Überprüfen und Beheben von Ergebnissen der SQL-Sicherheitsrisikobewertung

Microsoft Defender für Cloud bietet eine SQL-Sicherheitsrisikobewertung für Ihre Azure SQL-Datenbanken. Die SQL-Sicherheitsrisikobewertung überprüft Ihre Datenbanken auf mögliche Sicherheitsrisiken basierend auf Datenbankkonfigurationen und stellt eine Liste der Ergebnisse bereit. Scanzyklen tragen dazu bei, ein hohes Maß an Sicherheit aufrechtzuerhalten und die Einhaltung von Sicherheitsrichtlinien der Organisation sicherzustellen.

Important

Express-Konfiguration ist allgemein für Azure SQL Managed Instance und Azure Synapse Analytics Arbeitsbereiche verfügbar. Dadurch wird die allgemein verfügbare Microsoft verwaltete Benutzeroberfläche für Azure SQL-Datenbank ohne zusätzliche Kosten erweitert.

Mit dieser Version können Sie SQL VA aktivieren, ohne ein vom Kunden verwaltetes Speicherkonto zu konfigurieren. Die Expresskonfiguration ist der empfohlene Aktivierungsmodus und bietet den gleichen Sicherheitswert wie die klassische Konfiguration mit einem vereinfachten Setup.

Eine einheitliche REST-API (v2026-04-01-preview) verwaltet SQL VA konsistent über Azure SQL-Datenbank, SQL Managed Instance-, Synapse-Arbeitsbereiche und SQL auf Computern (Azure VM und Arc-fähigen SQL).

Die SQL-Sicherheitsrisikobewertung ist in zwei Konfigurationen verfügbar: Express und klassisch. Beide Konfigurationen verwenden die gleiche Logik, Wartungsanleitungen und die Baselineverwaltung. Für Bereinigungszwecke besteht der einzige Unterschied darin, wann eine Baselineeinstellung in Kraft tritt.

Möglichkeiten zur Behebung eines Befunds

Ein Befund aus einer Schwachstellenbewertung ist nicht immer ein tatsächliches Sicherheitsproblem. Jede Regel prüft Ihre Datenbank anhand der bewährten Sicherheitsmethoden von Microsoft und gängiger regulatorischer Anforderungen, und das Ergebnis erscheint als Empfehlung für die gescannte Datenbank. Ein fehlerhaftes Ergebnis kennzeichnet eine Abweichung von dieser bewährten Methode, bei der es sich um eine unbeabsichtigte Fehlkonfiguration oder eine Konfiguration handeln kann, die beabsichtigt und für Ihre Umgebung akzeptabel ist. Überprüfen Sie jedes Ergebnis im Kontext Ihrer Organisation, bevor Sie handeln.

Sie haben drei Möglichkeiten, einen Befund zu beheben:

  • Beheben Sie die Fehlkonfiguration. Wenn es sich bei dem Befund um eine unbeabsichtigte Abweichung handelt, wenden Sie die Korrekturschritte an oder führen Sie das mit dem Befund bereitgestellte Korrekturskript aus, um die Ressource wieder in die empfohlene Konfiguration zurückzuführen.
  • Genehmigen Sie sie als Basisplan. Wenn der aktuelle Zustand beabsichtigt ist und für Ihre Umgebung erwartet wird, fügen Sie die Ergebnisse der Baseline hinzu. Basispläne werden pro Regel und pro Ressource festgelegt, sodass sich die Genehmigung eines Ergebnisses nur auf diese Regel in dieser Datenbank auswirkt. Der Befund wird dann als bestanden ausgewiesen und bleibt konform, bis ein späterer Scan eine Abweichung von der freigegebenen Baseline erkennt.
  • Die Empfehlung ausnehmen. Wenn die Prüfung für Ihre Organisation nicht relevant ist, erstellen Sie eine Ausnahme auf Abonnement- oder Verwaltungsgruppenebene, sodass sich die Empfehlung nicht mehr auf Ihre Sicherheitsbewertung oder Compliance für diesen Bereich auswirkt.

Hinweis

Die Ausnahmeeinrichtung ist erfolgreich, wird jedoch erst wirksam, wenn dem ausgewählten Bereich der Standard "Azure CSPM" zugewiesen ist.

Voraussetzungen

  • Die SQL-Sicherheitsrisikobewertung ist in Ihrer Azure SQL-Ressource aktiviert.

  • Überprüfen Sie die erforderlichen Berechtigungen und die Datenhaltungsbedingungen:

  • Der Basisgenehmigungszeitpunkt unterscheidet sich je nach Konfigurationsmodell.

Wenn Sie nicht sicher sind, welche Konfiguration für die Sicherheitsrisikobewertung Sie verwenden, führen Sie die folgenden Schritte aus, um zu überprüfen: 1. Melden Sie sich beim Portal Azure>Azure an. 1. Öffnen Sie Ihre SQL-Datenbankressource. 1. Wählen Sie unter der Überschrift SecurityMicrosoft Defender for Cloud aus. 1. Wählen Sie im Enablement StatusConfigure aus, um den Microsoft Defender für SQL-Einstellungsbereich für die gesamte Server- oder verwaltete Instanz zu öffnen.

Wenn die Sicherheitsrisikoeinstellungen die Option zum Konfigurieren eines Speicherkontos enthalten, nutzen Sie aktuell die klassische Konfiguration. Falls nicht, die Expresskonfiguration.

Einen On-Demand-Scan ausführen

Führen Sie einen schreibgeschützten On-Demand-Sicherheitsbewertungsscan aus, um die Ergebnisse zu aktualisieren, anstatt auf den nächsten geplanten Scan zu warten.

So führen Sie einen On-Demand-Scan aus:

  1. Melde dich beim Azure-Portal an.

  2. Öffnen Sie Ihre SQL-Datenbankressource.

  3. Wählen Sie unter der Überschrift Sicherheit die Option Microsoft Defender for Cloud aus.

  4. Wählen Sie "Weitere Ergebnisse in der Sicherheitsrisikobewertung anzeigen" aus.

    Screenshot des Öffnens der Überprüfungsergebnisse und der Optionen für manuelle Überprüfung.

  5. Wählen Sie Scan-aus.

    Screenshot des Auswählens von „Überprüfen“, um eine bedarfsgesteuerte Überprüfung der Sicherheitsrisikobewertung Ihrer SQL-Ressource auszuführen.

  6. Überprüfen und Beheben von Sicherheitsrisiken.

Überprüfen und Beheben von Ergebnissen der Sicherheitsrisikobewertung

Nach Abschluss einer Überprüfung zeigt die Seite " Sicherheitsrisikobewertung " eine vollständige Ansicht Ihrer Datenbanksicherheit an. Dazu gehören:

  • Eine Übersicht über Ihren Sicherheitsstatus
  • Die Anzahl der gefundenen Probleme
  • Eine Schweregradzusammenfassung der Risiken
  • Eine Liste der Ergebnisse zur Untersuchung

Überprüfen und Beheben von Sicherheitsrisiken (Azure-Portal)

Hinweis

Diese Erfahrung befindet sich derzeit in der Vorschauphase. Die vorhandene, serverseitige Erfahrung (aggregiert) bleibt während der Vorschau verfügbar.

In diesem Erlebnis:

  • Die Ergebnisse der SQL-Sicherheitsrisikobewertung folgen der gleichen Empfehlungsstruktur, die in Microsoft Defender für Cloud verwendet wird.
  • Jede SQL-Sicherheitsrisikobewertungsregel entspricht einer eigenen Empfehlung.
  • Empfehlungen werden direkt mit der betroffenen SQL-Datenbankressource verknüpft.
  • Jede Regel kann unabhängig voneinander überprüft, korrigiert oder als Basisplan markiert werden.
  1. Melden Sie sich im Azure-Portal an.

  2. Wechseln Sie zu Defender for Cloud>Empfehlungen.

  3. Wählen Sie die Empfehlungen nach Risikoansicht aus.

  4. Passen Sie die Ansicht an:

    • Verwenden Sie den Filter 'Ansicht pro Ressource', um alle Instanzen der Bewertung nach gemeldeter Ressource aufzulisten. Screenshot der Seite
    • Verwenden Sie den Filter Ansicht nach Titel, um alle Instanzen der Bewertung in einem Wert zu aggregieren.
  5. Wählen Sie den Scannerfilter und aus den Optionen die OPTION "SQL-Sicherheitsrisikobewertung" aus.

  6. Überprüfen Sie Ergebnisse (nur nach Ressource anzeigen):

    1. Wählen Sie eine Empfehlung aus.

    2. Überprüfen Sie die Beschreibung.

    3. Wählen Sie "Abfrageergebnisse verwalten" und "Korrekturen " aus, um die Abfrage zu überprüfen, die für die Auswertung der Empfehlung verwendet wird, ein Wartungsskript zu generieren oder einen Basisplan festzulegen.

    4. Wählen Sie den Link "Ressourcenname" aus, um weitere Informationen und Aktionen anzuzeigen.

      Screenshot einer Seite mit den Empfehlungen zur SQL-Sicherheitsrisikobewertung im Azure-Portal, mit hervorgehobenen Optionen zum Verwalten von Abfrageergebnissen und -korrektur sowie der Option, Abfrageergebnisse als Baseline hinzuzufügen.

    5. Überprüfen Sie auf der Seite " Ressourcenintegrität " der Datenbank die für die Ressource generierten Empfehlungen, lösen Sie einen SQL VA-Scan aus, oder wechseln Sie zur SQL VA-Scanverlaufsseite.

      Screenshot der Seite

  7. Ergebnisse überprüfen (nur nach Titel anzeigen ):

    1. Wählen Sie eine Empfehlung aus.

    2. Wählen Sie " Korrekturskripts anzeigen " für eine aggregierte Ansicht der Arten von Wartungsvorgängen für alle Datenbanken im Bereich aus.

    3. Schließen Sie nach der Überprüfung den Seitenbereich Korrekturskripts.

    4. Scrollen Sie nach rechts, um die Spalte "Aktionen " unter "Betroffene Ressourcen" zu erreichen.

    5. Wählen Sie "Abfrage und Ergebnisse anzeigen" für jede betroffene Datenbank aus, um Grundlinien in großem Maßstab festzulegen.

  8. Überprüfen Sie, ob die korrigierten Ergebnisse als gesund erscheinen. In der Expresskonfiguration wird die Basisplangenehmigung sofort wirksam. In der klassischen Konfiguration wird die Baseline-Genehmigung beim nächsten Scan wirksam.

Überprüfen und Beheben von Sicherheitsrisiken (Defender-Portal)

Hinweis

Diese Erfahrung befindet sich derzeit in der Vorschauphase. Die vorhandene Serverebene (aggregierte) Oberfläche bleibt während der Vorschau im Azure-Portal verfügbar.

In diesem Erlebnis:

  • Die Ergebnisse der SQL-Sicherheitsrisikobewertung folgen der gleichen Empfehlungsstruktur, die in Microsoft Defender für Cloud verwendet wird.
  • Jede SQL-Sicherheitsrisikobewertungsregel entspricht einer eigenen Empfehlung.
  • Empfehlungen werden direkt mit der betroffenen SQL-Datenbankressource verknüpft.
  • Skriptgenerierungs- und Basisplaneinstellungen werden über das Azure-Portal durchgeführt.
  1. Wechseln Sie zum Microsoft Defender-Portal.

  2. Wählen Sie Exposure Management>Empfehlungen aus.

  3. Wählen Sie die Registerkarte "Cloud " aus.

  4. Wählen Sie "Fehlkonfigurationen" aus.

  5. Wählen Sie aus, wie Sie Ergebnisse anzeigen möchten:

    • Empfehlung pro Anlage
    • Empfehlungstitel
  6. Wählen Sie den Scannerfilter und aus den Optionen die OPTION "SQL-Sicherheitsrisikobewertung" aus.

    Screenshot der Seite

  7. Bewertungsergebnisse (Empfehlung pro Asset-Ansicht ):

    1. Wählen Sie eine Empfehlung aus, um die Beschreibung und den Status anzuzeigen.

    2. Wählen Sie "Im Azure-Portal verwalten" für SQL VA-Vorgänge wie Basisplaneinstellungen und Auslösen von SQL VA-Scans aus.

    Screenshot der Empfehlungen-Seite des Defender-Portals mit SQL-Schwachstellenbewertungsempfehlungen in der Ansicht

  8. Bewertungsergebnisse (nur Empfehlungstitelansicht ):

    1. Überprüfen Sie die Spalte "Status" auf Empfehlungen für alle ausgewählten Ressourcen.

    2. Klicken Sie auf „Verwalten“ im Azure-Portal für SQL-VA-Vorgänge wie Grundeinstellungen und das Auslösen von SQL-VA-Scans.

    Screenshot der Seite

  9. Überprüfen Sie, ob die korrigierten Ergebnisse als gesund erscheinen. In der Expresskonfiguration wird die Basisplangenehmigung sofort wirksam. In der klassischen Konfiguration wird die Baseline-Genehmigung beim nächsten Scan wirksam.

Häufige Probleme beheben

Verwenden Sie diese Tabelle, um häufige Probleme beim Arbeiten mit der SQL-Sicherheitsrisikobewertung zu beheben:

Angelegenheit Wahrscheinliche Ursache Resolution
Scanergebnisse nicht sichtbar Fehlende Viewer-Rolle Stellen Sie sicher, dass die Rolle "Sicherheitsadministrator" oder "Sicherheitsleseberechtigter" zugewiesen ist.
Einstellungen können nicht geändert werden Unzureichende Konfigurationsrolle Weisen Sie den SQL Security Manager zu (und für die klassische Umgebung: Owner + Storage Blob Data Reader auf dem Speicher-Account).
Basisplan nicht dargestellt (klassisch) Neuer Scan noch nicht ausgeführt Führen Sie einen weiteren On-Demand-Scan durch, um Basisänderungen anzuwenden.
Grundlinie nicht abgebildet (Express-Modus) Erwartungsdiskrepanz Die Basislinie gilt sofort; aktualisieren Sie die Registerkarte "Sicherheitsrisikobewertung".
Access-Fehler beim Öffnen des E-Mail-Links (klassisch) Speicherrolle fehlt Fügen Sie den Storage Blob Data Reader für das Speicherkonto hinzu, das die Scanergebnisse enthält.

Nächste Schritte