컴퓨터에서 Microsoft Defender for SQL 서버 사용

SQL용 Defender는 잠재적인 데이터베이스 취약성을 식별하고 완화하며, 데이터베이스에 대한 위협을 드러낼 수 있는 비정상 활동을 탐지하는 기능을 통해 IaaS SQL Server를 보호합니다.

클라우드용 Defender는 의심스러운 데이터베이스 활동을 탐지하거나, SQL 컴퓨터에 액세스하거나 악용하려는 잠재적으로 유해한 시도를 탐지하거나, SQL 삽입 공격, 비정상적인 데이터베이스 액세스 및 쿼리 패턴을 탐지하면 경고를 채웁니다. 이러한 유형의 이벤트에서 생성된 경고는 경고 참조 페이지에 표시됩니다.

클라우드용 Defender는 취약성 평가를 사용하여 잠재적인 데이터베이스 취약성을 검색, 추적하고 수정에 도움을 줍니다. 평가 검사는 SQL 머신의 보안 상태에 대한 개요와 보안 결과에 대한 세부 정보를 제공합니다.

컴퓨터의 Azure SQL 서버 취약성 평가에 대해 자세히 알아봅니다.

컴퓨터의 SQL 서버용 Defender는 Azure, 다중 클라우드 및 온-프레미스 머신에서 호스트하는 SQL 서버를 보호합니다.

• Virtual Machines의 SQL Server에 대해 자세히 알아보세요.

• 온-프레미스 SQL Server의 경우 Azure Arc로 지원되는 SQL Server 및 Azure Arc가 없는 Windows 컴퓨터에 Log Analytics 에이전트를 설치하는 방법에 대해 자세히 알아볼 수 있습니다.

• 다중 클라우드 SQL 서버:

  • 클라우드용 Microsoft Defender에 AWS 계정 연결

  • GCP 프로젝트를 클라우드용 Microsoft Defender에 연결

    참고 항목

    AWS 커넥터 또는 GCP 커넥터를 통해 다중 클라우드 SQL 서버에 대한 데이터베이스 보호를 사용하도록 설정해야 합니다.

가용성

측면	세부 정보
릴리스 상태:	GA(일반 공급)
가격 책정:	머신의 Microsoft Defender for SQL 서버는 가격 책정 페이지에 표시된 대로 요금이 청구됩니다.
보호되는 SQL 버전:	SQL Server 버전: 2012, 2014, 2016, 2017, 2019, 2022 - Azure Virtual Machines의 SQL - Azure Arc 사용 서버의 SQL Server
클라우드:	상용 클라우드 Azure Government 21Vianet에서 운영하는 Microsoft Azure

AMA 에이전트를 사용하여 비 Azure 컴퓨터에서 Defender for SQL 사용

비 Azure 컴퓨터에서 Defender for SQL을 사용하도록 설정하기 위한 필수 구성 요소

• 활성화된 Azure 구독

• 구독 소유자는 정책을 할당하려는 구독에 대한 권한입니다.

• 컴퓨터의 SQL Server 필수 조건:

  • 권한: SQL 서버를 운영하는 Windows 사용자는 데이터베이스에 대한 시스템 관리자 역할이 있어야 합니다.
  • 확장: 다음 확장은 허용 목록에 추가되어야 합니다.
    • Defender for SQL(IaaS 및 Arc)
      • 게시자: Microsoft.Azure.AzureDefenderForSQL
      • 형식: AdvancedThreatProtection.Windows
    • SQL IaaS 확장(IaaS):
      • 게시자: Microsoft.SqlServer.Management
      • 형식: SqlIaaSAgent
    • SQL IaaS 확장(Arc):
      • 게시자: Microsoft.AzureData
      • 형식: WindowsAgent.SqlServer
    • AMA 확장(IaaS 및 Arc):
      • 게시자: Microsoft.Azure.Monitor
      • 형식: AzureMonitorWindowsAgent

거부 정책 허용 목록의 명명 규칙

• Defender for SQL은 리소스를 만들 때 다음과 같은 명명 규칙을 사용합니다.

  • DCR: MicrosoftDefenderForSQL--dcr
  • DCRA: /Microsoft.Insights/MicrosoftDefenderForSQL-RulesAssociation
  • 리소스 그룹: DefaultResourceGroup-
  • Log Analytics 작업 영역: D4SQL--

• Defender for SQL은 MicrosoftDefenderForSQL을 createdBy 데이터베이스 태그로 사용합니다.

비 Azure 컴퓨터에서 Defender for SQL을 사용하도록 설정하는 단계

1. Azure Arc에 SQL Server를 연결합니다. 지원되는 운영 체제, 연결 구성 및 필요한 권한에 대한 자세한 내용은 다음 설명서를 참조하세요.

   • Azure Arc 지원 서버 계획 및 배포
   • Connected Machine 에이전트 필수 구성 요소
   • Connected Machine 에이전트 네트워크 요구 사항
   • Azure Arc에서 사용하도록 설정된 SQL Server 관련 역할

2. Azure Arc가 설치되면 SQL Server용 Azure 확장이 데이터베이스 서버에 자동으로 설치됩니다. 자세한 내용은 Azure Arc를 통해 지원되는 SQL Server의 자동 연결 관리를 참조하세요.

Defender for SQL 사용

1. Azure Portal에 로그인합니다.

2. 클라우드용 Microsoft Defender를 검색하여 선택합니다.

3. 클라우드용 Defender 메뉴에서 환경 설정을 선택합니다.

4. 관련 구독을 선택합니다.

5. Defender 플랜 페이지에서 데이터베이스 계획을 찾아 유형 선택을 선택합니다.

   

6. 리소스 종류 선택 창에서 컴퓨터의 SQL 서버 플랜을 켜기로 전환합니다.

7. 계속을 선택합니다.

8. 저장을 선택합니다.

9. 이 기능이 사용하도록 설정되면 다음 정책 이니셔티브 중 하나를 사용합니다.

   • 기본 LAW에 대한 LAW(Log Analytics 작업 영역)를 사용하여 Microsoft Defender for SQL 및 AMA를 설치하도록 SQL VM 및 Arc 지원 SQL 서버를 구성합니다. 이렇게 하면 데이터 수집 규칙과 기본 Log Analytics 작업 영역이 포함된 리소스 그룹이 만들어집니다. Log Analytics 작업 영역에 대한 자세한 내용은 Log Analytics 작업 영역 개요를 참조하세요.

   

   • 사용자 정의 LAW를 사용하여 Microsoft Defender for SQL 및 AMA를 설치하도록 SQL VM 및 Arc 지원 SQL Server를 구성합니다. 이렇게 하면 미리 정의된 지역에 데이터 수집 규칙과 사용자 지정 Log Analytics 작업 영역이 있는 리소스 그룹이 만들어집니다. 이 과정에서 Azure Monitoring Agent를 설치합니다. AMA 에이전트를 설치하는 옵션에 대한 자세한 내용은 Azure Monitor 에이전트 필수 구성 요소를 참조하세요.

   

10. 설치 과정을 완료하려면 2017 이하 버전의 SQL 서버(인스턴스)를 다시 시작해야 합니다.

AMA 에이전트를 사용하여 Azure Virtual Machines에서 Defender for SQL 사용

Azure Virtual Machines에서 Defender for SQL을 사용하도록 설정하기 위한 필수 구성 요소

• 활성화된 Azure 구독
• 구독 소유자는 정책을 할당하려는 구독에 대한 권한입니다.
• 컴퓨터의 SQL Server 필수 조건:
  • 권한: SQL 서버를 운영하는 Windows 사용자는 데이터베이스에 대한 시스템 관리자 역할이 있어야 합니다.
  • 확장: 다음 확장은 허용 목록에 추가되어야 합니다.
    • Defender for SQL(IaaS 및 Arc)
      • 게시자: Microsoft.Azure.AzureDefenderForSQL
      • 형식: AdvancedThreatProtection.Windows
    • SQL IaaS 확장(IaaS):
      • 게시자: Microsoft.SqlServer.Management
      • 형식: SqlIaaSAgent
    • SQL IaaS 확장(Arc):
      • 게시자: Microsoft.AzureData
      • 형식: WindowsAgent.SqlServer
    • AMA 확장(IaaS 및 Arc):
      • 게시자: Microsoft.Azure.Monitor
      • 형식: AzureMonitorWindowsAgent
• 미국 동부에 리소스 그룹을 만들고 있기 때문에 자동 프로비전 사용하도록 설정 프로세스의 일부로 이 지역을 허용해야 합니다. 그렇지 않으면 Defender for SQL이 설치 프로세스를 성공적으로 완료할 수 없습니다.

Azure Virtual Machines에서 Defender for SQL을 사용하도록 설정하는 단계

1. Azure Portal에 로그인합니다.

2. 클라우드용 Microsoft Defender를 검색하여 선택합니다.

3. 클라우드용 Defender 메뉴에서 환경 설정을 선택합니다.

4. 관련 구독을 선택합니다.

5. Defender 플랜 페이지에서 데이터베이스 계획을 찾아 유형 선택을 선택합니다.

   

6. 리소스 종류 선택 창에서 컴퓨터의 SQL 서버 플랜을 켜기로 전환합니다.

7. 계속을 선택합니다.

8. 저장을 선택합니다.

9. 이 기능이 사용하도록 설정되면 다음 정책 이니셔티브 중 하나를 사용합니다.

   • 기본 LAW에 대한 LAW(Log Analytics 작업 영역)를 사용하여 Microsoft Defender for SQL 및 AMA를 설치하도록 SQL VM 및 Arc 지원 SQL 서버를 구성합니다. 이렇게 하면 미국 동부에 리소스 그룹 및 관리 ID가 만들어집니다. 관리 ID 사용에 대한 자세한 내용은 Azure Monitor의 에이전트용 Resource Manager 템플릿 샘플을 참조하세요. 또한 DCR(데이터 수집 규칙)과 기본 LAW를 포함하는 리소스 그룹도 만듭니다. 모든 리소스는 이 단일 리소스 그룹으로 통합됩니다. DCR과 LAW는 VM(가상 머신) 지역에 맞게 만들어집니다.

   

   • 사용자 정의 LAW를 사용하여 Microsoft Defender for SQL 및 AMA를 설치하도록 SQL VM 및 Arc 지원 SQL Server를 구성합니다. 이렇게 하면 미국 동부에 리소스 그룹 및 관리 ID가 만들어집니다. 관리 ID 사용에 대한 자세한 내용은 Azure Monitor의 에이전트용 Resource Manager 템플릿 샘플을 참조하세요. 또한 미리 정의된 지역에 DCR과 사용자 지정 LAW가 있는 리소스 그룹을 만듭니다.

   

10. 설치 과정을 완료하려면 2017 이하 버전의 SQL 서버(인스턴스)를 다시 시작해야 합니다.

일반적인 질문

배포가 완료된 후, 성공적인 배포가 완료될 때까지 얼마나 기다려야 하나요?

모든 필수 구성 요소가 충족되었다고 가정할 때 SQL IaaS 확장이 보호 상태를 업데이트하는 데 약 30분이 걸립니다.

배포가 성공적으로 종료되었고 데이터베이스가 이제 보호되는지 확인하려면 어떻게 해야 하나요?

1. Azure Portal의 위쪽 검색 창에서 데이터베이스를 찾습니다.
2. 보안 탭에서 클라우드용 Defender를 선택합니다.
3. 보호 상태를 확인합니다. 상태가 보호됨인 경우 배포가 성공한 것입니다.

Azure SQL VM에서 설치 과정 중에 만들어지는 관리 ID의 목적은 무엇인가요?

관리 ID는 AMA를 푸시하는 Azure Policy의 일부입니다. AMA는 이를 사용하여 데이터베이스에 액세스하여 데이터를 수집하고 LAW(Log Analytics 작업 영역)를 통해 클라우드용 Defender로 전송합니다. 관리 ID 사용에 대한 자세한 내용은 Azure Monitor의 에이전트용 Resource Manager 템플릿 샘플을 참조하세요.

클라우드용 Defender 대신 새 DCR 또는 관리 ID를 만드는 대신 내 DCR 또는 관리 ID를 사용할 수 있나요?

네, 다음 스크립트를 사용해야 사용자 고유의 ID 또는 DCR을 가져올 수 있습니다. 자세한 내용은 대규모 컴퓨터에서 Microsoft Defender for SQL 서버 사용을 참조하세요.

자동 프로비저닝 프로세스를 통해 생성된 리소스 그룹 및 Log Analytics 작업 영역은 몇 개인가요?

기본적으로 SQL 컴퓨터가 있는 지역별로 리소스 그룹, 작업 영역 및 DCR을 만듭니다. 사용자 지정 작업 영역 옵션을 선택하면 작업 영역과 동일한 위치에 하나의 리소스 그룹 및 DCR만 만들어집니다.

대규모로 AMA가 설치된 컴퓨터에서 SQL 서버를 사용하도록 설정하려면 어떻게 해야 하나요?

여러 구독에서 동시에 Microsoft Defender for SQL의 자동 프로비전을 사용하도록 설정하는 방법에 대한 프로세스는 대규모 컴퓨터에서 SQL 서버에 대한 Microsoft Defender 사용을 참조하세요. Azure Virtual Machines, 온-프레미스 환경 및 Azure Arc 지원 SQL 서버에서 호스트되는 SQL 서버에 적용할 수 있습니다.

AMA의 LAW에서 사용하는 테이블은 무엇인가요?

SQL VM 및 Arc 지원 SQL 서버에서 Defender for SQL은 LAW(Log Analytics 작업 영역)를 사용하여 데이터베이스에서 클라우드용 Defender 포털로 데이터를 전송합니다. 즉, LAW에서는 어떠한 데이터도 로컬로 저장되지 않습니다. SQLAtpStatus 및 SqlVulnerabilityAssessmentScanStatus라는 LAW의 테이블은 MMA가 더 이상 사용되지 않을 때 사용 중지됩니다. ATP 및 VA 상태는 클라우드용 Defender 포털에서 볼 수 있습니다.

Defender for SQL은 어떻게 SQL 서버에서 로그를 수집하나요?

SQL Server 2017부터 Defender for SQL은 Xevent를 사용합니다. 이전 버전의 SQL Server에서는 Defender for SQL이 SQL Server 감사 로그를 사용하여 로그를 수집합니다.

정책 이니셔티브에서 enableCollectionOfSqlQueriesForSecurityResearch라는 매개 변수를 확인합니다. 이는 내 데이터가 분석을 위해 수집된다는 것을 의미하나요?

이 매개 변수는 현재는 사용되지 않습니다. 기본값은 false입니다. 즉, 값을 적극적으로 변경하지 않는 한 false로 유지됩니다. 이 매개 변수에는 효과가 없습니다.

관련 콘텐츠

관련 정보는 다음 리소스를 참조하세요.

• Microsoft Defender for Azure SQL이 어디에서나 SQL 서버를 보호할 수 있는 방법.
• SQL Database 및 Azure Synapse Analytics에 대한 경고
• 데이터베이스용 Defender에 대한 일반적인 질문을 확인하세요.