Condividi tramite

Risolvere i problemi di protezione del computer in Defender per SQL nei computer

Se si abilita Defender per SQL Server in computer e alcune istanze di SQL non sono in uno stato protetto, usare questo articolo per risolvere i problemi di distribuzione.

Prima di iniziare i passaggi per la risoluzione dei problemi, assicurarsi di disporre di:

Passaggio 1: Comprendere come vengono create le risorse

Defender per SQL Server nei computer crea automaticamente risorse, come illustrato nel diagramma.

Diagramma che mostra le risorse e i livelli in cui vengono creati.

Le risorse sono riepilogate nella tabella:

Tipo di risorsa Livello creato
Gruppo di risorse - Creato nell'area Stati Uniti orientali di Azure a livello della sottoscrizione
Identità gestita: viene creata un'identità gestita assegnata dall'utente in ogni area di Azure a livello della sottoscrizione
Area di lavoro Log Analytics: usare l'area di lavoro predefinita o personalizzata. a livello della sottoscrizione
Regola di raccolta dati (DCR) - Creata per ogni area di lavoro a livello della sottoscrizione
Associazione di regole di raccolta dati (DCRA) Definito in ogni istanza di SQL Server
Agente di monitoraggio di Azure L'estensione viene installata in ogni istanza di SQL Server
Estensione Defender per SQL L'estensione viene installata in ogni istanza di SQL Server

Passaggio 2: Verificare che le estensioni siano consentite

Per garantire che la protezione funzioni come previsto, assicurarsi che i criteri di negazione dell'organizzazione non blocchino queste estensioni:

  • Defender per SQL (IaaS e Arc)
    • Server di pubblicazione: Microsoft.Azure.AzureDefenderForSQL
    • Tipo: AdvancedThreatProtection.Windows
  • Estensione SQL IaaS (IaaS)
    • Entità di pubblicazione: Microsoft.SqlServer.Management
    • Tipo: SqlIaaSAgent
  • Estensione SQL IaaS (Arc)
    • Entità di pubblicazione: Microsoft.AzureData
    • Tipo: WindowsAgent.SqlServer
  • Estensione AMA (IaaS e Arc)
    • Entità di pubblicazione: Microsoft.Azure.Monitor
    • Tipo: AzureMonitorWindowsAgent

Passaggio 3: Verificare che l'area Stati Uniti orientali sia consentita

Quando si abilita il piano, Azure crea un gruppo di risorse nell'area Stati Uniti orientali. Assicurarsi che questa area non blocchi i criteri di negazione.

Passaggio 4: Verificare le convenzioni di denominazione delle risorse

Defender per SQL Server nei computer usa convenzioni di denominazione specifiche per le risorse. Assicurarsi che l'organizzazione non blocchi queste convenzioni di denominazione e non modifichi le risorse create automaticamente.

  • DCR: MicrosoftDefenderForSQL--dcr
  • DCRA: /Microsoft.Insights/MicrosoftDefenderForSQL-RulesAssociation
  • Gruppo di risorse: DefaultResourceGroup-
  • Area di lavoro Log Analytics: D4SQL--

Defender per SQL usa MicrosoftDefenderForSQL come tag di database createdBy.

Passaggio 5: Identificare le configurazioni errate a livello di sottoscrizione

Per identificare le sottoscrizioni con configurazioni errate, usare la cartella di lavoro dell'helper ama di SQL Server nei computer.

  1. Aprire la cartella di lavoro helper ama di SQL Server nei computer.

    Screenshot della pagina principale della cartella di lavoro helper ama di SQL Server nei computer.

  2. In Panoramica delle sottoscrizioni esaminare le configurazioni errate a livello di sottoscrizione.

    • SQL Server in Azure Macchine virtuali: mostra le sottoscrizioni che contengono macchine virtuali di Azure.
    • Sql Server con abilitazione di Arc: mostra le sottoscrizioni che contengono macchine virtuali abilitate per Azure Arc.

    Le sottoscrizioni vengono visualizzate in queste schede in base all'ambiente specifico.

    Screenshot che mostra dove passare alla pagina SQL Server in Azure Macchine virtuali cartella di lavoro.

  3. Esaminare le configurazioni dei componenti per ogni sottoscrizione.

    • Numero di istanze di SQL Server nella sottoscrizione.
    • Istanze con l'estensione Defender per SQL installata.
    • Istanze con l'estensione AMA installata.
    • Controller di dominio creati per ogni area di lavoro nella sottoscrizione (in tutte le aree).
    • Record di controllo di accesso creati per ogni istanza di SQL.
    • Identità gestita creata per ogni area a livello di sottoscrizione.
    • Area di lavoro Log Analytics creata per ogni area a livello di sottoscrizione.
    • Provisioning automatico ama abilitato per la sottoscrizione.
    • Defender per SQL abilitato per la sottoscrizione.

  4. Per ogni sottoscrizione, controllare quale componente non corrisponde alla configurazione prevista, ad esempio 0/1, 10/15 o No. Nello screenshot di esempio la sottoscrizione demo presenta configurazioni errate in DCRA 0/1.

    Screenshot dei risultati della cartella di lavoro dell'helper ama di SQL Server nei computer.

Dopo aver individuato una sottoscrizione con configurazioni errate, risolvere prima le configurazioni errate a livello di sottoscrizione, quindi a livello di risorsa e di installazione dell'estensione.

Passaggio 6: Risolvere errori di configurazione a livello di sottoscrizione

Dopo aver identificato errori di configurazione, iniziare correggendo i problemi di DCR, quindi i problemi dell'area di lavoro e infine i problemi di identità a livello di sottoscrizione.

Correggere errori di configurazione nell'ordine corretto. La risoluzione DCR si basa sulla risoluzione dell'area di lavoro e la risoluzione dell'area di lavoro si basa sulla risoluzione delle identità. Se si tenta di risolvere questi errori di configurazione non in ordine, non vengono risolti.

  1. Passare a Conformità dei criteri>.

  2. Selezionare Ambito.

    Screenshot che mostra dove selezionare l'ambito nella pagina criteri e conformità.

  3. In Ambito selezionare la sottoscrizione pertinente.

  4. Nella pagina Conformità selezionare i criteri in base alla configurazione dell'area di lavoro:

    • Area di lavoro predefinita: Defender per SQL in macchine virtuali SQL e SQL Server abilitati per Arc.
    • Area di lavoro personalizzata: Defender per SQL in macchine virtuali SQL e SQL Server abilitati per Arc personalizzati.

    Screenshot che mostra dove si trova la configurazione errata nella pagina.

  5. Cercare e risolvere ogni problema non conforme in questo ordine DCR dell'area di lavoro>delle identità.>

  6. Risolvere ogni problema nel modo seguente:

    • Identità - Create and assign a built-in user-assigned managed identity.
    • Area di lavoro - Configure the Microsoft Defender for SQL Log Analytics workspace.
    • DCR - Configure SQL Virtual Machines to automatically install Microsoft Defender for SQL and DCR with a Log Analytics workspace o Configure Arc-enabled SQL Servers to automatically install Microsoft Defender for SQL and DCR with a Log Analytics workspace.

  7. Per ogni criterio non conforme, esaminare il motivo di conformità e selezionare Crea attività di correzione per risolverlo.

    Screenshot che mostra dove creare un'attività di correzione nella pagina.

  8. Inserire le informazioni pertinenti.

  9. Selezionare Correggi.

  10. Ripetere questi passaggi per ogni criterio e sottoscrizione non conformi.

Immettere valori personalizzati con lo script di distribuzione di PowerShell

Se non è stato possibile risolvere i problemi di sottoscrizione con la cartella di lavoro, Defender per SQL Server nei computer fornisce uno script di distribuzione di PowerShell che consente di immettere valori personalizzati per l'area di lavoro, il registro di dominio e l'identità utente. Per usare lo script di PowerShell, seguire le istruzioni riportate in questa pagina.

Passaggio 7: Risolvere errori di configurazione a livello di risorsa

Dopo aver risolto errori di configurazione a livello di sottoscrizione, risolvere errori di configurazione a livello di risorsa, inclusi errori di configurazione DCRA e distribuzione incompleta di AMA o Defender per l'estensione SQL.

Risolvere i problemi di configurazione errata dell'estensione

  1. Nella portale di Azure passare a Conformità dei>criteri.

  2. Selezionare Ambito.

  3. Nell'elenco a discesa selezionare la sottoscrizione con configurazioni errate.

  4. Cercare e selezionare Defender per SQL nelle macchine virtuali SQL e l'iniziativa sql server con abilitazione di Arc.

  5. Selezionare il nome del criterio non conforme.

    • Estensione - Create and assign a built-in user-assigned managed identity Defender per SQL.
    • Estensione AMA: - Configure SQL Virtual Machines to automatically install Azure Monitor Agent o Configure Arc-enabled SQL Servers to automatically install Azure Monitor Agent.

  6. Per ogni criterio non conforme, esaminare il motivo di conformità e selezionare Crea attività di correzione per risolverlo.

Risolvere i problemi di configurazione errata della DCRA

  1. Nella portale di Azure cercare e selezionare Regole di raccolta dati.

  2. Selezionare Sottoscrizione uguale> a selezionare la sottoscrizione pertinente.

    Screenshot che mostra dove selezionare la sottoscrizione uguale.

  3. Selezionare Applica.

  4. Individuare e selezionare il DCR pertinente. La convenzione di denominazione DCR segue questo formato: MicrosoftDefenderForSQL-region-dcr.

  5. Selezionare Risorse di configurazione>.

    Screenshot che mostra dove selezionare la configurazione e le risorse.

  6. Seleziona + Aggiungi.

    Screenshot che mostra dove si trova il pulsante Aggiungi.

  7. Nella tabella a discesa Tipi di risorse selezionare Computer - Azure Arc e Macchine virtuali in base alla distribuzione.

    Screenshot che mostra dove filtrare in base a Macchine virtuali e Azure Arc.

  8. Espandere ogni gruppo di risorse e selezionare ogni computer.

    Screenshot che mostra ogni computer selezionato singolarmente.

  9. Selezionare Applica.

Passaggio 8: Ripristinare lo stato di protezione

Dopo aver completato tutti i passaggi in questa pagina, ripristinare lo stato di protezione di ogni istanza di SQL Server.