждого правила?
Любое отдельное правило не может создавать результаты, превышающие 1 МБ. По достижении этого ограничения результаты правила будут остановлены. Вы не можете задать базовый план для правила, правило не включается в общую работоспособность рекомендаций, а результаты отображаются как "Неприменимо".
После завершения развертывания microsoft Defender для серверов SQL на компьютерах необходимо дождаться успешного развертывания?
Для обновления состояния защиты с помощью расширения IaaS SQL требуется около 30 минут, при условии, что выполнены все необходимые условия.
Разделы справки убедитесь, что мой Защитник для серверов SQL на компьютерах успешно завершен и что моя база данных теперь защищена?
- Найдите базу данных на верхней панели поиска в портал Azure.
- На вкладке "Безопасность" выберите Defender для облака.
- Проверьте состояние защиты. Если состояние " Защищено", развертывание выполнено успешно.
Какова цель управляемого удостоверения, созданного во время установки на виртуальных машинах SQL Azure?
Управляемое удостоверение является частью Политика Azure, которая отправляет AMA. Он используется AMA для доступа к базе данных для сбора данных и отправки его через рабочую область Log Analytics (LAW) в Defender для облака. Дополнительные сведения об использовании управляемого удостоверения см . в примерах шаблонов Resource Manager для агентов в Azure Monitor.
Можно ли использовать собственный DCR или управляемое удостоверение вместо Defender для облака создания нового?
Да, мы разрешаем использовать собственное удостоверение или DCR только с помощью следующего скрипта. Дополнительные сведения см. в статье "Включение Microsoft Defender для серверов SQL" на компьютерах в большом масштабе.
Сколько групп ресурсов и рабочих областей Log Analytics создаются с помощью процесса автоматической подготовки?
По умолчанию мы создадим группу ресурсов, рабочую область и DCR для каждого региона, на котором установлен компьютер SQL. При выборе параметра настраиваемой рабочей области создается только одна группа ресурсов или DCR в том же расположении, что и рабочая область.
Как включить SQL-серверы на компьютерах с AMA в масштабе?
Сведения о том, как включить автоматическую подготовку Microsoft Defender для SQL на нескольких компьютерах в большом масштабе, см. в статье "Включение автоматической подготовки Microsoft Defender для SQL" для нескольких подписок одновременно. Это применимо к серверам SQL, размещенным на Виртуальные машины Azure, локальных средах и серверах SQL с поддержкой Azure Arc.
Какие таблицы используются в LAW с AMA?
Defender для SQL на виртуальных машинах SQL и серверах SQL с поддержкой Arc использует рабочую область Log Analytics (LAW) для передачи данных из базы данных на портал Defender для облака. Это означает, что данные не сохраняются локально в законе. Таблицы в законе с именем SQLAtpStatus и SqlVulnerabilityAssessmentScanStatus будут прекращены, если MMA не рекомендуется. Состояние ATP и VA можно просмотреть на портале Defender для облака.
Как Defender для SQL собирает журналы с СЕРВЕРА SQL?
Defender для SQL использует Xevent, начиная с SQL Server 2017. В предыдущих версиях SQL Server Defender для SQL собирает журналы с помощью журналов аудита SQL Server.
В инициативе политики отображается параметр с именем enableCollectionOfSqlQueriesForSecurityResearch. Это означает, что мои данные собираются для анализа?
Этот параметр сейчас не используется. Значение по умолчанию равно false, что означает, что если вы заранее не измените значение, оно остается ложным. Этот параметр не влияет.