Microsoft Defender for SQL

適用対象: Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

Microsoft Defender for SQL は、Microsoft Defender for Cloud の Defender プランです。 Microsoft Defender for SQL には、データベースの潜在的な脆弱性を検出し、軽減する機能や、データベースに対する脅威を示す異常な行動を検出する機能が含まれています。 これらの機能を 1 つの場所で有効にして管理できます。

Microsoft Defender for SQL の利点

Microsoft Defender for SQL には、SQL 脆弱性の評価や Advanced Threat Protection など、高度な SQL セキュリティ機能のセットが用意されています。

  • 脆弱性評価では、データベースの潜在的な脆弱性を検出、追跡、修復できるサービスを簡単に構成できます。 セキュリティの状態を表示することができ、セキュリティの問題を解決して、データベースのセキュリティを強化するために実行可能な手順が含まれます。
  • Advanced Threat Protection では、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なる、害を及ぼす可能性のある試行を示す異常なアクティビティが検出されます。 データベースでの不審なアクティビティを継続的に監視し、潜在的な脆弱性、Azure SQL インジェクション攻撃、および異常なデータベース アクセス パターンが見つかるとすぐにセキュリティ通知を提供します。 Advanced Threat Protection アラートでは、不審なアクティビティの詳細と、脅威の調査や危険性の軽減のために推奨される対処方法が提供されます。

Microsoft Defender for SQL を一度有効にすれば、これらの含まれているすべての機能が有効になります。 1 回の選択で、Azure のサーバー上または SQL Managed Instance 内のすべてのデータベースに対して、Microsoft Defender を有効にできます。 Microsoft Defender for SQL の設定を有効にしたり、管理したりするには、SQL Security Manager ロール、またはデータベースもしくはサーバーの管理者ロールに属している必要があります。

Microsoft Defender for SQL の価格の詳細については、Microsoft Defender for Cloud の価格に関するページを参照してください。

Microsoft Defender for SQL を有効にする

Microsoft Defender プランを有効にする方法は複数あります。 次のいずれかからサブスクリプション レベルで有効にすることができます (推奨)。

または、「リソース レベルで Microsoft Defender for Azure SQL Database を有効にする」の説明に従って、リソース レベルで有効にすることもできます。

サブスクリプション レベルで有効にすると、Azure SQL Database と Azure SQL Managed Instance 内のすべてのデータベースが保護されます。 選択した場合、それらを個別に無効にすることができます。 保護するデータベースを手動で管理する場合は、サブスクリプション レベルで無効にし、保護するデータベースごとに有効にします。

Microsoft Defender for Cloud からサブスクリプション レベルで Microsoft Defender for Azure SQL Database を有効にする

Microsoft Defender for Cloud 内からサブスクリプション レベルで Microsoft Defender for Azure SQL Database を有効にするには、次のようにします。

  1. Azure portal から、Defender for Cloud を開きます。

  2. Defender for Cloud のメニューで、[環境設定] を選択します。

  3. 関連するサブスクリプションを選択します。

  4. プランの設定を [オン] に変更します。

    サブスクリプション レベルでの Microsoft Defender for Azure SQL Database の有効化を示すスクリーンショット。

  5. [保存] を選択します。

Microsoft Defender プランをプログラムによって有効にする

Azure の柔軟性により、Microsoft Defender のプランをプログラムで有効にする複数の方法があります。

ご利用のサブスクリプションに対して Microsoft Defender を有効にするには、以下に示すいずれかのツールを使用します。

メソッド Instructions
REST API Pricings API
Azure CLI az security pricing
PowerShell Set-AzSecurityPricing
Azure Policy バンドルの価格

リソース レベルで Microsoft Defender for Azure SQL Database を有効にする

新しいリソースが自動的に保護されるように、サブスクリプション レベルで Microsoft Defender プランを有効にすることをお勧めします。 ただし、サーバー レベルで Microsoft Defender for Cloud を有効にする理由が組織にある場合は、次の手順を使用します。

  1. Azure portal から、サーバーまたはマネージド インスタンスを開きます。

  2. [セキュリティ] という見出しの下で [Defender for Cloud] を選択します。

  3. [Microsoft Defender for SQL を有効にする] を選択します。

    Azure SQL データベース内からの Microsoft Defender for SQL の有効化を示すスクリーンショット。

Note

ストレージ アカウントが自動的に作成され、脆弱性評価のスキャン結果を格納するように構成されます。 同じリソース グループおよびリージョン内の別のサーバー用に Microsoft Defender を既に有効にしてある場合は、既存のストレージ アカウントが使用されます。

Microsoft Defender for SQL のコストは、ノードあたりの Microsoft Defender for Cloud Standard レベルの価格に合わせて設定されています。ここで、ノードとは、マネージド インスタンスまたはサーバー全体です。 したがって、1 回お支払いいただければ、サーバーまたはマネージド インスタンス上のすべてのデータベースが Microsoft Defender for SQL で保護されます。 無料試用版を使用して、Microsoft Defender for Cloud を評価することができます。

Microsoft Defender for SQL の設定を管理する

Microsoft Defender for SQL の設定を表示および管理するには

  1. ご利用のサーバーまたはマネージド インスタンスの [セキュリティ] 領域から [Defender for Cloud] を選択します。

    このページには、Microsoft Defender for SQL の状態 (有効または無効) が表示されます:

    有効または無効の状態を示すスクリーンショット。

  2. Microsoft Defender for SQL が有効になっている場合は、前の図に示されているように 構成 リンクが表示されます。 Microsoft Defender for SQL の設定を編集するには、 [構成] を選択します。

    Microsoft Defender for SQL の構成画面を示すスクリーンショット。

  3. 必要な変更を加えて、 [保存] を選択します。

次のステップ