重要
注意:所有Microsoft Defender for Cloud功能将在
Microsoft Defender for Cloud为Azure SQL数据库提供漏洞评估。 扫描可检测软件漏洞并返回结果。 可以修正漏洞,或者在需要时禁用发现。
先决条件
在继续操作之前,请确保了解使用的是 快速配置模型还是经典配置模型 。
若要查看正在使用的配置,请执行以下操作:
- 在 Azure 门户中,在Azure SQL 数据库、Azure SQL 托管实例或Azure Synapse中打开特定资源。
- 在“安全性”标题下,选择 Defender for Cloud 。
- 在 启用状态 中,选择 配置以打开服务器或托管实例的 Microsoft Defender for SQL 设置窗格。
如果漏洞设置显示用于配置存储帐户的选项,则你使用的是经典配置。 否则,使用的是快速配置。
快速配置
重要
Express Configuration 通常用于Azure SQL 托管实例和Azure Synapse Analytics工作区。 这将扩展Azure SQL 数据库的正式版Azure托管体验,无需额外付费。
此版本允许在不配置客户管理的存储帐户的情况下启用 SQL VA。 快速配置是推荐的启用模式,提供与经典配置相同的安全值,并提供简化的设置。
统一的 REST API(v2026-04-01-preview)可在 Azure SQL 数据库、SQL 托管实例、Synapse 工作区以及计算机上的 SQL(Azure VM 和启用 Arc 的 SQL)中统一管理 SQL 漏洞评估。
查看扫描历史记录
选择漏洞评估窗格中的“扫描历史记录”,查看以前对此数据库运行的所有扫描的历史记录。
如果快速配置与以前的扫描相同,则不会存储扫描结果。 扫描历史记录中显示的扫描时间是上次扫描结果更改的时间。
禁用或忽略 Microsoft Defender for Cloud 中的特定安全发现(预览版)
如果组织需要忽略发现结果,而不是修正漏洞,则可以禁用发现结果。 禁用发现结果不会影响安全功能分数,也不会产生有害的噪音。 可以在扫描结果的“不适用”部分看到已禁用的检测结果。
当查找与禁用规则中定义的条件匹配时,它不会显示在发现列表中。 典型方案可能包括:
- 禁用严重性中等或更低的发现结果
- 禁用不可修补的检测
- 禁用与定义的范围无关的基准的结果
重要
若要禁用特定发现,需要在Azure Policy中编辑策略。 若要了解详细信息,请参阅 Azure Policy 中的 Azure RBAC 权限。
若要创建规则,请执行以下步骤:
在 应修正计算机上的 SQL 服务器漏洞评估结果 的建议详细信息页上,选择 禁用规则。
选择相关范围。
定义条件。 可以使用以下任一条件:
- 正在查找 ID
- 严重程度
- 基准
选择 应用规则。 更改可能需要 24 小时才能生效。
查看、替代或删除规则:
- 选择 禁用规则。
- 在范围列表中,具有有效规则的订阅显示为“已应用规则”。
- 若要查看或删除规则,请选择省略号菜单(“...”)。
使用Azure 逻辑应用配置电子邮件通知
若要接收数据库的漏洞评估状态的定期更新,可以使用 customizable Azure 逻辑应用 模板。
使用此模板可以:
- 选择电子邮件报告的时间。
- 具有漏洞评估状态的一致视图,包括禁用规则。
- 发送有关 Azure SQL 服务器和 SQL 虚拟机的报告。
- 自定义报表结构和外观,使其符合组织标准。
以编程方式管理漏洞评估
可以使用 REST API、Azure 资源管理器模板、PowerShell 或Azure CLI以编程方式管理 SQL 漏洞评估。
建议 Azure SQL 数据库、Azure SQL 托管实例、Azure Synapse Analytics 工作区和计算机上的 SQL 使用统一 SQL 漏洞评估 API 版本 2026-04-01-preview。
Azure 资源管理器模板
使用 SQL 漏洞评估 ARM 模板参考,通过 Azure 资源管理器 模板或 Bicep 管理 SQL 漏洞评估资源。
PowerShell
PowerShell cmdlet 不支持 Express 配置,但你可以使用 PowerShell 通过 REST API 调用最新的漏洞评估功能。 例如,您可以:
- 在 Azure SQL Server 上启用Enable express configuration。
- 基于 Azure SQL Server中所有数据库的最新扫描结果设置基线。
- 查看 Express 配置 PowerShell 命令参考。
Azure CLI
使用用于快速配置的 Azure CLI 命令调用快速配置。