Azure Cosmos DB용 Microsoft Defender 개요
Azure Cosmos DB용 Microsoft Defender는 Microsoft 위협 인텔리전스를 기반으로 잠재적인 SQL 삽입, 알려진 악의적 행위자 및 의심스러운 액세스 패턴을 검색합니다. 또한 손상된 ID 또는 악의적인 내부자를 통해 데이터베이스의 잠재적 악용 가능성을 식별합니다. 고급 위협 탐지 기능 및 Microsoft 위협 인텔리전스 데이터를 사용하여 상황에 맞는 보안 경고를 제공합니다. 이러한 경고에는 검색된 위협을 완화하고 향후 공격을 방지하는 단계가 포함됩니다. 모든 데이터베이스에 대한 보호를 사용하도록 설정하거나(권장) 구독 수준 또는 리소스 수준에서 Azure Cosmos DB용 Microsoft Defender를 사용하도록 설정할 수 있습니다.
Defender for Azure Cosmos DB는 Azure Cosmos DB 서비스에서 생성된 개인 데이터 스트림을 지속적으로 분석합니다. 잠재적으로 악의적인 활동이 감지되면 보안 경고가 생성됩니다. 이러한 경고는 클라우드용 Defender 표시됩니다. 의심스러운 활동에 대한 세부 정보와 관련 조사 단계, 수정 작업 및 보안 권장 사항을 제공합니다.
중요한 것은 Azure Cosmos DB용 Defender는 Azure Cosmos DB 계정 데이터에 액세스하지 않으며 성능에 영향을 주지 않는다는 것입니다.
Defender for Cosmos DB는 가격 책정 페이지에 표시된 대로 요금이 청구됩니다.
보호된 Azure Cosmos DB API:
| 지원됨 | 지원되지 않음 |
|---|---|
| Azure Cosmos DB for NoSQL | Apache Cassandra용 Azure Cosmos DB MongoDB용 Azure Cosmos DB 테이블용 Azure Cosmos DB Azure Cosmos DB for Apache Gremlin |
클라우드 가용성을 위해 Azure 상용/기타 클라우드에 대한 클라우드용 Defender 지원 매트릭스를 확인하세요.
Azure Cosmos DB용 Microsoft Defender의 이점은 무엇인가요?
Azure Cosmos DB용 Microsoft Defender는 고급 위협 탐지 기능 및 Microsoft 위협 인텔리전스 데이터를 사용합니다. Defender for Azure Cosmos DB는 SQL 삽입, 손상된 ID 및 데이터 반출과 같은 위협에 대해 Azure Cosmos DB 계정을 지속적으로 모니터링합니다.
이 서비스는 의심스러운 활동에 대한 세부 정보 및 위협을 완화하는 방법에 대한 지침과 함께 클라우드용 Microsoft Defender 작업 지향 보안 경고를 제공합니다. 이 정보를 사용하여 보안 문제를 신속하게 해결하고 Azure Cosmos DB 계정의 보안을 개선합니다.
경고에는 트리거된 인시던트의 세부 정보와 위협을 조사하고 수정하는 방법에 대한 권장 사항이 포함됩니다. 경고를 Microsoft Sentinel 또는 SIEM(파트너 보안 정보 및 이벤트 관리) 솔루션 또는 외부 도구로 내보낼 수 있습니다. 경고를 스트리밍하는 방법을 알아보려면 SIEM, SOAR 또는 IT 클래식 배포 모델 솔루션으로 경고 스트림을 참조하세요.
팁
모든 Azure Cosmos DB용 Defender 경고의 포괄적인 목록은 경고 참조 페이지를 참조하세요. 이는 검색할 수 있는 위협을 알고 SOC 팀이 검색을 조사하기 전에 감지에 익숙해지도록 돕고자 하는 워크로드 소유자에게 유용합니다. 클라우드용 Microsoft Defender 보안 경고를 관리하고 대응하는 방법에 대해 자세히 알아봅니다.
경고 유형
위협 인텔리전스 보안 경고는 다음을 위해 트리거됩니다.
잠재적인 SQL 삽입 공격
Azure Cosmos DB 쿼리의 구조 및 기능으로 인해 알려진 많은 SQL 삽입 공격은 Azure Cosmos DB에서 작동하지 않습니다. 그러나 SQL 삽입의 일부 변형은 성공할 수 있으며 Azure Cosmos DB 계정에서 데이터를 유출할 수 있습니다. Azure Cosmos DB용 Defender는 성공 및 실패 시도를 모두 감지하고 이러한 위협을 방지하기 위해 환경을 강화하는 데 도움이 됩니다.비정상적인 데이터베이스 액세스 패턴
예를 들어 TOR(Onion Router) 종료 노드, 알려진 의심스러운 IP 주소, 비정상적인 애플리케이션 및 위치에서 액세스합니다.의심스러운 데이터베이스 활동
예를 들어 알려진 악의적인 횡적 이동 기술 및 데이터 추출 패턴과 유사한 의심스러운 키 목록 패턴이 있습니다.