다음을 통해 공유

컴퓨터에서 DEFENDER for SQL Server 사용

  • 아티클

컴퓨터의 Defender for SQL Server 계획은 클라우드용 Microsoft Defender Defender for Databases 계획 중 하나입니다. 컴퓨터에서 Defender for SQL Server를 사용하여 Azure VM 및 Azure Arc 지원 VM에서 호스트되는 SQL Server 데이터베이스를 보호합니다.

필수 조건

요구 사항 세부 정보
권한 Azure Policy를 포함한 구독에 계획을 배포하려면 구독 소유자 권한이 필요합니다.

SQL VM의 Windows 사용자에게는 데이터베이스에 대한 Sysadmin 역할이 있어야 합니다.
다중 클라우드 컴퓨터 다중 클라우드 머신(AWS 및 GCP)은 Azure Arc 지원 VM으로 온보딩되어야 합니다. 커넥터를 사용하여 온보딩할 때 Azure Arc 머신으로 자동으로 온보딩할 수 있습니다.
AWS 커넥터 를 온보딩하고 Azure Arc를 자동으로 프로비전합니다.
GCP 커넥터 를 온보딩하고 Azure Arc를 자동으로 프로비전합니다.
온-프레미스 컴퓨터 온-프레미스 머신은 Azure Arc 지원 VM으로 온보딩되어야 합니다. 온-프레미스 머신을 온보딩하고 Azure Arc를 설치합니다.
Azure Arc Azure Arc 배포 요구 사항 검토
- Azure Arc 지원 서버 계획 및 배포
- Connected Machine 에이전트 필수 구성 요소
- Connected Machine 에이전트 네트워크 요구 사항
- Azure Arc에서 사용하도록 설정된 SQL Server 관련 역할
확장 사용자 환경에서 이러한 확장이 차단되지 않았는지 확인합니다.
Defender for SQL(IaaS 및 Arc) - 게시자: Microsoft.Azure.AzureDefenderForSQL
- 형식: AdvancedThreatProtection.Windows
SQL IaaS 확장(IaaS) - 게시자: Microsoft.SqlServer.Management
- 형식: SqlIaaSAgent
SQL IaaS 확장(Arc) - 게시자: Microsoft.AzureData
- 형식: WindowsAgent.SqlServer
AMA 확장(IaaS 및 Arc) - 게시자: Microsoft.Azure.Monitor
- 형식: AzureMonitorWindowsAgent
지역 요구 사항 계획을 사용하도록 설정하면 리소스 그룹이 미국 동부에 만들어집니다. 이 지역이 사용자 환경에서 차단되지 않았는지 확인합니다.
리소스 명명 규칙 Sql용 Defender는 리소스를 만들 때 다음 명명 규칙을 사용합니다.
- 데이터 수집 규칙: MicrosoftDefenderForSQL--dcr
- DCRA: /Microsoft.Insights/MicrosoftDefenderForSQL-RulesAssociation
- 리소스 그룹: DefaultResourceGroup-
- Log Analytics 작업 영역: D4SQL--
- Defender for SQL은 MicrosoftDefenderForSQL을 createdBy 데이터베이스 태그로 사용합니다.

거부 정책이 이 명명 규칙을 차단하지 않는지 확인합니다.
운영 체제 Windows Server 2012 R2 이상을 실행하는 컴퓨터가 지원됩니다. SQL Server 2012 R2 이상은 SQL 인스턴스에 대해 지원됩니다.

계획 사용

  1. Azure Portal에서 클라우드용 Microsoft Defender 검색하고 선택합니다.

  2. 클라우드용 Defender 메뉴에서 환경 설정을 선택합니다.

  3. 관련 구독을 선택합니다.

  4. Defender 플랜 페이지에서 데이터베이스 계획을 찾아 유형 선택을 선택합니다.

    Defender 플랜 페이지에서 형식을 선택할 위치를 보여 주는 스크린샷.

  5. 리소스 종류 선택 창에서 컴퓨터의 SQL 서버 플랜을 켜기로 전환합니다.

  6. 저장 계속>을 선택합니다.

작업 영역 선택

Log Analytics 작업 영역을 선택하여 Machine의 Defender for SQL 계획과 함께 작동합니다.

  1. Defender 계획 페이지의 데이터베이스에서 검사 모니터링 열에서 설정을 선택합니다.

  2. 컴퓨터SQL 서버에 대한 Azure Monitoring Agent 섹션의 구성 열에서 구성 편집을 선택합니다.

  3. 자동 프로비전 구성 페이지에서 기본 작업 영역을 선택하거나 사용자 지정 작업 영역을 지정합니다.

  4. SQL Server 자동 등록에서 SQL IaaS 확장 자동 등록 옵션을 사용하도록 설정하여 Azure SQL Server 인스턴스 등록을 그대로 두도록 합니다.

    등록 Azure SQL Server 인스턴스를 사용하도록 설정할 위치를 보여 주는 스크린샷.

    등록하면 모든 SQL 인스턴스를 올바르게 검색하고 구성할 수 있습니다.

  5. 적용을 선택합니다.

컴퓨터가 보호되었는지 확인

환경에 따라 SQL 인스턴스를 검색하고 보호하는 데 몇 시간이 걸릴 수 있습니다. 마지막 단계로 모든 컴퓨터가 보호되는지 확인해야 합니다. 배포가 보호되었는지 확인하는 것이 중요하므로 이 단계를 건너뛰지 마세요.