다음을 통해 공유

컴퓨터 정부에서 SQL 서버용 Defender 사용

중요합니다

이 문서는 정부 클라우드에 적용됩니다. 상용 클라우드를 사용하는 경우 컴퓨터의 SQL 서버용 Defender 사용 문서를 참조하세요.

컴퓨터에서 SQL 서버용 Defender 플랜은 클라우드용 Microsoft Defender의 데이터베이스용 Defender 플랜 중 하나입니다. 컴퓨터의 Defender for SQL Server를 사용하여 Azure VM 및 Azure Arc 지원 VM에서 호스트되는 SQL Server 데이터베이스를 보호합니다.

필수 조건

요구 사항 세부 정보
권한 Azure Policy를 포함한 구독에 계획을 배포하려면 구독 소유자 권한이 필요합니다.

SQL VM의 Windows 사용자에게는 데이터베이스에 대한 Sysadmin 역할이 있어야 합니다.
다중 클라우드 컴퓨터 다중 클라우드 컴퓨터(AWS 및 GCP)는 Azure Arc 지원 VM으로 온보딩되어야 합니다. 커넥터를 사용하여 온보딩할 때 Azure Arc 컴퓨터로 자동으로 온보딩할 수 있습니다.
AWS 커넥터를 온보딩하고 Azure Arc를 자동 프로비저닝합니다.
GCP 커넥터를 온보딩하고 Azure Arc를 자동 프로비저닝합니다.
온-프레미스 컴퓨터 온-프레미스 컴퓨터는 Azure Arc 지원 VM으로 온보딩되어야 합니다. 온-프레미스 컴퓨터를 온보딩하고 Azure Arc를 설치합니다.
아주르 아크 Azure Arc 배포 요구 사항 검토
- Azure Arc 지원 서버 계획 및 배포
- Connected Machine 에이전트 필수 구성 요소
- Connected Machine 에이전트 네트워크 요구 사항
- Azure Arc에서 사용하도록 설정된 SQL Server 관련 역할
확장 기능 사용자 환경에서 이러한 확장이 차단되지 않았는지 확인합니다.
Defender for SQL(IaaS 및 Arc) - 게시자: Microsoft.Azure.AzureDefenderForSQL
- 형식: AdvancedThreatProtection.Windows
SQL IaaS 확장(IaaS) - 게시자: Microsoft.SqlServer.Management
- 형식: SqlIaaSAgent
SQL IaaS 확장(Arc) - 게시자: Microsoft.AzureData
- 형식: WindowsAgent.SqlServer
AMA 확장(IaaS 및 Arc) - 게시자: Microsoft.Azure.Monitor
- 형식: AzureMonitorWindowsAgent
지역 요구 사항 계획을 사용하도록 설정하면 리소스 그룹이 미국 동부에 만들어집니다. 이 지역이 사용자 환경에서 차단되지 않았는지 확인합니다.
리소스 명명 규칙 Defender for SQL은 리소스를 만들 때 다음과 같은 명명 규칙을 사용합니다.
- 데이터 수집 규칙: MicrosoftDefenderForSQL--dcr
- DCRA: /Microsoft.Insights/MicrosoftDefenderForSQL-RulesAssociation
- 리소스 그룹: DefaultResourceGroup-
- Log Analytics 작업 영역: D4SQL--
- Defender for SQL은 MicrosoftDefenderForSQLcreatedBy 데이터베이스 태그로 사용합니다.

거부 정책이 이 명명 규칙을 차단하지 않는지 확인합니다.
지원되는 SQL Server 버전 SQL Server 2012 이상은 SQL 인스턴스에 대해 지원됩니다.
지원되는 운영 체제 Windows Server 2012 R2 이상

계획 사용

  1. Azure Portal에서 클라우드용 Microsoft Defender를 검색하여 선택합니다.

  2. 클라우드용 Defender 메뉴에서 환경 설정을 선택합니다.

  3. 관련 구독을 선택합니다.

  4. Defender 플랜 페이지에서 데이터베이스 플랜을 찾고 유형 선택을 선택하세요.

    Defender 플랜 페이지에서 형식을 선택할 위치를 보여 주는 스크린샷.

  5. 리소스 유형 선택 창에서 컴퓨터의 SQL Server 플랜을 활성화합니다.

  6. 계속>저장을 선택합니다.

작업 영역 선택

Log Analytics 작업 영역을 선택하여 Machine의 Defender for SQL 플랜과 함께 사용합니다.

  1. Defender 계획 페이지에서 데이터베이스 섹션의 모니터링 범위 열에서 설정을 선택합니다.

  2. Azure Monitoring Agent for SQL Server on Machines 섹션의 구성 열에서 구성 편집을 선택합니다.

  3. 구성 자동 프로비전 페이지에서 기본 작업 영역을 선택하거나 사용자 지정 작업 영역을 지정합니다.

  4. SQL Server 자동 등록에서 SQL IaaS 확장 자동 등록 옵션을 사용하도록 설정하여 Azure SQL Server 인스턴스 등록을 그대로 두어야 합니다.

    등록 Azure SQL Server 인스턴스를 사용하도록 설정할 위치를 보여 주는 스크린샷

    등록하면 모든 SQL 인스턴스를 올바르게 검색하고 구성할 수 있습니다.

  5. 적용을 선택합니다.

컴퓨터가 보호되었는지 확인

환경에 따라 SQL 인스턴스를 검색하고 보호하는 데 몇 시간이 걸릴 수 있습니다. 마지막 단계로 모든 컴퓨터가 보호되는지 확인해야 합니다. 배포가 보호되었는지 확인하는 것이 중요하므로 이 단계를 건너뛰지 마세요.