Configuración Azure Defender para SQL Server en servidores habilitados para Azure Arc
Siga estos pasos para habilitar las instancias de Azure Defender para SQL Server en el entorno local.
Requisitos previos
La instancia de SQL Server basada en Windows está conectada a Azure Arc. Siga estas instrucciones para la incorporación de la instancia de SQL Server a SQL Server habilitado para Arc.
Nota
Azure Defender solo se admite para las instancias de SQL Server en máquinas Windows. No funciona para máquinas de SQL Server en Linux.
A la cuenta de usuario se le asigna uno de los Roles de Security Center (RBAC)
Creación de un área de trabajo de Log Analytics
Busque el tipo de recurso Áreas de trabajo de Log Analytics y agregue una nueva mediante la hoja de creación.
Nota
Puede usar un área de trabajo de Log Analytics en cualquier región, así que, si ya tiene una, puede usarla. Pero se recomienda crearla en la misma región en la que se ha creado el recurso Servidor: Azure Arc.
Vaya a la página de información general del recurso Área de trabajo de Log Analytics y seleccione Windows, Linux y otros orígenes. Copie el id. del área de trabajo y la clave principal para usarlos posteriormente.
Instalación de Microsoft Monitoring Agent (MMA)
El paso siguiente solo es necesario si todavía no ha configurado MMA en la máquina remota.
Seleccione el recurso Servidor: Azure Arc para el servidor físico o virtual en el que está instalada la instancia de SQL Server y agregue la extensión Microsoft Monitoring Agent: Azure Arc mediante la característica Extensiones. Cuando se le pida que configure el área de trabajo de Log Analytics, use el identificador del área de trabajo y la clave principal que ha guardado en el paso anterior.
Una vez finalizada correctamente la validación, haga clic en Crear para iniciar el flujo de trabajo de implementación de la extensión MMA Arc. Una vez que se complete la implementación, el estado se actualizará a Correcto.
Para obtener más información, vea Administración de extensiones con Azure Arc.
Habilitación de Azure Defender
A continuación, tendrá que habilitar Azure Defender para la instancia de SQL Server.
Vaya a Security Center y abra la página Precios y configuración de la barra lateral.
Seleccione el área de trabajo que ha configurado para la extensión MMA en el paso anterior.
Seleccione Azure Defender activado. Asegúrese de que la opción Servidores SQL Server en máquinas está habilitada.
Nota
El primer examen para generar la evaluación de vulnerabilidades se produce 24 horas después de la habilitación de Azure Defender para SQL. Después, se realizan exámenes automáticos el domingo de cada semana.
Explorar
Examine las anomalías y amenazas de seguridad en Azure Security Center.
Abra el recurso SQL Server - Azure Arc y seleccione Seguridad en el menú izquierdo para ver las recomendaciones y alertas de esa instancia.
Haga clic en cualquiera de las recomendaciones para ver los detalles de la vulnerabilidad en Security Center.
Haga clic en cualquier alerta de seguridad para obtener todos los detalles y examinar el ataque en más profundidad en Azure Sentinel. El diagrama siguiente es un ejemplo de la alerta por fuerza bruta.
Haga clic en Tomar medidas para mitigar la alerta.
Nota
El vínculo general Security Center de la parte superior de la página no usa la dirección URL del portal de versión preliminar, por lo que los recursos SQL Server: Azure Arc no se ven ahí. Siga los vínculos de las recomendaciones o alertas individuales.
Pasos siguientes
- Para configurar Azure Defender para SQL Server a gran escala, consulte Habilitación de Azure Defender para servidores de SQL en máquinas.
- Puede investigar con más detalle las alertas de seguridad y los ataques mediante Azure Sentinel. Para más información, consulte Incorporación de Azure Sentinel.