Azure Defender for SQL servers on machinesAzure Defender for SQL servers on machines

この Azure Defender プランにより、データベースへのアクセスやデータベースの悪用を試みる、異常で有害と考えられる不自然な動作が検出されます。This Azure Defender plan detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases.

疑わしいデータベース アクティビティ、潜在的な脆弱性、SQL インジェクション攻撃、および異常なデータベース アクセスやクエリのパターンがある場合に、アラートが表示されます。You'll see alerts when there are suspicious database activities, potential vulnerabilities, or SQL injection attacks, and anomalous database access and query patterns.

可用性Availability

側面Aspect 詳細Details
リリース状態:Release state: プレビューPreview
Microsoft Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。The Azure Preview Supplemental Terms include additional legal terms that apply to Azure features that are in beta, preview, or otherwise not yet released into general availability.
価格:Pricing: Azure Defender for SQL servers on machines は、価格ページに記載されているように課金されますAzure Defender for SQL servers on machines is billed as shown on the pricing page
保護される SQL のバージョン:Protected SQL versions: Azure SQL Server (Microsoft サポートの対象となるすべてのバージョン)Azure SQL Server (all versions covered by Microsoft support)
クラウド:Clouds: Yes 商用クラウドCommercial clouds
Yes US GovUS Gov
No China Gov、その他の GovChina Gov, Other Gov

Azure Defender for SQL servers on machines の設定Set up Azure Defender for SQL servers on machines

このプランを有効にするには:To enable this plan:

  • SQL サーバーのホストで Log Analytics エージェントをプロビジョニングします。Provision the Log Analytics agent on your SQL server's host. これにより、Azure への接続が提供されます。This provides the connection to Azure.

  • Security Center の [価格と設定] ページで、オプションのプランを有効にします。Enable the optional plan in Security Center's pricing and settings page.

これらの両方について以下に説明します。Both of these are described below.

手順 1.Step 1. SQL サーバーのホストで Log Analytics エージェントをプロビジョニングするProvision the Log Analytics agent on your SQL server's host:

  • Azure VM 上の SQL Server - SQL マシンが Azure VM でホストされている場合は、Log Analytics エージェントの自動プロビジョニングを有効にすることができます。SQL Server on Azure VM - If your SQL machine is hosted on an Azure VM, you can enable auto provisioning of the Log Analytics agent . または、手動の手順に従って Azure Stack VM をオンボードすることもできます。Alternatively, you can follow the manual procedure for Onboard your Azure Stack VMs.

  • Azure Arc 上の SQL Server - SQL Server が Azure Arc 対応サーバーによって管理されている場合は、Security Center のレコメンデーション [Log Analytics agent should be installed on your Windows-based Azure Arc machines (Preview)] (Log Analytics エージェントを Windows ベースの Azure Arc マシンにインストールする必要があります (プレビュー)) を使用して、Log Analytics エージェントをデプロイできます。SQL Server on Azure Arc - If your SQL Server is managed by Azure Arc enabled servers, you can deploy the Log Analytics agent using the Security Center recommendation “Log Analytics agent should be installed on your Windows-based Azure Arc machines (Preview)”. または、Azure Arc のドキュメントに記載されたインストール方法に従うこともできます。Alternatively, you can follow the installation methods described in the Azure Arc documentation.

  • オンプレミスの SQL Server - SQL Server が Azure Arc を使用しないオンプレミスの Windows マシンでホストされている場合は、Azure に接続するためのオプションが 2 つあります。SQL Server on-prem - If your SQL Server is hosted on an on-premises Windows machine without Azure Arc, you have two options for connecting it to Azure:

    • Azure Arc をデプロイする - 任意の Windows マシンを Security Center に接続できます。Deploy Azure Arc - You can connect any Windows machine to Security Center. ただし、Azure Arc を使用すると、Azure 環境の すべて がより緊密に統合されます。However, Azure Arc provides deeper integration across all of your Azure environment. Azure Arc を設定すると、ポータルに [SQL Server - Azure Arc] ページが表示され、セキュリティ アラートはそのページの専用の [セキュリティ] タブに表示されます。If you set up Azure Arc, you'll see the SQL Server – Azure Arc page in the portal and your security alerts will appear on a dedicated Security tab on that page. そのため、最初に推奨されるオプションは、ホストで Azure Arc を設定し、前述の Azure Arc 上の SQL Server の手順に従うことです。So the first and recommended option is to set up Azure Arc on the host and follow the instructions for SQL Server on Azure Arc, above.

    • Azure Arc を使用せずに Windows マシンを接続する - Azure Arc を使用せずに Windows マシンで実行されている SQL Server を接続する場合は、「Windows コンピューターを Azure Monitor に接続する」の手順に従ってください。Connect the Windows machine without Azure Arc - If you choose to connect a SQL Server running on a Windows machine without using Azure Arc, follow the instructions in Connect Windows machines to Azure Monitor.

手順 2.Step 2. Security Center の価格と設定ページで、オプションのプランを有効にするEnable the optional plan in Security Center's pricing and settings page:

  1. Security Center のメニューで、 [価格と設定] ページを開きます。From Security Center's menu, open the Pricing & settings page.

    • Azure Security Center の既定のワークスペース (名前は "defaultworkspace-[サブスクリプション ID]-[リージョン]") を使用している場合は、該当する サブスクリプション を選択します。If you're using Azure Security Center's default workspace (named “defaultworkspace-[your subscription id]-[region]”), select the relevant subscription.

    • 既定以外のワークスペース を使用している場合は、該当する ワークスペース を選択します (必要に応じて、フィルターにワークスペースの名前を入力します)。If you're using a non-default workspace, select the relevant workspace (enter the workspace's name in the filter if necessary):

      既定以外のワークスペースをタイトルで検索する

  2. Azure Defender for SQL servers on machines (プレビュー) のオプションを オン に設定します。Set the option for Azure Defender for SQL servers on machines (Preview) plan to on.

    オプションのプランを含む Security Center の価格ページ

    選択したワークスペースに接続されているすべての SQL サーバーでプランが有効になります。The plan will be enabled on all SQL servers connected to the selected workspace. この保護は、SQL Server インスタンスの最初の再起動後に完全にアクティブになります。The protection will be fully active after the first restart of the SQL Server instance.

    ヒント

    新しいワークスペースを作成するには、Log Analytics ワークスペースの作成に関する記事の手順に従います。To create a new workspace, follow the instructions in Create a Log Analytics workspace.

  3. 必要に応じて、セキュリティ アラートのメール通知を構成します。Optionally, configure email notification for security alerts. Security Center アラートの生成時にメール通知を受け取る受信者の一覧を設定できます。You can set a list of recipients to receive an email notification when Security Center alerts are generated. メールには、Azure Security Center におけるアラートの直接リンクと関連するすべての詳細が含まれます。The email contains a direct link to the alert in Azure Security Center with all the relevant details. 詳細については、セキュリティ アラートの電子メール通知のセットアップに関する記事を参照してください。For more information, see Set up email notifications for security alerts.

脆弱性評価レポートについて調べるExplore vulnerability assessment reports

脆弱性評価サービスは、1 週間に 1 回データベースをスキャンします。The vulnerability assessment service scans your databases once a week. スキャンは、サービスを有効にした曜日と同じ曜日に実行されます。The scans run on the same day of the week on which you enabled the service.

脆弱性評価ダッシュボードには、すべてのデータベースにおける評価結果の概要、正常なデータベースと異常なデータベースの概要、およびリスク分散による失敗したチェックの概要が表示されます。The vulnerability assessment dashboard provides an overview of your assessment results across all your databases, along with a summary of healthy and unhealthy databases, and an overall summary of failing checks according to risk distribution.

脆弱性評価の結果は、Security Center から直接表示することができます。You can view the vulnerability assessment results directly from Security Center.

  1. Security Center のサイドバーから [推奨事項] ページを開き、レコメンデーション [Vulnerabilities on your SQL servers on machines should be remediated (Preview)] (マシン上の SQL サーバーの脆弱性を修復する必要があります (プレビュー)) を選択します。From Security Center's sidebar, open the Recommendations page and select the recommendation Vulnerabilities on your SQL servers on machines should be remediated (Preview). 詳細については、「Security Center の推奨事項」を参照してください。For more information, see Security Center Recommendations.

    マシン上の SQL サーバーの脆弱性評価の結果を修復する必要がある (プレビュー)

    このレコメンデーションの詳細ビューが表示されます。The detailed view for this recommendation appears.

    レコメンデーションの詳細ビュー

  2. 詳細を表示するには、次のようにドリルダウンします。For more details, drill down:

    • スキャンされたリソース (データベース) の概要と、テスト済みのセキュリティ チェックの一覧を表示するには、目的のサーバーを選択します。For an overview of scanned resources (databases) and the list of security checks that were tested, select the server of interest.

    • 特定の SQL データベースごとにグループ化された脆弱性の概要を表示するには、目的のデータベースを選択します。For an overview of the vulnerabilities grouped by a specific SQL database, select the database of interest.

    各ビューでは、セキュリティ チェックが 重要度 順に表示されます。In each view, the security checks are sorted by Severity. 特定のセキュリティ チェックをクリックすると詳細ウィンドウが表示され、説明修復方法、およびその他の関連情報 (影響ベンチマーク など) が表示されます。Click a specific security check to see a details pane with a Description, how to Remediate it, and other related information such as Impact or Benchmark.

Azure Defender for SQL のアラートAzure Defender for SQL alerts

普段は見られない、潜在的に有害な SQL マシンへのアクセスが試行されると、あるいは SQL マシンの悪用が試行されると、アラートが生成されます。Alerts are generated by unusual and potentially harmful attempts to access or exploit SQL machines. これらのイベントが発生すると、アラート リファレンス ページの「SQL Database および Azure Synapse Analytics (旧称 SQL Data Warehouse) のアラート」セクションで示されるアラートがトリガーされます。These events can trigger alerts shown in the Alerts for SQL Database and Azure Synapse Analytics (formerly SQL Data Warehouse) section of the alerts reference page.

セキュリティ通知について調査するExplore and investigate security alerts

Azure Defender のアラートは、Security Center のアラート ページ、リソースのセキュリティ タブ、Azure Defender ダッシュボード、またはアラート メールの直接リンクで使用できます。Azure Defender alerts are available in Security Center's alerts page, the resource's security tab, the Azure Defender dashboard, or through the direct link in the alert emails.

  1. アラートを表示するには、Security Center のメニューで [セキュリティ アラート] を選択し、アラートを選択します。To view alerts, select Security alerts from Security Center's menu and select an alert.

  2. アラートは自己完結型であり、それぞれに詳細な修復の手順と調査情報が含まれています。Alerts are designed to be self-contained, with detailed remediation steps and investigation information in each one. 他の Azure Security Center と Azure Sentinel の機能を使用してさらに詳しく調べることができます。You can investigate further by using other Azure Security Center and Azure Sentinel capabilities for a broader view:

    • 詳しく調べるには SQL Server の監査機能を有効にします。Enable SQL Server's auditing feature for further investigations. Azure Sentinel ユーザーの場合は、Windows セキュリティ ログのイベントから Sentinel に SQL 監査ログをアップロードして、豊富な調査機能を利用できます。If you're an Azure Sentinel user, you can upload the SQL auditing logs from the Windows Security Log events to Sentinel and enjoy a rich investigation experience. SQL Server 監査の詳細についてはこちらを参照してくださいLearn more about SQL Server Auditing.
    • セキュリティ体制を強化するには、各アラートに示されているホスト マシンに関する Security Center の推奨事項を使用します。To improve your security posture, use Security Center's recommendations for the host machine indicated in each alert. これにより、将来の攻撃のリスクが軽減されます。This will reduce the risks of future attacks.

    アラートの管理と応答の詳細についてはこちらを参照してくださいLearn more about managing and responding to alerts.

次のステップNext steps

関連資料については、次の記事をご覧ください。For related material, see the following article: