Condividi tramite

Abilitare Defender per SQL Server nei computer

  • Articolo

Il piano Defender per SQL Server nei computer è uno dei piani di Defender per database in Microsoft Defender per il cloud. Usare Defender per i server SQL nei computer per proteggere i database di SQL Server ospitati in macchine virtuali di Azure e macchine virtuali abilitate per Azure Arc.

Prerequisiti

Requisito Dettagli
Autorizzazioni Per distribuire il piano in una sottoscrizione inclusa Criteri di Azure, sono necessarie le autorizzazioni di proprietario della sottoscrizione.

L'utente Windows nella macchina virtuale SQL deve avere il ruolo Sysadmin nel database.
Computer multicloud Le macchine multicloud (AWS e GCP) devono essere caricate come macchine virtuali abilitate per Azure Arc. Possono essere eseguiti automaticamente come computer Azure Arc durante l'onboarding con il connettore.
Eseguire l'onboarding del connettore AWS ed effettuare automaticamente il provisioning di Azure Arc.
Eseguire l'onboarding del connettore GCP ed effettuare automaticamente il provisioning di Azure Arc.
Computer locali È necessario eseguire l'onboarding dei computer locali come macchine virtuali abilitate per Azure Arc. Eseguire l'onboarding di computer locali e installare Azure Arc.
Azure Arc Esaminare i requisiti di distribuzione di Azure Arc
- Pianificare e distribuire server abilitati per Azure Arc
- Prerequisiti dell'agente Connected Machine
- Requisiti di rete dell'agente del computer connesso
- Ruoli specifici di SQL Server abilitati da Azure Arc
Estensioni Assicurarsi che queste estensioni non siano bloccate nell'ambiente.
Defender per SQL (IaaS e Arc) - Server di pubblicazione: Microsoft.Azure.AzureDefenderForSQL
- Tipo: AdvancedThreatProtection.Windows
Estensione SQL IaaS (IaaS) - Server di pubblicazione: Microsoft.SqlServer.Management
- Tipo: SqlIaaSAgent
Estensione SQL IaaS (Arc) - Publisher: Microsoft.AzureData
- Tipo: WindowsAgent.SqlServer
Estensione AMA (IaaS e Arc) - Server di pubblicazione: Microsoft.Azure.Monitor
- Tipo: AzureMonitorWindowsAgent
Requisito dell'area Quando si abilita il piano, viene creato un gruppo di risorse negli Stati Uniti orientali. Verificare che questa area non sia bloccata nell'ambiente.
Convenzioni di denominazione delle risorse Defender per SQL usa la convenzione di denominazione seguente durante la creazione delle risorse:
- Regola di raccolta dati: MicrosoftDefenderForSQL--dcr
- DCRA: /Microsoft.Insights/MicrosoftDefenderForSQL-RulesAssociation
- Gruppo di risorse: DefaultResourceGroup-
- Area di lavoro Log Analytics: D4SQL--
- Defender per SQL usa MicrosoftDefenderForSQL come tag di database createdBy .

Assicurarsi che i criteri Nega non blocchino questa convenzione di denominazione.
Sistemi operativi Sono supportati i computer che eseguono Windows Server 2012 R2 o versione successiva. SQL Server 2012 R2 o versione successiva è supportato per le istanze di SQL.

Abilitare il piano

  1. Nella portale di Azure cercare e selezionare Microsoft Defender per il cloud.

  2. Scegliere Impostazioni ambiente dal menu di Defender per il cloud.

  3. Selezionare la sottoscrizione pertinente.

  4. Nella pagina Piani di Defender individuare il piano Database e scegliere Selezionare i tipi.

    Screenshot che mostra dove selezionare i tipi nella pagina Piani di Defender.

  5. Nella finestra selezione Tipi di risorse impostare il pianoserver SQL nei computer su On.

  6. Selezionare Continua>salva.

Selezionare un'area di lavoro

Selezionare un'area di lavoro Log Analytics da usare con il piano Defender per SQL nei computer.

  1. Nella pagina Piani di Defender, nella colonna Database, Monitoraggio copertura selezionare le impostazioni.

  2. Nella sezione Azure Monitoring Agent for SQL Server on machines (Agente di monitoraggio di Azure per SQL Server nei computer) nella colonna Configurations (Configurazioni) selezionare Modifica configurazioni.

  3. Nella pagina Configurazione provisioning automatico selezionare l'area di lavoro Predefinita o specificare un'area di lavoro personalizzata.

  4. In Registrazione automatica di SQL Server assicurarsi di lasciare l'opzione Registra istanze di SQL Server di Azure abilitando l'opzione registrazione automatica dell'estensione SQL IaaS abilitata.

    Screenshot che mostra dove lasciare abilitate le istanze di Azure SQL Server.

    La registrazione garantisce che tutte le istanze di SQL possano essere individuate e configurate correttamente.

  5. Selezionare Applica.

Verificare che i computer siano protetti

A seconda dell'ambiente, l'individuazione e la protezione delle istanze di SQL possono richiedere alcune ore. Come passaggio finale, è necessario verificare che tutti i computer siano protetti. Non ignorare questo passaggio, perché è importante verificare che la distribuzione sia protetta.