Panoramica di Microsoft Defender per Azure Cosmos DB
Microsoft Defender per Azure Cosmos DB rileva potenziali attacchi SQL injection, utenti malintenzionati noti in base all'intelligence sulle minacce Microsoft, modelli di accesso sospetti e potenziale sfruttamento del database tramite identità compromesse o utenti interni malintenzionati.
Defender per Azure Cosmos DB usa funzionalità avanzate di rilevamento delle minacce e dati di intelligence sulle minacce Microsoft per fornire avvisi di sicurezza contestuali. Questi avvisi includono anche i passaggi per mitigare le minacce rilevate e prevenire attacchi futuri.
È possibile abilitare la protezione per tutti i database (scelta consigliata) o abilitare Microsoft Defender per Azure Cosmos DB a livello di sottoscrizione o di risorsa.
Defender per Azure Cosmos DB analizza continuamente il flusso di telemetria generato dal servizio Azure Cosmos DB. Quando vengono rilevate attività potenzialmente dannose, vengono generati avvisi di sicurezza. Questi avvisi vengono visualizzati in Defender per il cloud con i dettagli dell'attività sospetta, insieme ai passaggi di indagine pertinenti, alle azioni di correzione e alle raccomandazioni sulla sicurezza.
Defender per Azure Cosmos DB non accede ai dati dell'account di Azure Cosmos DB e non ha alcun effetto sulle prestazioni.
Disponibilità
Aspetto | Dettagli |
---|---|
Stato della versione: | Disponibilità generale (GA) |
API Azure Cosmos DB protetta | Azure Cosmos DB for NoSQL Azure Cosmos DB for Apache Cassandra Azure Cosmos DB for MongoDB Azure Cosmos DB for Table Azure Cosmos DB for Apache Gremlin |
Cloud: | Cloud commerciali Azure per enti pubblici Microsoft Azure gestito da 21Vianet |
Quali sono i vantaggi offerti da Microsoft Defender per Azure Cosmos DB
Microsoft Defender per Azure Cosmos DB usa funzionalità avanzate di rilevamento delle minacce e dati di intelligence sulle minacce Microsoft. Defender per Azure Cosmos DB monitora continuamente gli account di Azure Cosmos DB per rilevare minacce come SQL injection, identità compromesse ed esfiltrazione dei dati.
Questo servizio fornisce avvisi di sicurezza orientati all'azione in Microsoft Defender per il cloud, con i dettagli dell'attività sospetta e indicazioni su come mitigare le minacce. È possibile usare queste informazioni per risolvere rapidamente i problemi di sicurezza e migliorare la sicurezza degli account di Azure Cosmos DB.
Gli avvisi includono i dettagli dell'evento imprevisto che li ha attivati e raccomandazioni su come analizzare e risolvere le minacce. Gli avvisi possono essere esportati in Azure Sentinel o in qualsiasi altro sistema SIEM di terze parti o strumento esterno. Per informazioni su come trasmettere avvisi, vedere Trasmettere avvisi in una soluzione di distribuzione SIEM, SOAR o IT classica.
Suggerimento
Per un elenco completo di tutti gli avvisi di Defender per Azure Cosmos DB, vedere la pagina di riferimento degli avvisi. Ciò è utile per i proprietari del carico di lavoro che desiderano sapere quali minacce è possibile rilevare e aiutare i team SOC a acquisire familiarità con i rilevamenti prima di analizzarli. Altre informazioni sugli avvisi di sicurezza di Defender for Cloud e su come gestire gli avvisi in Gestire e rispondere agli avvisi di sicurezza in Microsoft Defender for Cloud.
Tipi di avviso
Gli avvisi di sicurezza basati sull'intelligence sulle minacce vengono attivati per:
Potenziali attacchi SQL injection:
a causa della struttura e delle funzionalità delle query di Azure Cosmos DB, molti attacchi SQL injection noti non possono funzionare in Azure Cosmos DB. Esistono tuttavia alcune varianti di attacchi SQL injection che possono avere esito positivo e potrebbero causare l'esfiltrazione dei dati dagli account Azure Cosmos DB. Defender per Azure Cosmos DB rileva sia i tentativi riusciti che quelli non riusciti e consente di proteggere l'ambiente per prevenire queste minacce.Criteri di accesso al database anomali:
ad esempio, l'accesso da un nodo di uscita TOR, indirizzi IP sospetti noti, applicazioni insolite e posizioni insolite.Attività di database sospette:
ad esempio, modelli di elenco delle chiavi sospetti simili a tecniche di movimento laterale dannose e modelli di estrazione di dati sospetti.
Passaggio successivo
In questo articolo sono state fornite informazioni su Microsoft Defender per Cosmos DB.