Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O componente SQL Servers on Machines do Microsoft Defender para a Cloud do plano Defender for Databases protege as extensões SQL IaaS e Defender for SQL. Este componente identifica e mitiga potenciais vulnerabilidades na base de dados e deteta atividade anómala que possa indicar ameaças às suas bases de dados.
Quando ativas o componente SQL Servers on Machines do plano Defender for Databases, começa o auto-provisionamento. O auto-provisionamento instala e configura os componentes necessários, incluindo o Azure Monitor Agent (AMA), a extensão SQL IaaS e o Defender for SQL extensions. Também configura o espaço de trabalho, as Regras de Recolha de Dados (DCRs) e a identidade quando necessário.
Este artigo explica como ativar o auto-provisionamento do Defender for SQL em múltiplas subscrições usando um script PowerShell. Este processo aplica-se a servidores SQL alojados em Máquinas Virtuais do Azure (VMs), ambientes on-premises e servidores SQL com Azure Arc. Abrange também configurações opcionais tais como:
- Regras personalizadas de recolha de dados
- Gestão de identidades personalizadas
- Integração padrão do espaço de trabalho
- Configuração personalizada do espaço de trabalho
Pré-requisitos
Antes de começar:
- Reveja SQL Server em VMs do Azure, SQL Server compatibilizado com o Azure Arc e como migrar para o agente do Azure Monitor a partir do agente do Log Analytics.
- Ligue contas Amazon Web Services (AWS) a Microsoft Defender para a Cloud.
- Ligue Google Cloud Platform (GCP) ao Microsoft Defender para a Cloud.
- Instala o PowerShell para a tua plataforma: Windows, Linux, macOS, ou ARM.
- Instala estes módulos PowerShell. Para instruções de instalação, consulte Install-Module:
Az.ResourcesAz.OperationalInsightsAz.AccountsAzAz.PolicyInsightsAz.Security
- Ter permissões de Contribuidor da Máquina Virtual, Contribuidor ou Proprietário.
Parâmetros e exemplos de script do PowerShell
O script do PowerShell que habilita o Microsoft Defender for SQL on Machines em uma determinada assinatura tem vários parâmetros que você pode personalizar para atender às suas necessidades. A tabela a seguir lista os parâmetros e suas descrições:
| Nome do parâmetro | Necessário | Descrição |
|---|---|---|
SubscriptionId |
Necessário | A ID de assinatura do Azure para a qual você deseja habilitar o Defender for SQL Servers on Machines. |
RegisterSqlVmAgnet |
Necessário | Um indicador que indica se o SQL VM Agent deve ser registado em lote. Este nome do parâmetro corresponde ao script de origem atual. Pode registar várias VMs SQL no Azure com a extensão SQL IaaS Agent em lote. Para mais detalhes, consulte Registar múltiplas VMs SQL com extensão SQL IaaS Agent. |
WorkspaceResourceId |
Opcional | A ID do recurso do espaço de trabalho do Log Analytics, se você quiser usar um espaço de trabalho personalizado em vez do padrão. |
DataCollectionRuleResourceId |
Opcional | A ID do recurso da regra de coleta de dados, se você quiser usar uma Regra de Coleta de Dados (DCR) personalizada em vez da padrão. |
UserAssignedIdentityResourceId |
Opcional | O identificador do recurso da identidade atribuída pelo utilizador, se quiser utilizar uma identidade atribuída pelo utilizador personalizada em vez da predefinida. |
O script de exemplo a seguir é aplicável quando você usa um espaço de trabalho padrão do Log Analytics, uma regra de coleta de dados e uma identidade gerenciada.
Write-Host "------ Enable Defender for SQL on Machines example ------"
$SubscriptionId = "<SubscriptionID>"
$RegisterSqlVmAgnet = $true
.\EnableDefenderForSqlOnMachines.ps1 -SubscriptionId $SubscriptionId -RegisterSqlVmAgnet $RegisterSqlVmAgnet
O script de exemplo a seguir é aplicável quando você usa um espaço de trabalho personalizado do Log Analytics, uma regra de coleta de dados e uma identidade gerenciada.
Write-Host "------ Enable Defender for SQL on Machines example ------"
$SubscriptionId = "<SubscriptionID>"
$RegisterSqlVmAgnet = $false
$WorkspaceResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someResourceGroup/providers/Microsoft.OperationalInsights/workspaces/someWorkspace"
$DataCollectionRuleResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someOtherResourceGroup/providers/Microsoft.Insights/dataCollectionRules/someDcr"
$UserAssignedIdentityResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someElseResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/someManagedIdentity"
.\EnableDefenderForSqlOnMachines.ps1 -SubscriptionId $SubscriptionId -RegisterSqlVmAgnet $RegisterSqlVmAgnet -WorkspaceResourceId $WorkspaceResourceId -DataCollectionRuleResourceId $DataCollectionRuleResourceId -UserAssignedIdentityResourceId $UserAssignedIdentityResourceId
Habilite o Defender for SQL Servers em máquinas em escala
Para ativar o Defender para servidores SQL em máquinas em grande escala:
Abra uma janela do PowerShell.
Copie o script EnableDefenderForSqlOnMachines.ps1 do repositório Defender para a Cloud GitHub.
Cole o script no PowerShell.
Insira as informações do parâmetro conforme necessário.
Execute o script.