Habilite o Microsoft Defender para servidores SQL em máquinas em escala
O componente SQL servers on machines do Microsoft Defender for Cloud do plano Defender for Databases protege as extensões SQL IaaS e Defender for SQL. O componente SQL servers on machines identifica e mitiga possíveis vulnerabilidades do banco de dados enquanto deteta atividades anômalas que podem indicar ameaças aos seus bancos de dados.
Quando você habilita o componente SQL Server em máquinas do plano Defender for Databases, o processo de provisionamento automático é iniciado automaticamente. O processo de provisionamento automático instala e configura todos os componentes necessários para que o plano funcione, incluindo o Azure Monitor Agent (AMA), a extensão SQL IaaS e as extensões Defender for SQL. O processo de provisionamento automático também define a configuração do espaço de trabalho, as Regras de Coleta de Dados, a identidade (se necessário) e a extensão IaaS do SQL.
Esta página explica como você pode habilitar o processo de provisionamento automático do Defender for SQL em várias assinaturas simultaneamente usando um script do PowerShell. Esse processo se aplica a servidores SQL hospedados em Máquinas Virtuais (VM) do Azure, ambientes locais e servidores SQL habilitados para Azure Arc. Este artigo também discute como utilizar funcionalidades extras que podem acomodar várias configurações, como:
Regras personalizadas de coleta de dados
Gerenciamento de identidade personalizado
Integração de espaço de trabalho padrão
Configuração personalizada do espaço de trabalho
Pré-requisitos
Obter conhecimentos sobre:
Conectar contas do Amazon Web Service (AWS) ao Microsoft Defender for Cloud
Conecte seu Google Cloud Project (GCP) ao Microsoft Defender for Cloud
Instale o PowerShell no Windows, Linux, macOS ou Azure Resource Manager (ARM).
Instale os seguintes módulos do PowerShell:
Az.ResourcesAz.OperationalInsightsAz.AccountsAzAz.PolicyInsightsAz.Security
Permissões: requer regras de colaborador, colaborador ou proprietário da VM.
Parâmetros e exemplos de script do PowerShell
O script do PowerShell que habilita o Microsoft Defender for SQL on Machines em uma determinada assinatura tem vários parâmetros que você pode personalizar para atender às suas necessidades. A tabela a seguir lista os parâmetros e suas descrições:
| Nome do parâmetro | Necessário | Description |
|---|---|---|
| SubscriptionId: | Necessário | A ID de assinatura do Azure para a qual você deseja habilitar os servidores do Defender para SQL em máquinas. |
| RegisterSqlVmAgnet | Necessário | Um sinalizador que indica se o SQL VM Agent deve ser registrado em massa. Saiba mais sobre como registrar várias VMs SQL no Azure com a extensão SQL IaaS Agent. |
| WorkspaceResourceId | Opcional | A ID do recurso do espaço de trabalho do Log Analytics, se você quiser usar um espaço de trabalho personalizado em vez do padrão. |
| DataCollectionRuleResourceId | Opcional | A ID do recurso da regra de coleta de dados, se você quiser usar uma Regra de Coleta de Dados (DCR) personalizada em vez da padrão. |
| UserAssignedIdentityResourceId | Opcional | A ID do recurso da identidade atribuída ao usuário, se você quiser usar uma identidade atribuída ao usuário personalizada em vez da identidade padrão. |
O script de exemplo a seguir é aplicável quando você usa um espaço de trabalho padrão do Log Analytics, uma regra de coleta de dados e uma identidade gerenciada.
Write-Host "------ Enable Defender for SQL on Machines example ------"
$SubscriptionId = "<SubscriptionID>"
.\EnableDefenderForSqlOnMachines.ps1 -SubscriptionId $SubscriptionId -RegisterSqlVmAgnet $RegisterSqlVmAgnet
O script de exemplo a seguir é aplicável quando você usa um espaço de trabalho personalizado do Log Analytics, uma regra de coleta de dados e uma identidade gerenciada.
Write-Host "------ Enable Defender for SQL on Machines example ------"
$SubscriptionId = "<SubscriptionID>"
$RegisterSqlVmAgnet = "false"
$WorkspaceResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someResourceGroup/providers/Microsoft.OperationalInsights/workspaces/someWorkspace"
$DataCollectionRuleResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someOtherResourceGroup/providers/Microsoft.Insights/dataCollectionRules/someDcr"
$UserAssignedIdentityResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someElseResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/someManagedIdentity"
.\EnableDefenderForSqlOnMachines.ps1 -SubscriptionId $SubscriptionId -RegisterSqlVmAgnet $RegisterSqlVmAgnet -WorkspaceResourceId $WorkspaceResourceId -DataCollectionRuleResourceId $DataCollectionRuleResourceId -UserAssignedIdentityResourceId $UserAssignedIdentityResourceId
Habilite o Defender para servidores SQL em máquinas em escala
Você pode habilitar o Defender para servidores SQL em máquinas em escala seguindo estas etapas.
Abra uma janela do PowerShell.
Cole o script no PowerShell.
Insira as informações do parâmetro conforme necessário.
Execute o script.