重要
注意:根据世纪互联发布的公告,2026 年 8 月 18 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。
Microsoft Defender for Cloud 为 Azure SQL 数据库提供 SQL 漏洞评估 。 SQL 漏洞评估会扫描数据库是否存在软件漏洞,并提供发现列表。 使用发现来修复软件漏洞并禁用发现。
SQL 漏洞评估在两种配置中可用: 快速 (逻辑服务器区域中的托管存储)和 经典 (所选区域中的用户拥有的存储帐户)。
先决条件
在继续操作之前,请确保你知道使用的是快速配置还是经典配置。
若要查看正在使用的配置,请执行以下操作:
在 Azure 门户中打开 Azure SQL 数据库、SQL 托管实例数据库或 Azure Synapse 中的特定资源。
在“安全性”标题下,选择 Defender for Cloud 。
在“启用状态”中,选择“配置”以打开整个服务器或托管实例的 Microsoft Defender for SQL 设置窗格。
如果漏洞设置显示用于配置存储帐户的选项,则你使用的是经典配置。 否则,使用的是快速配置。
了解快速设置和经典配置
这两种配置提供相同的漏洞扫描功能,但存储扫描结果的方式和位置有所不同。 这会影响权限、数据驻留以及基线更改的反映速度。
范围: 将扫描结果存储在与逻辑 SQL Server 相同的 Azure 区域中。 Microsoft Defender for Cloud 完全管理存储(无需用户拥有的存储帐户)。
快速配置:权限设置和数据驻留
| 任务 | 必需的角色 |
|---|---|
| 在 Microsoft Defender for Cloud 建议中查看 SQL 漏洞评估结果 | 安全管理员或安全读取者 |
| 更改 SQL 漏洞评估设置 | SQL 安全管理器 |
| 从自动电子邮件链接访问扫描结果或查看资源级扫描结果 | SQL 安全管理器 |
数据驻留: SQL 漏洞评估使用 Defender for Cloud 建议下的公开可用查询查询 SQL Server,并将查询结果存储在逻辑服务器所在的同一 Azure 区域中。 例如,如果在中国北部的逻辑服务器上启用漏洞评估,扫描结果将存储在中国北部。 仅当在服务器上启用 SQL 漏洞评估时,才会收集数据。
配置比较摘要
该表比较了配置之间的主要差异:
| 功能 / 特点 | 快速 | Classic |
|---|---|---|
| 存储位置 | 逻辑服务器区域 | 用户选择的存储帐户区域 |
| 存储所有权 | Azure 托管 | 由客户管理 |
| SQL 安全管理器以外的其他角色 | None | 存储 Blob 数据读取者(查看电子邮件链接的结果): 所有者 + 存储 Blob 数据读取器(修改设置) |
| 需要基线刷新 | 否(立即) | 是(运行新扫描) |
| 数据驻留控制 | 固定到服务器区域 | 可通过存储帐户位置进行配置 |
运行扫描和管理基线
扫描不会对数据库进行更改,是只读的,并显示在“漏洞评估”选项卡中。
这两种配置都使用相同的扫描工作流。 主要区别在于何时应用基线。 快速配置会立即应用它,经典配置会在运行新扫描后应用它。
执行按需扫描
在资源的 Defender for Cloud 页中,选择“ 查看漏洞评估”中的其他发现 以访问以前的扫描结果。
从工具栏中选择 “扫描 ”以运行按需 SQL 漏洞评估。
(可选)将可接受的结果标记为基线。
查看后续结果中基线批准的结果(时间因配置而异)。
管理基线
运行扫描后,将可接受的结果标记为基线,以自定义将来的结果。 在随后的扫描中基线审批通过的配置。
基线结果快速参考
| Action | 快速结果计时 | 经典结果计时 |
|---|---|---|
| 将结果确认为基线 | 立即标记为“已通过” | 在下一次扫描后标记为已通过 |
查看和修正漏洞
扫描完成后,漏洞评估报告会显示数据库安全性的完整视图。 快速配置和经典配置都使用相同的修正工作流和基线管理。
了解扫描结果
漏洞评估报告包括:
- 安全状态概述
- 发现的问题数
- 风险的严重性摘要
- 调查结果列表
修正和基线过程
查看扫描结果,确定与环境相关的安全问题。
选择每个失败的结果以查看详细信息,包括影响和失败原因。
小窍门
每个发现的详细信息页都包含可作的修正指南,可帮助你解决漏洞。
将可接受的发现标记为基线,以防止它们在未来扫描中显示为失败。
查看基线批准的结果通过状态:
- 表达: 在没有新扫描的情况下立即显示。
-
经典: 需要运行另一次按需扫描。
结果: SQL 漏洞评估扫描周期有助于保持较高的安全级别,并确保符合组织安全策略。
排查常见问题
使用此表解决使用 SQL 漏洞评估时的常见问题:
| 問题 | 可能的原因 | 决议 |
|---|---|---|
| 扫描结果不可见 | 缺少用户查看角色 | 确保分配安全管理员或安全查看者角色。 |
| 无法更改设置 | 角色配置不足 | 分配 SQL 安全管理器(以及经典:存储帐户上的所有者 + 存储 Blob 数据读取器)。 |
| 基线未反映(经典) | 新扫描尚未运行 | 执行另一次按需扫描以应用基线更改。 |
| 基线未反映(表达) | 期望值不匹配 | 基线立即应用;刷新“漏洞评估”选项卡。 |
| 打开电子邮件链接时出现访问出错(经典模式) | 存储角色缺失 | 为包含扫描结果的存储帐户添加存储 Blob 数据读取器。 |
后续步骤
- 详细了解 Microsoft Defender for Azure SQL。
- 详细了解数据发现和分类。
- 了解关于将漏洞评估扫描结果存储在可从防火墙和 VNet 后面访问的存储帐户中的详细信息。