查找并修正 Azure SQL 数据库中的漏洞

权限

需要以下权限之一才能在 Microsoft Defender for Cloud 建议 SQL 数据库应解决漏洞发现中查看漏洞评估结果：

• 安全管理员
• 安全读取者

更改漏洞评估设置需要以下权限：

• SQL 安全管理器

如果收到任何包含扫描结果链接的自动电子邮件，则需要以下权限才能访问有关扫描结果的链接或在资源级别查看扫描结果：

• SQL 安全管理器

数据驻留

SQL 漏洞评估使用 Defender for Cloud 对 SQL 漏洞评估的建议下的公开可用查询来查询 SQL Server，并存储查询结果。 SQL 漏洞评估数据存储在配置它的逻辑服务器的位置。 例如，如果用户在西欧的逻辑服务器上启用了漏洞评估，则结果将存储在西欧。 只有在逻辑服务器上配置了 SQL 漏洞评估解决方案时，才会收集此数据。

按需漏洞扫描

可以按需运行 SQL 漏洞评估扫描：

1. 在资源的 Defender for Cloud 页面上，选择“查看漏洞评估中的其他发现”，访问上一次扫描的扫描结果 。

   

2. 若要运行按需扫描以扫描数据库中的漏洞，请从工具栏中选择“扫描”：

   

修正漏洞

漏洞扫描完成时，报告会显示在 Azure 门户中。 报告会显示：

• 安全状态概述
• 发现的问题数
• 根据风险的严重性整理的摘要
• 供进一步调查使用的结果列表

若要修正发现的漏洞：

1. 查看结果并确定报告中发现的哪些问题是环境中真正存在的安全问题。

2. 选择每个失败的结果以了解其影响，以及安全检查失败的原因。

   提示

   结果详细信息页包括了说明如何解决该问题的可操作的修正信息。

   

   

3. 在查看评估结果时，可将特定结果标记为环境中可接受的基线。 基线本质上是对结果报告方式的自定义。 在后续扫描中，与基线相匹配的结果被视为通过。 建立基线安全状态后，漏洞评估仅报告与基线的偏差。 这样，你可以专注于处理相关问题。

   

4. 添加到基线的任何结果现在都将显示为“通过”，并指示它们因基线更改而通过。 无需运行另一次扫描即可使基线生效。

   

你的漏洞评估扫描现可用于确保数据库维持高级别的安全性，并满足组织策略。

权限

需要以下权限之一才能在 Microsoft Defender for Cloud 建议 SQL 数据库应解决漏洞发现中查看漏洞评估结果：

• 安全管理员
• 安全读取者

更改漏洞评估设置需要以下权限：

• SQL 安全管理器
• 存储 Blob 数据读取者
• 存储帐户的所有者角色

打开有关扫描结果的电子邮件通知中的链接或在资源级别查看扫描结果需要以下权限：

• SQL 安全管理器
• 存储 Blob 数据读取者

数据驻留

SQL 漏洞评估使用 Defender for Cloud 对 SQL 漏洞评估的建议下的公开可用查询来查询 SQL Server，并存储查询结果。 数据存储在已配置的用户拥有的存储帐户中。

SQL 漏洞评估允许通过选择存储帐户的位置来指定存储数据的区域。 用户负责存储帐户的安全性和数据复原能力。

运行按需漏洞扫描

可以按需运行 SQL 漏洞评估扫描：

1. 在资源的 Defender for Cloud 页面上，选择“查看漏洞评估中的其他发现”，访问上一次扫描的扫描结果 。

   

2. 若要运行按需扫描以扫描数据库中的漏洞，请从工具栏中选择“扫描”：

   

修正漏洞

漏洞扫描完成时，报告会显示在 Azure 门户中。 报告会显示：

• 安全状态概述
• 发现的问题数
• 根据风险的严重性整理的摘要
• 供进一步调查使用的结果列表

若要修正发现的漏洞：

1. 查看结果并确定报告中发现的哪些问题是环境中真正存在的安全问题。

2. 选择每个失败的结果以了解其影响，以及安全检查失败的原因。

   提示

   结果详细信息页包括了说明如何解决该问题的可操作的修正信息。

   

   

3. 在查看评估结果时，可将特定结果标记为环境中可接受的基线。 基线本质上是对结果报告方式的自定义。 在后续扫描中，与基线相匹配的结果被视为通过。 建立基线安全状态后，漏洞评估仅报告与基线的偏差。 这样，你可以专注于处理相关问题。

   

4. 如果更改基线，请使用“扫描”按钮来运行按需扫描并查看自定义报告。 添加到基线的任何发现将会出现在“通过”中，其中指示了它们因基线更改而通过。

   

你的漏洞评估扫描现可用于确保数据库维持高级别的安全性，并满足组织策略。