Sök igenom dina SQL-servrar efter sårbarheter

  • Artikel

Microsoft Defender för SQL-servrar på datorer utökar skyddet för dina Azure-inbyggda SQL-servrar för att fullt ut stödja hybridmiljöer och skydda SQL-servrar (alla versioner som stöds) som finns i Azure, andra molnmiljöer och även lokala datorer:

Den integrerade skannern för sårbarhetsbedömning identifierar, spårar och hjälper dig att åtgärda potentiella sårbarheter i databasen. Resultaten av utvärderingsgenomsökningar ger en översikt över dina SQL-datorers säkerhetstillstånd och information om eventuella säkerhetsresultat.

Kommentar

Genomsökningen är enkel, säker, tar bara några sekunder per databas att köra och är helt skrivskyddad. Den gör inga ändringar i databasen.

Utforska rapporter om sårbarhetsbedömning

Tjänsten för sårbarhetsbedömning söker igenom dina databaser var 12:e timme.

Instrumentpanelen för sårbarhetsbedömning ger en översikt över dina utvärderingsresultat i alla dina databaser, tillsammans med en sammanfattning av felfria och felaktiga databaser och en övergripande sammanfattning av misslyckade kontroller enligt riskfördelningen.

Du kan visa resultatet av sårbarhetsbedömningen direkt från Defender för molnet.

  1. Öppna sidan Rekommendationer från Defender för molnet sidofält.

  2. Välj rekommendationen SQL-servrar på datorer ska ha sårbarhetsresultat lösta. Mer information finns på referenssidan för Defender för molnet rekommendationer.

    SQL servers on machines should have vulnerability findings resolved

    Den detaljerade vyn för den här rekommendationen visas.

    Recommendation details page.

  3. Mer information finns i detalj:

    • Om du vill ha en översikt över genomsökta resurser (databaser) och listan över säkerhetskontroller som har testats öppnar du de berörda resurserna och väljer den server som är av intresse.

    • Om du vill ha en översikt över de säkerhetsrisker som grupperas av en specifik SQL-databas väljer du databasen av intresse.

    I varje vy sorteras säkerhetskontrollerna efter allvarlighetsgrad. Välj en specifik säkerhetskontroll för att se ett informationsfönster med en beskrivning, hur du åtgärdar den och annan relaterad information, till exempel Effekt eller Benchmark.

Ange en baslinje

När du granskar dina utvärderingsresultat kan du markera resultatet som en acceptabel baslinje i din miljö. Baslinjen är i grunden en anpassning av hur resultatet rapporteras. Resultat som matchar baslinjen anses som godkända i efterföljande genomsökningar. När du har upprättat säkerhetstillståndet för baslinjen rapporterar skannern för sårbarhetsbedömning endast avvikelser från baslinjen. På så sätt kan du fokusera på relevanta frågor.

As you review your assessment results, you can mark results as being an acceptable baseline in your environment.

Exportera resultat

Använd funktionen Kontinuerlig export i Microsoft Defender för molnet för att exportera sårbarhetsbedömningsresultat till Azure Event Hubs eller till Log Analytics-arbetsytan.

Visa sårbarheter i grafiska, interaktiva rapporter

Defender för molnet integrerade Azure Monitor-arbetsboksgalleriet innehåller en interaktiv rapport över alla resultat från sårbarhetsskannrarna för datorer, containrar i containerregister och SQL-servrar.

Resultaten för var och en av dessa skannrar rapporteras i separata rekommendationer:

Rapporten "Sårbarhetsbedömningsresultat" samlar in alla dessa resultat och organiserar dem efter allvarlighetsgrad, resurstyp och kategori. Du hittar rapporten i arbetsboksgalleriet som är tillgängligt från Defender för molnet sidofält.

Defender for Cloud's vulnerability assessment findings report

Inaktivera specifika resultat

Om du har en organisation som behöver ignorera en sökning i stället för att åtgärda den kan du inaktivera den. Inaktiverade resultat påverkar inte din säkerhetspoäng eller genererar oönskat brus.

När en sökning matchar de kriterier som du har definierat i dina inaktiverade regler visas den inte i listan över resultat. Vanliga scenarier är:

  • Inaktivera resultat med allvarlighetsgrad under medel
  • Inaktivera resultat som inte kan korrigeras
  • Inaktivera resultat från riktmärken som inte är intressanta för ett definierat omfång

Viktigt!

Om du vill inaktivera specifika resultat behöver du behörighet att redigera en princip i Azure Policy. Läs mer i Azure RBAC-behörigheter i Azure Policy.

Så här skapar du en regel:

  1. På informationssidan för rekommendationer för SQL-servrar på datorer bör sårbarhetsresultaten vara lösta och välja Inaktivera regel.

  2. Välj relevant omfång.

  3. Definiera dina kriterier. Du kan använda något av följande kriterier:

    • Hitta ID
    • Allvarlighet
    • Benchmark-värden

    Create a disable rule for VA findings on SQL servers on machines.

  4. Välj Tillämpa regel. Det kan ta upp till 24 timmar innan ändringarna börjar gälla.

  5. Så här visar, åsidosätter eller tar du bort en regel:

    1. Välj Inaktivera regel.

    2. I omfångslistan visas prenumerationer med aktiva regler som Regel tillämpad.

      Modify or delete an existing rule.

    3. Om du vill visa eller ta bort regeln väljer du ellipsmenyn ("...").

Hantera sårbarhetsbedömningar programmatiskt

Använda Azure PowerShell

Du kan använda Azure PowerShell-cmdletar för att programmatiskt hantera dina sårbarhetsbedömningar. De cmdletar som stöds är:

Cmdlet-namn som en länk Description
Add-AzSecuritySqlVulnerabilityAssessmentBaseline Lägg till sql Vulnerability Assessment-baslinje.
Get-AzSecuritySqlVulnerabilityAssessmentBaseline Hämta sql Vulnerability Assessment-baslinjen.
Get-AzSecuritySqlVulnerabilityAssessmentScanResult Hämtar genomsökningsresultat för SQL Vulnerability Assessment.
Get-AzSecuritySqlVulnerabilityAssessmentScanRecord Hämtar sql Vulnerability Assessment-genomsökningsposter.
Remove-AzSecuritySqlVulnerabilityAssessmentBaseline Tar bort SQL Vulnerability Assessment-baslinjen.
Set-AzSecuritySqlVulnerabilityAssessmentBaseline Anger ny SQL Vulnerability Assessment-baslinje på en specifik databas som tar bort den gamla baslinjen om det finns någon.
   

Dataresidens

SQL Vulnerability Assessment frågar SQL-servern med hjälp av offentligt tillgängliga frågor under Defender för molnet rekommendationer för SQL Vulnerability Assessment och lagrar frågeresultatet. SQL Vulnerability Assessment-data lagras på platsen för Log Analytics-arbetsytan som datorn är ansluten till. Om användaren till exempel ansluter en virtuell SQL-dator till en Log Analytics-arbetsyta i Europa, västra, lagras resultatet i Europa, västra. Dessa data samlas bara in om SQL Vulnerability Assessment-lösningen är aktiverad på Log Analytics-arbetsytan.

Metadatainformation om den anslutna datorn samlas också in. Specifikt:

  • Operativsystemnamn, typ och version
  • Fullständigt domännamn för datorer (FQDN)
  • Anslut version av datoragent
  • UUID (BIOS-ID)
  • SQL-servernamn och underliggande databasnamn

Du kan ange den region där dina SQL Vulnerability Assessment-data ska lagras genom att välja log analytics-arbetsytans plats. Microsoft kan replikera till andra regioner för dataåterhämtning, men Microsoft replikerar inte data utanför geografin.

Nästa steg

Läs mer om Defender för molnet skydd för SQL-resurser i Översikt över Microsoft Defender för SQL.