你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
查找并修正 Azure SQL 数据库中的漏洞
Microsoft Defender for Cloud 为 Azure SQL 数据库提供了漏洞评估。 漏洞评估会扫描数据库中的软件漏洞,并提供结果列表。 你可以使用结果修正软件漏洞并禁用结果。
先决条件
在继续操作之前,请确保你知道使用的是快速配置还是经典配置。
若要查看正在使用的配置,请执行以下操作:
- 在 Azure 门户中打开 Azure SQL 数据库、SQL 托管实例数据库或 Azure Synapse 中的特定资源。
- 在“安全性”标题下,选择 Defender for Cloud 。
- 在“启用状态”中,选择“配置”以打开整个服务器或托管实例的 Microsoft Defender for SQL 设置窗格。
如果漏洞设置显示用于配置存储帐户的选项,则你使用的是经典配置。 如果不是,则使用的是快速配置。
查找 Azure SQL 数据库中的漏洞
权限
需要以下权限之一才能在 Microsoft Defender for Cloud 建议 SQL 数据库应解决漏洞发现中查看漏洞评估结果:
- 安全管理员
- 安全读取者
更改漏洞评估设置需要以下权限:
- SQL 安全管理器
如果收到任何包含扫描结果链接的自动电子邮件,则需要以下权限才能访问有关扫描结果的链接或在资源级别查看扫描结果:
- SQL 安全管理器
数据驻留
SQL 漏洞评估使用 Defender for Cloud 对 SQL 漏洞评估的建议下的公开可用查询来查询 SQL Server,并存储查询结果。 SQL 漏洞评估数据存储在配置它的逻辑服务器的位置。 例如,如果用户在西欧的逻辑服务器上启用了漏洞评估,则结果将存储在西欧。 只有在逻辑服务器上配置了 SQL 漏洞评估解决方案时,才会收集此数据。
按需漏洞扫描
可以按需运行 SQL 漏洞评估扫描:
在资源的 Defender for Cloud 页面上,选择“查看漏洞评估中的其他发现”,访问上一次扫描的扫描结果 。
若要运行按需扫描以扫描数据库中的漏洞,请从工具栏中选择“扫描”:
注意
扫描是轻型的安全功能。 运行扫描只需花费几秒时间,并且完全是只读操作。 此操作不会对数据库做出任何更改。
修正漏洞
漏洞扫描完成时,报告会显示在 Azure 门户中。 报告会显示:
- 安全状态概述
- 发现的问题数
- 根据风险的严重性整理的摘要
- 供进一步调查使用的结果列表
若要修正发现的漏洞:
查看结果并确定报告中发现的哪些问题是环境中真正存在的安全问题。
选择每个失败的结果以了解其影响,以及安全检查失败的原因。
提示
结果详细信息页包括了说明如何解决该问题的可操作的修正信息。
在查看评估结果时,可将特定结果标记为环境中可接受的基线。 基线本质上是对结果报告方式的自定义。 在后续扫描中,与基线相匹配的结果被视为通过。 建立基线安全状态后,漏洞评估仅报告与基线的偏差。 这样,你可以专注于处理相关问题。
添加到基线的任何结果现在都将显示为“通过”,并指示它们因基线更改而通过。 无需运行另一次扫描即可使基线生效。
你的漏洞评估扫描现可用于确保数据库维持高级别的安全性,并满足组织策略。
后续步骤
- 详细了解 Microsoft Defender for Azure SQL。
- 详细了解数据发现和分类。
- 了解关于将漏洞评估扫描结果存储在可从防火墙和 VNet 后面访问的存储帐户中的详细信息。