取得適用於資料庫的 Microsoft Defender 常見問題的解答。
如果我在訂閱上啟用此 Microsoft Defender 方案,訂閱上的所有 SQL Server 是否都會受到保護?
否。 若要保護在 Azure 虛擬機或已啟用 Azure Arc 的機器上執行的 SQL Server,適用於雲端的 Defender 需要:
- 計算機上的Log Analytics代理程式。
- 相關的 Log Analytics 工作區,讓Microsoft已啟用機器上 SQL Server 的 Defender。
Azure 入口網站 中 SQL Server 頁面上顯示的訂用帳戶狀態會反映預設工作區狀態,並套用至所有連線的電腦。 適用於雲端的 Defender 僅協助保護具有向該工作區回報 Log Analytics 代理程式的主機上的 SQL 伺服器。
在機器上部署適用於 SQL Server 的 Defender Microsoft 是否有效能影響?
Microsoft適用於 SQL Server 的 Defender 著重於安全性,但它具有分割架構來平衡數據上傳和速度與效能:
- 我們的某些偵測器,包括名為
SQLAdvancedThreatProtectionTraffic的擴充事件追蹤,在機器上執行以取得即時速度的優點。 - 其他偵測器則在雲端執行,免除機器大量的計算負載。
我們解決方案的實驗室測試顯示,相較於基準檢驗負載,平均尖峰配量的CPU使用量為3%。 我們目前的使用者資料分析顯示服務對 CPU 和記憶體使用量的影響微乎其微。
效能一律因環境、機器和負載而異。 這些語句可作為一般指導方針,而不是任何個別部署的保證。
我已變更機器上適用於 SQL Server 的 Defender Log Analytics 工作區,並遺失所有掃描結果和基準設定。 發生什麼事?
掃描結果和基準不會儲存在 Log Analytics 工作區中,但會連結至該工作區。 變更工作區會重設掃描結果和基準設定。 不過,如果您在90天內還原為原始工作區,則會還原掃描結果和基準設定。 閱讀更多內容。
切換至快速設定之後,舊的掃描結果和基準會發生什麼事?
舊的結果和基準設定仍可在您的記憶體帳戶上使用,但系統不會更新或使用它們。 切換至快速設定之後,您不需要維護這些檔案來讓 SQL 弱點評量運作,但您可以保留舊的基準定義以供日後參考。
啟用快速設定時,您無法直接存取結果和基準資料,因為它存放在內部 Microsoft 儲存體上。
為什麼我的 Azure SQL Server 標示為「SQL Server 應該已設定弱點評估」狀況不良,即使我已使用傳統設定來正確設定它?
此建議背後的原則會檢查伺服器是否存在子評估。 使用傳統設定時,只有當至少有一個使用者資料庫存在時,才會掃描系統資料庫。 沒有任何使用者資料庫的伺服器沒有掃描或報告掃描結果,這會導致原則保持狀況不良。
切換至快速設定可藉由啟用系統資料庫的排程和手動掃描來減輕問題。
是否可使用快速設定來設定週期性掃描?
快速設定會自動為您伺服器之下的所有資料庫設定周期性掃描。 此行為是預設值,而且無法在伺服器或資料庫層級設定。
是否有快速設定方式可取得傳統組態中提供的每周電子郵件報告?
您可以遵循 適用於雲端的 Microsoft Defender 程式,使用工作流程自動化和 Logic Apps 電子郵件排程:
- 以時間為基礎的觸發程式
- 掃描型觸發程式
- 支援停用的規則
為什麼我無法再設定資料庫原則?
SQL 弱點評估會報告環境中的所有弱點和設定錯誤,因此包括所有資料庫都很有説明。 機器上的適用於 SQL Server 的 Defender 會針對每部伺服器計費,而不是每個資料庫。
我可以還原為傳統組態嗎?
是。 您可以使用現有的 REST API 和 PowerShell Cmdlet 來還原為傳統組態。 當您還原為傳統組態時,Azure 入口網站 中會顯示通知,以變更為快速設定。
快速設定是否可供其他類型的 SQL 使用?
請密切注意最新消息!
是否可以選擇預設體驗?
否。 快速設定是每個新支援的 Azure SQL 資料庫的預設設定。
快速設定是否變更掃描行為?
否,快速設定提供相同的掃描行為和效能。
快速設定對定價有任何影響嗎?
快速設定不需要儲存體帳戶,因此除非您選擇保留舊的掃描和基準資料,否則不需要支付額外的儲存體費用。
每個規則 1 MB 上限是什麼意思?
任何個別規則都無法產生超過 1 MB 的結果。 當規則的結果達到該限制時,它們就會停止。 您無法設定規則的基準、此規則未包含在整體建議健全狀況中,且結果會顯示為 不適用。
在機器上啟用適用於 SQL Server 的 Microsoft Defender 之後,我需要等候多久才能看到成功的部署?
透過 SQL IaaS 代理程式擴充功能更新保護狀態大約需要 30 分鐘的時間,假設所有必要條件都已完成。
如何? 確認我在機器上部署適用於 SQL Server 的 Defender 已順利結束,而且我的資料庫現在已受到保護?
- 在 Azure 入口網站 中,找出上方搜尋列上的資料庫。
- 在 [安全性] 底下,選取 [適用於雲端的 Microsoft Defender]。
- 檢查 [保護狀態]。 如果狀態是 [受保護],表示部署成功。
在 Azure SQL 虛擬機的安裝程式期間建立的受控識別用途為何?
受控識別是 Azure 原則的一部分,其會推送 Azure 監視器代理程式。 Azure 監視器代理程式會使用受控識別來存取資料庫,以便其能夠收集數據,並透過Log Analytics工作區傳送至 適用於雲端的 Defender。 如需使用受控識別的詳細資訊,請參閱 Azure 監視器中代理程式適用的 Resource Manager 範本範例。
我可以使用自己的 DCR 或受控識別,而不是 適用於雲端的 Defender 建立的 DCR 或受控識別嗎?
是。 我們允許您只使用大規模在機器上啟用適用於 SQL Server Microsoft Defender 中所述的腳本來攜帶您自己的身分識別或數據收集規則(DCR)。
自動布建程式會建立多少個資源群組和Log Analytics工作區?
根據預設,我們會為每個具有 SQL 機器的區域建立資源群組、工作區和 DCR。 如果您選擇自定義工作區選項,則只會在與工作區相同的位置建立一個資源群組或 DCR。
如何大規模啟用具有 Azure 監視器代理程式的機器上的 SQL 伺服器?
如需如何同時在多個訂用帳戶上啟用自動布建的程式,請參閱 大規模啟用適用於 SQL Server 的 Microsoft Defender。 它適用於裝載在 Azure 虛擬機上的 SQL 伺服器、裝載於內部部署環境中的 SQL 伺服器,以及已啟用 Azure Arc 的 SQL Server。
在 Log Analytics 工作區中搭配 Azure 監視器代理程式使用哪些數據表?
適用於機器上的 SQL Server Defender(適用於 SQL 虛擬機和已啟用 Azure Arc 的 SQL Server)會使用 Log Analytics 工作區,將數據從資料庫傳輸到 適用於雲端的 Defender 入口網站。 Log Analytics 工作區本機不會儲存任何數據。 名為 SQLAtpStatusSqlVulnerabilityAssessmentScanStatus 的Log Analytics工作區中的數據表,當Microsoft監視器代理程式已被取代時,將會淘汰。 您可以在 適用於雲端的 Defender 入口網站中檢視威脅防護和弱點評估的狀態。
機器上的適用於 SQL Server 的 Defender 如何從 SQL Server 收集記錄?
機器上的適用於 SQL Server 的 Defender 使用擴充事件,從 SQL Server 2017 開始。 在舊版 SQL Server 上,機器上的適用於 SQL Server 的 Defender 會使用 SQL Server 稽核記錄來收集記錄。
原則計劃中有名為 enableCollectionOfSqlQueriesForSecurityResearch 的參數是否表示收集我的數據進行分析?
enableCollectionOfSqlQueriesForSecurityResearch參數目前未使用中。 其預設值為 false。 除非您主動變更值,否則該值會 false維持不變。 這個參數沒有作用。