你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Cloud 为 Azure SQL 数据库提供 SQL 漏洞评估 。 SQL 漏洞评估会扫描数据库是否存在软件漏洞,并提供发现列表。 使用结果修正软件漏洞并禁用结果。
SQL 漏洞评估在两种配置中可用: 快速 (逻辑服务器区域中的托管存储)和 经典 (所选区域中的用户拥有的存储帐户)。
先决条件
在继续操作之前,请确保你知道使用的是快速配置还是经典配置。
若要查看正在使用的配置,请执行以下操作:
- 在 Azure 门户中打开 Azure SQL 数据库、SQL 托管实例数据库或 Azure Synapse 中的特定资源。
- 在“安全性”标题下,选择 Defender for Cloud 。
- 在“启用状态”中,选择“配置”以打开整个服务器或托管实例的 Microsoft Defender for SQL 设置窗格。
如果漏洞设置显示用于配置存储帐户的选项,则你使用的是经典配置。 否则,使用的是快速配置。
查找 Azure SQL 数据库中的漏洞
配置比较
| 配置 | 存储位置 | 存储所有权 | SQL 安全管理器以外的其他角色 | 需要基线刷新 |
|---|---|---|---|---|
| 快速 | 逻辑服务器区域 | Microsoft | None | 否(立即) |
| Classic | 用户选择的存储帐户区域 | 客户 | 存储 Blob 数据读取者(查看电子邮件关联结果);所有者 + 存储 Blob 数据读取者(更改设置) | 是(运行新扫描) |
范围: 将扫描结果存储在与逻辑 SQL Server 相同的 Azure 区域中。 Microsoft Defender for Cloud 完全管理存储(无需用户拥有的存储帐户)。
快速配置:权限设置和数据驻留
| 任务 | 必需的角色 |
|---|---|
| 在 Microsoft Defender for Cloud 建议中查看 SQL 漏洞评估结果 | 安全管理员或安全读取者 |
| 更改 SQL 漏洞评估设置 | SQL 安全管理器 |
| 从自动电子邮件链接访问扫描结果或查看资源级扫描结果 | SQL 安全管理器 |
数据驻留: SQL 漏洞评估使用 Defender for Cloud 建议下的公开可用查询查询 SQL Server,并将查询结果存储在逻辑服务器所在的同一 Azure 区域中。 例如,如果在西欧的逻辑服务器上启用漏洞评估,扫描结果将存储在西欧。 仅当在服务器上启用 SQL 漏洞评估时,才会收集数据。
运行扫描和管理基线
对两种配置使用相同的扫描工作流。 唯一的区别在于基线应用何时发生。
- 在资源的 Defender for Cloud 页中,选择“ 查看漏洞评估”中的其他发现 以访问以前的扫描结果。
- 从工具栏中选择 “扫描 ”以运行按需 SQL 漏洞评估。
- (可选)将可接受的结果标记为基线。
- 在后续的结果中查看已获批准的基线测试结果(时间因配置而异)。
成功条件: 扫描将在几秒钟内完成,显示在“漏洞评估”选项卡中,并且是只读的(没有数据库修改)。
注释
扫描过程轻便、安全且只能读取数据。 它不会对数据库进行更改。
基线结果快速参考
| Action | 快速结果计时 | 经典结果计时 |
|---|---|---|
| 将结果确认为基线 | 立即标记为“已通过” | 在下一次扫描后标记为已通过 |
修正漏洞
这两种配置共享修正工作流和基线管理。 以下部分介绍特定于配置的基线行为。
漏洞扫描完成后,报告会显示:
- 安全状态概述
- 发现的问题数
- 风险的严重性摘要
- 调查结果列表
修正和基线过程
- 查看结果以识别您环境中的真实安全问题。
- 选择每个失败的结果以查看影响和失败原因。
小窍门
每个查找详细信息页都包含可作的修正指南。
- 将可接受的结果标记为基线以自定义后续扫描输出。
- 查看已通过的基线审批结果的状态:
- 快速:无需重新扫描即可立即显示。
-
经典: 需要运行另一次按需扫描。
结果: SQL 漏洞评估扫描周期有助于保持较高的安全级别,并与组织策略保持一致。
Troubleshooting
| 問题 | 可能的原因 | 决议 |
|---|---|---|
| 扫描结果不可见 | 缺少观看者角色 | 确保分配安全管理员或安全查看者角色。 |
| 无法更改设置 | 配置角色不足 | 分配 SQL 安全管理员(对于经典部署:在存储帐户上分配所有者和存储 Blob 数据读取者)。 |
| 基线未反映(经典) | 新扫描尚未运行 | 执行另一次按需扫描以应用基线更改。 |
| 基线未反映(快速) | 期望值不匹配 | 基线立即生效;请刷新“漏洞评估”选项卡。 |
| 打开电子邮件链接时出现访问出错(经典模式) | 存储角色缺失 | 为包含扫描结果的存储帐户添加存储 Blob 数据读取器。 |
后续步骤
- 详细了解 Microsoft Defender for Azure SQL。
- 详细了解数据发现和分类。
- 了解关于将漏洞评估扫描结果存储在可从防火墙和 VNet 后面访问的存储帐户中的详细信息。