重要
注意:根据世纪互联发布的公告,2026 年 8 月 18 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。
Microsoft Defender for Cloud 为 Azure SQL 数据库提供 SQL 漏洞评估 。 SQL 漏洞评估会扫描数据库是否存在软件漏洞,并提供发现列表。 使用发现来修复软件漏洞并禁用发现。
SQL 漏洞评估在两种配置中可用: 快速 (逻辑服务器区域中的托管存储)和 经典 (所选区域中的用户拥有的存储帐户)。
先决条件
在继续操作之前,请确保你知道使用的是快速配置还是经典配置。
若要查看正在使用的配置,请执行以下操作:
- 在 Azure 门户中打开 Azure SQL 数据库、SQL 托管实例数据库或 Azure Synapse 中的特定资源。
- 在“安全性”标题下,选择 Defender for Cloud 。
- 在“启用状态”中,选择“配置”以打开整个服务器或托管实例的 Microsoft Defender for SQL 设置窗格。
如果漏洞设置显示用于配置存储帐户的选项,则你使用的是经典配置。 否则,使用的是快速配置。
查找 Azure SQL 数据库中的漏洞
配置比较
| 配置 | 存储位置 | 存储所有权 | SQL 安全管理器以外的其他角色 | 需要基线刷新 |
|---|---|---|---|---|
| 快速 | 逻辑服务器区域 | Microsoft | None | 否(立即) |
| Classic | 用户选择的存储帐户区域 | 客户 | 存储 Blob 数据读取者(查看电子邮件链接的结果);拥有者 + 存储 Blob 数据读取者(更改设置) | 是(运行新扫描) |
范围: 将扫描结果存储在与逻辑 SQL Server 相同的 Azure 区域中。 Microsoft Defender for Cloud 完全管理存储(无需用户拥有的存储帐户)。
快速配置:权限设置和数据驻留
| 任务 | 必需的角色 |
|---|---|
| 在 Microsoft Defender for Cloud 建议中查看 SQL 漏洞评估结果 | 安全管理员或安全读取者 |
| 更改 SQL 漏洞评估设置 | SQL 安全管理器 |
| 从自动电子邮件链接访问扫描结果或查看资源级扫描结果 | SQL 安全管理器 |
数据驻留: SQL 漏洞评估使用 Defender for Cloud 建议下的公开可用查询查询 SQL Server,并将查询结果存储在逻辑服务器所在的同一 Azure 区域中。 例如,如果在中国北部的逻辑服务器上启用漏洞评估,扫描结果将存储在中国北部。 仅当在服务器上启用 SQL 漏洞评估时,才会收集数据。
运行扫描和管理基线
对两种配置使用相同的扫描工作流。 唯一的区别在于基线应用何时发生。
- 在资源的 Defender for Cloud 页中,选择“ 查看漏洞评估”中的其他发现 以访问以前的扫描结果。
- 从工具栏中选择 “扫描 ”以运行按需 SQL 漏洞评估。
- (可选)将可接受的结果标记为基线。
- 查看后续结果中基线批准的结果(时间因配置而异)。
成功条件: 扫描将在几秒钟内完成,显示在“漏洞评估”选项卡中,并且是只读的(没有数据库修改)。
注释
扫描是轻型、安全且只读的。 它不会对数据库进行更改。
基线结果快速参考
| Action | 快速结果计时 | 经典结果计时 |
|---|---|---|
| 将结果确认为基线 | 立即标记为“已通过” | 在下一次扫描后标记为已通过 |
修正漏洞
这两种配置共享修正工作流和基线管理。 以下部分介绍特定于配置的基线行为。
漏洞扫描完成后,报告会显示:
- 安全状态概述
- 发现的问题数
- 风险的严重性摘要
- 调查结果列表
修正和基线过程
- 查看结果以识别您环境中的真实安全问题。
- 选择每个失败的结果以查看影响和失败原因。
小窍门
每个查找详细信息页都包含可作的修正指南。
- 将可接受的结果标记为基线以自定义后续扫描输出。
- 查看基线批准的结果通过状态:
- 表达: 在没有新扫描的情况下立即显示。
-
经典: 需要运行另一次按需扫描。
结果: SQL 漏洞评估扫描周期有助于保持较高的安全级别,并与组织策略保持一致。
Troubleshooting
| 問题 | 可能的原因 | 决议 |
|---|---|---|
| 扫描结果不可见 | 缺少用户查看角色 | 确保分配安全管理员或安全查看者角色。 |
| 无法更改设置 | 角色配置不足 | 分配 SQL 安全管理器(以及经典:存储帐户上的所有者 + 存储 Blob 数据读取器)。 |
| 基线未反映(经典) | 新扫描尚未运行 | 执行另一次按需扫描以应用基线更改。 |
| 基线未反映(表达) | 期望值不匹配 | 基线立即应用;刷新“漏洞评估”选项卡。 |
| 打开电子邮件链接时出现访问出错(经典模式) | 存储角色缺失 | 为包含扫描结果的存储帐户添加存储 Blob 数据读取器。 |
后续步骤
- 详细了解 Microsoft Defender for Azure SQL。
- 详细了解数据发现和分类。
- 了解关于将漏洞评估扫描结果存储在可从防火墙和 VNet 后面访问的存储帐户中的详细信息。