다음을 통해 공유


컴퓨터에서 Microsoft Defender for SQL 서버 사용

컴퓨터의 SQL 서버용 Defender가 사용자 보호

필수 조건

클라우드용 Defender를 사용하여 AMA를 배포하기 전에 다음 필수 구성 요소가 있어야 합니다.

가용성

측면 세부 정보
릴리스 상태: GA(일반 공급)
가격 책정: 머신의 Microsoft Defender for SQL 서버가격 책정 페이지에 표시된 대로 요금이 청구됩니다.
보호되는 SQL 버전: SQL Server 버전: 2012, 2014, 2016, 2017, 2019, 2022
- Azure Virtual Machines의 SQL
- Azure Arc 사용 서버의 SQL Server

클라우드: 상용 클라우드
Azure Government
21Vianet에서 운영하는 Microsoft Azure

AMA 에이전트를 사용하여 비 Azure 컴퓨터에서 Defender for SQL 사용

비 Azure 컴퓨터에서 Defender for SQL을 사용하도록 설정하기 위한 필수 구성 요소

  • 활성화된 Azure 구독

  • 구독 소유자는 정책을 할당하려는 구독에 대한 권한입니다.

  • 컴퓨터의 SQL Server 필수 조건:

    • 권한: SQL 서버를 운영하는 Windows 사용자는 데이터베이스에 대한 시스템 관리자 역할이 있어야 합니다.
    • 확장: 다음 확장은 허용 목록에 추가되어야 합니다.
      • Defender for SQL(IaaS 및 Arc)
        • 게시자: Microsoft.Azure.AzureDefenderForSQL
        • 형식: AdvancedThreatProtection.Windows
      • SQL IaaS 확장(IaaS):
        • 게시자: Microsoft.SqlServer.Management
        • 형식: SqlIaaSAgent
      • SQL IaaS 확장(Arc):
        • 게시자: Microsoft.AzureData
        • 형식: WindowsAgent.SqlServer
      • AMA 확장(IaaS 및 Arc):
        • 게시자: Microsoft.Azure.Monitor
        • 형식: AzureMonitorWindowsAgent

"정책 거부" 허용 목록의 명명 규칙

  • Defender for SQL은 리소스를 만들 때 다음과 같은 명명 규칙을 사용합니다.

    • DCR: MicrosoftDefenderForSQL--dcr
    • DCRA: /Microsoft.Insights/MicrosoftDefenderForSQL-RulesAssociation
    • 리소스 그룹: DefaultResourceGroup-
    • Log Analytics 작업 영역: D4SQL--
  • Defender for SQL은 MicrosoftDefenderForSQLcreatedBy 데이터베이스 태그로 사용합니다.

비 Azure 컴퓨터에서 Defender for SQL을 사용하도록 설정하는 단계

  1. Azure Arc에 SQL Server를 연결합니다. 지원되는 운영 체제, 연결 구성 및 필요한 권한에 대한 자세한 내용은 다음 설명서를 참조하세요.

  2. Azure Arc가 설치되면 SQL Server용 Azure 확장이 데이터베이스 서버에 자동으로 설치됩니다. 자세한 내용은 Azure Arc를 통해 지원되는 SQL Server의 자동 연결 관리를 참조하세요.

Defender for SQL 사용

  1. Azure Portal에 로그인합니다.

  2. 클라우드용 Microsoft Defender를 검색하여 선택합니다.

  3. 클라우드용 Defender 메뉴에서 환경 설정을 선택합니다.

  4. 관련 구독을 선택합니다.

  5. Defender 플랜 페이지에서 데이터베이스 계획을 찾아 유형 선택을 선택합니다.

    Defender 플랜 페이지에서 유형을 선택하는 옵션이 있는 위치를 보여 주는 스크린샷.

  6. 리소스 종류 선택 창에서 컴퓨터의 SQL 서버 플랜을 켜기로 전환합니다.

  7. 계속을 선택합니다.

  8. 저장을 선택합니다.

  9. 이 기능이 사용하도록 설정되면 다음 정책 이니셔티브 중 하나를 사용합니다.

    • 기본 LAW에 대한 LAW(Log Analytics 작업 영역)를 사용하여 Microsoft Defender for SQL 및 AMA를 설치하도록 SQL VM 및 Arc 지원 SQL 서버를 구성합니다. 이렇게 하면 데이터 수집 규칙과 기본 Log Analytics 작업 영역이 포함된 리소스 그룹이 만들어집니다. Log Analytics 작업 영역에 대한 자세한 내용은 Log Analytics 작업 영역 개요를 참조하세요.

    기본 Log Analytics 작업 영역을 구성하는 방법의 스크린샷.

    • 사용자 정의 LAW를 사용하여 Microsoft Defender for SQL 및 AMA를 설치하도록 SQL VM 및 Arc 지원 SQL Server를 구성합니다. 이렇게 하면 미리 정의된 지역에 데이터 수집 규칙과 사용자 지정 Log Analytics 작업 영역이 있는 리소스 그룹이 만들어집니다. 이 과정에서 Azure Monitoring Agent를 설치합니다. AMA 에이전트를 설치하는 옵션에 대한 자세한 내용은 Azure Monitor 에이전트 필수 구성 요소를 참조하세요.

    사용자 정의 Log Analytics 작업 영역을 구성하는 방법의 스크린샷.

  10. 설치 과정을 완료하려면 2017 이하 버전의 SQL 서버(인스턴스)를 다시 시작해야 합니다.

AMA 에이전트를 사용하여 Azure Virtual Machines에서 Defender for SQL 사용

Azure Virtual Machines에서 Defender for SQL을 사용하도록 설정하기 위한 필수 구성 요소

  • 활성화된 Azure 구독
  • 구독 소유자는 정책을 할당하려는 구독에 대한 권한입니다.
  • 컴퓨터의 SQL Server 필수 조건:
    • 권한: SQL 서버를 운영하는 Windows 사용자는 데이터베이스에 대한 시스템 관리자 역할이 있어야 합니다.
    • 확장: 다음 확장은 허용 목록에 추가되어야 합니다.
      • Defender for SQL(IaaS 및 Arc)
        • 게시자: Microsoft.Azure.AzureDefenderForSQL
        • 형식: AdvancedThreatProtection.Windows
      • SQL IaaS 확장(IaaS):
        • 게시자: Microsoft.SqlServer.Management
        • 형식: SqlIaaSAgent
      • SQL IaaS 확장(Arc):
        • 게시자: Microsoft.AzureData
        • 형식: WindowsAgent.SqlServer
      • AMA 확장(IaaS 및 Arc):
        • 게시자: Microsoft.Azure.Monitor
        • 형식: AzureMonitorWindowsAgent
  • 미국 동부에 리소스 그룹을 만들고 있기 때문에 자동 프로비전 사용하도록 설정 프로세스의 일부로 이 지역을 허용해야 합니다. 그렇지 않으면 Defender for SQL이 설치 프로세스를 성공적으로 완료할 수 없습니다.

Azure Virtual Machines에서 Defender for SQL을 사용하도록 설정하는 단계

  1. Azure Portal에 로그인합니다.

  2. 클라우드용 Microsoft Defender를 검색하여 선택합니다.

  3. 클라우드용 Defender 메뉴에서 환경 설정을 선택합니다.

  4. 관련 구독을 선택합니다.

  5. Defender 플랜 페이지에서 데이터베이스 계획을 찾아 유형 선택을 선택합니다.

    Defender 플랜 페이지에서 형식을 선택할 위치를 보여 주는 스크린샷.

  6. 리소스 종류 선택 창에서 컴퓨터의 SQL 서버 플랜을 켜기로 전환합니다.

  7. 계속을 선택합니다.

  8. 저장을 선택합니다.

  9. 이 기능이 사용하도록 설정되면 다음 정책 이니셔티브 중 하나를 사용합니다.

    • 기본 LAW에 대한 LAW(Log Analytics 작업 영역)를 사용하여 Microsoft Defender for SQL 및 AMA를 설치하도록 SQL VM 및 Arc 지원 SQL 서버를 구성합니다. 이렇게 하면 미국 동부에 리소스 그룹 및 관리 ID가 만들어집니다. 관리 ID 사용에 대한 자세한 내용은 Azure Monitor의 에이전트용 Resource Manager 템플릿 샘플을 참조하세요. 또한 DCR(데이터 수집 규칙)과 기본 LAW를 포함하는 리소스 그룹도 만듭니다. 모든 리소스는 이 단일 리소스 그룹으로 통합됩니다. DCR과 LAW는 VM(가상 머신) 지역에 맞게 만들어집니다.

    기본 Log Analytics 작업 영역을 구성하는 방법의 스크린샷.

    • 사용자 정의 LAW를 사용하여 Microsoft Defender for SQL 및 AMA를 설치하도록 SQL VM 및 Arc 지원 SQL Server를 구성합니다. 이렇게 하면 미국 동부에 리소스 그룹 및 관리 ID가 만들어집니다. 관리 ID 사용에 대한 자세한 내용은 Azure Monitor의 에이전트용 Resource Manager 템플릿 샘플을 참조하세요. 또한 미리 정의된 지역에 DCR과 사용자 지정 LAW가 있는 리소스 그룹을 만듭니다.

    사용자 정의 Log Analytics 작업 영역을 구성하는 방법의 스크린샷.

  10. 설치 과정을 완료하려면 2017 이하 버전의 SQL 서버(인스턴스)를 다시 시작해야 합니다.

일반적인 질문

배포가 완료된 후, 성공적인 배포가 완료될 때까지 얼마나 기다려야 하나요?

모든 필수 구성 요소가 충족되었다고 가정할 때 SQL IaaS 확장이 보호 상태를 업데이트하는 데 약 30분이 걸립니다.

배포가 성공적으로 종료되었고 데이터베이스가 이제 보호되는지 확인하려면 어떻게 해야 하나요?

  1. Azure Portal의 위쪽 검색 창에서 데이터베이스를 찾습니다.
  2. 보안 탭에서 클라우드용 Defender를 선택합니다.
  3. 보호 상태를 확인합니다. 상태가 보호됨인 경우 배포가 성공한 것입니다.

보호 상태가 보호됨으로 표시된 스크린샷.

Azure SQL VM에서 설치 과정 중에 만들어지는 관리 ID의 목적은 무엇인가요?

관리 ID는 AMA를 푸시하는 Azure Policy의 일부입니다. AMA는 이를 사용하여 데이터베이스에 액세스하여 데이터를 수집하고 LAW(Log Analytics 작업 영역)를 통해 클라우드용 Defender로 전송합니다. 관리 ID 사용에 대한 자세한 내용은 Azure Monitor의 에이전트용 Resource Manager 템플릿 샘플을 참조하세요.

클라우드용 Defender 대신 새 DCR 또는 관리 ID를 만드는 대신 내 DCR 또는 관리 ID를 사용할 수 있나요?

네, 다음 스크립트를 사용해야 사용자 고유의 ID 또는 DCR을 가져올 수 있습니다. 자세한 내용은 대규모 컴퓨터에서 Microsoft Defender for SQL 서버 사용을 참조하세요.

자동 프로비저닝 프로세스를 통해 생성된 리소스 그룹 및 Log Analytics 작업 영역은 몇 개인가요?

기본적으로 SQL 컴퓨터가 있는 지역별로 리소스 그룹, 작업 영역 및 DCR을 만듭니다. 사용자 지정 작업 영역 옵션을 선택하면 작업 영역과 동일한 위치에 하나의 리소스 그룹/DCR만 만들어집니다.

대규모로 AMA가 설치된 컴퓨터에서 SQL 서버를 사용하도록 설정하려면 어떻게 해야 하나요?

여러 구독에서 동시에 Microsoft Defender for SQL의 자동 프로비전을 사용하도록 설정하는 방법에 대한 프로세스는 대규모 컴퓨터에서 SQL 서버에 대한 Microsoft Defender 사용을 참조하세요. Azure Virtual Machines, 온-프레미스 환경 및 Azure Arc 지원 SQL 서버에서 호스트되는 SQL 서버에 적용할 수 있습니다.

AMA의 LAW에서 사용하는 테이블은 무엇인가요?

SQL VM 및 Arc 지원 SQL 서버에서 Defender for SQL은 LAW(Log Analytics 작업 영역)를 사용하여 데이터베이스에서 클라우드용 Defender 포털로 데이터를 전송합니다. 즉, LAW에서는 어떠한 데이터도 로컬로 저장되지 않습니다. SQLAtpStatusSqlVulnerabilityAssessmentScanStatus라는 LAW의 테이블은 MMA가 더 이상 사용되지 않을 때 사용 중지됩니다. ATP 및 VA 상태는 클라우드용 Defender 포털에서 볼 수 있습니다.

Defender for SQL은 어떻게 SQL 서버에서 로그를 수집하나요?

Defender for SQL은 SQL Server 2017부터 Xevent를 사용합니다. 이전 버전의 SQL Server에서는 Defender for SQL이 SQL Server 감사 로그를 사용하여 로그를 수집합니다.

정책 이니셔티브에서 enableCollectionOfSqlQueriesForSecurityResearch라는 매개 변수를 확인합니다. 이는 내 데이터가 분석을 위해 수집된다는 것을 의미하나요?

이 매개 변수는 현재는 사용되지 않습니다. 기본값은 false입니다. 즉, 값을 적극적으로 변경하지 않는 한 false로 유지됩니다. 이 매개 변수에는 효과가 없습니다.

관련 정보는 다음 리소스를 참조하세요.