Overzicht van Microsoft Defender voor Azure Cosmos DB
In Microsoft Defender voor Cloud detecteert het Defender for Azure Cosmos DB-plan in Defender for Databases mogelijke SQL-injecties, bekende slechte actoren en verdachte toegangspatronen op basis van Microsoft Threat Intelligence. Het identificeert ook mogelijke exploitatie van uw database via gecompromitteerde identiteiten of schadelijke insiders.
Defender voor Azure Cosmos DB analyseert voortdurend de gegevensstroom van de Azure Cosmos DB-service. Wanneer er mogelijk schadelijke activiteiten worden gedetecteerd, worden er beveiligingswaarschuwingen gegenereerd in Defender voor Cloud. Deze waarschuwingen bieden details van de verdachte activiteit, samen met relevante onderzoeksstappen, herstelacties en beveiligingsaanbevelingen om toekomstige aanvallen te voorkomen.
U kunt Microsoft Defender voor Azure Cosmos DB inschakelen voor al uw databases (aanbevolen) of u kunt deze inschakelen op abonnementsniveau of op resourceniveau. Belangrijk is dat Defender voor Azure Cosmos DB geen toegang heeft tot de gegevens van het Azure Cosmos DB-account en geen invloed heeft op de prestaties van de service.
Zie de pagina met prijzen voor Defender voor Cloud voor factureringsgegevens over Defender voor Azure Cosmos DB.
De volgende tabel bevat ondersteunde en niet-ondersteunde Azure Cosmos DB-API's in Defender voor Azure Cosmos DB:
| Ondersteund | Niet ondersteund |
|---|---|
| Azure Cosmos DB voor NoSQL | Azure Cosmos DB voor Apache Cassandra Azure Cosmos DB voor MongoDB Azure Cosmos DB voor tabel Azure Cosmos DB voor Apache Gremlin |
Zie Defender voor Cloud ondersteuningsmatrices voor commerciƫle/andere Azure-clouds voor beschikbaarheid in de cloud.
Vergoedingen
Defender voor Azure Cosmos DB maakt gebruik van geavanceerde mogelijkheden voor detectie van bedreigingen en Microsoft Threat Intelligence-gegevens. Uw Azure Cosmos DB-accounts worden continu bewaakt op bedreigingen zoals SQL-injectie, gecompromitteerde identiteiten en gegevensexfiltratie.
Defender voor Cloud biedt actiegerichte beveiligingswaarschuwingen met details van de verdachte activiteiten en richtlijnen voor het beperken van bedreigingen. Gebruik deze informatie om snel beveiligingsproblemen op te lossen en de beveiliging van uw Azure Cosmos DB-accounts te verbeteren.
U kunt waarschuwingen exporteren naar Microsoft Sentinel, naar elke SIEM-oplossing (Security Information and Event Management) van partners of naar elk extern hulpprogramma. Zie Stream-waarschuwingen voor het bewaken van oplossingen voor meer informatie over het streamen van waarschuwingen.
Waarschuwingstypen
Activiteiten die beveiligingswaarschuwingen activeren die zijn verrijkt met bedreigingsinformatie zijn onder andere:
- Mogelijke SQL-injectieaanvallen: Vanwege de structuur en mogelijkheden van Azure Cosmos DB-query's werken veel bekende SQL-injectieaanvallen niet in Azure Cosmos DB. Sommige variaties van SQL-injecties kunnen echter slagen en kunnen leiden tot exfiltratie van gegevens uit uw Azure Cosmos DB-accounts. Defender voor Azure Cosmos DB detecteert zowel geslaagde als mislukte pogingen en helpt u uw omgeving te beveiligen om deze bedreigingen te voorkomen.
- Afwijkende databasetoegangspatronen: een voorbeeld is toegang vanaf een ui-router (Tor) afsluitknooppunt, bekende verdachte IP-adressen, ongebruikelijke toepassingen en onverwachte locaties.
- Verdachte databaseactiviteit: een voorbeeld hiervan zijn verdachte patronen in sleutelvermeldingen die lijken op bekende bekende technieken voor laterale verplaatsingen en patronen voor gegevensextractie.
Tip
Zie Waarschuwingen voor Azure Cosmos DB voor een uitgebreide lijst met alle Defender voor Azure Cosmos DB-waarschuwingen. Deze informatie is handig voor eigenaren van workloads die willen weten welke bedreigingen kunnen worden gedetecteerd. Het kan ook soc-teams (Security Operations Center) helpen om vertrouwd te raken met detecties voordat ze worden onderzocht. Meer informatie over het beheren en reageren op beveiligingswaarschuwingen in Microsoft Defender voor Cloud.