Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Компонент «Серверы SQL на компьютерах» плана Defender for Databases в Microsoft Defender для облака защищает расширения SQL IaaS и Defender for SQL. Этот компонент определяет и устраняет потенциальные уязвимости базы данных и обнаруживает аномальные действия, которые могут указывать на угрозы для баз данных.
При включении компонента SQL Servers on Machines в плане Defender for Databases запускается автоматическая подготовка ресурсов. Автоматическое развертывание устанавливает и настраивает необходимые компоненты, включая агент Azure Monitor (AMA), расширение SQL IaaS и расширения Defender для SQL. Он также настраивает рабочую область, правила сбора данных (DCR) и удостоверение при необходимости.
В этой статье объясняется, как включить автоматическое развертывание для Defender for SQL для нескольких подписок с помощью скрипта PowerShell. Этот процесс распространяется на серверы SQL, размещённые на виртуальных машинах Azure, в локальных средах и на серверах SQL с поддержкой Azure Arc. В нем также рассматриваются необязательные конфигурации, такие как:
- Пользовательские правила сбора данных
- настраиваемое управление идентификационными данными
- Интеграция рабочей области по умолчанию
- Настраиваемая конфигурация рабочей области
Предварительные требования
Перед началом работы
- Просмотрите SQL Server на виртуальных машинах Azure, SQL Server с поддержкой Azure Arc и как перейти с агента Log Analytics на агент Azure Monitor.
- Подключите учетные записи Amazon Web Services (AWS) к Microsoft Defender для облака.
- Подключите Google Cloud Platform (GCP) к Microsoft Defender для облака.
- Установите PowerShell для своей платформы: Windows, Linux, macOS или ARM.
- Установите эти модули PowerShell. Инструкции по установке см. в разделе Install-Module:
Az.ResourcesAz.OperationalInsightsAz.AccountsAzAz.PolicyInsightsAz.Security
- У вас должна быть роль «Участник виртуальной машины», «Участник» или «Владелец».
Параметры и примеры скриптов PowerShell
Сценарий PowerShell, который включает Microsoft Defender для SQL на компьютерах для указанной подписки, имеет несколько параметров, которые можно настроить в соответствии с вашими потребностями. В следующей таблице перечислены параметры и их описания:
| Наименование параметра | Обязательное поле | Описание |
|---|---|---|
SubscriptionId |
Обязательное поле | Идентификатор подписки Azure, для которой вы хотите включить Defender for SQL Servers on Machines. |
RegisterSqlVmAgnet |
Обязательное поле | Флаг, указывающий, следует ли регистрировать агент виртуальной машины SQL в массовом режиме. Это имя параметра соответствует текущему вышестоящему скрипту. Вы можете пакетно зарегистрировать в Azure несколько виртуальных машин SQL с помощью расширения SQL IaaS Agent. Дополнительные сведения см. в разделе "Регистрация нескольких виртуальных машин SQL с расширением агента IaaS SQL". |
WorkspaceResourceId |
Необязательно | Идентификатор ресурса рабочей области Log Analytics, если вы хотите использовать настраиваемую рабочую область вместо рабочей области по умолчанию. |
DataCollectionRuleResourceId |
Необязательно | Идентификатор ресурса правила сбора данных, если вы хотите использовать настраиваемое правило сбора данных (DCR) вместо правила сбора данных по умолчанию. |
UserAssignedIdentityResourceId |
Необязательно | Идентификатор ресурса удостоверения, назначаемого пользователем, если вы хотите использовать настраиваемое удостоверение, назначаемое пользователем, вместо удостоверения по умолчанию. |
Следующий пример скрипта используется, если вы используете рабочую область Log Analytics по умолчанию, правило сбора данных и управляемый идентификатор.
Write-Host "------ Enable Defender for SQL on Machines example ------"
$SubscriptionId = "<SubscriptionID>"
$RegisterSqlVmAgnet = $true
.\EnableDefenderForSqlOnMachines.ps1 -SubscriptionId $SubscriptionId -RegisterSqlVmAgnet $RegisterSqlVmAgnet
Следующий пример скрипта используется, когда вы используете настраиваемую рабочую область Log Analytics, правило сбора данных и управляемый идентификатор.
Write-Host "------ Enable Defender for SQL on Machines example ------"
$SubscriptionId = "<SubscriptionID>"
$RegisterSqlVmAgnet = $false
$WorkspaceResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someResourceGroup/providers/Microsoft.OperationalInsights/workspaces/someWorkspace"
$DataCollectionRuleResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someOtherResourceGroup/providers/Microsoft.Insights/dataCollectionRules/someDcr"
$UserAssignedIdentityResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someElseResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/someManagedIdentity"
.\EnableDefenderForSqlOnMachines.ps1 -SubscriptionId $SubscriptionId -RegisterSqlVmAgnet $RegisterSqlVmAgnet -WorkspaceResourceId $WorkspaceResourceId -DataCollectionRuleResourceId $DataCollectionRuleResourceId -UserAssignedIdentityResourceId $UserAssignedIdentityResourceId
Включите Microsoft Defender для SQL Server на компьютерах в масштабах всей среды
Чтобы включить Defender для SQL Server на машинах в масштабах всей среды, выполните следующие действия.
Откройте окно PowerShell.
Скопируйте скрипт EnableDefenderForSqlOnMachines.ps1 из репозитория Defender для облака GitHub.
Вставьте сценарий в PowerShell.
При необходимости введите сведения о параметрах.
Выполните скрипт.