Información general sobre Microsoft Defender para Azure Cosmos DB
En Microsoft Defender for Cloud, el plan de Defender para Azure Cosmos DB en Defender for Databases detecta posibles inyecciones de SQL, actores incorrectos conocidos y patrones de acceso sospechosos basados en la Inteligencia contra amenazas Microsoft. También identifica la posible explotación de la base de datos a través de identidades comprometidas o usuarios internos malintencionados.
Defender para Azure Cosmos DB analiza continuamente el flujo de datos personales del servicio Azure Cosmos DB. Cuando detecta actividades potencialmente malintencionadas, genera alertas de seguridad en Defender for Cloud. Estas alertas proporcionan detalles de la actividad sospechosa junto con pasos de investigación, las acciones de corrección y las recomendaciones de seguridad pertinentes para evitar ataques futuros.
Puede habilitar Microsoft Defender para Azure Cosmos DB para todas las bases de datos (recomendado) o puede habilitarlo en el nivel de suscripción o en el nivel de recurso. Es importante mencionar que Defender para Azure Cosmos DB no tiene acceso a los datos de la cuenta de Azure Cosmos DB y no afecta en su rendimiento del servicio.
Para obtener información de facturación sobre Defender para Azure Cosmos DB, consulte la página de precios de Defender for Cloud.
En la tabla siguiente se enumeran las API de Azure Cosmos DB admitidas y no admitidas en Defender para Azure Cosmos DB:
| Compatible | No compatible |
|---|---|
| Azure Cosmos DB para NoSQL | Azure Cosmos DB for Apache Cassandra Azure Cosmos DB for MongoDB Azure Cosmos DB for Table Azure Cosmos DB for Apache Gremlin |
Para obtener disponibilidad en la nube, consulte las matrices de soporte técnico de Defender for Cloud para Azure comercial u otras nubes.
Ventajas
Defender para Azure Cosmos DB usa funcionalidades avanzadas de detección de amenazas y datos de Inteligencia sobre amenazas de Microsoft. Supervisa continuamente las cuentas de Azure Cosmos DB en busca de amenazas, como los ataques por inyección de código SQL, las identidades en peligro y la filtración de datos.
Defender for Cloud proporciona alertas de seguridad orientadas a acciones con detalles de la actividad sospechosa e instrucciones sobre cómo mitigar las amenazas. Use esta información para corregir problemas de seguridad y mejorar la seguridad de las cuentas de Azure Cosmos DB rápidamente.
Puede exportar alertas a Microsoft Sentinel o a cualquier solución de Administración de eventos e información de seguridad (SIEM) de asociados o herramienta externa. Para obtener información sobre cómo transmitir alertas, consulte Transmitir alertas a soluciones de supervisión.
Tipos de alerta
Las actividades que desencadenan alertas de seguridad enriquecidas con inteligencia sobre amenazas incluyen:
- Posible ataque por inyección de código SQL: debido a la estructura y las funcionalidades de las consultas de Azure Cosmos DB, muchos ataques por inyección de código SQL conocidos no funcionan en las cuentas de Azure Cosmos DB. Sin embargo, hay algunas variaciones de las inyecciones de SQL que pueden realizarse correctamente y podrían dar lugar a la filtración de datos de las cuentas de Azure Cosmos DB. Defender para Azure Cosmos DB detecta tanto los intentos correctos como aquellos con errores, y ayuda a proteger su entorno para evitar estas amenazas.
- Patrones anómalos de acceso a bases de datos: por ejemplo, el acceso desde un nodo de salida de TOR, direcciones IP sospechosas conocidas, aplicaciones inusuales y ubicaciones inesperadas.
- Actividad sospechosa de la base de datos: por ejemplo, patrones sospechosos de listas de claves que se parecen a técnicas conocidas de movimiento lateral malintencionadas y patrones de extracción de datos.
Sugerencia
Para ver una lista completa de todas las alertas de Defender para Azure Cosmos DB, consulte Alertas para Azure Cosmos DB. Esta información es útil para los propietarios de cargas de trabajo que desean saber qué amenazas se pueden detectar. También puede ayudar a los equipos del centro de operaciones de seguridad (SOC) a familiarizarse con las detecciones antes de investigarlas. Obtenga más información sobre la Administración de alertas de seguridad y respuesta a ellas en Microsoft Defender for Cloud.