Übersicht über Microsoft Defender für Azure Cosmos DB
In Microsoft Defender for Cloud erkennt der Plan Defender for Azure Cosmos DB innerhalb von Defender for Databases potenzielle SQL-Injektionen, bekannte bösartige Akteure und verdächtige Zugriffsmuster auf der Grundlage von Microsoft Threat Intelligence. Auch eine potenzielle Ausnutzung Ihrer Datenbank durch kompromittierte Identitäten oder böswillige Insider wird identifiziert.
Defender for Azure Cosmos DB analysiert kontinuierlich den persönlichen Datenstrom vom Azure Cosmos DB-Dienst. Wenn es potenziell schädliche Aktivitäten erkennt, generiert es Sicherheitswarnungen in Defender for Cloud. Diese Warnungen enthalten Details zu den verdächtigen Aktivitäten sowie relevante Untersuchungsschritte, Abhilfemaßnahmen und Sicherheitsempfehlungen, um zukünftige Angriffe zu verhindern.
Sie können Microsoft Defender for Azure Cosmos DB für alle Ihre Datenbanken aktivieren (empfohlen) oder es entweder auf Abonnement- oder Ressourcenebene aktivieren. Defender for Azure Cosmos DB greift nicht auf die Azure Cosmos DB-Kontodaten zu und hat keine Auswirkung auf die Leistung des Diensts.
Informationen zu der Abrechnung von Defender for Azure Cosmos DB finden Sie auf der Seite Defender for Cloud – Preise.
In der folgenden Tabelle sind unterstützte und nicht unterstützte Azure Cosmos DB-APIs in Defender for Azure Cosmos DB aufgeführt:
| Unterstützt | Nicht unterstützt |
|---|---|
| Azure Cosmos DB for NoSQL | Azure Cosmos DB for Apache Cassandra Azure Cosmos DB for MongoDB Azure Cosmos DB for Table Azure Cosmos DB for Apache Gremlin |
Informationen zur Cloudverfügbarkeit finden Sie in den Defender for Cloud-Unterstützungsmatrizen für kommerzielle Azure-Clouds/andere Clouds.
Vorteile
Defender for Azure Cosmos DB verwendet erweiterte Funktionen zur Bedrohungserkennung und Microsoft Threat Intelligence-Daten. Es überwacht Ihre Azure Cosmos DB-Konten kontinuierlich auf Bedrohungen wie SQL-Injection, kompromittierte Identitäten und Datenexfiltration.
Defender for Cloud bietet aktionsorientierte Sicherheitswarnungen mit Details zur verdächtigen Aktivität und Anleitungen zur Entschärfung der Bedrohungen. Mithilfe dieser Informationen können Sie Sicherheitsprobleme schnell lösen und die Sicherheit Ihrer Azure Cosmos DB-Konten verbessern.
Sie können Warnungen zu Microsoft Sentinel, einer beliebigen SIEM-Lösung (Security Information and Event Management) oder einem externen Tool exportieren. Informationen zum Streamen von Warnungen finden Sie unter Streamen von Warnungen zur Überwachung von Lösungen.
Warnungstypen
Aktivitäten, die Sicherheitswarnungen auslösen, die mit der Bedrohungserkennung angereichert sind, umfassen:
- Potenzielle Angriffe durch Einschleusung von SQL-Befehlen: Aufgrund der Struktur und Funktionen von Azure Cosmos DB-Abfragen funktionieren viele bekannte Angriffe durch SQL-Injection in Azure Cosmos DB nicht. Einige Varianten von SQL-Injection können jedoch erfolgreich sein und dazu führen, dass Daten aus Ihren Azure Cosmos DB-Konten ausgelesen werden. Defender for Azure Cosmos DB erkennt sowohl erfolgreiche als auch fehlgeschlagene Versuche und hilft Ihnen, Ihre Umgebung zu schützen, um diese Bedrohungen zu verhindern.
- Anomale Datenbankzugriffsmuster: Ein Beispiel ist der Zugriff von einem Onion Router (Tor)-Exitknoten, bekannten verdächtigen IP-Adressen, ungewöhnlichen Anwendungen und unerwarteten Orten.
- Verdächtige Datenbankaktivität: Ein Beispiel dafür sind verdächtige Schlüsselauflistungsmuster, die bekannten schädlichen Techniken für Lateral Movement und Datenextraktionsmustern ähnlich sind.
Tipp
Eine umfassende Liste aller Defender for Azure Cosmos DB-Warnungen finden Sie unter Warnungen für Azure Cosmos DB. Diese Informationen sind für Workloadbesitzer nützlich, die wissen möchten, welche Bedrohungen erkannt werden können. SOC-Teams (Security Operations Center) können sich damit auch mit Funden vertraut machen, bevor Sie sie untersuchen. Erfahren Sie mehr über die Verwaltung von und Reaktion auf Sicherheitswarnungen in Microsoft Defender for Cloud.