Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il componente SQL Servers on Machines di Microsoft Defender per il cloud del piano Defender per database protegge SQL IaaS e le estensioni di Defender per SQL. Questo componente identifica e attenua le potenziali vulnerabilità del database e rileva attività anomale che potrebbero indicare minacce ai database.
Quando si abilita il componente SQL Server nei computer del piano di Defender per database, viene avviato il provisioning automatico. Il provisioning automatico installa e configura i componenti necessari, tra cui l'Monitoraggio di Azure Agent (AMA), l'estensione SQL IaaS e Defender per le estensioni SQL. Configura anche l'area di lavoro, le regole di raccolta dati e l'identità quando necessario.
Questo articolo illustra come abilitare il provisioning automatico per Defender per SQL in più sottoscrizioni usando uno script di PowerShell. Questo processo si applica ai server SQL ospitati in Macchine virtuali di Azure (VM), agli ambienti locali e ai server SQL abilitati per Azure Arc. Vengono inoltre illustrate le configurazioni facoltative, ad esempio:
- regole di raccolta dati personalizzate
- gestione delle identità personalizzata
- integrazione dell'area di lavoro predefinita
- configurazione dell'area di lavoro personalizzata
Prerequisiti
Prima di iniziare:
- Esaminare SQL Server nelle macchine virtuali Azure, SQL Server abilitate da Azure Arc e come eseguire la migrazione all'agente Monitoraggio di Azure da Log Analytics.
- Connetti gli account Amazon Web Services (AWS) a Microsoft Defender per il cloud.
- Connetti Google Cloud Platform (GCP) a Microsoft Defender per il cloud.
- Installare PowerShell per la piattaforma: Windows, Linux, macOS o ARM.
- Installare questi moduli di PowerShell. Per istruzioni sull'installazione, vedere Install-Module:
Az.ResourcesAz.OperationalInsightsAz.AccountsAzAz.PolicyInsightsAz.Security
- Disporre delle autorizzazioni del ruolo Collaboratore macchina virtuale, Collaboratore o Proprietario.
Parametri ed esempi di script di PowerShell
Lo script di PowerShell che abilita Microsoft Defender per SQL nei computer in una determinata sottoscrizione include diversi parametri che è possibile personalizzare in base alle proprie esigenze. Nella tabella seguente vengono elencati i parametri con le relative descrizioni:
| Nome del parametro | Obbligatorio | Descrizione |
|---|---|---|
SubscriptionId |
Obbligatorio | ID sottoscrizione di Azure per cui si vuole abilitare Defender per SQL Server nei computer. |
RegisterSqlVmAgnet |
Obbligatorio | Indicatore che specifica se l'agente SQL VM deve essere registrato in blocco. Questo nome di parametro corrisponde allo script upstream corrente. È possibile registrare più macchine virtuali SQL in Azure con l'estensione SQL IaaS Agent in blocco. Per informazioni dettagliate, vedere Registrare più macchine virtuali SQL con l'estensione SQL IaaS Agent. |
WorkspaceResourceId |
Facoltativo | L’ID della risorsa dell'area di lavoro Log Analytics, se si vuole usare un'area di lavoro personalizzata anziché quella predefinita. |
DataCollectionRuleResourceId |
Facoltativo | ID risorsa della regola di raccolta dati, se si vuole usare una regola di raccolta dati personalizzata anziché quella predefinita. |
UserAssignedIdentityResourceId |
Facoltativo | ID risorsa dell'identità assegnata dall'utente, se si desidera usare un'identità assegnata dall'utente personalizzata anziché quella predefinita. |
Lo script di esempio seguente è applicabile quando si usa un'area di lavoro Log Analytics predefinita, una regola di raccolta dati e un'identità gestita.
Write-Host "------ Enable Defender for SQL on Machines example ------"
$SubscriptionId = "<SubscriptionID>"
$RegisterSqlVmAgnet = $true
.\EnableDefenderForSqlOnMachines.ps1 -SubscriptionId $SubscriptionId -RegisterSqlVmAgnet $RegisterSqlVmAgnet
Lo script di esempio seguente è applicabile quando si usa un'area di lavoro Log Analytics personalizzata, una regola di raccolta dati e un'identità gestita.
Write-Host "------ Enable Defender for SQL on Machines example ------"
$SubscriptionId = "<SubscriptionID>"
$RegisterSqlVmAgnet = $false
$WorkspaceResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someResourceGroup/providers/Microsoft.OperationalInsights/workspaces/someWorkspace"
$DataCollectionRuleResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someOtherResourceGroup/providers/Microsoft.Insights/dataCollectionRules/someDcr"
$UserAssignedIdentityResourceId = "/subscriptions/<SubscriptionID>/resourceGroups/someElseResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/someManagedIdentity"
.\EnableDefenderForSqlOnMachines.ps1 -SubscriptionId $SubscriptionId -RegisterSqlVmAgnet $RegisterSqlVmAgnet -WorkspaceResourceId $WorkspaceResourceId -DataCollectionRuleResourceId $DataCollectionRuleResourceId -UserAssignedIdentityResourceId $UserAssignedIdentityResourceId
Abilitare Defender per SQL Server su computer su larga scala
Per abilitare Defender per SQL Server su computer su larga scala:
Aprire una finestra di PowerShell.
Copiare lo script EnableDefenderForSqlOnMachines.ps1 dal repository Defender per il cloud GitHub.
Incollare lo script in PowerShell.
Inserire le informazioni sui parametri secondo necessità.
Esegui lo script.