Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O componente Servidores SQL em Máquinas do Microsoft Defender para Nuvem, do plano Defender para Bancos de Dados, protege o SQL IaaS e as extensões do Defender para SQL. Esse componente identifica e reduz possíveis vulnerabilidades de banco de dados e detecta atividades anormais que podem indicar ameaças aos bancos de dados.
Quando você habilita o componente SQL Servers em Computadores do plano Defender para Bancos de Dados, o provisionamento automático é iniciado. O provisionamento automático instala e configura os componentes necessários, incluindo o Agente do Azure Monitor (AMA), a extensão de IaaS do SQL e as extensões do Defender para SQL. Ele também configura o workspace, as DCRs (Regras de Coleta de Dados) e a identidade quando necessário.
Este artigo explica como habilitar o provisionamento automático para Defender para SQL em várias assinaturas usando um script do PowerShell. Esse processo se aplica a servidores SQL hospedados em VMs (Máquinas Virtuais do Azure), ambientes locais e sql servers habilitados para Azure Arc. Ele também abrange configurações opcionais, como:
- regras de coleta de dados personalizadas
- gerenciamento de identidade personalizado
- integração do espaço de trabalho padrão
- configuração personalizada do workspace
Pré-requisitos
Antes de começar:
- Examine SQL Server em Azure VMs, SQL Server habilitado pelo Azure Arc e como migrar do agente do Log Analytics para o Azure Monitor Agent.
- Conecte contas Amazon Web Services (AWS) ao Microsoft Defender para Nuvem.
- Conecte Google Cloud Platform (GCP) ao Microsoft Defender para Nuvem.
- Instale o PowerShell para sua plataforma: Windows, Linux, macOS ou ARM.
- Instale esses módulos do PowerShell. Para obter instruções de instalação, consulte Install-Module:
Az.ResourcesAz.OperationalInsightsAz.AccountsAzAz.PolicyInsightsAz.Security
- Tenha permissões de Colaborador da Máquina Virtual, Colaborador ou Proprietário.
Parâmetros de script do PowerShell e amostras
O script do PowerShell que habilita o Microsoft Defender para SQL em computadores em uma determinada assinatura tem vários parâmetros que você pode personalizar para atender às suas necessidades. A tabela a seguir lista os parâmetros e suas descrições:
| Nome do Parâmetro | Obrigatório | Descrição |
|---|---|---|
SubscriptionId |
Obrigatório | O ID da assinatura do Azure na qual você deseja habilitar o Defender for SQL Servers on Machines. |
RegisterSqlVmAgnet |
Obrigatório | Um sinalizador que indica se o Agente de VM do SQL deve ser registrado em massa. Esse nome de parâmetro corresponde ao script upstream atual. Você pode registrar em lote várias VMs SQL no Azure com a extensão do SQL IaaS Agent. Para obter detalhes, consulte Registrar várias VMs do SQL com a extensão do Agente IaaS do SQL. |
WorkspaceResourceId |
Opcional | O ID do recurso do espaço de trabalho do Log Analytics, se você quiser usar um espaço de trabalho personalizado em vez do padrão. |
DataCollectionRuleResourceId |
Opcional | A ID do recurso da regra de coleta de dados, se você quiser usar uma Regra de Coleta de Dados (DCR) personalizada em vez da padrão. |
UserAssignedIdentityResourceId |
Opcional | A ID de recurso da identidade atribuída pelo usuário, caso você queira usar uma identidade atribuída pelo usuário personalizada em vez da identidade padrão. |
O script de exemplo a seguir é aplicável quando você usa um workspace padrão do Log Analytics, uma regra de coleta de dados e uma identidade gerenciada.
Write-Host "------ Enable Defender for SQL on Machines example ------"
$SubscriptionId = "<SubscriptionID>"
$RegisterSqlVmAgnet = $true
.\EnableDefenderForSqlOnMachines.ps1 -SubscriptionId $SubscriptionId -RegisterSqlVmAgnet $RegisterSqlVmAgnet
O script de exemplo a seguir é aplicável quando você usa um workspace personalizado do Log Analytics, uma regra de coleta de dados e uma identidade gerenciada.
Write-Host "------ Enable Defender for SQL on Machines example ------"
$SubscriptionId = "<SubscriptionID>"
$RegisterSqlVmAgnet = $false
$WorkspaceResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someResourceGroup/providers/Microsoft.OperationalInsights/workspaces/someWorkspace"
$DataCollectionRuleResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someOtherResourceGroup/providers/Microsoft.Insights/dataCollectionRules/someDcr"
$UserAssignedIdentityResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someElseResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/someManagedIdentity"
.\EnableDefenderForSqlOnMachines.ps1 -SubscriptionId $SubscriptionId -RegisterSqlVmAgnet $RegisterSqlVmAgnet -WorkspaceResourceId $WorkspaceResourceId -DataCollectionRuleResourceId $DataCollectionRuleResourceId -UserAssignedIdentityResourceId $UserAssignedIdentityResourceId
Habilitar o Defender for SQL Servers em máquinas em grande escala
Para habilitar o Defender para Servidores SQL em Máquinas em larga escala:
Abra uma janela do PowerShell.
Copie o script EnableDefenderForSqlOnMachines.ps1 do repositório Defender para Nuvem GitHub.
Cole o script no PowerShell.
Inserira informações de parâmetro quando necessário.
Execute o script.