클라우드용 Microsoft Defender는 Azure SQL 데이터베이스에 대해 취약성 평가를 제공합니다. 취약성 평가는 데이터베이스를 검사하여 소프트웨어 취약성을 식별하고, 탐지 항목 목록을 제공합니다. 탐지 항목을 사용하여 소프트웨어 취약성을 수정하고 탐지 항목을 비활성화할 수 있습니다.
필수 구성 요소
계속하기 전에 빠른 구성 또는 클래식 구성을 사용하고 있는지 여부를 알고 있어야 합니다.
현재 사용 중인 구성을 확인하려면:
- Azure 포털 Azure SQL Database, Azure SQL Managed Instance 또는 Azure Synapse 특정 리소스를 엽니다.
- 보안 제목 아래에서 클라우드용 Defender를 선택합니다.
- 사용 설정 상태에서 구성을 선택하여 전체 서버 또는 관리형 인스턴스에 대한 Microsoft Defender for SQL 설정 창을 엽니다.
취약성 설정에 스토리지 계정을 구성하는 옵션이 표시되면 클래식 구성을 사용 중인 것입니다. 그렇지 않다면 빠른 구성을 사용 중인 것입니다.
기본 구성
중요
빠른 구성은 Azure SQL Managed Instance 및 Azure Synapse Analytics 작업 영역에 대한 미리 보기에서 사용할 수 있습니다. 이렇게 하면 추가 비용 없이 Azure SQL Database(GA)에 대해 일반적으로 사용할 수 있는 Microsoft 관리 환경이 확장됩니다.
이 릴리스를 사용하면 고객 관리 스토리지 계정을 구성하지 않고도 SQL VA를 사용하도록 설정할 수 있습니다. Express Configuration은 권장되는 사용 모드이며 간소화된 설정으로 클래식 구성과 동일한 보안 값을 제공합니다.
통합 REST API(v2026-04-01-preview)는 컴퓨터의 Azure SQL Database, SQL Managed Instance, Synapse 작업 영역 및 SQL(Azure VM 및 Arc 지원 SQL)에서 SQL VA를 일관되게 관리합니다.
검색 기록 보기
취약성 평가 창에서 검사 기록을 선택하여 이전에 이 데이터베이스에서 실행된 모든 검사 기록을 확인합니다.
빠른 구성은 이전 검사 결과와 동일한 경우 검사 결과를 저장하지 않습니다. 검사 기록에 표시되는 검사 시간은 검사 결과가 변경된 마지막 검사 시점입니다.
클라우드용 Microsoft Defender(미리 보기)의 특정 결과 사용 안 함
탐지 항목을 수정하는 대신 무시해야 하는 조직 차원의 요구 사항이 있는 경우 해당 탐지 항목을 비활성화할 수 있습니다. 사용하지 않도록 설정된 결과는 보안 점수에 영향을 주거나 원치 않는 노이즈를 생성하지 않습니다. 비활성화된 탐지 항목은 검사 결과의 "해당 없음" 섹션에서 확인할 수 있습니다.
결과가 사용 안 함 규칙에 정의한 조건과 일치하면 검색 결과 목록에 표시되지 않습니다. 일반적인 시나리오는 다음과 같습니다.
- 정의된 범위에서 관심 없는 벤치마크의 탐지 결과를 비활성화합니다.
- 패치 가능하지 않은 검색 결과를 사용하지 않도록 설정
- 정의된 범위에서 관심 없는 벤치마크의 탐지 결과를 비활성화합니다.
중요
특정 결과를 사용하지 않도록 설정하려면 Azure Policy에서 정책을 편집할 수 있는 권한이 있어야 합니다. Azure Policy에서 Azure RBAC 사용 권한에 대해 자세히 알아보세요.
규칙을 만들려면 다음을 수행합니다.
머신의 SQL 서버에 대한 취약성 평가 결과를 수정해야 함 권장 사항의 세부 정보 페이지에서 규칙 사용 안 함을 선택합니다.
관련 범위를 선택합니다.
조건을 정의하십시오. 다음 조건 중 하나를 사용할 수 있습니다.
- ID 찾기
- 심각도
- 벤치마크
규칙 적용을 선택합니다. 변경 사항이 적용되기까지 최대 24시간이 걸릴 수 있습니다.
규칙을 보거나 재정의하거나 삭제하려면 다음을 수행합니다.
- 규칙 사용하지 않도록선택합니다.
- 범위 목록에서 활성 규칙이 있는 구독은 규칙 적용됨으로 표시됩니다.
- 규칙을 보거나 삭제하려면 줄임표 메뉴("...")를 선택합니다.
Azure Logic Apps를 사용하여 이메일 알림 구성
데이터베이스의 취약성 평가 상태에 대한 정기적인 업데이트를 받으려면 사용자 지정 가능한 Azure Logic Apps 템플릿을 사용할 수 있습니다.
템플릿을 사용하면 다음을 수행할 수 있습니다.
- 이메일 보고서의 발송 시기를 선택할 수 있습니다.
- 비활성화된 규칙을 포함하여 취약성 평가 상태를 일관되게 확인할 수 있습니다.
- Azure SQL 서버 및 SQL VM에 대한 보고서를 보낼 수 있습니다.
- 조직 표준에 맞게 보고서 구조 및 모양을 사용자 지정합니다.
프로그래밍 방식으로 취약성 평가 관리
중요
새 공개 미리 보기 SQL 취약성 평가 통합 API 참조는 다음에서 찾을 수 있습니다.
- SQL 취약점 평가 설정
- Sql 취약성 평가 기준 규칙
- sql 취약성 평가 검사 결과
- Sql 취약성 평가 검사 아래 예제는 Azure SQL 데이터베이스(GA)만 참조합니다.
Azure SQL 데이터베이스에 대한 빠른 구성은 다음 기능을 사용하여 REST API 버전 2022-05-01-preview에서 지원됩니다.
| 설명 | 범위 | API |
|---|---|---|
| 기준선 일괄 작업 | 시스템 데이터베이스 |
SQL 취약성 평가 기준선 SQL 취약성 평가 기준선 |
| 기준선 일괄 작업 | 사용자 데이터베이스 | 데이터베이스 SQL 취약성 평가 기준선 |
| 단일 규칙 기준선 작업 | 사용자 데이터베이스 | 데이터베이스 SQL 취약성 평가 규칙 기준선 |
| 단일 규칙 기준선 작업 | 시스템 데이터베이스 |
SQL 취약성 평가 규칙 기준선 SQL 취약성 평가 규칙 기준선 |
| 단일 검사 결과 | 사용자 데이터베이스 | 데이터베이스 SQL 취약성 평가 검사 결과 |
| 단일 검사 결과 | 시스템 데이터베이스 | SQL 취약성 평가 검사 결과 |
| 검사 세부 정보(요약) | 사용자 데이터베이스 | 데이터베이스 SQL 취약성 평가 검사 |
| 검사 세부 정보(요약) | 시스템 데이터베이스 | SQL 취약성 평가 검사 |
| 수동 검사 실행 | 사용자 데이터베이스 | 데이터베이스 SQL 취약성 평가 실행 검사 |
| 수동 검사 실행 | 시스템 데이터베이스 | SQL 취약성 평가 실행 검사 |
| VA 설정(빠른 구성에서는 GET만 지원됨) | 사용자 데이터베이스 | 데이터베이스 SQL 취약성 평가 설정 |
| VA 설정 작업 | Server |
SQL 취약성 평가 설정 SQL 취약성 평가 |
Azure 리소스 관리자 템플릿
다음 ARM 템플릿을 사용하여 SQL 취약성 평가에 대해 빠른 구성이 적용된 새 Azure SQL 논리 서버를 만듭니다.
Azure Resource Manager 템플릿을 사용하여 취약성 평가 기준을 구성하려면 Microsoft.Sql/servers/databases/sqlVulnerabilityAssessments/baselines 유형을 사용합니다. 기준선을 추가하기 전에 vulnerabilityAssessments이 사용 설정되어 있는지 확인하세요.
다음은 ARM 템플릿을 사용하여 기준선을 설정하는 방법에 대한 몇 가지 예입니다.
최신 검사 결과를 기반으로 일괄 기준선을 설정합니다.
{ "type": "Microsoft.Sql/servers/databases/sqlVulnerabilityAssessments/baselines", "apiVersion": "2022-02-01-preview", "name": "[concat(parameters('serverName'),'/', parameters('databaseName') , '/default/default')]", "properties": { "latestScan": true } }특정 결과를 기반으로 일괄 기준선을 설정합니다.
{ "type": "Microsoft.Sql/servers/databases/sqlVulnerabilityAssessments/baselines", "apiVersion": "2022-02-01-preview", "name": "[concat(parameters('serverName'),'/', parameters('databaseName') , '/default/default')]", "properties": { "latestScan": false, "results": { "VA2065": [ [ "FirewallRuleName3", "62.92.15.67", "62.92.15.67" ], [ "FirewallRuleName4", "62.92.15.68", "62.92.15.68" ] ], "VA2130": [ [ "dbo" ] ] } } }특정 규칙에 대한 기준선을 설정합니다.
{ "type": "Microsoft.Sql/servers/databases/sqlVulnerabilityAssessments/baselines/rules", "apiVersion": "2022-02-01-preview", "name": "[concat(parameters('serverName'),'/', parameters('databaseName') , '/default/default/VA1143')]", "properties": { "latestScan": false, "results": [ [ "True" ] ] } }최신 검사 결과를 기반으로 master 데이터베이스에 일괄 기준선을 설정합니다.
{ "type": "Microsoft.Sql/servers/databases/sqlVulnerabilityAssessments/baselines", "apiVersion": "2022-02-01-preview", "name": "[concat(parameters('serverName'),'/master/default/default')]", "properties": { "latestScan": true } }
PowerShell
빠른 구성은 PowerShell cmdlet에서 지원되지 않지만, 예를 들어 REST API를 사용하여 PowerShell로 최신 취약성 평가 기능을 호출할 수 있습니다.
- Azure SQL Server에서 빠른 구성 사용 설정
- Azure SQL Server의 모든 데이터베이스에 대해 최신 검사 결과를 기반으로 기준선을 설정합니다.
- 빠른 구성 PowerShell 명령 참조를 확인합니다.
Azure CLI
Azure CLI를 사용하여 빠른 구성을 실행합니다.
관련 콘텐츠
- Azure Microsoft Defender for SQL에 대해 자세히 알아봅니다.
- 데이터 검색 및 분류에 대한 자세한 정보를 알아봅니다.
- 방화벽과 VNet 뒤에서 액세스할 수 있는 스토리지 계정에 취약성 평가 검사 결과를 저장하는 방법에 대해 자세히 알아보세요.
- Azure SQL 데이터베이스에 대한 자주 묻는 질문을 확인해보세요.