获取有关 Microsoft Defender for Databases 的常见问题的解答。
如果在我的订阅上启用此 Microsoft Defender 计划,订阅上的所有 SQL 服务器是否均受保护?
否。 若要保护 Azure 虚拟机上运行的 SQL 服务器,或要保护在已启用 Azure Arc 的计算机上运行的 SQL 服务器,Defender for Cloud 需要:
- 计算机上的 Log Analytics 代理。
- 相关的 Log Analytics 工作区,用于启用 Microsoft Defender for SQL Servers on Machines。
订阅状态(显示在 Azure 门户的“SQL 服务器”页面),反映默认工作区状态,并且适用于所有连接的计算机。 Defender for Cloud 只帮助保护包含一个向该工作区报告的 Log Analytics 代理的主机上的 SQL 服务器。
部署 Microsoft Defender for SQL Servers on Machines 是否会影响性能?
Microsoft Defender for SQL Servers on Machines 侧重于安全性,但它具有拆分的体系结构,来平衡数据上传和速度与性能:
- 一些检测器(包括名为
SQLAdvancedThreatProtectionTraffic
的扩展事件跟踪)在计算机上运行,具有实时速度优势。 - 其他一些检测器则在云中运行,以分担计算机繁重的计算负载。
与基准负载相比较,我们的解决方案实验室测试显示,峰值部分的平均 CPU 使用率为 3%。 对当前用户的数据分析显示,对 CPU 和内存使用情况的影响可以忽略不计。
性能始终因环境、计算机和负载而异。 该声明作为一般准则,而不是对任何个别部署的保证。
我更改了 Defender for SQL Servers on Machines 的 Log Analytics 工作区,丢失了所有扫描结果和基线设置。 发生了什么情况?
扫描结果和基线不存储在 Log Analytics 工作区中,但与其链接。 更改工作区会重置扫描结果和基线设置。 但是,如果在 90 天内还原到原始工作区,则扫描结果和基线设置会被还原。 了解详细信息。
切换到快速配置后,旧扫描结果和基线会发生什么情况?
旧的结果和基线设置在存储帐户上仍然可用,但系统不会更新或使用它们。 切换到快速配置后,无需维护这些文件即可使 SQL 漏洞评估正常工作,但可以保留旧的基线定义以供将来参考。
启用快速配置后,无法直接访问结果和基线数据,因为数据存储在内部 Microsoft 存储中。
为什么我的 Azure SQL 服务器会因为“SQL 服务器应该配置漏洞评估”而被标记为运行不正常,即使我已使用经典配置正确设置它?
此建议背后的策略会检查服务器是否存在子评估。 使用经典配置时,只有在至少存在一个用户数据库的情况下才会扫描系统数据库。 没有任何用户数据库的服务器不会进行扫描,也不会报告扫描结果,从而导致策略仍然运行不正常。
切换到快速配置会启用系统数据库的计划扫描和手动扫描,从而缓解此问题。
是否可以使用快速配置设置定期扫描?
快速配置会自动为服务器下的所有数据库设置重复扫描。 这是默认行为,不可在服务器或数据库级别进行配置。
是否有方法可通过快速配置获取经典配置中提供的每周电子邮件报告?
可以遵循 Microsoft Defender for Cloud 流程,使用工作流自动化和逻辑应用电子邮件计划:
- 基于时间的触发器
- 基于扫描的触发器
- 支持已禁用的规则
为什么无法再设置数据库策略?
SQL 漏洞评估会报告环境中的所有漏洞和错误配置,因此包含所有数据库会很有帮助。 Defender for SQL Servers on Machines 按服务器计费,而不是按数据库计费。
是否可以还原回经典配置?
是的。 可以使用现有的 REST API 和 PowerShell cmdlet 还原回经典配置。 还原回经典配置时,Azure 门户中会显示一条通知,用于更改为快速配置。
其他类型的 SQL 可以进行快速配置吗?
请持续关注最新信息!
是否可以选择要设置为默认的体验?
否。 对于每个新的受支持 Azure SQL 数据库,快速配置是默认配置。
快速配置是否会更改扫描行为?
否,快速配置提供相同的扫描行为和性能。
快速配置是否对定价有任何影响?
快速配置不需要存储帐户,因此无需支付额外的存储费用,除非你选择保留旧的扫描和基线数据。
每个规则的 1 MB 上限是什么意思?
任何单个规则都不能生成超过 1 MB 的结果。 当规则的结果达到该限制时,结果将停止。 无法为规则设置基线,规则未包含在总体建议运行状况中,并且结果显示为“不适用”。
启用 Microsoft Defender for SQL Servers on Machines 后,需要等待多长时间才能看到成功的部署?
假设满足所有先决条件,通过 SQL IaaS 代理扩展更新保护状态大约需要 30 分钟。
如何验证 Defender for SQL Servers on Machines 是否已成功完成部署,以及数据库现在是否已受到保护?
在安装过程中在 Azure SQL 虚拟机上创建的托管标识有什么用途?
托管标识是推送 Azure Monitor 代理的 Azure Policy 的一部分。 Azure Monitor 代理使用托管标识来访问数据库,以便它可以收集数据并通过 Log Analytics 工作区将其发送到 Defender for Cloud。 有关使用托管标识的详细信息,请参阅用于 Azure Monitor 中代理的资源管理器模板示例。
是否可以使用自己的 DCR 或托管标识,而不是使用 Defender for Cloud 创建的?
是的。 允许你仅使用大规模启用 Microsoft Defender for SQL Servers on Machines 中所述脚本来自带标识或数据收集规则 (DCR)。
通过自动预配过程创建多少个资源组和 Log Analytics 工作区?
默认情况下,我们会为每个具有 SQL 计算机的区域创建资源组、工作区和 DCR。 如果选择自定义工作区选项,则只会在工作区所在的同一位置创建一个资源组或 DCR。
如何在具有 Azure Monitor 代理的计算机上大规模启用 SQL 服务器?
有关如何同时在多个订阅之间启用自动预配的过程,请参阅大规模启用 Microsoft Defender for SQL Servers on Machines。 它适用于托管在 Azure 虚拟机上托管的 SQL 服务器、本地环境中托管的 SQL 服务器和已启用 Azure Arc 的 SQL 服务器。
Azure Monitor 代理在 Log Analytics 工作区中使用哪些表?
(SQL 虚拟机和已启用 Azure Arc 的 SQL 服务器上的)Defender for SQL Servers on Machines 使用 Log Analytics 工作区将数据从数据库传输到 Defender for Cloud 门户。 Log Analytics 工作区在本地不保存任何数据。
弃用 Microsoft Monitor 代理时,Log Analytics 工作区中名为 SQLAtpStatus
和 SqlVulnerabilityAssessmentScanStatus
的表将停用。 可以在 Defender for Cloud 门户中查看威胁防护和漏洞评估的状态。
Defender for SQL Servers on Machines 如何从 SQL 服务器收集日志?
从 SQL Server 2017 开始,Defender for SQL Servers on Machines 使用扩展事件。 在早期版本的 SQL Server 上,Defender for SQL Servers on Machines 使用 SQL Server 审核日志收集日志。
策略计划中是否存在名为 enableCollectionOfSqlQueriesForSecurityResearch 的参数是否意味着收集数据进行分析?
enableCollectionOfSqlQueriesForSecurityResearch
参数目前并未使用。 它的默认值为 false
。 除非主动更改,否则该值将保持为 false
。 此参数不起作用。