Udostępnij za pośrednictwem


Omówienie usługi Microsoft Defender dla usługi Azure Cosmos DB

W Microsoft Defender dla Chmury plan usługi Defender for Azure Cosmos DB w usłudze Defender for Databases wykrywa potencjalne wstrzyknięcia kodu SQL, znane złe podmioty i podejrzane wzorce dostępu na podstawie analizy zagrożeń firmy Microsoft. Identyfikuje również potencjalne wykorzystanie bazy danych za pośrednictwem tożsamości z naruszonymi zagrożeniami lub złośliwych testerów.

Usługa Defender dla usługi Azure Cosmos DB stale analizuje strumień danych osobowych z usługi Azure Cosmos DB. Po wykryciu potencjalnie złośliwych działań generuje alerty zabezpieczeń w Defender dla Chmury. Te alerty zawierają szczegółowe informacje o podejrzanych działaniach wraz z odpowiednimi krokami badania, akcjami korygowania i zaleceniami dotyczącymi zabezpieczeń w celu zapobiegania przyszłym atakom.

Możesz włączyć usługę Microsoft Defender dla usługi Azure Cosmos DB dla wszystkich baz danych (zalecane) lub włączyć ją na poziomie subskrypcji lub na poziomie zasobu. Co ważne, usługa Defender dla usługi Azure Cosmos DB nie uzyskuje dostępu do danych konta usługi Azure Cosmos DB i nie wpływa na wydajność usługi.

Aby uzyskać informacje dotyczące rozliczeń usługi Defender dla usługi Azure Cosmos DB, zobacz stronę cennika Defender dla Chmury.

W poniższej tabeli wymieniono obsługiwane i nieobsługiwane interfejsy API usługi Azure Cosmos DB w usłudze Defender dla usługi Azure Cosmos DB:

Obsługiwane Nieobsługiwane
Azure Cosmos DB for NoSQL Usługa Azure Cosmos DB dla bazy danych Apache Cassandra
Usługa Azure Cosmos DB dla bazy danych MongoDB
Usługa Azure Cosmos DB dla tabeli
Usługa Azure Cosmos DB dla języka Apache Gremlin

Aby uzyskać informacje na temat dostępności chmury, zobacz Defender dla Chmury obsługa macierzy dla platformy Azure komercyjnych/innych chmur.

Świadczenia

Usługa Defender dla usługi Azure Cosmos DB korzysta z zaawansowanych funkcji wykrywania zagrożeń i danych analizy zagrożeń firmy Microsoft. Stale monitoruje konta usługi Azure Cosmos DB pod kątem zagrożeń, takich jak wstrzyknięcie kodu SQL, naruszone tożsamości i eksfiltracja danych.

Defender dla Chmury udostępnia alerty zabezpieczeń zorientowane na działania ze szczegółowymi informacjami o podejrzanych działaniach i wskazówki dotyczące ograniczania zagrożeń. Skorzystaj z tych informacji, aby szybko rozwiązać problemy z zabezpieczeniami i poprawić bezpieczeństwo kont usługi Azure Cosmos DB.

Alerty można wyeksportować do usługi Microsoft Sentinel do dowolnego rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń partnera (SIEM) lub do dowolnego narzędzia zewnętrznego. Aby dowiedzieć się, jak przesyłać strumieniowo alerty, zobacz Stream alerts to monitoring solutions (Przesyłanie strumieniowe alertów do rozwiązań do monitorowania).

Typy alertów

Działania wyzwalające alerty zabezpieczeń wzbogacone o analizę zagrożeń obejmują:

  • Potencjalne ataki polegających na wstrzyknięciu kodu SQL: ze względu na strukturę i możliwości zapytań usługi Azure Cosmos DB wiele znanych ataków polegających na wstrzyknięciu kodu SQL nie działa w usłudze Azure Cosmos DB. Jednak niektóre odmiany iniekcji SQL mogą zakończyć się powodzeniem i mogą spowodować eksfiltrację danych z kont usługi Azure Cosmos DB. Usługa Defender dla usługi Azure Cosmos DB wykrywa zarówno pomyślne, jak i nieudane próby, i pomaga zabezpieczyć środowisko, aby zapobiec tym zagrożeniom.
  • Nietypowe wzorce dostępu do bazy danych: przykładem jest dostęp z węzła wyjścia routera jonowego (Tor), znanych podejrzanych adresów IP, nietypowych aplikacji i nieoczekiwanych lokalizacji.
  • Podejrzane działanie bazy danych: przykładem są podejrzane wzorce listy kluczy, które przypominają znane złośliwe techniki przenoszenia bocznego i wzorce wyodrębniania danych.

Napiwek

Aby uzyskać kompleksową listę wszystkich alertów usługi Defender dla usługi Azure Cosmos DB, zobacz Alerty dla usługi Azure Cosmos DB. Te informacje są przydatne dla właścicieli obciążeń, którzy chcą wiedzieć, jakie zagrożenia można wykryć. Może również ułatwić zespołom centrum operacji zabezpieczeń (SOC) zapoznanie się z wykrywaniem przed ich zbadaniem. Dowiedz się więcej na temat zarządzania alertami zabezpieczeń i reagowania na nie w Microsoft Defender dla Chmury.

Ochrona baz danych za pomocą usługi Defender for Databases