Activer Microsoft Defender pour les serveurs SQL sur les machines
Defender pour les serveurs SQL Server sur les machines protège vos
Prérequis
Avant de déployer AMA avec Defender pour le cloud, vous devez réunir les conditions préalables suivantes :
Vérifiez que vos machines multiclouds et locales disposent d’Azure Arc.
- Machines AWS et GCP
- Intégrez votre connecteur AWS et approvisionnez automatiquement Azure Arc.
- Intégrez votre connecteur GCP et approvisionnez automatiquement Azure Arc.
- Machines locales
- Machines AWS et GCP
Vérifiez que les plans Defender que l’agent Azure Monitor doit prendre en charge sont bien activés :
Pour les serveurs SQL multiclouds :
Connecter vos comptes AWS à Microsoft Defender pour le cloud
Connexion d’un projet GCP à Microsoft Defender pour le cloud
Remarque
Vous devez activer la protection des bases de données pour vos serveurs SQL multiclouds par le biais du connecteur AWS ou du connecteur GCP.
Disponibilité
Aspect | Détails |
---|---|
État de sortie : | Disponibilité générale |
Prix : | Microsoft Defender pour les serveurs SQL Server sur les machines est facturé comme indiqué sur la page de tarification |
Versions de SQL protégées : | Version de SQL Server : 2012, 2014, 2016, 2017, 2019, 2022 - SQL sur machines virtuelles Azure - SQL Server sur des serveurs avec Azure Arc |
Clouds : | Clouds commerciaux Azure Government Microsoft Azure exploité par 21Vianet |
Activer Defender pour SQL sur des machines non-Azure à l’aide de l’agent AMA
Conditions préalables à l’activation de Defender pour SQL sur des machines non-Azure
Un abonnement Azure actif.
Propriétaire de l’abonnement autorisations sur l’abonnement dans lequel vous souhaitez affecter la stratégie.
Conditions préalables pour SQL Server sur les machines :
- Autorisations : l’utilisateur Windows qui exploite le serveur SQL doit avoir le rôle Sysadmin sur la base de données.
- Extensions : les extensions suivantes doivent être ajoutées à la liste verte :
- Defender pour SQL (IaaS et Arc) :
- Éditeur : Microsoft.Azure.AzureDefenderForSQL
- Type : AdvancedThreatProtection.Windows
- Extension IaaS SQL (IaaS) :
- Éditeur : Microsoft.SqlServer.Management
- Type : SqlIaaSAgent
- Extension IaaS SQL (Arc) :
- Éditeur : Microsoft.AzureData
- Type : WindowsAgent.SqlServer
- Extension AMA (IaaS et Arc) :
- Éditeur : Microsoft.Azure.Monitor
- Type : AzureMonitorWindowsAgent
- Defender pour SQL (IaaS et Arc) :
Conventions d’affectation de noms dans la liste verte «Refuser la stratégie »
Defender pour SQL utilise la convention d’affectation de noms suivante lors de la création de nos ressources :
- DCR :
MicrosoftDefenderForSQL--dcr
- DCRA :
/Microsoft.Insights/MicrosoftDefenderForSQL-RulesAssociation
- Groupe de ressources :
DefaultResourceGroup-
- Espace de travail Log Analytics :
D4SQL--
- DCR :
Defender pour SQL utilise MicrosoftDefenderForSQL en tant que balise de base de données createdBy.
Étapes pour activer Defender for SQL sur des machines non-Azure
Connectez SQL Server à Azure Arc. Pour plus d’informations sur les systèmes d’exploitation pris en charge, la configuration de la connectivité et les autorisations requises, consultez la documentation suivante :
Une fois Azure Arc installé, l’extension Azure pour SQL Server est installée automatiquement sur le serveur de base de données. Pour plus d’informations, consultez Gérer la connexion automatique pour un SQL Server activé par Azure Arc.
Activer Defender pour SQL
Connectez-vous au portail Azure.
Recherchez et sélectionnez Microsoft Defender pour le cloud.
Dans le menu de Defender pour le cloud, sélectionnez Paramètres de l’environnement.
Sélectionnez l’abonnement approprié.
Dans la page des plans Defender, recherchez le plan Bases de données et sélectionnez Sélectionner les types.
Dans la fenêtre de sélection des types de ressources, définissez le plan Serveurs SQL Server sur les machines sur Activé.
Sélectionnez Continuer.
Cliquez sur Enregistrer.
Une fois activé, nous utilisons l’une des initiatives de stratégie suivantes :
- Configurer les machines virtuelles SQL et les serveurs SQL compatibles avec Arc pour installer Microsoft Defender pour SQL et AMA avec un espace de travail Log Analytics (LAW) pour un LAW par défaut. Cela crée des groupes de ressources avec des règles de collecte de données et un espace de travail Log Analytics par défaut. Pour plus d’informations sur l’espace de travail Log Analytics, voir Vue d’ensemble Espace de travail Log Analytics.
- Configurer des machines virtuelles SQL et des serveurs SQL avec Arc pour installer Microsoft Defender pour SQL et AMA avec un LAW défini par l’utilisateur. Cela crée un groupe de ressources avec des règles de collecte de données et un espace de travail Log Analytics personnalisé dans la région prédéfinie. Pendant ce processus, nous installons l’agent de supervision Azure. Pour plus d’informations sur les options d’installation de l’agent AMA, consultez prérequis de l’agent Azure Monitor.
Pour terminer le processus d’installation, un redémarrage du serveur SQL (instance) est nécessaire pour les versions 2017 et antérieures.
Activer Defender pour SQL sur des machines virtuelles Azure à l’aide de l’agent AMA
Conditions préalables à l’activation de Defender pour SQL sur des machines virtuelles Azure
- Un abonnement Azure actif.
- Propriétaire de l’abonnement autorisations sur l’abonnement dans lequel vous souhaitez affecter la stratégie.
- Conditions préalables pour SQL Server sur les machines :
- Autorisations : l’utilisateur Windows qui exploite le serveur SQL doit avoir le rôle Sysadmin sur la base de données.
- Extensions : les extensions suivantes doivent être ajoutées à la liste verte :
- Defender pour SQL (IaaS et Arc) :
- Éditeur : Microsoft.Azure.AzureDefenderForSQL
- Type : AdvancedThreatProtection.Windows
- Extension IaaS SQL (IaaS) :
- Éditeur : Microsoft.SqlServer.Management
- Type : SqlIaaSAgent
- Extension IaaS SQL (Arc) :
- Éditeur : Microsoft.AzureData
- Type : WindowsAgent.SqlServer
- Extension AMA (IaaS et Arc) :
- Éditeur : Microsoft.Azure.Monitor
- Type : AzureMonitorWindowsAgent
- Defender pour SQL (IaaS et Arc) :
- Étant donné que nous créons un groupe de ressources dans USA Est, dans le cadre du processus d’activation de l’approvisionnement automatique, cette région doit être autorisée ou Defender pour SQL ne peut pas terminer le processus d’installation.
Étapes pour activer Defender for SQL sur des machines virtuelles Azure
Connectez-vous au portail Azure.
Recherchez et sélectionnez Microsoft Defender pour le cloud.
Dans le menu de Defender pour le cloud, sélectionnez Paramètres de l’environnement.
Sélectionnez l’abonnement approprié.
Dans la page des plans Defender, recherchez le plan Bases de données et sélectionnez Sélectionner les types.
Dans la fenêtre de sélection des types de ressources, définissez le plan Serveurs SQL Server sur les machines sur Activé.
Sélectionnez Continuer.
Cliquez sur Enregistrer.
Une fois activé, nous utilisons l’une des initiatives de stratégie suivantes :
- Configurer les machines virtuelles SQL et les serveurs SQL compatibles avec Arc pour installer Microsoft Defender pour SQL et AMA avec un espace de travail Log Analytics (LAW) pour un LAW par défaut. Cela crée un groupe de ressources dans USA Est et une identité managée. Pour plus d’informations sur l’utilisation de l’identité managée, consultez Exemples de modèles Resource Manager pour les agents dans Azure Monitor. Il crée également un groupe de ressources qui inclut des règles de collecte de données (DCR) et une loi par défaut. Toutes les ressources sont consolidées sous ce groupe de ressources unique. Le DCR et LAW sont créés pour s’aligner sur la région de la machine virtuelle.
- Configurer des machines virtuelles SQL et des serveurs SQL avec Arc pour installer Microsoft Defender pour SQL et AMA avec un LAW défini par l’utilisateur. Cela crée un groupe de ressources dans USA Est et une identité managée. Pour plus d’informations sur l’utilisation de l’identité managée, consultez Exemples de modèles Resource Manager pour les agents dans Azure Monitor. Il crée également un groupe de ressources avec un DCR et une loi personnalisée dans la région prédéfinie.
Pour terminer le processus d’installation, un redémarrage du serveur SQL (instance) est nécessaire pour les versions 2017 et antérieures.
Questions courantes
Une fois le déploiement terminé, combien de temps devons-nous attendre pour voir un déploiement réussi ?
La mise à jour de l’état de protection par l’extension IaaS SQL prend environ 30 minutes, en supposant que toutes les conditions préalables sont remplies.
Comment vérifier que mon déploiement s’est terminé correctement et que ma base de données est désormais protégée ?
- Recherchez la base de données dans la barre de recherche supérieure dans le Portail Azure.
- Sous l’onglet Sécurité, sélectionnez Defender pour le cloud.
- Consultez l’État de la protection. Si l’état est protégé, le déploiement a réussi.
Quel est l’objectif de l’identité managée créée pendant le processus d’installation sur des machines virtuelles Azure SQL ?
L’identité managée fait partie d’Azure Policy, qui envoie l’AMA. Il est utilisé par l’AMA pour accéder à la base de données afin de collecter les données et de les envoyer via l’espace de travail Log Analytics (LAW) à Defender pour le cloud. Pour plus d’informations sur l’utilisation de l’identité managée, consultez Exemples de modèles Resource Manager pour les agents dans Azure Monitor.
Puis-je utiliser mon propre DCR ou mon identité managée au lieu de Defender pour le cloud en créant une nouvelle identité ?
Oui, nous vous permettent d’apporter votre propre identité ou DCR à l’aide du script suivant uniquement. Pour plus d’informations, voir Activer Microsoft Defender pour les serveurs SQL sur les machines à l’échelle.
Combien de groupes de ressources et d'espaces de travail Log analytics sont créés par le processus d'auto-provisionnement ?
Par défaut, nous créons le groupe de ressources, l'espace de travail et le DCR par région qui possède la machine SQL. Si vous choisissez l’option d’espace de travail personnalisé, un seul groupe de ressources et une seule DCR sont créés dans le même emplacement que l’espace de travail.
Comment puis-je activer des serveurs SQL sur des machines avec AMA à grande échelle ?
Consultez Activer Microsoft Defender pour les serveurs SQL sur des machines à grande échelle pour le processus d’activation simultanée de Microsoft Defender pour SQL sur plusieurs abonnements. Elle s’applique aux serveurs SQL hébergés sur des machines virtuelles Azure, aux environnements sur site et aux serveurs SQL compatibles avec Azure Arc.
Quelles tables sont utilisées dans LAW avec AMA ?
Defender pour SQL sur des machines virtuelles SQL et des serveurs SQL avec Arc utilise l’espace de travail Log Analytics (LAW) pour transférer des données de la base de données vers le portail Defender pour le cloud. Cela signifie qu’aucune donnée n’est enregistrée localement au niveau du LAW. Les tables du LAW nommé SQLAtpStatus et les SqlVulnerabilityAssessmentScanStatus seront supprimées lorsque MMA est déconseillé. L’état ATP et VA peut être consulté dans le portail Defender pour le cloud.
Comment Defender pour SQL collecte-t-il les journaux à partir du serveur SQL ?
Defender pour SQL utilise Xevent, à compter de SQL Server 2017. Sur les versions précédentes de SQL Server, Defender pour SQL collecte les journaux à l’aide des journaux d’audit SQL Server.
Je vois un paramètre nommé enableCollectionOfSqlQueriesForSecurityResearch dans l’initiative de stratégie. Cela signifie-t-il que mes données sont collectées à des fins d’analyse ?
Ce paramètre n’est pas utilisé aujourd’hui. Sa valeur par défaut est false, ce qui signifie que, sauf si vous modifiez de manière proactive la valeur, elle reste false. Il n’y a aucun effet à partir de ce paramètre.
Contenu connexe
Pour plus d’informations, consultez ces ressources :
- Comment Microsoft Defender pour Azure SQL peut protéger les serveurs SQL partout.
- Alertes de sécurité pour SQL Database et Azure Synapse Analytics
- Consultez les questions courantes sur Defender pour bases de données.