Поделиться через


Сканирование SQL-серверов на отсутствие уязвимостей

Microsoft Defender для серверов SQL на компьютерах расширяет возможности защиты для собственных серверов SQL Azure, предоставляя полную поддержку гибридных сред, и обеспечивает защиту серверов SQL (все поддерживаемые версии) не только в Azure, но и в других облачных средах и даже на локальных компьютерах:

Встроенный сканер оценки уязвимостей обнаруживает, отслеживает и помогает устранять потенциальные уязвимости баз данных. Результаты оценочных проверок предоставляют общие сведения о состоянии безопасности компьютеров SQL и подробные сведения об обнаруженных проблемах.

Примечание.

  • Проверка безопасна и не требует большого количества ресурсов. Она занимает несколько секунд на одну базу данных и является исключительно операцией чтения. При проверке никакие изменения в базу данных не вносятся.
  • Для правильного выполнения некоторых правил оценки уязвимостей требуется разрешение на выполнение следующих хранимых процедур: xp_instance_regread, sysmail_help_profile_sp.

Изучение отчета оценки уязвимостей

Служба оценки уязвимостей сканирует базы данных каждые 12 часов.

На панели мониторинга "Оценка уязвимостей" представлены общие сведения о результатах оценки для всех ваших баз данных, а также сводка по работоспособным и неработоспособным базам данных и общая сводка сбоев проверок в соответствии с распределением рисков.

Результаты оценки уязвимостей можно просмотреть непосредственно в Defender для облака.

  1. На боковой панели Defender для облака откройте страницу Рекомендации.

  2. Выберите рекомендацию Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены. Дополнительные сведения см. на странице справки по рекомендациям Defender для облака.

    Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены

    Отобразится подробное представление для этой рекомендации.

    Снимок экрана: страница сведений о рекомендации.

  3. Для получения дополнительных сведений выполните детализацию.

    • Чтобы получить обзор проверенных ресурсов (баз данных) и список выполненных проверок безопасности, откройте Затронутые ресурсы и выберите интересующий сервер.

    • Чтобы получить обзор уязвимостей, сгруппированных по определенной базе данных SQL, выберите интересующую базу данных.

    В каждом представлении проверки безопасности упорядочены по степени серьезности. Выберите определенную проверку безопасности, чтобы просмотреть область сведений с описанием, способы устранения этой проблемы и другие сопутствующие сведения, такие как влияние или тест производительности.

Установка базовых показателей

При просмотре результатов оценки можно пометить результаты как допустимые базовые показатели в своем окружении. Базовые показатели — важные параметры, влияющие на содержимое отчета о проверке. При следующих проверках результаты, которые соответствуют базовым показателям, будут рассматриваться как прошедшие проверку. После того как вы зададите базовое состояние безопасности, сканер оценки уязвимостей будет сообщать только об отклонениях от этого состояния. Таким образом вы можете сосредоточиться на важных проблемах.

При просмотре результатов оценки можно пометить результаты как допустимые базовые показатели в своем окружении.

Экспортируйте результаты

Используйте функцию Непрерывный экспорт в Microsoft Defender для облака, чтобы экспортировать результаты оценки уязвимостей в Центры событий Azure или рабочую область Log Analytics.

Просмотр уязвимостей в графических интерактивных отчетах

Интегрированная коллекция книг Azure Monitor в Defender для облака содержит интерактивный отчет обо всех обнаруженных сканерами уязвимостей проблемах для компьютеров, контейнеров в реестре контейнеров и серверов SQL.

Результаты для каждого из этих сканеров указываются в отдельных рекомендациях.

Отчет "Результаты оценки уязвимостей" собирает все обнаруженные проблемы и упорядочивает их по уровню серьезности, типу ресурса и категории. Этот отчет можно найти в коллекции книг, доступной на боковой панели Defender для облака.

Отчет об оценке уязвимостей Defender для облака

Отключение определенных обнаруженных проблем

Если правила вашей организации требуют игнорировать обнаруженную проблему, а не исправлять ее, вы можете исключить ее из результатов поиска. Отключенные результаты не учитываются в оценке безопасности и не создают нежелательный шум.

Если результат поиска соответствует критерию, заданному в правилах отключения, он не будет отображаться в списке результатов. Распространенные сценарии

  • Отключение обнаруженных проблем с уровнем серьезности ниже среднего
  • Отключение обнаруженных проблем, которые не подлежат исправлению
  • Отключение результатов тестов производительности, которые не интересны для определенной области

Внимание

Чтобы отключить определенные результаты, необходимо иметь разрешения на изменение политики в Политике Azure. Дополнительные сведения см. в разделе Разрешения Azure RBAC в Политике Azure.

Чтобы создать правило, выполните следующие действия.

  1. На странице сведений о рекомендациях для рекомендации Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены выберите Отключить правило.

  2. Выберите соответствующую область.

  3. Определите условие. Вы можете использовать любое из следующих условий:

    • Идентификатор обнаруженной проблемы
    • Важность
    • Тесты производительности

    Создание правила отключения для результатов оценки уязвимостей SQL Server на компьютерах.

  4. Нажмите Применить правило. Изменения могут занять до 24 часов.

  5. Чтобы просмотреть, переопределить или удалить правило, выполните следующие действия.

    1. Выберите Отключить правило.

    2. В списке области подписки с активными правилами отображаются с пометкой Правило применено.

      Снимок экрана: изменение или удаление существующего правила на портале Defender для облака.

    3. Чтобы просмотреть или удалить правило, выберите меню с многоточием (...).

Программное управление оценкой уязвимостей

Использование Azure PowerShell

Для программного управления оценками уязвимостей можно использовать командлеты Azure PowerShell. Поддерживаемые командлеты:

Имя командлета в виде ссылки Description
Add-AzSecuritySqlVulnerabilityAssessmentBaseline Добавление базового плана оценки уязвимостей SQL.
Get-AzSecuritySqlVulnerabilityAssessmentBaseline Получение базового плана оценки уязвимостей SQL.
Get-AzSecuritySqlVulnerabilityAssessmentScanResult Получение результатов сканирования оценки уязвимостей SQL.
Get-AzSecuritySqlVulnerabilityAssessmentScanRecord Получение записей сканирования оценки уязвимостей SQL.
Remove-AzSecuritySqlVulnerabilityAssessmentBaseline Удаление базового плана оценки уязвимостей SQL.
Set-AzSecuritySqlVulnerabilityAssessmentBaseline Установка нового базового плана оценки уязвимостей SQL для определенной базы данных отменяет старый базовый план, если он существует.
   

Место расположения данных

Оценка уязвимостей SQL отправляет запросы к серверу SQL, используя общедоступные запросы по рекомендациям Defender для облака для оценки уязвимости SQL, и сохраняет результаты запросов. Данные оценки уязвимостей SQL сохраняются в расположении рабочей области Log Analytics, к которой подключен компьютер. Например, если пользователь подключает виртуальную машину SQL к рабочей области Log Analytics в регионе "Западная Европа", результаты будут сохранены в этом регионе. Эти данные будут собраны только в том случае, если решение оценки уязвимостей SQL включено для рабочей области Log Analytics.

Также собираются метаданные о подключенном компьютере. В частности:

  • имя, тип и версия операционной системы;
  • полное доменное имя (FQDN) компьютера;
  • версия агента подключенного компьютера.
  • UUID (идентификатор BIOS);
  • Имя сервера SQL и имена базовых баз данных

Оценка уязвимостей SQL позволяет вам указать регион, в котором будут храниться данные, путем выбора расположения рабочей области Log Analytics. Корпорация Майкрософт может реплицировать данные в другие регионы для обеспечения устойчивости данных, но корпорация Майкрософт не реплицирует данные за пределами географического региона.

Примечание.

Изменение рабочей области Log Analytics в Defender для SQL на компьютерах приведет к сбросу результатов сканирования и базовых параметров. Если вернуться к исходной рабочей области Log Analytics в течение 90 дней, результаты сканирования и базовые параметры будут доступны снова.

Следующий шаг