Información general sobre Microsoft Defender para Azure Cosmos DB
Microsoft Defender para Azure Cosmos DB detecta posibles ataques por inyección de código SQL, actores malintencionados conocidos basados en Inteligencia sobre amenazas de Microsoft, patrones de acceso sospechosos y posible explotación de la base de datos mediante identidades en peligro o usuarios malintencionados.
Defender para Azure Cosmos DB usa funcionalidades avanzadas de detección de amenazas y datos de Inteligencia sobre amenazas de Microsoft para proporcionar alertas de seguridad contextuales. Estas alertas también incluyen pasos para mitigar las amenazas detectadas y evitar ataques futuros.
Puede habilitar la protección de todas las bases de datos (recomendado) o habilitar Microsoft Defender para Azure Cosmos DB en el nivel de suscripción o en el nivel de recurso.
Defender para Azure Cosmos DB analiza continuamente el flujo de telemetría generado por el servicio Azure Cosmos DB. Cuando se detectan actividades potencialmente malintencionadas, se generan alertas de seguridad. Estas alertas se muestran en Defender for Cloud junto con los detalles de la actividad sospechosa y los pasos de investigación pertinentes, las acciones de corrección y las recomendaciones de seguridad.
Defender para Azure Cosmos DB no tiene acceso a los datos de la cuenta de Azure Cosmos DB y no tiene ningún efecto en su rendimiento.
Disponibilidad
Aspecto | Detalles |
---|---|
Estado de la versión: | Disponibilidad general (GA) |
API protegida de Azure Cosmos DB | Azure Cosmos DB for NoSQL Azure Cosmos DB for Apache Cassandra Azure Cosmos DB for MongoDB Azure Cosmos DB for Table Azure Cosmos DB for Apache Gremlin |
Nubes: | Nubes comerciales Azure Government Microsoft Azure operado por 21Vianet |
Ventajas de Microsoft Defender para Azure Cosmos DB
Microsoft Defender para Azure Cosmos DB usa funcionalidades avanzadas de detección de amenazas y datos de Inteligencia sobre amenazas de Microsoft. Defender para Azure Cosmos DB supervisa continuamente las cuentas de Azure Cosmos DB en busca de amenazas, como los ataques por inyección de código SQL, las identidades en peligro y la filtración de datos.
Este servicio proporciona alertas de seguridad orientadas a acciones en Microsoft Defender for Cloud con detalles de la actividad sospechosa e instrucciones sobre cómo mitigar las amenazas. Esta información se puede usar para corregir problemas de seguridad y mejorar la seguridad de las cuentas de Azure Cosmos DB rápidamente.
Las alertas incluyen detalles acerca del incidente que las desencadenó, así como recomendaciones sobre cómo investigarlas y corregirlas. Las alertas se pueden exportar no solo a Microsoft Sentinel, sino también a cualquier otra SIEM de terceros o cualquier otra herramienta externa. Para obtener información sobre cómo transmitir alertas, consulte Transmisión de alertas a una solución de administración de servicios de TI, SIEM o SOAR.
Sugerencia
Para ver una lista completa de todas las alertas de Defender para Azure Cosmos DB, consulte la página de referencia de alertas. Esto es útil para los propietarios de cargas de trabajo que desean saber qué amenazas se pueden detectar y ayudar a los equipos de SOC a familiarizarse con las detecciones antes de investigarlas. Obtenga más información sobre lo que hay en una alerta de seguridad de Defender for Cloud y cómo administrar las alertas en Administrar y responder a las alertas de seguridad en Microsoft Defender for Cloud.
Tipos de alerta
Las alertas de seguridad de inteligencia sobre amenazas se desencadenan para:
Posibles ataques por inyección de código SQL:
Debido a la estructura y las funcionalidades de las consultas de Azure Cosmos DB, muchos ataques por inyección de código SQL conocidos no funcionan en las cuentas de Azure Cosmos DB. Sin embargo, hay algunas variaciones de las inyecciones de SQL que pueden realizarse correctamente y podrían dar lugar a la filtración de datos de las cuentas de Azure Cosmos DB. Defender para Azure Cosmos DB detecta tanto los intentos correctos como aquellos con errores, y ayuda a proteger su entorno para evitar estas amenazas.Patrones anómalos de acceso a bases de datos:
Por ejemplo, el acceso desde un nodo de salida de TOR, direcciones IP sospechosas conocidas, aplicaciones inusuales y ubicaciones inusuales.Actividad sospechosa en la base de datos:
Por ejemplo, patrones sospechosos de listas de claves que se parecen a técnicas de movimiento lateral malintencionadas conocidas y patrones de extracción de datos sospechosos.
Paso siguiente
En este artículo, ha obtenido información sobre Microsoft Defender para Azure Cosmos DB.