Vue d’ensemble de Microsoft Defender pour Azure Cosmos DB
Dans Microsoft Defender for Cloud, le plan Defender pour Azure Cosmos DB dans Defender pour les bases de données détecte les injections SQL potentielles, les acteurs malveillants connus et les modèles d’accès suspects en fonction de la Veille des menaces Microsoft. Il identifie également l’exploitation potentielle de votre base de données par le biais d’identités compromises ou d’initiés malveillants.
Defender pour Azure Cosmos DB analyse continuellement le flux d’informations personnelles provenant du service Azure Cosmos DB. Lorsqu’il détecte des activités potentiellement malveillantes, il génère des alertes de sécurité dans Defender for Cloud. Ces alertes fournissent les détails de l’activité suspecte, ainsi que les étapes d’investigation, les actions correctives et les recommandations de sécurité correspondantes afin de prévenir toute attaque ultérieure.
Vous pouvez activer Microsoft Defender pour Azure Cosmos DB pour toutes vos bases de données (recommandé), ou vous pouvez l’activer au niveau de l’abonnement ou au niveau de la ressource. Il est important de noter que Defender pour Azure Cosmos DB n’accède pas aux données du compte Azure Cosmos DB et n’a aucun impact sur les performances du service.
Pour plus d’informations sur la facturation de Defender pour Azure Cosmos DB, consultez la page de tarification de Defender for Cloud.
Le tableau suivant répertorie les API Azure Cosmos DB prises en charge et non prises en charge dans Defender pour Azure Cosmos DB :
Pris en charge | Non pris en charge |
---|---|
Azure Cosmos DB pour NoSQL | Azure Cosmos DB for Apache Cassandra Azure Cosmos DB for MongoDB Azure Cosmos DB for Table Azure Cosmos DB for Apache Gremlin |
Pour connaître la disponibilité des clouds, consultez les matrices de support Defender for Cloud pour les clouds Azure commercial ou autres.
Avantages
Defender pour Azure Cosmos DB utilise des fonctionnalités avancées de détection des menaces et des données Veille des menaces Microsoft. Il surveille en continu vos comptes Azure Cosmos DB afin de détecter les menaces telles que l’injection SQL, les identités compromises, et l’exfiltration de données.
Defender for Cloud fournit des alertes de sécurité orientées sur l’action avec des détails sur l’activité suspecte et des conseils sur la manière d’atténuer les menaces. Utilisez ces informations pour remédier rapidement aux problèmes de sécurité et améliorer la sécurité de vos comptes Azure Cosmos DB.
Vous pouvez exporter des alertes vers Microsoft Sentinel, vers n’importe quelle solution SIEM (Security Information and Event Management) partenaire, ou vers tout outil externe. Pour savoir comment diffuser des alertes en continu, consultez Diffuser des alertes en continu vers des solutions de monitoring.
Types d’alertes
Les activités qui déclenchent des alertes de sécurité enrichies avec la veille des cybermenaces sont les suivantes :
- Attaques potentielles par injection de code SQL : en raison de la structure et des fonctionnalités des requêtes Azure Cosmos DB, un grand nombre d’attaques par injection de code SQL parmi celles connues ne fonctionnent pas dans Azure Cosmos DB. Toutefois, certaines variantes d’injections SQL peuvent réussir, ce qui pourrait entraîner l’exfiltration de données de vos comptes Azure Cosmos DB. Defender pour Azure Cosmos DB détecte à la fois les tentatives qui ont réussi et celles qui ont échoué, et vous aide à renforcer votre environnement pour éviter ces menaces.
- Modèles d’accès anormal à la base de donnée : par exemple, les accès à partir d’un nœud de sortie TOR (routeur en oignon), les adresses IP suspectes, les applications inhabituelles et les emplacements inattendus.
- Activité de base de données suspecte : par exemple, des modèles de liste de clés suspects qui ressemblent à des modèles d’extraction de données et des techniques malveillantes connues de mouvement latéral.
Conseil
Pour obtenir la liste complète de toutes les alertes Defender pour Azure Cosmos DB, consultez Alertes pour Azure Cosmos DB. Ces informations sont utiles pour les propriétaires de charge de travail qui souhaitent savoir quelles menaces peuvent être détectées. Elles peuvent également aider les équipes de centre des opérations de sécurité (SOC) à se familiariser avec les détections avant de procéder à une investigation. Apprenez-en davantage sur la façon de gérer et répondre aux alertes de sécurité dans Microsoft Defender for Cloud.
Contenu connexe
Protéger vos bases de données avec Defender pour les bases de données