Panoramica di Microsoft Defender per Azure Cosmos DB
In Microsoft Defender per il cloud, il piano Defender per Azure Cosmos DB all'interno di Defender per database rileva potenziali attacchi SQL injection, attori malintenzionati noti e modelli di accesso sospetti basati su Microsoft Threat Intelligence. Identifica anche il potenziale sfruttamento del database tramite identità compromesse o utenti interni malintenzionati.
Defender per Azure Cosmos DB analizza continuamente il flusso di dati personali dal servizio Azure Cosmos DB. Quando rileva attività potenzialmente dannose, genera avvisi di sicurezza in Defender per il cloud. Questi avvisi forniscono informazioni dettagliate sull'attività sospetta, insieme ai passaggi di indagine pertinenti, alle azioni correttive e alle raccomandazioni sulla sicurezza per evitare attacchi futuri.
È possibile abilitare Microsoft Defender per Azure Cosmos DB per tutti i database (scelta consigliata) oppure abilitarlo a livello di sottoscrizione o a livello di risorsa. Importante, Defender per Azure Cosmos DB non accede ai dati dell'account Azure Cosmos DB e non influisce sulle prestazioni del servizio.
Per informazioni sulla fatturazione su Defender per Azure Cosmos DB, vedere la pagina dei prezzi di Defender per il cloud.
La tabella seguente elenca le API di Azure Cosmos DB supportate e non supportate in Defender per Azure Cosmos DB:
| Supportato | Non supportato |
|---|---|
| Azure Cosmos DB for NoSQL | Azure Cosmos DB per Apache Cassandra Azure Cosmos DB per MongoDB Azure Cosmos DB per tabella Azure Cosmos DB for Apache Gremlin |
Per la disponibilità cloud, vedere Defender per il cloud matrici di supporto per cloud commerciali/altri cloud di Azure.
Vantaggi
Defender per Azure Cosmos DB usa funzionalità avanzate di rilevamento delle minacce e dati di Microsoft Threat Intelligence. Monitora continuamente gli account Azure Cosmos DB per individuare minacce come SQL injection, identità compromesse ed esfiltrazione di dati.
Defender per il cloud fornisce avvisi di sicurezza orientati alle azioni con informazioni dettagliate sull'attività sospetta e indicazioni su come attenuare le minacce. Usare queste informazioni per correggere rapidamente i problemi di sicurezza e migliorare la sicurezza degli account Azure Cosmos DB.
È possibile esportare avvisi in Microsoft Sentinel, in qualsiasi soluzione SIEM (Security Information and Event Management) dei partner o in qualsiasi strumento esterno. Per informazioni su come trasmettere gli avvisi, vedere Trasmettere gli avvisi alle soluzioni di monitoraggio.
Tipi di avviso
Le attività che attivano gli avvisi di sicurezza arricchiti con l'intelligence sulle minacce includono:
- Potenziali attacchi SQL injection: a causa della struttura e delle funzionalità delle query di Azure Cosmos DB, molti attacchi SQL injection noti non funzionano in Azure Cosmos DB. Tuttavia, alcune varianti di attacchi SQL injection potrebbero avere esito positivo e potrebbero comportare l'esfiltrazione dei dati dagli account Azure Cosmos DB. Defender per Azure Cosmos DB rileva tentativi riusciti e non riusciti e consente di rafforzare l'ambiente per prevenire queste minacce.
- Modelli di accesso al database anomali: un esempio è l'accesso da un nodo di uscita del router di cipolla (Tor), indirizzi IP sospetti noti, applicazioni insolite e posizioni impreviste.
- Attività di database sospette: un esempio è costituito da modelli di elenco di chiavi sospetti simili a tecniche di spostamento laterale dannose e modelli di estrazione dei dati.
Suggerimento
Per un elenco completo di tutti gli avvisi di Defender per Azure Cosmos DB, vedere Avvisi per Azure Cosmos DB. Queste informazioni sono utili per i proprietari del carico di lavoro che vogliono sapere quali minacce possono essere rilevate. Può anche aiutare i team del Centro operazioni di sicurezza (SOC) a acquisire familiarità con i rilevamenti prima di esaminarli. Altre informazioni su come gestire e rispondere agli avvisi di sicurezza in Microsoft Defender per il cloud.